Download - Data - Aker Security Solutions

Versão 20/12/2011

Índice 

Índice ........................................................................................................................ 2 

Índice de Figuras ..................................................................................................... 9 

1. Introdução ..................................................................................................... 23 

2. Instalando o Aker Firewall............................................................................ 27 

2.1. Requisitos de hardware e software .................................................................... 27 

2.2. Instalando o Aker Firewall .................................................................................. 28 

2.3. Instalando a interface remota ............................................................................. 32 

3. Utilizando o Aker Control Center ................................................................. 35 

3.1. Iniciando a interface remota ............................................................................... 36 

3.2. Finalizando a administração remota................................................................... 44 

3.3. Mudando sua senha de usuário ......................................................................... 45 

3.4. Visualizando informação de sessão ................................................................... 46 

3.5. Utilizando a ajuda on-line e a Ajuda-Rápida ...................................................... 48 

3.6. Utilizando as ferramentas da Interface Gráfica .................................................. 49 

3.7. Chaves de Ativação ........................................................................................... 49 

3.8. Salvar configurações (backup)........................................................................... 51 

3.9. Restaurar configurações .................................................................................... 53 

3.10. Reinicializar Firewall ....................................................................................... 57 

3.11. Atualizações .................................................................................................... 57 

3.12. Módulo de atualização automática – Aker Update System (AUS) .................. 62 

3.13. DNS Reverso .................................................................................................. 69 

3.14. Simulação de Regras de Filtragem ................................................................. 71 

3.15. Relatórios ........................................................................................................ 75 

3.16. Busca de Entidades ........................................................................................ 75 

3.17. Janela de Alarmes .......................................................................................... 80 

3.18. Visualizando a rede graficamente ................................................................... 81 

3.19. Visualizando estatísticas do sistema .............................................................. 84 

3.20. Utilizando a janela de Sniffer de Pacotes........................................................ 86 

3.21. Visualizando o Estado dos Agentes Externos................................................. 89 

3.22. Utilizando o verificador de configuração ......................................................... 91 

3.23. Ferramentas de Diagnóstico ........................................................................... 94 

© Aker Security Solutions 2

4. Administrando usuários do Firewall ........................................................... 96 

4.1. Utilizando a interface gráfica .............................................................................. 96 

4.2. Utilizando a interface texto ................................................................................106 

5. Configurando os parâmetros do sistema ..................................................116 

5.1. Utilizando a interface gráfica .............................................................................116 


6. Cadastrando Entidades ...............................................................................133 

6.1. Planejando a instalação ....................................................................................133 

6.2. Cadastrando entidades utilizando a interface gráfica ........................................136 


6.4. Utilizando o Assistente de Entidades ................................................................176 

7. O Filtro de Estado ........................................................................................184 


7.2. Editando uma lista de regras usando a interface gráfica...................................189 

7.3. Trabalhando com Políticas de Filtragem ...........................................................197 


7.5. Utilizando o assistente de regras ......................................................................204 

7.6. Utilizando Regras de Pipes ...............................................................................217 

8. Configurando a conversão de endereços..................................................220 



8.3. Redundância de Link Via Modem......................................................................247 

8.4. Utilizando o Assistente de Configuração NAT ...................................................248 

9. Criando canais de criptografia ...................................................................258 

9.1. Planejando a instalação. ...................................................................................258 


10. Configurando criptografia Cliente-Firewall ...............................................288 

10.1. Planejando a instalação. ................................................................................288 

10.2. Aker Secure Roaming ....................................................................................289 

10.3. L2TP ..............................................................................................................295 

10.4. PPTP .............................................................................................................304 

10.5. IPSEC Client ..................................................................................................327 

10.6. VPN – SSL .....................................................................................................342 


11. Configurando criptografia Cliente-Firewall ...............................................349 

11.1. Editando os parâmetros de um contexto SSL ................................................350 

11.2. Configurando regras de Proxy SSL ...............................................................354 

12. Integração dos Módulos do Firewall ..........................................................356 

12.1. O fluxo de pacotes no Aker Firewall ..............................................................356 

12.2. Integração do filtro com a conversão de endereços ......................................358 

12.3. Integração do filtro com a conversão e a criptografia ....................................359 

13. Configurando a Segurança .........................................................................361 

13.1. Proteção contra SYN Flood ...........................................................................361 

13.2. Utilizando a interface gráfica para Proteção contra SYN Flood .....................363 

13.3. Proteção de Flood ..........................................................................................365 

13.4. Utilizando a interface gráfica para Proteção de Flood ...................................366 

13.5. Proteção Anti Spoofing ..................................................................................368 

13.6. Utilizando a interface gráfica para Anti Spoofing ...........................................369 

13.7. Utilizando a interface texto - Syn Flood .........................................................371 

13.8. Utilizando a interface texto - Proteção de Flood ............................................372 

13.9. Utilizando a interface texto - Anti Spoofing ....................................................373 

13.10. Bloqueio por excesso de tentativas de login inválidas ................................374 

14. Configurando Ações de Sistema ................................................................376 

14.1. Utilizando a interface gráfica ..........................................................................376 

14.2. Utilizando a interface texto .............................................................................382 

15. Visualizando o log do Sistema ...................................................................388 


15.2. Formato e significado dos campos dos registros do log ................................398 


16. Visualizando Eventos do Sistema ..............................................................405 


16.2. Formato e significado dos campos das mensagens de eventos ....................412 


17. Visualizando Estatísticas ............................................................................416 



18. Visualizando e Removendo conexões .......................................................426 




19. Utilizando o Gerador de Relatórios ............................................................435 

19.1. Acessando Relatórios ....................................................................................435 

19.2. Configurando os Relatórios............................................................................436 

19.3. Lista dos Relatórios disponíveis .....................................................................441 

20. Exportação Agendada de Logs e Eventos .................................................444 

20.1. Acessando a Exportação Agendada de Logs e Eventos ...............................444 

20.2. Configurando a Exportação Agendada de Logs e Eventos............................445 

21. Trabalhando com Proxies ...........................................................................450 

21.1. Planejando a instalação .................................................................................450 

21.2. Instalando o agente de autenticação em plataformas Unix ...........................455 

21.3. Instalando o agente de autenticação em Windows Server tm ..........................457 

21.4. Configuração do agente de autenticação para Windows Server tm .................458 

22. Configurando parâmetros de autenticação ...............................................464 



23. Perfis de acesso de Usuários .....................................................................483 


23.2. Cadastrando perfis de acesso .......................................................................483 

23.3. Regras ...........................................................................................................487 

23.4. Regras SOCKS ..............................................................................................488 

23.5. Geral ..............................................................................................................489 

23.6. FTP e GOPHER .............................................................................................490 

23.7. HTTP/HTTPS .................................................................................................493 

23.8. Secure Roaming ............................................................................................502 

23.9. VPN SSL (Proxy SSL) ...................................................................................505 

23.10. MSN Messenger .........................................................................................508 

23.11. Filtros de Aplicação ....................................................................................511 

23.12. Associando Usuários com Perfis de Acesso ..............................................513 

24. Autenticação de Usuários ...........................................................................519 

24.1. Visualizando e Removendo Usuários Conectados no Firewall ......................519 

24.2. Utilizando a Interface Texto ...........................................................................522 


25. Configurando o Proxy SMTP ......................................................................525 

25.1. Editando os parâmetros de um contexto SMTP .............................................527 

26. Configurando o Proxy Telnet ......................................................................551 

26.1. Editando os parâmetros de um contexto Telnet.............................................551 

27. Configurando o Proxy FTP ..........................................................................557 

27.1. Editando os parâmetros de um contexto FTP ................................................557 

28. Configurando o Proxy POP3 .......................................................................562 

28.1. Editando os parâmetros de um contexto POP3 .............................................563 

29. Utilizando as Quotas....................................................................................570 

29.1. Editando os parâmetros do Uso de Quota .....................................................571 

30. Configurando o Filtro Web ..........................................................................576 


30.2. Editando os parâmetros de Filtro Web ...........................................................578 

30.3. Editando os parâmetros de Sessões Web .....................................................618 

31. Configurando o Proxy Socks ......................................................................621 


31.2. Editando os parâmetros do Proxy SOCKS ....................................................622 

32. Configurando o Proxy RPC e o proxy DCE-RPC .......................................626 

32.1. Editando os parâmetros de um contexto RPC ...............................................627 

Editando os parâmetros de um contexto DCE-RPC ...................................................629 

33. Configurando o Proxy MSN ........................................................................633 


33.2. Editando os parâmetros do Proxy MSN .........................................................634 

34. Configurando a Filtragem de Aplicações ..................................................640 


34.2. Criando Regras de Filtragem de Aplicações ..................................................640 

34.3. Criando Filtros de Aplicações ........................................................................644 

35. Configurando IDS/IPS ..................................................................................650 

35.1. Acessando IPS/IDS .......................................................................................650 

35.2. Visualizando os IPs bloqueados ....................................................................660 

35.3. Configurando a atualização de assinaturas ...................................................662 

35.4. Instalando o Plugin para IDS Externo no Windows ........................................664 

35.5. Utilizando a interface texto - Portscan ...........................................................669 


35.6. Utilizando a interface texto - IDS Externo ......................................................671 

36. Configurações TCP/IP .................................................................................674 

36.1. Configuração TCP/IP .....................................................................................674 

36.2. DHCP .............................................................................................................675 

36.3. DNS ...............................................................................................................678 

36.3.1. Interfaces de Rede .....................................................................................679 

36.4. Roteamento ...................................................................................................683 

36.4.1. Geral ...........................................................................................................684 

36.4.2. Dinâmico .....................................................................................................686 

36.4.3. Avançado ....................................................................................................693 

36.5. Utilizando a interface texto nas Chaves de Ativação .....................................697 

36.6. Utilizando a interface texto na Configuração TCP/IP .....................................698 

36.7. Utilizando a interface texto na Configuração de Wireless ..............................705 

36.8. Utilizando a interface texto na Configuração de DDNS .................................708 

36.9. Configuração do Link 3G ...............................................................................710 

37. Configurando o firewall em Cluster ...........................................................715 

37.1. Planejando a Instalação .................................................................................715 

37.2. Configuração do Cluster ................................................................................717 

37.3. Estatística do Cluster .....................................................................................722 


38. Arquivos do Sistema ...................................................................................728 

38.1. Arquivos do Sistema ......................................................................................728 

39. Aker Firewall Box .........................................................................................733 

40. Apêndice A – Mensagens do sistema ........................................................737 

40.1. Mensagens do log do Firewall .......................................................................737 

40.2. Mensagens dos eventos do Firewall ..............................................................743 

40.3. Formato de exportação de logs e eventos .....................................................784 

40.4. Eventos gerados pelo Aker Firewall ...............................................................784 

40.4.1. Eventos gerados pelo Filtro Web ................................................................784 

40.4.2. Eventos gerados pelo Proxy MSN ..............................................................787 

40.4.3. Eventos gerados pelo Proxy POP3 ............................................................792 

40.4.4. Eventos gerados pelo Proxy SMTP ............................................................793 

40.4.5. Eventos gerados pelo Módulo de IDS/IPS e filtro de aplicativos ................795 


40.4.6. Eventos gerados pelo Aker Antivirus Module .............................................797 

40.4.7. Eventos gerados pelo Aker Web Content Analizer .....................................801 

40.4.8. Eventos gerados pelo Aker Spam Meter ....................................................805 

41. Apêndice B - Copyrights e Disclaimers .....................................................816 


Índice de Figuras 

Figura 1. Termo de Licença. .................................................................................... 30 

Figura 2. Interface do Aker Control Center. ............................................................. 37 

Figura 3. Caixa de descrição de entidade. ............................................................... 38 

Figura 4. Caixa de edição do dispositivo remoto. .................................................... 39 

Figura 5. Informações requeridas para editar o Dispositivo Remoto. ...................... 41 

Figura 6. Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo 

Remoto. ................................................................................................................... 42 

Figura 7. Interface conectada ao Firewall escolhido. ............................................... 43 

Figura 8. Finalizador de administração remota do Aker Firewall (Desconectar do 

dispositivo remoto). .................................................................................................. 44 

Figura 9. Dispositivos remotos (realizar mudança de senha). ................................. 45 

Figura 10. Mudar Senha (inserir senha antiga, a nova senha e confirmação da 

mesma). ................................................................................................................... 46 

Figura 11. Dispositivos remotos (visualizar informações da sessão). ...................... 47 

Figura 12. Informação da sessão (mostra dados do Firewall, Licença e Usuário). .. 48 

Figura 13. Apresentação da janela de ajuda. .......................................................... 49 

Figura 14. Informações sobre ativação de licenças. ................................................ 50 

Figura 15. Salvar um backup do item selecionado. ................................................. 51 

Figura 16. Download das configurações personalizadas e bases de treinamento... 51 

Figura 17. Backup Informações de log. ................................................................... 52 

Figura 18. Tela de escolha de arquivo para salvar configurações. .......................... 52 

Figura 19. Salvar o backup automaticamente. ......................................................... 53 

Figura 20. Botões para restauração de backup. ...................................................... 53 

Figura 21. Escolha de arquivo para carregar dados de configuração. ..................... 54 

Figura 22. Restauração do backup do Antivirus Module. ......................................... 55 

Figura 23. Restauração do backup do Aker Firewall. .............................................. 55 

Figura 24. Restauração do backup do Spam Meter................................................. 56 

Figura 25. Restauração do backup do Web Content Analyzer. ............................... 56 

Figura 26. Reiniciar o Firewall.................................................................................. 57 

Figura 27. Sistema de atualização de dados do Firewall. ........................................ 58 

Figura 28. Escolha do arquivo para atualização ou correção. ................................. 60 

Figura 29. Visualização de históricos de aplicação de patches e hotfixes. .............. 61 

Figura 30. Acessando o Aker Firewall. .................................................................... 62 

Figura 31. Notificação sobre atualizações disponíveis no Aker Update System. ..... 64 

Figura 32. Visualizando atualizações disponíveis através do Aker Update System. 65 


Figura 34. Acessando as janelas do Aker Update System. ..................................... 67 


Figura 36. Acessando as janelas do Aker Update System. ..................................... 69 


Figura 37. Janela de DNS reverso. .......................................................................... 70 

Figura 38. DNS reverso. .......................................................................................... 71 

Figura 39. Janela de acesso a Simulação de Regras de Filtragem. ........................ 72 

Figura 40. Simulação de Regras de Filtragem (origem do pacote, destino, data, hora 

e máscaras). ............................................................................................................ 73 

Figura 41. Simulação de Regras de Filtragem (origem do pacote, destino, data, hora 

e entidade). .............................................................................................................. 74 

Figura 42. Relatório de configuração do firewall. ..................................................... 75 

Figura 43. Janela de acesso a Busca de Entidades. ............................................... 76 

Figura 44. Busca de Entidades (procura de entidade com IP ou nome e últimos 

resultados). .............................................................................................................. 77 

Figura 45. Busca de Entidades - serviços. ............................................................... 78 

Figura 46. Busca de Entidades - regras. .................................................................. 79 

Figura 47. Janela de acesso: Janela de Alarmes. ................................................... 80 

Figura 48. Janela de Alarmes - descrição. ............................................................... 81 

Figura 49. Janela de acesso - Mapa da Rede. ........................................................ 82 

Figura 50. Mapa da Rede. ....................................................................................... 83 

Figura 51. Janela de acesso - Estatísticas do Sistema. ........................................... 84 

Figura 52. Estatísticas do Sistema. .......................................................................... 85 

Figura 53. Acesso a janela: Sniffer de Pacotes. ...................................................... 86 

Figura 54. Sniffer de Pacotes – Sniffer 1. ................................................................ 87 

Figura 55. Janela de acesso: Agentes Externos. ..................................................... 89 

Figura 56. Agentes Externos (nome, tipo e status). ................................................. 90 

Figura 57. Janela de acesso: Verificador de Configuração. ..................................... 92 

Figura 58. Verificador de Configuração (Regras de Filtragem, Conversão de 

endereço de rede (NAT), Autenticação, Filtro web e Rede privada virtual (VPN). ... 93 

Figura 59. Janela de Diagnósticos. .......................................................................... 94 

Figura 60. Janela de acesso - Usuários Administrativos. ........................................ 96 

Figura 61. Janela de Usuários administrativos (Usuários internos). ........................ 97 

Figura 62. Usuários Administrativos (configuração dos agentes externos). ...........101 

Figura 63. Usuários Administrativos (método de autenticação com certificação digital 

X509). .....................................................................................................................103 

Figura 64. Execução do programa utilizando a interface texto. ..............................107 

Figura 65. Execução do programa para inclusão de usuários como administradores 

do Aker Firewall. .....................................................................................................108 

Figura 66. Execução do programa para a exclusão de usuários. ...........................109 

Figura 67. Execução do programa para a alteração de senha do usuário. .............110 

Figura 68. Execução do programa para exibir a listagem de usuários e permissões. 

................................................................................................................................111 

Figura 69. Execução do programa para exibir a compactação do arquivo de 

usuários. .................................................................................................................112 

Figura 70. Edição das configurações do Aker Configuration Manager. ..................113 


Figura 71. Edição das configurações do Aker Configuration Manager (Firewall 

habilitado). ..............................................................................................................113 

Figura 72. Edição das configurações do Aker Configuration Manager (desabilita, 

modifica ou retorna). ...............................................................................................114 

Figura 73. Janela de acesso - dispositivos remotos (parametros de configuração). 

................................................................................................................................116 

Figura 74. Parametros de configuração do Aker Firewall (servidor, interface remota e 

endereços fixos de configuração remota). ..............................................................117 

Figura 75. Parametros de configuração de Log (local, remoto e opções gerais). ...119 

Figura 76. Parametros de configuração de segurança. ..........................................121 

Figura 77. Parametros de configuração via SNMP. ................................................124 

Figura 78. Parametros de configuração - Monitoramento. ......................................126 

Figura 79. Parametros de configuração – Data e hora. ..........................................128 

Figura 80. Janela de entidades (Aker Firewall). ......................................................137 

Figura 81. Entidades (Instância Aker Firewall)........................................................137 

Figura 82. Cadastro de entidade Tipo Máquina. .....................................................139 

Figura 83. Cadastro de entidade Tipo Máquina IPv6. .............................................140 

Figura 84. Inclusão e edição de redes. ...................................................................141 

Figura 85. Inclusão e edição de redes IPv6. ...........................................................142 

Figura 86. Inclusão e edição de conjuntos. .............................................................144 

Figura 87. Adição de entidades. .............................................................................145 

Figura 88. Edição de conjuntos IPv6. .....................................................................146 

Figura 89. Edição de conjuntos IPv6 (entidades a ser adicionada). .......................147 

Figura 90. Inclusão e edição das listas de categorias. ............................................148 

Figura 91. Inclusão e edição dos padrões de buscas. ............................................149 

Figura 92. Inclusão e edição de quotas. .................................................................150 

Figura 93. Inclusão e edição de agentes externos. .................................................151 

Figura 94. Cadastro de um agente externo tipo autenticador ou autenticador Token. 

................................................................................................................................153 

Figura 95. Cadastro de um agente externo tipo Autoridade Certificadora. .............154 

Figura 96. Definição de Pseudo-Grupos para usuários que se autenticarem por meio 

de autoridade certificadora. ....................................................................................156 

Figura 97. Cadastro de agente externo tipo Agente IDS. .......................................157 

Figura 98. Cadastro de agente externo tipo Analisador de texto. ...........................157 

Figura 99. Cadastro de agente externo tipo Módulo de Antivírus. ..........................158 

Figura 100. Cadastro de agente externo tipo Spam Meter. ....................................158 

Figura 101. Cadastro de agente externo Servidor Remoto. ....................................159 

Figura 102. Cadastro de agente externo Autenticador LDAP. ................................160 

Figura 103. Cadastro de agente externo Autenticador Radius. ..............................162 

Figura 104. Inclusão e edição de serviços. .............................................................163 

Figura 105. Inclusão e edição de interfaces. ..........................................................165 

Figura 106. Inclusão e edição de listas de e-mails. ................................................167 

Figura 107. Opção para realizar uma operação sobre um e-mail ou domínio. .......168 


Figura 108. Lista dos tipos de arquivos. .................................................................168 

Figura 109. Opção para realizar uma operação (Entrada da lista). ........................169 

Figura 110. Acumuladores. .....................................................................................170 

Figura 111. Cadastro de entidade tipo Canal. ........................................................171 

Figura 112. Mensagem de entrada no Assistente de criação de entidades. ...........177 

Figura 113. Escolha do tipo de entidade. ................................................................178 

Figura 114. Inserção do endereço de IP da máquina. ............................................179 

Figura 115. Atribuição do nome da entidade. .........................................................180 

Figura 116. Escolha do ícone da entidade. .............................................................181 

Figura 117. Mensagem de finalização do cadastramento. ......................................182 

Figura 118. Dispositivos remotos (Acesso a janela de configuração das regras). ..190 

Figura 119. Janelas de regras de filtragem. ............................................................190 

Figura 120. Menu com opções de entidades referente ao campo. .........................191 

Figura 121. Menu ícone de verificação de regras. ..................................................195 

Figura 122. Verificador de regras............................................................................196 

Figura 123. Regras de filtragem (Exemplo de canal de 50KBits)............................196 

Figura 124. Ajustes de prioridade de canal. ............................................................197 

Figura 125. Exemplo de como trabalhar com políticas de filtragem. .......................198 

Figura 126. Exemplo de regras de filtragem. ..........................................................199 

Figura 127. Interface regras de filtragem. ...............................................................200 

Figura 128. Barra de ícones (Politíca). ...................................................................200 

Figura 129. Exibição das regras de filtragem. .........................................................201 

Figura 130. Assistente de regras filtragem (janela exibida quando um número 

pequeno de regras for detectado). ..........................................................................204 

Figura 131. Mensagem de boas vindas ao Assitente de regras filtragem. ..............205 

Figura 132. Escolha da rede interna e configuração inicial. ....................................206 

Figura 133. Tela de acesso para escolha de acesso restrito ou não à internet. .....207 

Figura 134. Escolha se possui ou não DMZ. ..........................................................208 

Figura 135. Escolha da entidade DMZ. ...................................................................209 

Figura 136. Máquinas DMZ (acesso restrito ou não a internet). .............................210 

Figura 137. Escolha dos serviços da internet e estações de trabalho que o DMZ terá 

acesso. ...................................................................................................................211 

Figura 138. Configuração do Firewall. ....................................................................212 

Figura 139. Registro de configuração do servidor. .................................................213 

Figura 140. Escolha da entidade do servidor. .........................................................214 

Figura 141. Selecionar o locar onde o servidor DMZ ficará disponível. ..................215 

Figura 142. Escolha para configurar outro servidor ou não. ...................................216 

Figura 143. Aviso de finalização de configuração das regras de filtragem. ............217 

Figura 144. Janela com as regras de Pipes. ...........................................................218 

Figura 145. Exemplo 1 - configuração do Aker Firewall (interligando departamentos). 

................................................................................................................................224 

Figura 146. Exemplo 2 - configuração do Aker Firewall (múltiplas ligações com a 

internet). ..................................................................................................................226 


Figura 147. Exemplo 3 - configuração do Aker Firewall (montando regras de 

conversão de endereços). ......................................................................................227 

Figura 148. Janela de acesso - configuração da conversão de endereços. ...........229 

Figura 149. Janela de configuração da conversão de endereços (NAT). ...............229 

Figura 150. Janela de configuração de balanceamento de link. .............................231 

Figura 151. Janela de configuração para adicionar entidades. ...............................233 

Figura 152. Janela de inclusão de regras de NAT. .................................................234 

Figura 153. Janela de configuração para ações que deseja ser realizada. ............236 

Figura 154. Comparativo: máscaras de rede da entidade de origem e virtual. .......237 

Figura 155. Configuração dos parâmetros de monitoramento. ...............................237 

Figura 156. Exemplo 1 - conversão de endereços..................................................240 

Figura 157. Exemplo 2 - conversão de serviços. ....................................................241 

Figura 158. Balanceamento de link (primeira fase). ................................................242 

Figura 159. Montangem das regras do NAT (segunda fase). .................................243 

Figura 160. Mensagem de boas vindas ao Assistênte de configuração de NAT. ...249 

Figura 161. Seleção das redes que tem a necessidade de acessar a internet 

compartilhando um endereço IP. ............................................................................250 

Figura 162. Seleção do IP da máquina virtual para realizar a conversão de N-1. ..251 

Figura 163. Mensagem se deseja configurar os servidores acessíveis 

externamentes. .......................................................................................................252 

Figura 164. Escolha da entidade que deseja tornar acessível na internet. .............253 

Figura 165. Escolha do endereço IP utilizados por máquinas externas a ser utilizado 

no servidor. .............................................................................................................254 

Figura 166. Escolha para configurar mais servidores. ............................................255 

Figura 167. Finalização do assistentes de regras. ..................................................256 

Figura 168. Exemplo de configuração de um canal seguro firewall-firewall para uma 

sub-rede. .................................................................................................................267 

Figura 169. Canal seguro entre redes. ...................................................................269 

Figura 170. Janela de acesso - Certificados IPSEC). .............................................270 

Figura 171. Janela de Certificados IPSEC. .............................................................271 

Figura 172. Barra de ferramentas (Certificados IPSEC). ........................................271 

Figura 173. Janela de ação para Certificados IPSEC. ............................................272 

Figura 174. Janela de acesso - Firewall/Firewall. ...................................................274 

Figura 175. Janela de Criptografia Firewall/Firewall. ..............................................274 

Figura 176. Menu de inserção, copia ou exclusão para definição dos fluxos de 

criptografia. .............................................................................................................275 

Figura 177. Menu de inclusão ou alteração de fluxos. ............................................276 

Figura 178. Configuração de canais IPSEC. ..........................................................277 

Figura 179. Definição dos algoritmos de criptografia e autenticação permitidos pelo 

firewall durante negociação das chaves IKE. .........................................................278 

Figura 180. Visualização do tráfego IPSEC. ...........................................................279 

Figura 181. Gráfico de acompanhamento (Bytes de logs transferidos). .................280 

Figura 182. Janela de acesso – Clientes VPN. .......................................................289 


Figura 183. Configuração geral do Security Roaming. ...........................................290 

Figura 184. Configuração do Security Roaming. ....................................................291 

Figura 185. Lista de controle de acesso do Security Roaming. ..............................292 

Figura 186. Menu com escolha das entidades a ser adicionadas. .........................293 

Figura 187. Conjuto de endereços do Security Roming. .........................................294 

Figura 188. Configuração da VPN L2TP. ................................................................296 

Figura 189. Lista de endereços que podem ser fornecidos a clientes conectados 

remotamente ao firewall. .........................................................................................296 

Figura 190. Menu com escolhas da entidade para adicionar. .................................297 

Figura 191. Configurando o cliente L2TP (Windows Vista/XP). ..............................299 

Figura 192. Configurando o cliente L2TP (utilizando VPN). ....................................299 

Figura 193. Configurando o cliente L2TP (escolha do IP e nome da conexão). .....300 

Figura 194. Configurando o cliente L2TP (nome do usuário e senha utilizados para 

autenticar o cliente de VPN no Aker Firewall). ........................................................300 

Figura 195. Configuração da VPN L2TP concluída. ...............................................301 

Figura 196. Network conections (edição das propriedades de conexão). ...............302 

Figura 197. Network conections (janela de configurações avançadas). .................303 

Figura 198. Diálogo de propriedades (configuração). .............................................304 

Figura 199. Configurando a VPN PP TP. ................................................................305 

Figura 200. Menu com escolhas da entidades para adicionar. ...............................306 

Figura 201. Configurando o Cliente PPTP para autenticação com PAP (Windows 

Vista/XP). ................................................................................................................308 

Figura 202. Janela de configuração da VPN no Microsoft Windows®. ...................309 

Figura 203. Janela de configuração de rede da VPN no Microsoft Windows®. ......310 

Figura 204. Janela de configuração de usuário e senha da VPN no Microsoft 

Windows®. ..............................................................................................................311 

Figura 205. Configuração da VPN no Microsoft Windows® concluída. ..................312 

Figura 206. Janela de configurações avançadas da VPN no Microsoft Windows®. 

................................................................................................................................313 

Figura 207. Janela de configurações dos parâmentros de autenticação da VPN no 

Microsoft Windows®. ..............................................................................................314 

Figura 208. Janela de configurações dos parâmentros de rede da VPN no Microsoft 

Windows®. ..............................................................................................................315 

Figura 209. Configurações do Servidor de autenticação Radius do Microosft 

Windows Server®. ..................................................................................................316 

Figura 210. Configurações do Shared secret do servidor de autenticação Radius do 

Microosft Windows Server®. ...................................................................................317 

Figura 211. Definição das regras de acesso remoto do servidor de autenticação 

Radius do Microosft Windows Server®. ..................................................................318 

Figura 212. Especificação das condições de conexão do servidor de autenticação 

Radius do Microosft Windows Server®. ..................................................................319 

Figura 213. Especificação das condiçõs de conexão - Edição. ..............................320 

Figura 214. Especificação das condiçõs de conexão – IP. .....................................321 


Figura 215. Especificação das condiçõs de conexão – Multilink.............................322 

Figura 216. Especificação das condiçõs de conexão – Authentication. ..................323 

Figura 217. Especificação das condiçõs de conexão – Encryption.........................324 

Figura 218. Especificação das condiçõs de conexão – Advanced..........................325 

Figura 219. Informações dos usuários que podem efetuar autenticações. .............326 

Figura 220. Propriedades dos usuários podem efetuar autenticações. ..................327 

Figura 221. Clientes VPN - IPSEC. .........................................................................329 

Figura 222. Lista de endereços que podem ser atribuídos aos clientes. ................330 

Figura 223. Lista de endereços que são redes protegidas. ....................................331 

Figura 224. Configurações recomendadas para clientes de criptografia – Shared 

Secret. ....................................................................................................................334 

Figura 225. Configurações recomendadas para clientes de criptografia – X.509. ..334 

Figura 226. Configuração da VPN – General. ........................................................335 

Figura 227. Configuração da VPN – Authentication. ...............................................335 

Figura 228. Configuração da VPN – Phase 1. ........................................................336 

Figura 229. Configuração da VPN – Phase 2. ........................................................336 

Figura 230. Configuração da VPN – Connect. ........................................................337 

Figura 231. Configuração I-Phone – certificado. .....................................................338 

Figura 232. Configuração I-Phone – estabelecendo VPN. .....................................339 

Figura 233. Configuração VPN com certificado. .....................................................340 

Figura 234. Configuração VPN - Authentication – Local Identity. ..........................340 

Figura 235. Configuração VPN - Authentication – Remote Identily. .......................341 

Figura 236. Configuração VPN - Authentication – Authentication Method. ............341 

Figura 237. Janela de acesso – VPN SSL. .............................................................342 

Figura 238. VPN SSL - Portais. ..............................................................................343 

Figura 239. VPN SSL - Applet. ...............................................................................345 

Figura 240. Perfil de acesso – Permissão VPN. .....................................................346 

Figura 241. VPN SSL – Instruções gerais. .............................................................347 

Figura 242. Utilização do Proxy SSL. .....................................................................350 

Figura 243. Edição dos paramentros de um contexto SSL. ....................................351 

Figura 244. Exibição do certificado do proprietário – X.509. ...................................353 

Figura 245. Fluxo do pacote da rede interna ao atingir o firewall............................356 

Figura 246. Fluxo do pacote da rede externa em direção a rede interna. ...............357 

Figura 247. Janela de acesso - SYN Flood. ...........................................................363 

Figura 248. SYN Flood – Ativação de proteção SYN Flood. ...................................364 

Figura 249. Janela de acesso - Proteção de Flood. ................................................366 

Figura 250. Proteção de Flood - Configuração. ......................................................367 

Figura 251. Janela de acesso - Anti Spoofing. .......................................................369 

Figura 252. Anti Spoofing – Ativação do controle. ..................................................370 

Figura 253. Bloqueio de excesso de tentativas de login inválidas - Eventos. .........374 

Figura 254. Janela de acesso - Ações. ...................................................................377 

Figura 255. Ações – Mensagens de logs. ...............................................................378 

Figura 256. Ações a serem executadas para mensagens exibidas. .......................378 


Figura 257. Ações: Parametros. .............................................................................380 

Figura 258. Janela de acesso - Log. .......................................................................389 

Figura 259. Barra de ferramentas de log. ...............................................................389 

Figura 260. Filtro de log. .........................................................................................391 

Figura 261. Filtro de log. .........................................................................................393 

Figura 262. Lista com várias entradas de log. ........................................................396 

Figura 263. Exportador de log.................................................................................397 

Figura 264. Barra de exportação de log – porcentagem realizada. ........................397 

Figura 265. Janela de acesso - Eventos. ................................................................406 

Figura 266. Barra de ferramentas: Eventos. ...........................................................406 

Figura 267. Filtro de eventos. .................................................................................407 

Figura 268. Descrição dos Eventos. .......................................................................410 

Figura 269. Exportar log de eventos. ......................................................................411 

Figura 270. Janelas de eventos - Estatística. .........................................................417 

Figura 271. Regras de estatística. ..........................................................................418 

Figura 272. Barra de ferramentas - Regras de estatística. .....................................419 

Figura 273. Visualizar estatísticas. .........................................................................420 

Figura 274. Visualizar estatísticas – Gráfico. ..........................................................421 

Figura 275. Exportar estatística. .............................................................................422 

Figura 276. Barra de ferramentas: visualização das estatísticas. ...........................422 

Figura 277. Janela de acesso - Conexões TCP......................................................427 

Figura 278. Conexões TCP – Conexões IPv4. .......................................................428 

Figura 279. Conexões TCP – Conexões IPv6. .......................................................429 

Figura 280. Barra de ferramentas: conexões TCP..................................................430 

Figura 281. Conexões TCP – Gráfico de conexões IPv4. .......................................431 

Figura 282. Janela de acesso - Relatório. ..............................................................435 

Figura 283. Configurando relatório - Diário. ............................................................436 

Figura 284. Configuração do relatório - geral. ........................................................437 

Figura 285. Configuração do relatório – sub-relatório. ............................................438 

Figura 286. Configuração do relatório – método de publicação. .............................439 

Figura 287. Configuração do relatório – método de SMTP. ....................................440 

Figura 288. Janela de acesso - Exportação Agendada de Logs e Eventos.. ..........444 

Figura 289. Exportação Agendada de Logs e Eventos - diário. ..............................445 

Figura 290. Configuração da Exportação Agendada de Logs e Eventos - geral. ...446 

Figura 291. Configuração da Exportação Agendada de Logs e Eventos – método de 

publicação. ..............................................................................................................447 

Figura 292. Configuração da Exportação Agendada de Logs e Eventos – tipo de 

publicação. ..............................................................................................................448 

Figura 293. Funcionamento básico de um Proxy tradicional. .................................451 

Figura 294. Funcionamento básico de um Proxy trasparênte. ................................452 

Figura 295. Proxie transparentes e contextos. .......................................................453 

Figura 296. Instalação do agente de autenticação do Windows Server – pasta de 

destino. ...................................................................................................................457 


Figura 297. Agente de autenticação - Aker. ............................................................459 

Figura 298. Agente de autenticação – Firewall Aker...............................................460 

Figura 299. Agente de autenticação - Log. .............................................................461 

Figura 300. Agente de autenticação - Sobre. .........................................................462 

Figura 301. Janela de acesso - Autenticação. ........................................................464 

Figura 302. Autenticação de acesso: Controle de acesso. .....................................465 

Figura 303. Autenticação de acesso: Listagem de grupos ou usuários. .................467 

Figura 304. Autenticação de acesso: Escolha do perfil desejado. ..........................467 

Figura 305. Autenticação de acesso: Métodos. ......................................................468 

Figura 306. Autenticação de acesso: Adicionar entidades. ....................................470 

Figura 307. Autenticação de acesso: Remover entidades. .....................................470 

Figura 308. Autenticação de acesso: Métodos. ......................................................471 

Figura 309. Autenticação de acesso: Métodos (habilitar autenticação do Token). .472 

Figura 310. Autenticação de acesso: Autenticação para proxies............................473 

Figura 311. Autenticação de acesso: Autenticação local. .......................................474 

Figura 312. Aba para inclusão de usuário. .............................................................474 

Figura 313. Autenticação – Autenticação local. ......................................................475 

Figura 314. Autenticação – alteração de senha ou grupo. ......................................475 

Figura 315. Autenticação local – criar ou remover grupos. .....................................476 

Figura 316. Controle de acesso por IP. ..................................................................477 

Figura 317. Configuração NTLM. ............................................................................478 

Figura 318. Segurança do Window – solicitação de usuário e senha. ....................479 

Figura 319. Janela de acesso - Perfis. ....................................................................484 

Figura 320. Perfis – Aker Firewall. ..........................................................................485 

Figura 321. Janela de configuração de perfil (inserir e excluir). ..............................485 

Figura 322. Regras: regras de filtragem para o perfil de acesso. ...........................487 

Figura 323. Perfis: Socks. .......................................................................................488 

Figura 324. Perfis: Geral. ........................................................................................489 

Figura 325. Perfis: FTP e Gopher. ..........................................................................490 

Figura 326. Janela de acesso - perfis (inseir e desabilitar). ....................................491 

Figura 327. Geral: HTTP e HTTPS. ........................................................................493 

Figura 328. Janela de acesso - Bloqueio de Banners.............................................494 

Figura 329. Bloqueio de Banners (URL de banners). .............................................495 

Figura 330. Perfis: bloqueio de URL. ......................................................................496 

Figura 331. Barra de ferramentas (inserir ou desabilitar). .......................................496 

Figura 332. Perfis: Arquivos bloqueados. ...............................................................498 

Figura 333. Escolhas de operadores. .....................................................................499 

Figura 334. Perfis: Security Roaming. ....................................................................502 

Figura 335. Perfis: Security Roaming (conjunto de endereços). .............................504 

Figura 336. Perfis: VPN-SSL (Proxy SSL). .............................................................505 

Figura 337. Conexão Direta: Proxy Reverso SSL. ..................................................506 

Figura 338. Conexão Via Apllet. .............................................................................506 

Figura 339. Conexão Cliente Applet / SSL / Normal. ..............................................506 


Figura 340. Perfis – MSN Messenger. ....................................................................508 

Figura 341. Menu (inserir/desabilitar) para executar qualquer operação sobre a 

regra. ......................................................................................................................509 

Figura 342. Perfis: Filtragem de aplicação. .............................................................511 

Figura 343. Menu (inserir/desabilitar) para executar qualquer operação sobre a 

regra. ......................................................................................................................511 

Figura 344. Janela de acesso - Autenticação. ........................................................513 

Figura 345. Autenticação: Controle de acesso. ......................................................514 

Figura 346. Menu de escolha do usuário. ...............................................................515 

Figura 347. Menu de escolha do perfil. ...................................................................515 

Figura 348. Controle de acesso por IP. ..................................................................516 

Figura 349. Janela de acesso - usuários conectados. ............................................519 

Figura 350. Usuários conectados (máquina, nome, domínio, perfil, inicio, TPC e nº 

de usuários conectados.) ........................................................................................520 

Figura 351. Barra de ferramentas: usuários conectados. .......................................520 

Figura 352. Serviço: relay. ......................................................................................527 

Figura 353. Serviço: geral. ......................................................................................528 

Figura 354. Serviço: relay. ......................................................................................529 

Figura 355. Serviço: regras. ....................................................................................530 

Figura 356. Menu (inserir, copiar, editar, excluir ou renomear). .............................530 

Figura 357. Edição de regra: SMTP. .......................................................................532 

Figura 358. Serviço: DNS. ......................................................................................535 

Figura 359. Menu (inserir, copiar, editar, excluir ou renomear).. ............................536 

Figura 360. Serviço: DNS. ......................................................................................537 

Figura 361. Serviço: anexos. ..................................................................................538 

Figura 362. Menu (inserir, copiar, editar, excluir ou renomear).. ............................539 

Figura 363. Regra: edição de regras e anexos. ......................................................540 

Figura 364. Serviço: RBL. .......................................................................................542 

Figura 365. Serviço: Spam Meter. ..........................................................................544 

Figura 366. Serviço: Avançado. ..............................................................................548 

Figura 367. Serviço: propriedade de um contexto Telnet. ......................................552 

Figura 368. Menu (inserir). ......................................................................................553 

Figura 369. Janela de inclusão de usuários ou grupos. ..........................................554 

Figura 370. Serviços: propriedades de um contexto SMTP. ...................................558 

Figura 371. Janela de lista de regras (aceitas ou não).. .........................................559 

Figura 372. Propriedades de um contexto POP3....................................................563 

Figura 373. Operações sobre determinada regra. ..................................................564 

Figura 374. Edição de regras de arquivos. .............................................................566 

Figura 375. Janela de acesso - Uso de quotas. ......................................................571 

Figura 376. Uso de quotas: viasualização do usuário. ............................................572 

Figura 377. Uso de quotas: viasualização da quota. ..............................................573 

Figura 378. Conexão (internet, rede interna, firewall e DMZ). ................................577 

Figura 379. Janela de acesso - filtro web. ..............................................................579 


Figura 380. Configuração dos parâmetros do filtro web (geral). .............................580 

Figura 381. Filtro Web: cliente de autenticação. .....................................................584 

Figura 382. Filtro Web: controle de conteúdo. ........................................................586 

Figura 383. Filtro Web: tipo de arquivo. ..................................................................588 

Figura 384. Escolhas dos operadores. ...................................................................591 

Figura 385. Filtro Web: antivírus. ............................................................................592 

Figura 386. Diagrama de certificados envolvidos no acesso. .................................596 

Figura 387. Filtro web: configuração. ......................................................................598 

Figura 388. Certificado de errro do Firefox. ............................................................600 

Figura 389. Certificado assinado pela CA de erro. ................................................601 

Figura 390. Erro de acesso. ....................................................................................601 

Figura 391. Certificado de informação. ...................................................................604 

Figura 392. Certificado de informação – como utilizar autoridade certificadora já 

cadastrada. .............................................................................................................605 

Figura 393. Certificado CA – tela de acesso. ..........................................................606 

Figura 394. Certificado CA – properties. .................................................................606 

Figura 395. Certificado CA – General. ....................................................................607 

Figura 396. Certificado CA – Details.. .....................................................................608 

Figura 397. Certificado CA – All tasks / Back up Ca. ..............................................609 

Figura 398. Certificado Authority Backup Wizard....................................................609 

Figura 399. Certificado Authority Backup Wizard – senha e confirmação. .............610 

Figura 400. Microsoft Management Console. .........................................................611 

Figura 401. Adicionar ou remover Snap-is. .............................................................612 

Figura 402. Microsoft Management Console – certificates, all taks, import). ..........613 

Figura 403. Escolha do diretório onde deseja importar o relatório. .........................614 

Figura 404. Mozila Firefox (importar certificado). ....................................................614 

Figura 405. Mozila Firefox (criptografia). ................................................................615 

Figura 406. Gerenciador de certificados – autoridades. .........................................616 

Figura 407. Filtro Web: avançado. ..........................................................................617 

Figura 408. Sessões Web. ......................................................................................618 

Figura 409. Janela de acesso - Proxy Socks ..........................................................622 

Figura 410. Autenticação dos usuários Socks. .......................................................623 

Figura 411. Propriedades de um contexto RCP......................................................628 

Figura 412. Menu de execução da janela RPC.......................................................629 

Figura 413. Menu de execução da janela RPC (inseir, apagar, rejeitar ou aceitar). 

................................................................................................................................629 

Figura 414. Propriedades de um contexto DCE-RPC. ............................................630 

Figura 415. Menu de execução da janela DCE-RPC. .............................................631 

Figura 416. Menu de execução da janela DCE-RPC (inseir, apagar, rejeitar ou 

aceitar). ...................................................................................................................631 

Figura 417. Janela de acesso - Proxy Messenger. .................................................634 

Figura 418. Proxy Messenger – Aba Tipo Serviço. .................................................635 

Figura 419. Proxy Messenger – Aba Mensagens. ..................................................636 


Figura 420. Proxy Messenger – Controle de acesso. .............................................637 

Figura 421. Proxy Messenger – Configurações. .....................................................638 

Figura 422. Janela de acesso - Filtragem de aplicações. .......................................641 

Figura 423. Filtragem de aplicações – Regras de filtragem de aplicações. ............642 

Figura 424. Menu de operação sobre uma regra. ...................................................643 

Figura 425. Janela de acesso - Filtragem de aplicações. .......................................645 

Figura 426. Filtragem de aplicações – Filtros de Aplicações. .................................646 

Figura 427. Menu de operação sobre um filtro. ......................................................646 

Figura 428. Menu de operação para acessar o nome do filtro ou forma de 

concatenação..........................................................................................................647 

Figura 429. Operações de filtragem. .......................................................................647 

Figura 430. Janela de acesso - IPS/IDS. ................................................................650 

Figura 431. IPS/IDS – Regras IDS. .........................................................................651 

Figura 432. Menu para execução de operação de regras.. ....................................652 

Figura 433. IPD/IDS – Filtros IDS. ..........................................................................654 

Figura 434. Filtros IDS – Configuração do filtro. .....................................................655 

Figura 435. IPD/IDS - Portscan...............................................................................657 

Figura 436. IPD/IDS – IDS Externo. ........................................................................659 

Figura 437. Janela de acesso - IP’s bloquados. .....................................................661 

Figura 438. IPs bloquados. .....................................................................................662 

Figura 439. Janela de Acesso – atualização de assinaturas. .................................663 

Figura 440. Atualização de assinaturas. .................................................................664 

Figura 441. Configuração IDS – configuração. .......................................................665 

Figura 442. Firewalls usados. .................................................................................667 

Figura 443. Configuração de IDS – log. ..................................................................668 

Figura 444. Configuração de IDS – eventos. ..........................................................669 

Figura 445. Janela de acesso - TCP/IP. .................................................................674 

Figura 446. Servidor DHCP. ...................................................................................675 

Figura 447. Relay DHCP entre redes. ....................................................................676 

Figura 448. Servidor DHCP interno. .......................................................................677 

Figura 449. TCP/IP - DNS ......................................................................................678 

Figura 450. Janela de acesso: Interfaces de redes. ...............................................679 

Figura 451. Menu: configuração ou modificação de endereço IP. ..........................680 

Figura 452. Menu de criação: VLAN. ......................................................................680 

Figura 453. Configuração PPPoE. ..........................................................................681 

Figura 454. Janela de Roteamento. ........................................................................683 

Figura 455. Roteamento - Geral. ............................................................................684 

Figura 456. Roteamento dinâmico. .........................................................................686 

Figura 457. Roteamentoavançado (RIP). ...............................................................689 

Figura 458. Roteamento avançado (OSPF). ...........................................................691 

Figura 459. Roteamento avançado. ........................................................................693 

Figura 460. Exemplo de laboratório de teste – balaceamento de rotas. .................694 

Figura 461. Teste e configurações – NAT – exemplo A. .........................................694 


Figura 462. Teste e configurações – Balanceamento de link – exemplo B. ............695 

Figura 463. Teste e configurações – NAT exemplo B. ............................................695 

Figura 464. Teste e configurações – Balanceamento de link – exemplo B. ............695 

Figura 465. Roteamento. ........................................................................................696 

Figura 466. Modo de configuração para interfaces de rede. ...................................698 

Figura 467. Configuração de Interfaces. .................................................................699 

Figura 468. Lista da interfaces de rede. ..................................................................700 

Figura 469. Módulo de configuração para interfaces de rede. ................................701 

Figura 470. Cadastro de Vlan. ................................................................................701 

Figura 471. Configuração de interfaces. .................................................................702 

Figura 472. Configuração de rotas estáticas. .........................................................703 

Figura 473. Configuração de rotas estáticas – entrada de dados. ..........................703 

Figura 474. Configuração de DNS. .........................................................................704 

Figura 475. Módulo de configuração para interfaces de rede. ................................705 

Figura 476. Interface de texto na configuração Wireless. .......................................705 

Figura 477. Exemplo de interface de texto na configuração DNS. .........................709 

Figura 478. Configuração de link 3G. .....................................................................711 

Figura 479. Configuração 3G no Aker Firewall. ......................................................712 

Figura 480. Janela de acesso – configuração do cluster. .......................................717 

Figura 481. Criar cluster. ........................................................................................718 

Figura 482. Configuração do cluster – configurações gerais. .................................719 

Figura 483. Configuração do cluster – adicionar membro. .....................................721 

Figura 484. Janela de acesso – Estatísticas do cluster. .........................................722 

Figura 485. Estatísticas do cluster – Firewall 1. ......................................................723 

Figura 486. Estatísticas do cluster – Gráfico. .........................................................724 

Figura 487. Interface texto – exemplo 1: mostrando a configuração da interface. ..725 


Introdução 


1. Introdução 

Este é o manual do usuário do Aker Firewall 6.5. Nos próximos capítulos você 

aprenderá como configurar esta poderosa ferramenta de proteção às redes. Esta 

introdução tem como objetivo descrever a organização deste manual e tentar tornar 

sua leitura o mais simples e agradável possível. 

Como está disposto este manual. 

Este manual está organizado em vários capítulos. Cada capítulo mostrará um 

aspecto da configuração do produto e todas as informações relevantes ao aspecto 

tratado. 

Todos os capítulos começam com uma introdução teórica sobre o tema a ser 

tratado seguido dos aspectos específicos de configuração do Aker Firewall. 

Juntamente com esta introdução teórica, alguns módulos possuem exemplos 

práticos do uso do serviço a ser configurado, em situações hipotéticas, porém 

bastante próximas da realidade. Buscamos com isso tornar o entendimento das 

diversas variáveis de configuração o mais simples possível. 

Recomendamos que este manual seja lido pelo menos uma vez por inteiro, na 

ordem apresentada. Posteriormente, se for necessário, pode-se usá-lo como fonte 

de referência (para facilitar seu uso como referência, os capítulos estão divididos em 

tópicos, com acesso imediato pelo índice principal. Desta forma, pode-se achar 

facilmente a informação desejada). 

Em vários locais deste manual, aparecerá o símbolo seguido de uma frase 

escrita em letras vermelhas. Isto significa que a frase em questão é uma observação 

muito importante e deve ser totalmente entendida antes de prosseguir com a leitura 

do capítulo. 

Interface texto vs. Interface Gráfica 

O Aker Firewall possui duas interfaces distintas para sua configuração: uma 

interface gráfica remota e uma interface texto local. 

A interface gráfica 

A interface gráfica é chamada de remota porque através dela é possível 

administrar remotamente, via Internet, um Aker Firewall localizado em qualquer 

parte do mundo. Esta administração é feita através de um canal seguro entre a 

interface e o firewall, com um forte esquema de autenticação e criptografia, de 

modo a torná-la totalmente segura. 


A interface gráfica é de uso bastante intuitivo e está disponível para plataformas 

Windows e Linux. 

A interface texto 

A interface texto é uma interface totalmente orientada à linha de comando que 

roda na máquina onde o firewall está instalado. O seu objetivo básico é 

possibilitar a automação de tarefas da administração do Aker Firewall (através da 

criação de scripts) e possibilitar uma interação de qualquer script escrito pelo 

administrador com o Firewall. 

Praticamente todas as variáveis que podem ser configuradas pela interface 

gráfica poderão ser configuradas também pela interface texto. 

Como as duas interfaces tratam das mesmas variáveis, a funcionalidade, os 

valores e os comentários destas têm validade tanto para interface gráfica quanto 

para a interface texto. Devido a isso, os tópicos referentes à interface texto 

normalmente serão curtos e se limitarão a mostrar seu funcionamento. Caso 

tenha dúvida sobre algum parâmetro, deve-se recorrer à explicação do mesmo 

no tópico relativo à interface gráfica. 

Não é possível o uso simultâneo de várias interfaces gráficas para um mesmo 

Firewall, nem o uso da interface texto enquanto existir uma interface gráfica aberta. 

O Firewall 

Com a evolução da Internet, o ambiente das aplicações em nível de routers, tornouse 

um ambiente dinâmico que constantemente oferece novos protocolos, serviços e 

aplicações. Os routers e proxies não são suficientes e não conseguem garantir a 

segurança às diversas aplicações da Internet ou cumprir as novas necessidades 

empresariais, alto bandwidth e a exigências de segurança de redes. Diante da 

necessidade das organizações em proteger suas redes, a Aker desenvolveu o Aker 

Firewall. 

A segurança que envolve a rede é construída por um conjunto de programas e 

técnicas que tem por finalidade liberar ou bloquear serviços dentro de uma rede 

interligada à Internet de forma controlada. Sendo o Firewall a parte mais importante 

em um programa de segurança, não se deve esquecer a importância de utilizar 

ferramentas que auxiliam na detecção de brechas e vulnerabilidades dos sistemas 

operacionais que estão em uso na rede, bem como, o uso de programas que 

detectam intrusos ou ataques. É importante também, saber qual ação a ser tomada 

quando uma violação ou um serviço importante parar. 

Copyrights do Sistema 

Copyright (c) 1997-2003 Aker Security Solutions; 

Utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright © 

1995 Eric Young; 


Utiliza o algoritmo AES implementação do Dr. B. R. Gladman 

(brg@gladman.uk.net); 

Utiliza o algoritmo MD5 retirado da RFC 1321. Copyright © 1991-2 RSA Data 

Security, Inc; 

Utiliza a biblioteca CMU SNMP. Copyright© 1997 Carnegie Mellon University; 

Utiliza a biblioteca de compressão Zlib. Copyright © 1995-1998 Jean-loup Gailly and 

Mark Adler; 

Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright © 1997; 

Inclui software desenvolvido pela Universidade da California, Berkeley e seus 

colaboradores; 

Inclui software desenvolvido por Luigi Rizzo, Universita` di Pisa Portions Copyright 

2000 Akamba Corp; 

Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan 

Olsson; 

Inclui software desenvolvido por Ericsson Radio Systems. 


Instalando o Aker Firewall 


2. Instalando o Aker Firewall 

Este capítulo mostrará como se realiza a instalação do Aker Firewall, os requisitos 

de hardware, software e instalação do Firewall e interface remota. 

2.1. Requisitos de hardware e software 

Para o firewall 

O Aker Firewall 6.5 roda sobre o sistema operacional proprietário, em plataformas 

Intel ou compatíveis. 

Para que o Aker Firewall execute de maneira satisfatória todos os componentes de 

hardware é necessário possuir as seguintes configurações: 

Computador Intel ou compatível 1.0 Ghz ou superior; 

Para utilizar um link com alta taxa de transferência ou utilizar criptografia em um 

link com velocidade relativamente alta, recomenda-se o uso de um computador 

mais potente. 

512 Mbytes de memória RAM; 

Para fazer um grande uso dos serviços de proxy e de criptografia, provavelmente 

será necessário utilizar memória maior ou igual a 512 Mbytes. 

20 Gbytes de espaço em disco; 

Para armazenar os logs do sistema por um grande espaço de tempo recomendase 

o uso de um disco maior. 

Leitor de CD-ROMou pen-driver USB, monitor, mouse e teclado; 

Isso só é necessário durante a instalação ou caso se pretenda utilizar a interface 

texto a partir do console, entretanto é altamente recomendado em todos os 

casos. 

Placa(s) de rede. 

Não existe um número máximo de placas de rede que podem ser colocadas no 

Firewall. A única limitação existente é a limitação do próprio hardware. Caso 

necessite de um grande número de interfaces de rede, pode-se optar por placas 

com mais de uma saída na mesma interface. 

Para a interface gráfica 


A interface gráfica de administração do Aker Firewall roda em plataformas Windows, 

Linux, em plataformas Intel ou compatíveis. 

Para que a interface gráfica execute de maneira satisfatória os componentes de 

hardware devem-se possuir as seguintes configurações: 

Computador Intel ou compatível 1.3Mhz ou superior; 

256 Mbytes de memória RAM; 

2 Gbytes de espaço livre em disco; 

Monitor; 

Mouse; 

Teclado; 

Placa de rede. 

Todos os componentes do hardware devem ser suportados pelo sistema operacional 

na qual a interface será instalada, em alguma das versões aceitas pelo produto. 

2.2. Instalando o Aker Firewall 

O Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box. Sendo 

comprado desta forma, o produto já vem instalado e pré-configurado. Caso tenha 

optado por comprar apenas o software (versão IS), a instalação deverá ser feita na 

máquina escolhida, o que será explicado neste tópico. 

Para instalá-lo deve-se iniciar a máquina com o CD-ROM de instalação ou com o 

PEN-DRIVER que podem ser efetuado o download no site da Aker. 

Para gravar o PEN-DRIVER, siga os passos abaixo: 

1. Efetue o download do arquivo no site da Aker; 

2. Verifique se o pen drive no Linux está com sdb, digite o comando como root. 

“#dmesg | grep sd” ou “#fdisk –l” serão mostradas as informações de disco da 

máquina e encontre o pen-drive. 

3. Após identificar em qual device o Linux montou o pen-drive, digite o comando 

“dd if= | gunzip | dd of=/dev/”. 

Exemplo: 

“dd if=

2. Selecione qual produto deseja instalar: Aker Firewall, Aker Secure Mail 

Gateway ou Aker Web Gateway; 

3. Podem-se instalar os Produtos em HD ou flash, ou ainda, instalar em HD e 

deixar a flash zerado. Para o caso de falha utilizá-la. Estas opções irão variar 

de acordo com o modelo de BOX. OBS: Todos os dados do HD ou flash 

serão requisitados ao efetuar este processo; 

4. Ao iniciar o instalador será exibido um Menu, onde podem ser instalado em 

uma flash, ou em um HD; 

5. Instalando em flash. Esse modo deve ser utilizado em caso de problemas no 

HD. Caso você possua um Agente (Antivírus, AWCA, Spam Meter), ele será 

desativado 

6. Instalando o Firewall em um HD. Modo recomendado. Os funcionaram com 

todas as suas funcionalidades. 

Após reiniciar a máquina o programa fwinst é o responsável por efetuar a instalação 

e a configuração do sistema para a execução do Aker Firewall. Ao ser executado, 

ele mostrará a seguinte tela: 

Firewall Aker v6.5 - Programa de Instalação 

Este programa realiza a Instalação do Firewall Aker 6.5 e da interface texto de 

configuracao local. 

Deseja prosseguir com a Instalação do firewall (S/N) ? 

Após responder Sim, o programa de instalação mostrará a licença de uso do Aker 

Firewall . Para prosseguir, é necessário aceitar todos os termos e condições 

contidas na licença. Caso sejam aceitos, o programa prosseguirá com a instalação 

mostrando seu progresso através de uma série de mensagens auto-explicativas. 

Após terminar de copiar os arquivos, o programa de instalação fará algumas 

perguntas de modo a realizar a configuração específica para cada sistema. 

Será mostrada a seguinte tela: 


Figura 1. Termo de Licença. 

Após responder Sim, será instalado todas as dependências necessárias para que o 

Aker Firewall funcione. 

A próxima janela 


Configuração do sistema completada. E necessário agora ativar a cópia instalada 

através da digitação da chave de ativação que foi entregue ao se adquirir o produto. 

A chave de ativacao, o nome da empresa e o endereco IP da interface externa 

deverao ser digitados exatamente como constam no documento entregue pela Aker 

Consultoria e Informatica ou seu representante. 

Pressione enter para continuar 

Após digitar enter, o programa mostrará uma tela solicitando o caminho onde o 

arquivo da chave de ativação está salvo. 

Caso a chave seja válida, o programa prosseguirá com a instalação. 


É necessario se definir o nome da interface de rede externa do firewall Os 

enderecos IP que se originarem desta interface nao serao contabilizados no numero 

maximo de licencas do produto. 

A interface externa deve assumir um dos seguintes valores: 


eth0 

eth1 

eth2 

Entre a interface externa: 

A configuração da interface externa é usada apenas para o controle de licenças do 

firewall. Deve-se informar o nome da interface que estará conectada à Internet. 

A especificação da interface externa não possui nenhuma implicação de segurança. 

Nenhum controle de acesso é feito levando-se em conta esta interface. 


Ativacao do sistema completada. Vamos agora para a configuracao de alguns 

parametros do Firewall Aker: 

Você pode cadastrar agora um endereço IP para possibilitar que o firewall seja 

administrado remotamente a parit de uma outra máquina. 

Deseja cadastrar este IP (S/N). 

Após responder Sim, digite o endereço IP da máquina onde está instalado o Aker 

Control center. 


Eu posso cadastrar automaticamente um administrador capaz de gerenciar 

remotamente o firewall. Este administrador tera plenos poderes em relacao firewall e 

a partir dele novos usuarios poderao ser cadastrados. 

Obs: Se voce nao cadastrar um administrador nao podera administrar o firewall a 

partir da interface grafica, apenas atraves da interface texto local. 

Voce deseja criar este administrador (S/N)? 

Para que seja possível administrar o firewall a partir da interface gráfica é 

necessário cadastrar um administrador, devendo-se responder S a esta pergunta. 

De qualquer forma é possível cadastrar posteriormente outros administradores 

através das interfaces locais de administração. A explicação de como fazer isso, se 

encontra no capítulo intitulado Administrando usuários do firewall. 


Caso tenha optado por incluir um novo administrador, será mostrada a tela pedindo 

os dados do administrador a ser cadastrado. Um exemplo desta tela se encontra 

abaixo (cabe mencionar que a senha do administrador a ser cadastrado não será 

mostrada na tela). 

Firewall Aker versão 6.5 

Módulo de administracao de usuários remotos Inclusão de usuário 

Entre o login: administrador 

Entre o nome completo: Administrador do Firewall Aker 

Entre a senha (6-14): 

Confirme a senha: 

Confirma inclusao do usuario? (S/N) 

Após se ter ou não incluído o administrador, será mostrada uma mensagem 

perguntando sobre o cadastro de um segredo compartilhado para administração do 

Firewall através do Aker Configuration Manager. Se você não tem este produto, 

responda não, caso contrário consulte o manual do mesmo. 

Finalmente, será mostrada uma mensagem indicando o término da instalação e 

solicitando que a máquina seja reinicializada para ativar o Aker Firewall. Ao se 

reinicializar a máquina, o firewall já entrará em funcionamento automaticamente e 

poderá ser configurado remotamente. 

A senha digitada deve conter de 6 a 14 caracteres. 

2.3. Instalando a interface remota 

Em plataformas Windows 

Para instalar as interface remota nas plataformas Windows XP ou superio, deve-se 

colocar o CD-ROM do Aker Security Suite no drive e seguir as instruções que 

aparecerão na tela. 

Caso a opção de auto-execução esteja desabilitada, deve-se executar os seguintes 

passos: 

1. Clicar no menu Iniciar; 


2. Selecionar a opção Executar; 

3. Ao ser perguntado sobre qual programa executar, digitar 

D:\br\control_center\AkerRemoteDesktop-br-win-6.5 (Caso o leitor de CD- 

ROM seja acessado por uma letra diferente de D, substituí-la pela letra 

equivalente, no comando anterior). 

Ao término da instalação, será criado um grupo chamado Aker, no menu Iniciar. 

Para executar a interface remota, basta selecionar a opção Firewall 6.5 GUI dentro 

deste grupo. 

Em plataformas Linux 

Para instalar a interface remota em plataformas Linux é necessário que os pacotes 

da biblioteca QT estejam previamente instalados. 

A interface gráfica para plataformas Linux é distribuída em pacotes BIN. Para 

instalá-la, proceda da seguinte forma: 

1. Coloque o CD-ROM no drive e monte-o, através do comando mount 

/mnt/cdrom; 

2. Execute o comando: sh /mnt/cdrom/br/control_center/; 

3. Siga as instruções do instalador. 

O nome do pacote a ser instalado pode mudar conforme a versão do Linux no 

qual a interface será instalada. Verifique o conteúdo do diretório 

/mnt/cdrom/br/control_center/ para ver os nomes de todos os pacotes e 

selecionar o mais adequado. 


Utilizando o Aker Control Center 


3. Utilizando o Aker Control Center 

Neste capítulo será mostrado o funcionamento da interface gráfica remota de 

administração do Aker Firewall. 

O que é a administração remota do Aker Firewall? 

O Aker Firewall pode ser totalmente configurado e administrado remotamente a 

partir de qualquer máquina que possua um sistema operacional compatível com 

uma das versões da interface remota, que tenha TCP/IP e que consiga acessar a 

máquina na qual o firewall se encontra. Isto permite um alto grau de flexibilidade e 

facilidade de administração, possibilitando que um administrador monitore e 

configure vários firewalls a partir de sua estação de trabalho. 

Além dessa facilidade, a administração remota permite uma economia de recursos 

na medida em que possibilita que a máquina que rode o firewall não possua monitor 

e outros periféricos. 

Esta comunicação entre a interface remota e os produtos Aker é criptografada com 

uma chave de 256 bits. 

Como funciona a administração remota do Aker Firewall? 

Para possibilitar a administração remota existe um processo rodando na máquina do 

firewall responsável por receber as conexões, validar os usuários e executar as 

tarefas solicitadas por estes usuários. Quando um usuário inicia uma sessão de 

administração remota, a interface gráfica estabelece uma conexão com o módulo de 

administração remota do firewall e mantém esta conexão aberta até que o usuário 

finalize a sessão. 

Toda a comunicação entre a interface remota e o firewall é feita de maneira segura, 

para cada sessão são geradas novas chaves de criptografia e autenticação. Além 

disso, são empregadas técnicas de segurança para impedir outros tipos de ataques, 

como por exemplo: ataques de repetição de pacotes. 

Seguem comentários sobre algumas observações importantes da administração 

remota: 

Para que a interface remota consiga se conectar ao firewall precisa da adição de 

uma regra liberando o acesso TCP para a porta 1020 a partir da máquina que 

deseja se conectar. Informações de como fazer isso se encontram no capítulo 

intitulado: O Filtro de Estados. 

1. Só é possível a abertura de uma conexão de administração remota em um 

determinado instante. Se já existir uma interface conectada, pedidos 


subseqüentes de conexão serão recusados e a interface remota informará que já 

existe uma sessão ativa. 

2. Cada um dos usuários que for utilizar a interface remota deve estar cadastrado 

no sistema. O programa de instalação pode criar automaticamente um 

administrador com poderes para cadastrar os demais administradores. Caso 

tenha eliminado este administrador ou perdido sua senha é necessário o uso do 

módulo local da interface gráfica ou da interface texto para criar um novo 

administrador. Detalhes de como fazer isso se encontram no capítulo intitulado: 

Administrando Usuários do Firewall. 

Como utilizar a interface 

A interface é bastante simples de ser utilizada, entretanto, existe uma observação 

que deve ser comentada: 

O botão esquerdo e direito do mouse, tem funções diferentes na interface. O botão 

esquerdo é usado para selecionar entradas em uma lista e para clicar em botões. O 

botão direito tem como função mostrar um menu de opções para uma determinada 

lista. 

3.1. Iniciando a interface remota 

Para iniciar a execução da interface gráfica remota deve-se executar um dos 

seguintes passos: 

Em máquinas Windows, clicar no menu Iniciar, selecionar o grupo Aker, dentro 

deste grupo selecionar o sub-grupo Aker Control Center e clicar no ícone Aker 

Control Center 2. 

Em Linux deve-se acessar o diretório de instalação do Control Center e executar o 

seguinte script 'aker_control_center2_init.sh'. 

Será mostrada a seguinte janela: 


Figura 2. Interface do Aker Control Center. 

A janela mostrada acima é a janela principal do Aker Firewall e é a partir dela que se 

tem acesso a todas as opções de configuração, inclusive da ativação da licença do 

Firewall. Sem ativação da licença não será possível realizar as configurações 

subseqüentes. 

No primeiro acesso os dados referentes à licença aparecem todos em branco e 

habilitados para que o Administrador possa carregá-lo. A licença de uso consta em 

um arquivo, que após clicar no botão "Carregar", será indicado e assim que 

confirmado o carregamento dos dados, a janela será aberta com todos os dados da 

licença atual, logo surgirá uma janela confirmando e reiniciar o firewall. 

Portanto clique no botão "Carregar", no canto superior direito da interface: 

A interface gráfica remota é composta de 4 menus descritos brevemente abaixo 

(quando existe um firewall selecionado, um quinto menu é mostrado com opções 

específicas para o mesmo): 

Opções 

O menu Opções contém as configurações relacionadas ao layout da interface 

gráfica. Ao clicar neste menu, aparecerão as seguintes opções: 


Textos nos botões: marcando esta opção será mostrada juntamente com 

cada ícone a ação correspondente do botão. Desmarcando esta opção, será 

mostrado apenas o ícone. 

Dicas para Entidades: quando esta opção estiver ativada, uma pequena 

caixa com a descrição de cada entidade irá aparecer quando o mouse for 

passado sobre seu ícone. 

Figura 3. Caixa de descrição de entidade. 

Ajuda Rápida: esta opção ativa o help contextual automático para cada 

janela. 

Mostrar ícones nos botões: esta opção, se ativada, faz com que sejam 

mostrados ícones nos botões Ok, Cancelar e Aplicar das janelas. 

Tempo de sessão ociosa: Permite definir o tempo máximo, em minutos, que 

a interface permanecerá conectada ao firewall sem receber nenhum 

comando do administrador. Assim que este tempo limite for atingido, a 

interface automaticamente será desconectada do firewall, permitindo que 

uma nova sessão seja estabelecida. Seu valor pode variar entre 1 e 60. A 

caixa "Sem limite" quando estiver marcada não desconectará a interface do 

firewall. 

Valor padrão: 1 minuto. 

Sair: fecha a janela da interface gráfica. 

Firewalls 

Este menu serve para cadastrar mais firewalls na interface gráfica de modo que 

possibilite simultaneamente a administração de diversos Aker Firewalls. Com a 

interface conectada a mais de um firewall simultaneamente, é possível usar a 

facilidade de arrastar e soltar as entidades e regras entre firewalls, de modo a 

facilitar a replicação de determinadas configurações entre eles. Este menu será 

descrito em detalhes mais abaixo. 

Janelas 

Este menu possui as funções de configuração das janelas abertas e da barra de 

menu. 

Barra de ferramentas: esta opção permite definir se a barra de ferramentas na 

parte superior da janela principal será mostrada ou não. 

Janelas: esta opção permite mostrar ou não as janelas padrão do sistema: ajuda, 

firewalls e entidades. 


Lado a Lado: selecionando esta opção, as janelas abertas do lado direito da 

interface gráfica se ajustam de forma que todas aparecem visíveis. 

Cascata: esta opção faz com que as janelas abertas no lado direito da interface 

gráfica fiquem posicionadas em forma de cascata, uma na frente da outra. 

Inicialmente nem todas as opções dos menus se encontram habilitadas, por 

funcionarem apenas quando houver uma conexão estabelecida. Para ter acesso às 

demais opções deve estabelecer uma sessão de administração remota com o 

firewall que deseja administrar. Para tanto se devem seguir os seguintes passos: 

Cadastrar o firewall selecionando o menu Firewalls e a opção Novo Firewall (veja 

o item Cadastrando Firewalls logo a seguir) 

Selecionar o firewall com o qual deseja-se conectar 

Clicar na opção Conectar 

Cadastrando Firewalls 

Nesta seção demonstraremos como podemos cadastrar um (ou mais) firewalls. 

Quando selecionamos a opção Novo Firewall dentro do menu Firewalls ou no ícone 

"Criar novo Firewall" aparecerá a seguinte janela. Nessa janela, poderá 

escolher o tipo de autenticação desejada. De acordo com cada opção a janela será 

alterada, mostrando os campos correspondentes. 

Tipo de Autenticação: Usuário/Senha 

Figura 4. Caixa de edição do dispositivo remoto. 


Modo de demonstração: Ao selecionar essa opção, será criado um firewall de 

demonstração com uma configuração padronizada. Nenhuma conexão real será 

feita ao tentar se conectar neste firewall, podendo-se criar quantos firewalls de 

demonstração for desejado, cada um com a configuração distinta um do outro; 

Nome: cadastrar o nome pelo qual o firewall será referenciado na interface gráfica; 

Nome da máquina: Caso o servidor do Firewall no qual se deseja conectar possua 

um nome associado ao IP da máquina, basta colocar este nome nesta opção para 

que o Control Center resolva o DNS automaticamente e se conecte no servidor; 

Endereço IPv4 e IPv6: cadastrar o endereço IP para conectar no firewall; 

Usuário: esse campo identifica o usuário que acessará o firewall. Este campo grava 

o usuário, onde aparecerá todas as vezes que o firewall for acessado. 

Senha: a senha do usuário. Caso deixe a caixa Salvar senha marcada, não será 

necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como 

vários asteriscos "*"). Caso ela esteja desmarcada, este campo estará desabilitado. 

A cada 3 tentativas inválidas, o cliente é bloqueado de acessar a Control Center 

por 3 minutos. A cada tentativa inválida gera-se um evento "Excesso detentativas 

invalidas. IP bloqueado", do módulo "Daemons do Firewall". 

No final basta clicar em Ok e o firewall estará cadastrado, como o tipo de 

autenticação selecionado. No caso de cancelar o cadastro do firewall, basta clicar 

em Cancelar. 


Tipo de Autenticação: X.509 

Figura 5. Informações requeridas para editar o Dispositivo Remoto. 

Essa opção permite autenticação com certificação digital X509. 

Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra 

o Domínio (C.N) desse certificado. 

Ao clicar no ícone 

o certificado. O ícone 

carrega-se um arquivo com extensão *.cer/*.crt que contém 

mostra um resumo das informações do certificado. 

Certificado do Usuário: essa opção permite carregar um pacote de certificado no 

formato PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado 

e outro com a chave. Carrega um certificado com uma senha e a outra senha é para 

salvar o arquivo da chave, salvando assim, de forma encriptada. 

Senha: Senha com a qual a chave primária foi salva. Se informar (cadastro), decifra 

a chave e manda para o firewall fazer a autenticação. Caso deixe a caixa Salvar 

senha marcada, não será necessário digitar a senha quando fizer a conexão (a 

senha aparecerá na tela como vários asteriscos "*"). Caso ela esteja desmarcada, 

este campo estará desabilitado. 

Alterar Senha: Altera a senha cadastrada no campo senha. 


Tipo de Autenticação: Agente externo usuário/senha 

Figura 6. Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo Remoto. 

Essa opção permite autenticação por meio de Agentes Externos. 

Usuário: O usuário que acessará o firewall. Este campo grava o usuário, onde 

aparecerá todas as vezes que o firewall for acessado. 

Domínio: Nome do domínio no qual o agente externo está rodando 

Senha: A senha do usuário. Caso deixe a caixa Salvar Senha marcada, não será 

necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como 

vários asteriscos "*"). Caso ela esteja desmarcada, este campo estará desabilitado. 

Fingerprint: É um resumo da identificação do certificado digital do Firewall. Essa 

opção possibilita ao usuário identificar quando tem uma mudança do firewall que se 

costuma conectar. 

Observação: Na primeira vez que há a tentativa da conexão não haverá a 

identificação do firewall. A partir da segunda vez todas às vezes que é conectado 

vai comparar com o fingerprint. 


Eraser Fingerprint: Zera e começa do estado inicial. Se há uma troca do Firewall a 

identificação será diferente, então não será possível a conexão, somente se clicar 

no erase fingerprint. 

Depois de cadastrarmos o firewall, pode-se clicar duas vezes no ícone do firewall 

criado, no lado esquerdo da janela, ou clicar uma vez para selecioná-lo e, em 

seguida, no botão Conectar que fará com que a interface se conecte ao 

firewall escolhido, como mostrado na figura abaixo: 

Figura 7. Interface conectada ao Firewall escolhido. 

Caso não seja possível estabelecer a sessão de administração, será mostrada uma 

janela com o erro que impossibilitou sua abertura. Neste caso, existem várias 

mensagens possíveis. Abaixo estão listadas as mensagens de erro mais comuns: 

Aker já sendo utilizado por outra interface 


O Aker Firewall só permite a existência de uma sessão de administração em um 

determinado instante. Se esta mensagem for mostrada, significa que já existe uma 

outra interface remota conectada ou um módulo de administração local sendo 

utilizado. 

Erro de rede ou conexão encerrada pelo servidor 

Este é um erro genérico e pode ter uma série de causas. A sua causa mais comum 

é um erro na digitação do login ou da senha. Se o login do usuário não estiver 

cadastrado ou sua senha estiver errada, o servidor encerrará a conexão. Verifique 

primeiramente se o seu login e sua senha foram digitados corretamente. Caso o 

erro continue, siga a seguinte seqüência de passos: 

1. Verifique se o usuário que está tentando se conectar está cadastrado no sistema 

e se a sua senha está correta (para fazer isso, utilize o módulo local de 

administração de usuários. Veja o capítulo intitulado Administrando usuários do 

firewall). 

2. Verifique se a rede está funcionando corretamente. É possível fazer isso de 

várias formas, uma delas é utilizando o comando ping. (Não se esqueça de 

acrescentar uma regra liberando os serviços ICMP “echo request” e “echo reply” 

para a máquina que se está testando em direção ao firewall, caso vá utilizar o 

ping. Para aprender como fazer isso, veja o capítulo intitulado O Filtro de 

Estados). Se isso não funcionar, então a rede está com problemas de 

conectividade e isto deve ser corrigido antes de tentar a administração remota. 

Caso funcione, veja o passo 3. 

3. Verifique se existe uma regra cadastrada liberando o acesso a partir da máquina 

que queira conectar ao firewall, utilizando o serviço Aker (TCP, porta 1020). 

Caso não exista, insira esta regra (para aprender como fazer isso, veja o capítulo 

intitulado O Filtro de Estados). 

3.2. Finalizando a administração remota 

Existem três formas de finalizar a administração remota do Aker Firewall: 

Finalizando a sessão clicando com o botão direito do mouse no firewall conectado e 

selecionando Desconectar do dispositivo remoto; 

Figura 8. Finalizador de administração remota do Aker Firewall (Desconectar do dispositivo remoto). 


Clicando em Desconectar do firewall na barra de ferramentas ou 

Fechando a interface gráfica remota. Neste caso você perderá a conexão com todos 

os firewalls que estiverem conectados. 

Caso queira sair do programa, deve-se clicar no botão Sair na barra de 

ferramentas da janela principal ou clicar no "x" no canto superior direito da janela. 

3.3. Mudando sua senha de usuário 

É possível para qualquer usuário do Aker Firewall alterar a sua senha sempre que 

desejado. Para tanto deve-se primeiro estabelecer uma sessão de administração 

(como mostrado no tópico Iniciando a interface remota) e após isso executar os 

seguintes passos: 

Figura 9. Dispositivos remotos (realizar mudança de senha). 

Selecionar o firewall a ser configurado. 

Clicar em Ferramentas. 

Clicar duas vezes em Mudar senha. 

Será mostrada então a seguinte janela: 


Figura 10. Mudar Senha (inserir senha antiga, a nova senha e confirmação da mesma). 

Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos 

campos Nova senha e Confirmar a nova senha (as senhas aparecerão na tela 

como vários asteriscos "*"). 

Após preencher os campos, deve-se pressionar o botão OK, para alterar a senha ou 

o botão Cancelar, caso não queira mudá-la. 

Os campos Senha antiga, Nova Senha e Confirmar senha, devem conter de 6 

a 14 caracteres. 

3.4. Visualizando informação de sessão 

É possível a qualquer momento visualizar algumas informações sobre a sessão de 

administração ativa. Para isso existe uma janela específica que mostra informações 

úteis como: login, nome e direitos do usuário que está administrando o firewall e a 

versão e o release do Aker Firewall que estiver sendo administrado. São mostradas 

também a hora de início da conexão e há quanto tempo ela está ativa. Para abrir 

esta janela, execute os seguintes passos: 


Figura 11. Dispositivos remotos (visualizar informações da sessão). 

Selecionar o firewall a ser configurado. 

Clicar em Informação. 

Clicar duas vezes em Informação de sessão. 

Será mostrada então a seguinte janela: 


Figura 12. Informação da sessão (mostra dados do Firewall, Licença e Usuário). 

3.5. Utilizando a ajuda on-line e a Ajuda-Rápida 

O Aker Firewall possui uma ajuda on-line bastante completa. Ela é mostrada em 

uma janela ao final da interface gráfica. Esta janela pode ser escondida ou 

mostrada, sendo possível escolher qual das duas formas através do menu Janelas, 

Sub-menu Janelas, opção Ajuda. 

A ajuda on-line consiste no conteúdo deste manual mostrado de forma sensível ao 

contexto em relação à janela de configuração do firewall ativa, ou seja, será 

mostrada a parte do manual que seja relevante para a janela que esteja 

configurando. 

A Ajuda - Rápida consiste em uma breve explicação sobre cada um dos itens dos 

menus de configuração. Esta explicação é mostrada em uma pequena janela, 

abaixo dos menus, como destacado abaixo: 


Figura 13. Apresentação da janela de ajuda. 

É possível mostrar ou esconder a Ajuda-Rápida, bastando clicar na opção Ajuda 

Rápida do menu Opções. 

3.6. Utilizando as ferramentas da Interface Gráfica 

O que são as ferramentas da interface gráfica do Aker Firewall? 

As ferramentas são um conjunto de utilitários presentes apenas na interface gráfica 

do Aker Firewall. Elas servem para facilitar a administração do firewall, provendo 

uma série de funções bastante úteis no dia-a-dia. 

3.7. Chaves de Ativação 

Esta opção permite atualizar a chave de ativação do Aker Firewall e dos demais 

produtos que possam estar instalados juntos: Antivírus, Spam Meter, Secure 

Roaming e Web Content Analyzer. 

Para visualizar ou atualizar a licença, deve-se: 

Clicar no botão Licença na barra de tarefas do firewall que estiver conectado. 


A janela de ativação de licença 

Figura 14. Informações sobre ativação de licenças. 

Esta janela é apenas informativa. Nela são mostrados todos os produtos que estão 

instalados junto com o firewall e os dados referentes à licença de cada um deles. 

Entre estes dados pode-se verificar a data de expiração, número de licenças, ID e a 

data de expiração do IDS e etc, para cada produto. 

Caso se deseje inserir uma nova licença, deve-se clicar no botão Carregar, 

localizado na barra de tarefas. Esta opção abrirá um diálogo onde se pode 

especificar o arquivo de onde a nova chave será carregada. No caso do Firewall 

Box, caso exista mais de um produto instalado junto com o firewall, as chaves dos 

produtos adicionais também serão atualizadas. 

Da versão 6.0 do Aker Firewall em diante não é mais possível atualizar as 

chaves de ativação do firewall digitando-as, apenas carregando-as a partir do 

arquivo enviado pela Aker Security Solutions ou um de seus representantes 

autorizados. 


3.8. Salvar configurações (backup) 

Esta opção permite salvar a configuração completa do firewall na máquina onde 

está administrando. No caso de algum desastre, pode-se facilmente restaurar esta 

configuração posteriormente. 

Para salvar as configurações conecte em um dispositivo remoto e clique no ícone 

(Salvar um backup do item selecionado): 

Figura 15. Salvar um backup do item selecionado. 

Realizar o download das configurações personalizadas e bases de treinamento dos 

produtos: 

Figura 16. Download das configurações personalizadas e bases de treinamento. 


Figura 17. Backup Informações de log. 

A janela para salvar configurações: 

Figura 18. Tela de escolha de arquivo para salvar configurações. 

Após digitar o nome do arquivo salvo, deve-se clicar no botão Salvar. Caso não 

queira mais gravar a cópia de segurança, deve-se clicar no botão Cancelar. 

Esta opção permite restaurar a cópia de segurança da configuração completa do 

firewall realizada através da opção anterior. 


Salvar o backup automaticamente 

Através da configuração a seguir é salvo um backup completo do dispositivo remoto 

todas as vezes que se conectar ao mesmo automaticamente, para ativa-la selecione 

a opção “Salvar o backup automaticamente” conforme figura a seguir: 

Figura 19. Salvar o backup automaticamente. 

O local onde os backups ficaram salvos é na pasta de instalação do Aker Control 

Center. 

3.9. Restaurar configurações 

Para restaurar uma cópia de segurança, deve-se: 

Figura 20. Botões para restauração de backup. 

Clicar no firewall para o qual será carregada a cópia de segurança. 

Selecionar o item Carregar configurações na barra de ferramentas ou no menu 

com o nome do firewall selecionado. 


A janela para carregar configurações: 

Figura 21. Escolha de arquivo para carregar dados de configuração. 

Esta janela permite escolher o nome do arquivo de onde a configuração será 

restaurada. Após seu nome ser especificado, o firewall lerá todo seu conteúdo, fará 

vários testes de consistência e se o seu conteúdo estiver válido será carregado. 

O botão Abrir fará com que a cópia seja carregada e a configuração do firewall 

imediatamente atualizada. 

O Botão Cancelar fará com que a janela seja fechada, porém a cópia de 

segurança não seja carregada. 

É possível escolher, no momento da restauração do backup escolher quais 

configurações serão aplicadas no produto, agrupadas por similaridade. 

Exemplo: 

Regras; 

Licença; 

Certificados; 

Base de dados temporárias; 

TCP/IP; 

Perfis de acesso. 


Sendo possível seleciona-las nas janelas a seguir: 

Figura 22. Restauração do backup do Antivirus Module. 

Figura 23. Restauração do backup do Aker Firewall. 


Figura 24. Restauração do backup do Spam Meter. 

Figura 25. Restauração do backup do Web Content Analyzer. 

Será exibida a versão do sistema quando da geração do backup e alertas podem 

ser exibidos em caso de incompatibilidade. 


3.10. Reinicializar Firewall 

Esta opção serve para reinicializar o firewall, porém não deve ser utilizada em 

condições normais de operação. A única operação que exige a reinicialização do 

firewall é a carga de um algoritmo de criptografia externo. 

Para reinicializar o firewall basta: 

Figura 26. Reiniciar o Firewall. 

Selecionar o firewall a ser reinicializado 

Selecionar o item Reiniciar Firewall no menu com a opção Ações do firewall. 

3.11. Atualizações 

O que são atualizações e onde consegui-las? 

Como todo software, o Aker Firewall pode eventualmente apresentar bugs em seu 

funcionamento. À medida em que estes problemas são resolvidos, a Aker produz 

um arquivo que permite a atualização de seu Aker Firewall e a eliminação destes 

erros. Algumas vezes também são adicionadas determinadas características novas 

em uma versão já existente, de modo a aumentar sua performance ou aumentar sua 

flexibilidade. 

Em ambos os casos, os arquivos de atualização ou correção são disponibilizados de 

forma gratuita no site da Aker: basta procurar o menu Download e selecionar a 

opção Correções e Atualizações. Estes arquivos são sempre cumulativos, ou seja, é 

necessário apenas baixar a última versão disponível e esta incluirá as correções 

presentes nos arquivos de correção/atualização anteriores. 

A janela de atualizações 

Esta opção permite aplicar uma atualização ou correção do Aker Firewall 

remotamente, através da interface gráfica. É possível também atualizar 

completamente a versão do produto. 

Para ter acesso à janela de atualizações deve-se clicar no ícone localizado na 

barra de ferramentas, automaticamente a janela será aberta, para que sejam 

escolhidas as atualizações a serem aplicadas. 


Aba Patch 

Essa janela se divide em duas abas: Atualização e Histórico, conforme explicadas 

a baixo: 

Figura 27. Sistema de atualização de dados do Firewall. 

Por meio dessa janela é possível visualizar o status atual das 

atualizações/correções aplicadas no Web Gateway. Caso se trate de cluster a janela 

apresentará as informações das máquinas que o compõem. Possui os seguintes 

campos: 

Id: Refere-se à identificação das máquinas que compõe o cluster. 

Nome: Refere-se ao apelido atribuído às máquinas. 

Restauração: Este campo informa se a última atualização aplicada pode ser 

desfeita. 


As atualizações aplicadas por meio dos Patches e dos Hotfixes são alterações que 

podem ser desfeitas. Essa opção permite desfazer a última atualização aplicada na 

máquina, seja hotfix ou patch. Deve-se observar que as alterações são desfeitas 

uma por uma, ou seja, se a versão já estiver no Patch 3, e deseja-se voltar a versão 

inicial, deve ser desfeito o patch 3, depois o patch 2, e assim por diante. 

Última atualização: Identificação do último patch aplicado no membro do cluster. 

Hotfixes: Lista de hotfixes aplicados dentro do patch. Nessa lista, mostra a ordem 

direta de aplicação dos hotfixes. 

O hotfix é uma pequena atualização ou correção feita para um patch específico. 

Pode ser aplicado independente da ordem, o que não acontece com o patch, que 

deve ser aplicado na ordem seqüencial de atualização. 

Caso a atualização ou correção sejam destinadas a uma versão diferente de 

sistema operacional ou de versão do Aker Web Gateway, então o botão Aplicar 

ficará desabilitado, não permitindo sua aplicação. 

Para carregar um arquivo de atualização ou correção deve-se clicar no ícone 

que se encontra na barra de ferramentas. Com isso é aberta uma janela, que 

permite carregar um arquivo de atualização do patch ou do hotfix, conforme mostra 

a figura abaixo. 


Figura 28. Escolha do arquivo para atualização ou correção. 

Para aplicar o arquivo de atualização/correção, deve-se primeiramente selecionar 

uma máquina na aba Patch, e logo em seguida clicar no ícone 

ou o hotfix seja aplicado. 

para que o patch 

Caso queira aplicar o rollback, pelo menos uma máquina deve ser selecionada na 

aba Patch, e logo em seguida deve-se clicar no ícone , sendo que essas 

alterações serão desfeitas uma a uma, na sequência que foram atualizadas. 

Para aplicar rollback em mais de uma máquina ao mesmo tempo, as mesmas 

devem estar com a mesma atualização, por exemplo: todas estão com a versão 

patch 3, e quer voltar para o patch 1. 

Aba Histórico 


Figura 29. Visualização de históricos de aplicação de patches e hotfixes. 

Essa aba permite, visualizar todo o histórico das aplicações dos patches e hotfixes. 

A aba é composta dos seguintes campos: 

ID: Mostra a identificação da máquina de onde foi feita a atualização. 

Usuário: Indica o usuário que aplicou a atualização. 

Restauração: Indica se pode ser ou não desfeito a atualização. 

Data: Indica a data que foi feita alguma aplicação de patch ou hotfix. 

A expressão "Versão Corrente" significa que não foi aplicado nenhuma patch. 

Observação: Ao clicar no botão OK, o Patch ou o Hotfix não são aplicados, 

somente é fechada a janela. 


3.12. Módulo de atualização automática – Aker Update System (AUS) 

O Aker Update System tem como função disponibilizar os pacotes de atualização de 

todos os produtos da Aker no diretório do Control Center. O sistema funciona de 

forma inteligente, onde ele trará somente a última versão para pacotes integrados 

com o Control Center, os últimos patchs e hotfix. 

Acesso as janelas de configuração 

Existem 3 formas de configurar o Módulo de Atualização: 

Primeira opção: 

Selecionar o produto Aker desejado; 

Figura 30. Acessando o Aker Firewall. 


Caso tenha atualização disponível, aparecerá a seguinte notificação no canto direito 

inferior da tela do Control Center: “Atualizações prontas”. 


Figura 31. Notificação sobre atualizações disponíveis no Aker Update System. 

Clicar com o botão esquerdo do mouse sobre a mensagem e aparecerá a tela 

“Notificador de Instalação de Atualizações”. Deve-se escolher individualmente 

as atualizações a serem instaladas e clicar no botão “OK”. 


Figura 32. Visualizando atualizações disponíveis através do Aker Update System. 

Em seguida aparecerá a seguinte tela: “Sistema de Atualização”. Onde na parte 

de Patch e possível assinalar os itens ao qual deseja se aplicar as mudanças (na 

parte descrição é possível saber o que cada uma corresponde) e informações sobre 

o pacth . Basta escolher a opção desejada e clicar em “OK”. A atualização será 

realizada automaticamente, caso queria realizar mais de uma, deve-se repetir o 

procedimento acima. 

Segunda opção: 




Clicar com o mouse no botão de “Atualizações” localizados do canto inferior direito 

da tela da Control Center e escolher uma das duas opções: “Atualizações para 

instalar” ou “Atualizações para baixar”. 


Figura 34. Acessando as janelas do Aker Update System. 

Terceira opção 




Clicar no ícone “Ajuda” e escolher uma das três opções: 

“Configuração de Atualização Automática”: as atualizações serão realizadas 

constantemente conforme tempo estipulado; 

“Janelas de Atualizações”: tem a opção de abrir as “Janelas de Download” ou 

“Janelas de Instalação”. 

“Realizar a busca por atualizações”: 


Figura 36. Acessando as janelas do Aker Update System. 

3.13. DNS Reverso 

DNS reverso é utilizado para resolver nomes de máquinas a partir de endereços IP. 

A janela de resolução de DNS reverso do Aker Firewall serve para prover resolução 

de endereços sem a necessidade de utilização de programas adicionais. 

Para ter acesso a janela de resolução de DNS reverso, deve-se: 


Figura 37. Janela de DNS reverso. 

Clicar no menu Ferramentas da janela de administração do firewall. 

Selecionar o item DNS Reverso. 


A janela de resolução de DNS reverso 

Figura 38. DNS reverso. 

Esta janela consiste de um campo para digitar o endereço IP que deseja resolver e 

uma lista com os endereços IP já resolvidos anteriormente. 

O botão OK fará com que a janela seja fechada. 

A opção Mostrar todos se estiver marcada, fará com que sejam mostrados 

todos os endereços já resolvidos na lista na parte inferior da janela. 

Para resolver um endereço, deve-se digitá-lo no campo e pressionar o botão DNS 

Reverso. Neste momento o endereço será mostrado na lista na parte inferior da 

janela, junto com o status da resolução. Após algum tempo, será mostrado o nome 

da máquina correspondente ao endereço ou uma indicação de que o endereço 

informado não possui DNS reverso configurado. 

3.14. Simulação de Regras de Filtragem 

As varreduras de regras permitem ao administrador testar a configuração das regras 

de filtragem do firewall através de uma simulação de tentativas de conexões. Ao 

analisar o resultado desta simulação, é possível verificar se o firewall está realmente 

bloqueando as conexões que não devem ser aceitas e permitindo a passagem das 

que devem. 


Para ter acesso a janela de varreduras, deve-se: 

Figura 39. Janela de acesso a Simulação de Regras de Filtragem. 


Selecionar o item Simulação de regras de filtragem. 

A janela de varredura de regras 

É possível alternar entre a varredura por endereços IP ou por entidades. A 

varredura por entidades é útil quando já tem cadastradas no sistema todas as 

máquinas, redes e serviços que serão utilizados. A varredura por IP é mais indicada 

quando deseja utilizar máquinas, redes ou serviços que não estão cadastrados e 

que não deseja cadastrar (por exemplo, máquinas externas que não serão utilizadas 

em nenhuma regra de filtragem). 

É possível selecionar para origem, destino e serviços, independentemente, se 

devem ser utilizadas entidades ou não. Para alternar entre os dois modos de 

operação basta clicar nos ícones correspondentes à esquerda de cada um destes 

campos. 


Varredura por IP 

Quando a opção Varrer por IP estiver selecionada, a janela de varreduras terá o 

seguinte formato: 

Figura 40. Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e máscaras). 

Os campos IP e Máscara, dentro de Origem do Pacote, permitem especificar a faixa 

de máquinas a serem utilizadas como origem das conexões simuladas. Os campos 

IP e Máscara, dentro de Destino do Pacote especificam a faixa de máquinas a 

serem utilizadas como destino. 

O campo Serviço permite especificar o protocolo e a faixa de portas a serem 

simuladas. 

No caso dos protocolos TCP e UDP, os valores dos serviços são as portas 

destino; no caso do ICMP são o tipo de serviço e no caso de outros protocolos o 

valor do protocolo. 

O campo Dia/Hora permite que o administrador teste as regras para uma 

determinada hora e dia da semana. 


Varredura por Entidades 

Quando a opção Varrer por Entidades estiver selecionada, a janela de varreduras 

terá o seguinte formato: 

Figura 41. Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e entidade). 

O campo Origem do pacote permite especificar a entidade que será usada na 

origem das conexões simuladas. 

O campo Destino do pacote especifica para qual entidade as conexões simuladas 

devem se dirigir. 

O campo Serviço permite especificar o protocolo e a faixa de portas a serem 

simuladas, através de uma entidade. 

O campo Dia/Hora permite que o administrador teste as regras para uma 

determinada hora e dia da semana. 

Só é possível selecionar uma entidade como origem, uma como destino e um 

serviço. 


3.15. Relatórios 

Esta opção possibilita que o administrador imprima um relatório de toda (ou de 

parte) da configuração do firewall de forma fácil e rápida. Este relatório é bastante 

útil para fins de documentação ou de análise da configuração. 

Para ter acesso a janela de relatórios basta: 

Clicar no firewall para o qual se deseja gerar o relatório. 

Selecionar a opção Ações na barra de ferramentas do firewall. 

A janela Relatório 

Figura 42. Relatório de configuração do firewall. 

Esta janela consiste de várias opções distintas, uma para cada parte da 

configuração do firewall, que podem ser selecionadas independentemente. Para 

gerar um relatório, deve-se proceder da seguinte forma: 

1. Marcar os itens que se deseja imprimir. 

2. Clicar no botão Procurar e escolha o diretório onde irão ser armazenadas as 

páginas html. 

3. Abrir o diretório e selecionar o arquivo html para imprimir seu relatório. 

Caso queira cancelar a emissão do relatório, basta clicar no botão Cancelar. 

3.16. Busca de Entidades 

Esta opção permite que localize entidades que contenham um determinado 

endereço IP, interface ou serviço, bem como regras que contenham uma 

determinada entidade. 


Para ter acesso à janela de localização de entidades deve-se: 

Figura 43. Janela de acesso a Busca de Entidades. 


Selecionar o item Busca de entidade. 

A janela de localização de entidades 

Esta janela consiste de três abas onde cada uma é responsável por um tipo de 

pesquisa diferente: 


Aba Entidade 

Figura 44. Busca de Entidades (procura de entidade com IP ou nome e últimos resultados). 

Esta aba permite localizar entidades pelo endereço IP informado ou pelo seu nome. 

Procurar: inicia a busca a partir dos dados informados. 

Fechar: fecha a janela de localização de entidades. 

Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como 

resultado da pesquisa, a janela de edição correspondente será aberta, 

possibilitando que se edite seus valores rapidamente. 


Aba Serviço 

Figura 45. Busca de Entidades - serviços. 

Esta aba permite localizar entidades do tipo serviço que contenham o protocolo e o 

serviço especificados. 

Procurar: inicia a busca a partir dos dados informados. 

Fechar: fecha a janela de localização de entidades. 

Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como 

resultado da pesquisa, a janela de edição correspondente será aberta, 

possibilitando que se edite seus valores rapidamente. 


Aba Regras 

Figura 46. Busca de Entidades - regras. 

Esta aba permite localizar a regra que a entidade pertence. 

Procurar: Este campo permite inicializar a busca a partir dos dados informados. 

Fechar: Este campo permite fechar a janela de localização de entidades. 

Nesta aba serão carregadas apenas as entidades do tipo Máquina, Rede, Conjunto 

e Serviço. 

Entidade: Ao selecionar uma entidade, uma busca será realizada retornando o 

número da regra a qual a entidade pertence. As regras podem ser: Regras VPN, 

Regras de NAT, Regras de filtragem ou Regras de Filtragem dentro dos Perfis, 

se a entidade procurada for do tipo Rede ou Máquina é iniciada uma busca para 

saber se ela está presente em alguma entidade do tipo Conjunto. Caso esteja, as 

regras que contém essa entidade Conjunto e os tipos relacionados a ela, serão 

mostradas e impressas no resultado da busca, e conseqüentemente, as regras 

que contiverem estes conjuntos também serão mostradas. 

Ao clicar duas vezes sobre uma entidade ou regra, mostrada como resultado da 

pesquisa (Entidades de Conjunto, Regras de Filtragem, Regras de NAT, Regra VPN 

e Perfil) a janela de edição correspondente será aberta, possibilitando editar os seus 

valores rapidamente. 


3.17. Janela de Alarmes 

Esta opção permite visualizar os alarmes gerados pelo firewall, quando esta opção 

estiver marcada nas regras de filtragem ou na janela de ações. 

Para ter acesso à janela de alarmes deve-se: 

Figura 47. Janela de acesso: Janela de Alarmes. 


Selecionar o item Janela de alarmes. 


A janela de alarmes 

Figura 48. Janela de Alarmes - descrição. 

Esta janela consiste de um campo de descrição com as entradas correspondentes a 

ação executada pela regra de filtragem. 

O botão Fechar fará com que a janela seja fechada. 

A opção Não mostrar essa janela automaticamente, se estiver marcada, fará 

com que a janela não seja mostrada automaticamente quando ocorrer um 

evento. 

O botão Salvar grava as entradas em um arquivo de log do tipo texto. 

O botão Apagar limpa todas as entradas contidas na janela. 

3.18. Visualizando a rede graficamente 

O firewall dispõe de um prático sistema para visualizar a rede onde ele se insere de 

forma gráfica. Para ter acesso à janela de visualização gráfica da rede, deve-se: 


Figura 49. Janela de acesso - Mapa da Rede. 

Clicar no menu Informação da janela de administração do firewall. 

Selecionar o item Mapa de Rede. 

A janela a seguir aparecerá: 


Figura 50. Mapa da Rede. 

O primeiro item representa o firewall, conectado as suas interfaces de rede. A cada 

interface, conectam-se uma ou mais redes e roteadores, que se conectam a mais 

redes distantes. Clicando em uma rede com o botão direito do mouse, aparecerá um 

menu listando as entidades que fazem parte da mesma, possibilitando ao usuário 

editá-las. 


3.19. Visualizando estatísticas do sistema 

A janela de estatísticas do sistema possui informações sobre uso do processador e 

uso de memória do sistema. Para ter acesso à essa janela, deve-se: 

Figura 51. Janela de acesso - Estatísticas do Sistema. 


Selecionar o item Estatísticas do Sistema. 

A janela a seguir aparecerá: 


Figura 52. Estatísticas do Sistema. 

Na parte superior da janela são mostradas as informações de uso do CPU. Essas 

informações estão dividas em três partes: porcentagem ociosa, porcentagem 

dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo 

usuário. A parte inferior da janela mostra a situação da memória do sistema em 

Megabytes. Também está divida em três partes: quantidade de memória livre, 

quantidade de memória sendo usada e quantidade de memória armazenando 

informações em forma de cache. 

A quantidade de memória não afeta de forma significativa a performance do 

firewall. Entretanto, pode ocorrer queda de desempenho se o sistema possuir área 

de memória swap e estiver fazendo muito uso dessa, o que irá afetar apenas os 

proxies. 


É importante observar que a memória cache não é considerada memória usada. Ela 

é acessada apenas quando o sistema precisa reabrir um programa. Caso esse 

programa ainda esteja em cache, a reabertura será mais rápida. Porém, se o sistema 

precisar de uma quantidade maior de memória livre, a área usada para cache é 

liberada. 

3.20. Utilizando a janela de Sniffer de Pacotes 

A janela de Sniffer do Aker Firewall permite ao administrador capturar pacotes de 

uma ou mais conexões que estiverem trafegando pelo firewall. A grande vantagem 

deste sniffer em relação à utilização de um tradicional é que é possível capturar 

pacotes em vários pontos distintos dentro de uma interface: é possível ver os 

pacotes como eles são recebidos (i.e., cifrados e com endereços convertidos) ou 

exatamente antes ou depois da filtragem, o que faz com que sejam mostrados em 

claro e com os endereços reais. 

Para ter acesso à janela de sniffer deve-se: 

Figura 53. Acesso a janela: Sniffer de Pacotes. 



Selecionar o item Sniffer de Pacotes. 

A janela de Sniffer de Pacotes 

Figura 54. Sniffer de Pacotes – Sniffer 1. 

Esta janela consiste de várias abas. Cada uma das abas permite a captura de 

tráfego em uma interface distinta ou em pontos diferentes de uma mesma interface. 

Para criar novas abas com sniffer deve-se clicar na última aba onde aparece o texto 

Novo sniffer. 

Para iniciar a captura, deve-se preencher os seguintes campos: 

Onde capturar: Definir o ponto onde a captura deve ser realizada. As seguintes 

opções estão disponíveis: 

Interface física: Definir que a captura deve ser feita exatamente como os pacotes 

são recebidos pelo firewall 

Antes da filtragem: Definir que os pacotes devem ser capturados imediatamente 

antes de serem filtrados, i.e., após serem decriptados e terem seus endereços 

convertidos, se for o caso. 

Após filtragem: Definir que a captura será feita apenas dos pacotes que passarem 

pela filtragem e eles serão vistos decriptados e com seus endereços convertidos, se 

for o caso. 

Interface física: Definir qual a interface que será utilizada para capturar os pacotes 


Filtro: Este campo serve para definir o filtro que será utilizado na captura dos 

pacotes. O objetivo deste filtro é limitar os pacotes recebidos somente ao que 

interessa. Caso ele esteja em branco todos os pacotes serão capturados. A sintaxe 

do filtro é a mesma usada no popular programa tcpdump e todas suas opções são 

suportadas. Um resumo das principais opções que podem ser utilizadas no filtro é: 

dir 

Indica a direção em que a transferência ocorrerá, para e/ou do identificador. As 

direções possíveis são src, dst, src or dst e src and dst. 

Exemplos: 

``src foo'' 

``dst net 128.3'' 

''src or dst port ftp-data'' 

proto 

Qualificador restrito a estipular um tipo particular de protocolo. As opções existentes 

de protocolo são: 

ether, ip, arp, rarp, tcp e udp. 

Exemplos: 

`èther src foo'' 

`àrp net 128.3'' 

``tcp port 21'' 

Se não estipulado, todos os protocolos existentes em opção serão assumidos. 

port port 

Captura pacotes com a porta de origem ou de destino do pacote igual a port. Todas 

as expressões de porta podem ser precedidas de tcp ou udp, assim: 

tcp src port port 

Capturar apenas pacotes tcp com porta de origem port. 

O botão Travar seleção se estiver selecionado faz com que o pacote selecionado 

fique sempre visível na janela de captura. 

O botão Iniciar captura inicia a captura de pacotes, porém envia o resultado 

apenas para a janela. 

O botão Capturar em arquivo inicia a captura de pacotes e grava os dados no 

arquivo especificado. Este arquivo pode posteriormente ser aberto pela maioria dos 

Sniffers tradicionais disponíveis no mercado. 

O botão OK encerra a captura e fecha a janela. Caso tenha capturado para um 

arquivo, ele estará disponível. 


3.21. Visualizando o Estado dos Agentes Externos 

A janela de estado dos agentes externos é puramente informativa e serve para 

indicar ao administrador o estado dos Agentes Externos. Isso é muito útil quando se 

quer configurar um novo agente externo ou para detectar a ocorrência de possíveis 

problemas. 

Para ter acesso à janela de estado dos agentes externos deve-se: 

Figura 55. Janela de acesso: Agentes Externos. 


Selecionar o item Agentes Externos. 


A janela de agentes externos 

Figura 56. Agentes Externos (nome, tipo e status). 

Esta janela consiste de uma lista com o nome de todos os agentes extenos ativos 

que sejam um dos seguintes tipos: Agentes de Antivírus, Agentes IDS, 

Analisadores de URL, Autenticadores (Usuário/Senha, Token, RADIUS e LDAP), 

Servidores de Log e SpamMeter. 

Para cada agente listado serão mostradas as seguintes informações: 

Nome: Nome da entidade do nome do agente externo. 

Tipo: Tipo do agente externo. 

Status: Informa o estado atual da conexão com o agente externo. Os seguintes 

estados podem ser mostrados nesta coluna: 

Estado indefinido: Ainda não existem informações disponíveis sobre o estado 

deste agente. 

Conectado ao principal: O firewall conectou-se com sucesso ao IP principal do 

agente externo. 

Conectado ao primeiro backup: O firewall conectou-se com sucesso ao IP do 

1º backup do agente externo. Por alguma razão ele não conseguiu inicialmente 

conectar-se ao principal 

Conectado ao segundo backup: O firewall conectou-se com sucesso ao IP do 

2º backup do agente externo. Por alguma razão ele não conseguiu inicialmente 

conectar-se ao principal nem ao 1º backup. 

Erro de conexão: Existe um problema de comunicação com o agente externo. 

Verifique os eventos para maiores informações. 


Erro interno: Não foi possível conectar-se ao agente externo por um problema 

interno. Verifique os eventos para maiores informações. 

Vírus não detectado: Este estado só aparece nos agentes de antivírus e indica 

que embora o firewall tenha conseguido se conectar corretamente ao agente, ele 

não foi capaz de detectar o vírus de teste que o firewall enviou. Verifique a 

configuração do antivírus. 

IP do servidor: Endereço(s) IP(s) do agente externo no qual(is) o firewall está 

conectado. 

Para os servidores de log, além dos estados Conectado ou Erro, haverá mais um 

estado: parcialmente conectado, que ocorrerá quando mais de um servidor estiver 

disponível (primeiro e segundo backup) porém o agente não está conectado a todos 

eles. 

3.22. Utilizando o verificador de configuração 

O Verificador de Configuração é uma janela que será mostrada sempre que o 

firewall for iniciado e suas configurações iniciais ainda não estiverem completas. Ele 

serve para chamar de forma simples os assistentes que realizam cada uma das 

etapas principais de configuração do produto. 

É possível também a qualquer momento chamar o Verificador de Configuração. 

Para isso deve-se executar a seguinte seqüência de passos: 


Figura 57. Janela de acesso: Verificador de Configuração. 


Selecionar o item Verificador de Configuração. 

A janela do verificador de configuração 


Figura 58. Verificador de Configuração (Regras de Filtragem, Conversão de endereço de rede (NAT), 

Autenticação, Filtro web e Rede privada virtual (VPN). 

Esta janela consiste de 5 grupos de configurações distintas. Cada um dos grupos é 

mostrado em azul, caso sua configuração já tenha sido realizada ou em laranja caso 

não tenha sido realizada. Em cada um dos grupos é possível clicar no link 

assistente para invocar a execução do assistente responsável pela configuração do 

grupo. No caso em que alguma configuração não venha a ser realizada nunca (por 

exemplo, no caso de um firewall que não realizará VPN) é possível desabilitar a 

checagem desta configuração marcando a caixa Parar a checagem automática 

das configurações do grupo desejado. 

O botão Aplicar salvará as opções de checagem e manterá a janela aberta. 

O botão OK fará com que a janela seja fechada e as alterações salvas. 


O botão Cancelar fechará a janela e descartará as modificações efetuadas. 

Recomenda-se que a configuração seja feita na ordem em que os grupos se 

encontram de cima para baixo. 

3.23. Ferramentas de Diagnóstico 

O Aker Firewall realizará testes básicos de conectividade: 

Ping na rota padrão; 

Ping em lugares conhecidos (Ex. DNS da Google); 

Testes de DNS; 

Teste de HTTP; 

Comando traceroute; 

Comando Netstat; 

Comando Nslookup. 

Será retornado ao usuário o status do acesso à Internet. 

Figura 59. Janela de Diagnósticos. 


Administrando usuários do 

Firewall 


4. Administrando usuários do Firewall 

Este capítulo mostra-rá como criar os usuários que irão administrar remotamente o 

Aker Firewall. 

O que são usuários do Aker Firewall? 

Para que alguma pessoa consiga administrar remotamente o Aker Firewall é preciso 

ser reconhecida e validada pelo sistema. Esta validação é feita na forma de senhas, 

assim, para que ela seja possível, cada um dos administradores deverá ser 

previamente cadastrado com um login e uma senha. 

Além disso, o Aker Firewall permite a existência de vários administradores distintos, 

cada um responsável por uma determinada tarefa da administração. Isso, além de 

facilitar a administração, permite um maior controle e uma maior segurança. É no 

cadastro de usuários que define as atribuições de cada um dos administradores. 

4.1. Utilizando a interface gráfica 

Para ter acesso à janela de administração de usuários, na interface remota deve-se: 

Figura 60. Janela de acesso - Usuários Administrativos. 


Clicar em Configurações do Sistema da janela do firewall que quer administrar. 

Selecionar o item Usuários Administrativos. 

Esta opção só estará habilitada se o usuário que estiver com a sessão aberta na 

interface remota, tiver autoridade para gerenciar usuários. Isso será comentado em 

detalhes no próximo tópico. 

A janela de Usuários Administrativos 

Aba usuários internos 

Figura 61. Janela de Usuários administrativos (Usuários internos). 


Esta janela consiste de uma lista de todos os usuários atualmente definidos para 

acesso à administração do firewall, além de um segredo compartilhado (ou senha), 

para administração centralizada pelo Aker Configuration Manager. Não havendo o 

segredo compartilhado, a configuração será apenas efetuada pelos usuários 

cadastrados. 

Para cada usuário é mostrado seu login, seu nome completo e suas permissões. 

O botão OK fará com que a janela de administração de usuários seja fechada e 

as modificações salvas. 

O botão Aplicar fará com que as alterações realizadas sobre um determinado 

usuário sejam aplicadas, isto é, realizadas permanentemente, sem fechar a 

janela. 

O botão Cancelar fechará a janela de administração de usuários e descartará 

todas as alterações efetuadas. 

Quando um usuário for selecionado, os seus atributos completos serão 

mostrados nos campos Permissões. 

Para alterar os atributos de um usuário, deve-se proceder da seguinte forma: 

1. Selecionar o usuário a ser alterado clicando sobre seu nome com o botão 

esquerdo do mouse. Neste momento serão mostrados os seus atributos nos 

campos após a listagem de usuários. 

2. Alterar o valor dos atributos desejados e clicar no botão Aplicar ou no botão OK. 

A partir deste momento as alterações serão efetivadas. 

Para incluir um usuário na lista, deve-se proceder da seguinte forma: 

1. Clicar com o botão direito do mouse em qualquer lugar da área reservada para 

mostrar a lista (aparecerá o botão Inserir) e selecionar a opção Incluir no menu 

pop-up ou clicar no ícone que representa a inclusão na barra de 

ferramentas. 

2. Preenche os campos do usuário a ser incluído e clicar no botão Aplicar ou no 

botão OK. 

Para remover um usuário da lista, deve-se proceder da seguinte forma: 

1. Selecionar o usuário a ser removido, clicando sobre seu nome com o botão 

esquerdo do mouse e clicar no ícone que representa a remoção na barra de 

ferramentas, ou clicar com o botão direito do mouse sobre o nome do usuário a 

ser removido e selecionar a opção Excluir no menu pop-up. 

Significado dos atributos de um usuário 

Login 


É a identificação do usuário para o firewall. Não podem existir dois usuários com o 

mesmo login. Este login será pedido ao administrador do firewall quando este for 

estabelecer uma sessão de administração remota. 

O login deve ter entre 1 e 14 caracteres. Não há diferenças entre letras maiúsculas 

e minúsculas neste campo. 

Nome 

Este campo contém o nome completo do usuário associado ao login. Os seus 

objetivos são de informação, não sendo usado para qualquer validação. 

Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40. 

Senha 

Este campo será usado em conjunto com o campo login para identificar um usuário 

perante o Aker Firewall. Ao digitar a senha, serão mostrados na tela asteriscos "*" 

ao invés das letras. 

O campo senha deve ter no máximo 14 caracteres. Seu tamanho mínimo é 

configurável por meio da janela de parâmetros da interface (para maiores 

informações veja o tópico Utilizando a interface remota). Neste campo, letras 

maiúsculas e minúsculas são consideradas diferentes. 

É extremamente importante que as senhas usadas tenham um comprimento 

grande, o mais próximo possível do limite de 14 caracteres. Além disso, deve-se 

sempre utilizar uma combinação de letras minúsculas, maiúsculas, números e 

caracteres especiais nas senhas (caracteres especiais são aqueles encontrados no 

teclado dos computadores e que não são números nem letras: "$","&",”]", etc). 

Nunca use como senhas palavras em qualquer idioma ou apenas números. 

Confirmação 

Este campo serve para confirmar a senha digitada no campo anterior, uma vez que 

esta aparece como asteriscos. 

Permissões 

Este campo define o que um usuário pode fazer dentro do Aker Firewall. Ele 

consiste de três opções que podem ser marcadas independentemente. 

O objetivo destas permissões é possibilitar a criação de uma administração 

descentralizada para o firewall. É possível, por exemplo, numa empresa que possua 

vários departamentos e vários firewalls, deixar um administrador responsável pela 

configuração de cada um dos firewalls e um responsável central com a tarefa de 

supervisionar a administração. Este supervisor seria a única pessoa capaz de 

apagar e alterar a configuração de log e eventos dos firewalls. Desta forma, apesar 

de cada departamento ter autonomia de administração é possível ter um controle 


central do que cada administrador alterou na configuração e quando ele realizou 

cada alteração. Isto é um recurso muito importante para realizar auditorias internas, 

além de aumentar a segurança da administração. 

Caso um usuário não possua nenhum atributo de autoridade, então, esse terá 

permissão apenas para visualizar a configuração do firewall e compactar os 

arquivos de log e de eventos. 

Configuração do Firewall 

Se esta permissão estiver marcada, o usuário em questão poderá administrar o 

firewall, isto é, alterar a configuração das entidades, regras de filtragem, conversão 

de endereços, criptografia, proxies e parâmetros de configuração que não estejam 

relacionados ao log. 

Configurar Log 

Se esta opção estiver marcada, o usuário em questão terá poderes para alterar os 

parâmetros relacionados ao log (como por exemplo, tempo de permanência do log), 

alterar a configuração da janela de ações (tanto as mensagens quanto os 

parâmetros) e apagar permanentemente o log e os eventos. 

Administrar Usuários 

Se esta opção estiver marcada, o usuário em questão terá acesso à janela de 

administração de usuários, podendo incluir, editar e excluir outros usuários. 

Um usuário que possuir esta autoridade somente poderá criar, editar ou excluir 

usuários com autoridades iguais ou menores às que ele possuir (por exemplo, se 

um usuário tiver poderes de gerenciar usuários e configurar log, então ele poderá 

criar usuários que não possuam nenhuma autoridade, que somente possam 

configurar o log, que somente possam criar novos usuários ou que possam 

gerenciar usuários e configurar log. Ele não poderá nunca criar, nem editar ou 

excluir, um usuário que possa configurar o firewall). 

Permite conexão do Configuration Manager 

Essa opção permite habilitar/desabilitar acessos ao Aker Firewall pelo Configuration 

Manager. Ao habilitar conexões deve-se informar a senha que será comum ao 

firewall e o gerenciador (shared secret). 


Aba Agentes Externos 

Figura 62. Usuários Administrativos (configuração dos agentes externos). 

Esta aba consiste na configuração dos agentes externos que serão utilizados para a 

autenticação dos usuários que administram o firewall, definindo assim regras de 

autenticação para o acesso destes. 

Habilitar autenticação via agentes externos 

Ao selecionar essa opção permite a autenticação dos usuários, por meio dos 

agentes externos que estão cadastrados no firewall. Permite definir o autenticador 

externo, qual o usuário/grupo que ele pertence, quais as suas permissões de 

acesso e a definição das entidades que o usuário utilizará para conectar ao firewall. 

Autenticador 

Ao clicar com o botão direito em cima da opção autenticador, poderá selecionar um 

autenticador (agente externo) habilitados na Janela autenticação aba Métodos. Esse 


autenticador será responsável por intermediar o processo de autenticação da 

interface com o firewall. 

Usuário/Grupo 

Os usuários e os grupos estarão relacionados ao autenticador escolhido. Pode-se 

associar um usuário somente ou um grupo deles. 

Permissões 

Este campo define o que um usuário pode fazer dentro do Aker Firewall. Ele 

consiste de três opções que podem ser marcadas independentemente. 

O objetivo destas permissões é possibilitar a criação de uma administração 

descentralizada para o firewall. É possível, por exemplo, numa empresa que possua 

vários departamentos e vários firewalls, deixar um administrador responsável pela 

configuração de cada um dos firewalls e um responsável central com a tarefa de 

supervisionar a administração. Este supervisor seria a única pessoa capaz de 

apagar e alterar a configuração de log e eventos dos firewalls. Desta forma, apesar 

de cada departamento ter autonomia de administração é possível ter um controle 

central do que cada administrador alterou na configuração e quando ele realizou 

cada alteração. Isto é um recurso muito importante para realizar auditorias internas, 

além de aumentar a segurança da administração. 

Entidades 

As Entidades são representações de objetos do mundo real para o Aker Firewall. 

Através delas, podem-se representar máquinas, redes, serviços a serem 

disponibilizados, entre outros. Nessa opção permite definir de qual entidade o 

usuário se conectará ao firewall. 

Servidor Fingerprint 

É um resumo da identificação do certificado digital do Firewall. Essa opção 

possibilita ao usuário identificar quando tem uma mudança do firewall que se 

costuma conectar. 


Aba Autenticação X509 

Figura 63. Usuários Administrativos (método de autenticação com certificação digital X509). 

Essa aba consiste no método de autenticação com certificação digital X509. O 

Certificado Digital pode ser considerado como a versão eletrônica (digital) de uma 

cédula de identidade, associa uma chave pública com a identidade real de um 

indivíduo, de um sistema servidor, ou de alguma outra entidade. Um certificado 

digital normalmente é usado para ligar uma entidade a uma chave pública. Para 

garantir a integridade das informações contidas neste arquivo ele é assinado 

digitalmente, no caso de uma Infra-estrutura de Chaves Públicas (ICP), o certificado 

é assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo 

de Teia de Confiança (Web of trust) como o PGP o certificado é assinado pela 

própria entidade e assinado por outros que dizem confiar naquela entidade. Em 

ambos os casos as assinaturas contidas em um certificado são atestamentos feitos 

por uma entidade que diz confiar nos dados contidos naquele certificado. 

Um certificado normalmente inclui: 


Informações referentes a entidade para o qual o certificado foi emitido (nome, 

email, CPF/CNPJ, PIS etc.); 

A chave pública referente a chave privada de posse da entidade especificada 

no 

certificado; 

O período de validade; 

A localização do "centro de revogação" (uma URL para download da CRL, ou 

local para uma consulta OCSP; 

A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública 

contida naquele certificado confere com as informações contidas no mesmo 

Um certificado padrão X.509 é outro formato de certificado muito comum. Todos os 

certificados X.509 obedecem ao padrão internacional ITU-T X.509; assim 

(teoricamente) certificados X.509 criados para uma aplicação podem ser usados por 

qualquer aplicação que obedece X.509. 

Um certificado exige alguém para validar que uma chave pública e o nome do dono 

da chave vão juntos. Com certificados de PGP, qualquer um pode representar o 

papel de validador. Com certificados X.509, o validador é sempre uma Autoridade 

de Certificação ou alguém designado por uma CA. 

Um certificado X.509 é uma coleção de um conjunto padrão de campos contendo 

informações sobre um usuário ou dispositivo e sua correspondente chave pública. O 

padrão X.509 define qual informação vai no certificado, e descreve como codificar 

isto (o formato dos dados). Todos os certificados X.509 têm os seguintes dados: 

O número da versão do X.509 que identifica qual o padrão é aplicado na versão do 

X.509 para este certificado, o que afeta e qual informação pode ser especificada 

neste. 

A chave pública do possuidor do certificado junto com um algoritmo de identificação, 

especifica qual sistema de criptografia pertence a chave e quaisquer parâmetros 

associados. 

Abaixo, seguem os campos que contém na aba: 

Habilitar autenticação X.509: 

Ao selecionar essa opção permite habilitar a autenticação do usuário via certificado 

digital x.509. 

CN do certificado do firewall: 

Nessa opção mostra qual certificado o Firewall está utilizando na sua autenticação. 


Importa Certificado: 

Ao clicar nesse ícone, permite a inclusão de um novo certificado, ou seja carrega-se 

o certificado cadastrado no arquivo e incluindo-o no firewall. 

Exporta Certificado: Gravam os dados do certificado, para transportá-lo para uma 

futura aplicação desse certificado. Tira uma cópia do certificado. 

Remove Certificado: Ao clicar nesse ícone, permite a remoção do certificado que 

foi incluído. Com isso o Aker Firewall fica sem nenhum certificado. 

Mostra detalhes dos certificados: Mostra todas as informações contidas no 

certificado habilitado. 

Autoridade Certificadora: 

A autoridade certificadora (CA - certificate authority) deve garantir ao usuário, 

através da assinatura de seus certificados, que tais entidades são realmente quem 

dizem ser. Então, a CA tem um papel básico de garantir a correspondência entre a 

identidade e a chave pública de uma determinada entidade, sabendo que tal chave 

pública corresponde a uma chave privada que permanece sob guarda exclusiva 

dessa entidade. 

Para tanto, a CA deve ser capaz de realizar todos os processos de emissão de 

certificados, verificação de validade, armazenamento, publicação ou acesso on-line, 

revogação e arquivamento para verificação futura. 

Em conseqüência, uma autoridade certificadora constitui-se de um sistema 

computacional completo, com capacidade de comunicação processamento e 

armazenamento. Além disso, tanto as comunicações envolvendo esse sistema, 

assim como o próprio sistema, devem ser também protegidos e a própria identidade 

do sistema deve ser garantida, necessidades esta que são atendidas por intermédio 

da publicação de uma chave pública pertencente à própria autoridade certificadora. 

Como tal chave deve também ser garantida com um certificado digital, então, em 

geral, uma autoridade certificadora deposita sua chave pública junto a 

outra autoridade certificadora, formando uma estrutura de certificação onde algumas 

CA funcionam como autoridades certificadoras para outras CAs. 

Essa opção permite selecionar uma autoridade a qual o usuário está vinculado. 


Pseudo Group 

Corresponde aos grupos de certificados, relacionados a autoridade certificadora 

selecionada na opção acima. Este campo não é editável. 

Permissões 

Esse campo das permissões é editável, podendo, para cada CA selecionada 

relacionar as permissões para cada grupo. 

Nessa opção, uma vez escolhida uma Autoridade Certificadora e definidos os 

níveis/permissões de acesso para cada grupo, ao trocar de CA todas as permissões 

relacionadas a outra CA serão perdidos. 

4.2. Utilizando a interface texto 

Além da interface gráfica de administração de usuários, existe uma interface local 

orientada à caracteres que possui praticamente as mesmas capacidades da 

interface gráfica. A única função não disponível é a de alteração das permissões 

dos usuários. Essa interface texto, ao contrário da maioria das demais interfaces 

orientadas a caracteres do Firewall Aker, é interativa e não recebe parâmetros da 

linha de comando. 

Localização do programa: /etc/firewall/fwadmin 

Ao ser executado, o programa mostrará a seguinte tela: 


Figura 64. Execução do programa utilizando a interface texto. 

Para executar qualquer uma das opções mostradas, basta digitar a letra mostrada 

em negrito. Cada uma das opções será mostrada abaixo, em detalhes: 

Inclui um novo usuário 

Esta opção permite a inclusão de um novo usuário que poderá administrar o Aker 

Firewall remotamente. Ao ser selecionada, será mostrada uma tela pedindo as 

diversas informações do usuário. Após todas as informações serem preenchidas 

será pedida uma confirmação para a inclusão do usuário. 


Figura 65. Execução do programa para inclusão de usuários como administradores do Aker Firewall. 

Observações importantes: 

1. Nos campos onde aparecem as opções (S/N), deve-se digitar apenas S, para sim e 

N para não. 

2. A senha e a confirmação das senhas não serão mostradas na tela. 

Remove um usuário existente 

Esta opção, remove um usuário existente que esteja cadastrado no sistema. Será 

pedido o login do usuário a ser removido caso o usuário esteja cadastrado, será 

pedida a seguir uma confirmação para realizar a operação. 


Figura 66. Execução do programa para a exclusão de usuários. 

Para prosseguir com a remoção, deve-se digitar S, caso contrário digita-se N. 

Altera senha de um usuário 

Esta opção permite alterar a senha de um usuário já cadastrado no sistema. Será 

pedido o login do usuário e caso este exista, serão pedidas a nova senha e a 

confirmação desta nova senha (conforme já comentado anteriormente, a senha e a 

confirmação não serão mostradas na tela). 


Figura 67. Execução do programa para a alteração de senha do usuário. 

Lista usuários cadastrados 

Esta opção mostra uma lista com o nome e as permissões de todos os usuários 

autorizados a administrar remotamente o firewall. Um exemplo de uma possível 

listagem de usuários é a seguinte: 


Figura 68. Execução do programa para exibir a listagem de usuários e permissões. 

O campo permissões consiste de 3 possíveis valores: CF, CL, e GU, que 

correspondem respectivamente às permissões de: Configura Firewall, Configura Log 

e Gerencia Usuários. Se um usuário possuir uma permissão, ela será mostrada com 

o código acima, caso contrário será mostrado o valor --, indicando que o usuário não 

a possui. 

Compacta arquivo de usuários 


Figura 69. Execução do programa para exibir a compactação do arquivo de usuários. 

Esta opção não está presente na interface gráfica e não possui uso freqüente. Ela 

serve para compactar o arquivo de usuários, removendo entradas não mais usadas. 

Ele somente deve ser usado quando for removido um grande número de usuários 

do sistema. 

Ao ser selecionada, o arquivo será compactado e ao final será mostrada uma 

mensagem indicando que a operação foi completada (a compactação do arquivo 

costuma ser uma operação bastante rápida, durando poucos segundos). 

Edita as opções do Configuration Manager 

Esta opção permite alterar as configurações do Aker Configuration Manager. É 

possível habilitar/desabilitar acessos ao Aker Firewall pelo Configuration Manager e 

modificar a shared secret. Se o acesso ao firewall não estiver habilitado, será 

mostrada uma tela pedindo a criação da shared secret. É necessário preencher a 

senha e sua confirmação, onde as mesmas não serão exibidas na tela. 


Figura 70. Edição das configurações do Aker Configuration Manager. 

Se o acesso ao firewall já estiver habilitado, serão mostradas novas opções de 

configuração: 

Figura 71. Edição das configurações do Aker Configuration Manager (Firewall habilitado). 


Desabilita acesso pelo Configuration Manager 

Ao selecionar essa opção não será mais possível acessar o Aker Firewall pelo 

Configuration Manager até que o usuário habilite o acesso novamente. 

Modifica shared secret do Configuration Manager 

Permite alterar a shared secret. É necessário entrar com a nova senha e com a sua 

confirmação, onde as mesmas não serão exibidas na tela. 

Figura 72. Edição das configurações do Aker Configuration Manager (desabilita, modifica ou retorna). 

Sai do fwadmin 

Esta opção encerra o programa fwadmin e retorna para a linha de comando. 


Configurando Parâmetros do 

Sistema 


5. Configurando os parâmetros do sistema 

Este capítulo mostrará como configurar as variáveis que irão influenciar nos 

resultados de todo o sistema. Estes parâmetros de configuração atuam em aspectos 

como a segurança, log do sistema e tempos de inatividade das conexões. 


Para ter acesso a janela de configuração de parâmetros deve-se: 

Figura 73. Janela de acesso - dispositivos remotos (parametros de configuração). 

Clicar no menu Configurações do Sistema da janela do firewall que quer administrar; 

Selecionar o item Parâmetros de Configuração. 

A janela de Parâmetros de configuração 


O botão OK fará com que a janela de configuração de parâmetros seja fechada e as 

alterações que foram efetuadas sejam aplicadas. 

O botão Cancelar fará com que a janela seja fechada, porém as alterações 

efetuadas não sejam aplicadas; 

O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá a 

janela aberta. 

Significado dos parâmetros 

Aba Global 

Figura 74. Parametros de configuração do Aker Firewall (servidor, interface remota e endereços fixos 

de configuração remota). 

Nesta janela, estes parâmetros são utilizados pelo filtro de estados e pelo conversor 

de endereços. Eles consistem dos seguintes campos: 

Interface Externa (Por motivo de controle de licença): Define o nome da 

interface externa do firewall. Conexões que vierem por esta interface não contarão 

na licença. 

Valor padrão: Configurado durante a instalação do firewall pelo administrador. 


Tempo limite TCP: Define o tempo máximo, em segundos, que uma conexão TCP 

pode permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valor 

pode variar de 0 a 259200 (72 horas). 

Valor padrão: 900 segundos. 

Tempo limite UDP: Define o tempo máximo, em segundos, que uma conexão UDP 

pode permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valor 

pode variar de 0 a 259200 (72 horas). 


Estes campos são de vital importância para o correto funcionamento do firewall: 

valores muito altos poderão causar problemas de segurança para serviços 

baseados no protocolo UDP, farão com que o sistema utilize mais memória e o 

tornarão mais lento. Valores muito baixos poderão causar constantes quedas de 

sessão e o mau funcionamento de alguns serviços. 

Tamanho mínimo de senha: Define o número mínimo de caracteres que as senhas 

dos administradores devem ter para serem aceitas pelo sistema. Seu valor pode 

variar entre 4 e 14 caracteres. 

Valor padrão: 6 caracteres. 

É importante que este valor seja o maior possível, de modo a evitar a utilização de 

senhas que possam ser facilmente quebradas. 

Endereços fixos de configuração remota: São endereços que, 

independentemente de regras e de extrapolação dos limites de licenças, podem 

administrar o firewall (isto é conectar na porta 1020). Eles servem como medida de 

prevenção anti-bloqueio do firewall, uma vez que só podem ser configurados via 

interface texto. 


Aba Log 

Figura 75. Parametros de configuração de Log (local, remoto e opções gerais). 

Local: Indica que o log/eventos/estatísticas devem ser salvos em um disco local, na 

máquina onde o firewall estiver rodando. 

Tempo de vida no log / eventos / estatística: Os registros de log, eventos e 

estatísticas do firewall são mantidos em arquivos diários. Esta configuração define o 

número máximo de arquivos que serão mantidos pelo sistema, em caso de log local. 

Os valores possíveis vão de 1 a 365 dias. 

Valor padrão: 7 dias 

No caso de utilização de log remoto essas opções estarão desabilitadas e 

deverão ser configuradas no próprio servidor remoto 


Remoto: Esta opção indica que o log/eventos/estatísticas deverão ser enviados 

para um servidor de log remoto ao invés de serem gravados no disco local. Com 

isso, o controle de diversos firewalls pode ser centralizado, facilitando a auditoria. 

Servidor Remoto: Esta opção indica o servidor de log remoto para o qual o 

log/eventos/estatísticas serão enviados. 

Logar Conversão de Endereço (NAT): Habilita o registro no log do sistema das 

conversões de endereços feitas pelo firewall. 

Valor padrão: Conversões de endereço não devem ser logadas 

Mesmo com esta opção ativa, somente serão logados os pacotes convertidos 

através das conversões 1:N e N:1. As conversões por outros tipos de regras não 

serão registradas. 

A ativação desta opção não traz nenhuma informação importante e deve ser 

utilizada apenas para fim de testes ou para tentar resolver problemas. 

Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o 

daemon de log do Unix, o syslogd. 

Valor padrão: Não envia log para o syslogd 

Ao habilitar essa opção, os registros de log serão enviados para a fila local0 e os de 

eventos para a fila local1. 

Esta opção não altera em nada o registro interno do log e dos eventos realizado 

pelo próprio firewall. 


Aba Segurança 

Parâmetros de Segurança 

Figura 76. Parametros de configuração de segurança. 

Permitir pacotes com rota para origem: Habilita a passagem de pacotes que 

tenham a opção de registro de rota ou de roteamento dirigido. Se esta opção estiver 

desmarcada, os pacotes com alguma destas opções não poderão trafegar. 

Valor padrão: Pacotes IP direcionados não são permitidos. 

Cabe ressaltar que a aceitação de pacotes com rota para a origem pode causar 

uma falha séria de segurança. A não ser que se tenha uma razão específica para 

deixá-los passar, esta opção deve ser mantida desmarcada. 

Suporte FTP: Habilita o suporte específico para o protocolo FTP. 


Valor padrão: Suporte FTP está habilitado 

Este parâmetro faz com que o firewall trate o protocolo FTP de forma especial, de 

modo a permitir que ele funcione transparentemente para todas as máquinas 

clientes e servidoras, internas ou externas. A menos que não se pretenda usar FTP 

através do firewall, esta opção deve estar marcada. 

Suporte ao Real Audio: Habilita o suporte para os protocolos Real Audio e Real 

Video. 

Valor padrão: Suporte Real Audio está habilitado 

Este parâmetro faz com que o firewall trate o protocolo Real Audio / Real Video de 

forma especial, de modo que permita ele funcionar transparentemente usando 

conexões TCP e UDP. A menos que não se pretenda usar o Real Audio ou se 

pretenda utilizá-lo apenas com conexões TCP, esta opção deve estar marcada. 

Suporte RTSP: Habilita o suporte para o protocolo RTSP. 

Valor padrão: Suporte RTSP está habilitado 

O RTSP (Real Time Streaming Protocol) é um protocolo que atua a nível de 

aplicação e ajuda a prover um certo arranjo que permite a entrega controlada de 

dados em tempo real, como áudio e vídeo. Fontes de dados podem incluir 

programas ao vivo (com áudio e vídeo) ou algum conteúdo armazenado (eventos 

pré-gravados). Ele é projetado para trabalhar com protocolos como o RTP, HTTP 

e/ou outro que de suporte a mídia contínuas sobre a Internet. Ele suporta tráfego 

multicast bem como unicast. E também suporta interoperabilidade entre clientes e 

servidores de diferentes fabricantes. Este parâmetro faz com que o firewall trate o 

protocolo de forma especial, de modo a permitir que ele funcione transparentemente 

usando conexões TCP e UDP. 

Suporte PPTP: Habilita o suporte para o protocolo PPTP da Microsoft. 

Valor padrão: Suporte PPTP está habilitado 

O PPTP é um protocolo criado pela Microsoft para possibilitar acesso seguro de 

máquinas clientes a redes corporativas, através de VPN. Este parâmetro faz com 

que o firewall trate o PPTP de forma especial possibilitando que ele trafegue 

normalmente através dele, mesmo com a conversão de endereços (NAT) habilitada. 

Suporte H323: Habilita o suporte para o protocolo H.323 

Valor padrão: Suporte H.323 está habilitado 

O H.323 é um protocolo que permite a implementação de voz sobre IP (VOIP) e é 

suportado pela maioria dos dispositivos com este fim. Este parâmetro faz com que o 


firewall trate o H.323 de forma especial possibilitando que ele trafegue normalmente 

através dele, mesmo com a conversão de endereços (NAT) habilitada. 

Suporte ao MSN: Habilita o suporte para o MSN Messenger 

Valor padrão: Suporte ao MSN Messenger está habilitado. 

O MSN Messenger é um protocolo de mensagens instantâneas que permite a 

comunicação entre duas ou mais pessoas ao mesmo tempo. Este parâmetro faz 

com que o firewall trate o Messenger de forma especial possibilitando que seu uso 

seja controlado através dos perfis de acesso. 

Suporte SIP: habilita o suporte para o protocolo SIP. 

Valor padrão: Suporte SIP está habilitado. 

O Protocolo de Iniciação de Sessão (Session Initiation Protocol - SIP) é um 

protocolo de aplicação, que utiliza o modelo “requisição-resposta”, similar ao HTTP, 

para iniciar chamadas e conferências através de redes via protocolo IP. 

Suporte DCE-RPC TCP: habilita o suporte o para protocolo DCE-RPC TCP. 

Valor padrão: Suporte DCE-RPC TCP está habilitado. 

O DCE/RPC TCP é um tipo de protocolo RPC, Chamada de Procedimento Remoto 

(Remote Procedure Call), que tem como objetivo permitir o desenvolvimento de 

aplicações cliente/servidor. É muito utilizado em administração de domínio e 

gerenciamento remoto do servidor. 

Manter conexões das regras expiradas: mantém a conexão mesmo após o prazo 

de validade da regra ter expirado. 

Valor padrão: manter conexões de regras expiradas. 

Esta opção permite ao usuário permanecer conectado mesmo após o término do 

período definido para o fim da conexão. 

Ex.: o usuário inicia um download via FTP dentro do horário definido por regra. Caso 

esta opção esteja marcada, a conexão (download) não será finalizada no horário 

definido e sim após o término de transferência dos arquivos. 


Aba SNMP 

Figura 77. Parametros de configuração via SNMP. 

Comunidade de leitura: Este parâmetro indica o nome da comunidade que está 

autorizada a ler dados do firewall via SNMP. Caso este campo esteja em branco, 

nenhuma máquina estará autorizada a lê-los. 

Valor padrão: campo em branco 

Comunidade de escrita: Este parâmetro indica o nome da comunidade que está 

autorizada a alterar dados do firewall via SNMP. Caso este campo esteja em 

branco, nenhuma máquina estará autorizada a alterá-los. 

Valor padrão: campo em branco 

Mesmo com uma comunidade de escrita definida, por razões de segurança, 

somente poderão ser alterados algumas variáveis do grupo system. 


Descrição: Tipo de serviço que a máquina disponibiliza para o usuário. 

Contato: Tipo de contato (e-mail, home page) que o administrador disponibiliza 

para o usuário. 

Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS 

Local: Local físico onde a máquina está instalada. 

O SNMPv3 inclui três importantes serviços: autenticação (authentication), 

privacidade (privacy) e controle de acesso (access control). 

Habilita SNMPv3: Ao selecionar essa opção permite definir o tipo de permissão de 

um usuário e qual o nível de segurança que ele estará relacionado. 

Nome do usuário: Nome do usuário que terá permissão para conferir ou modificar 

as informações. 

Tipo de permissão: Permite a escolha do tipo de permissão do usuário. Poderá ter 

acesso de somente leitura dos dados ou de leitura e escrita. 

Nível de segurança: Permite a escolha do tipo de segurança dos dados. Pode-se 

optar por nenhuma autenticação, com autenticação ou autenticação com cifragem. 

Caso a escolha seja com autenticação, as opções Método de autenticação e senha 

de autenticação serão habilitados. Caso a escolha seja autenticação com cifragem, 

as opções Método de cifragem e senha de cifragem serão habilitadas. 

Método de autenticação: Possuem dois métodos de autenticação, um com o 

algoritmo MD5 e o outro com o algoritmo SHA. 

Senha de autenticação: Deve ser informada uma senha para autenticação, com no 

mínimo 8 caracteres. 

Método de encriptação: Possuem dois métodos de cifragem dos dados, um por 

meio do algoritmo DES e o outro por meio do algoritmo AES. 

Senha de encriptação: Deve ser informada uma senha para cifragem, com no 

mínimo 8 caracteres. 

Ramo de acesso: Permite restringir, por meio de sub-árvores, quais os grupos de 

dados/informações que o usuário terá acesso. 


Aba Monitoramento 

Figura 78. Parametros de configuração - Monitoramento. 

Quando utiliza conversão 1-N, ou seja, balanceamento de canal é possível 

configurar o tipo de monitoramento a ser realizado pelo firewall para verificar se as 

máquinas participantes do balanceamento estão no ar. Os parâmetros de 

monitoramento permitem modificar os intervalos de tempo de monitoramento, de 

modo a ajustá-los melhor a cada ambiente. 

Monitoramento via ping 

Esses parâmetros configuram os tempos utilizados pelo firewall para realizar o 

monitoramento via pacotes ICMP Echo Request e Echo Reply. São eles: 

Intervalo de ping: Esse campo define de quantos em quantos segundos, será 

enviado um ping para as máquinas sendo monitoradas. Seu valor pode variar entre 

1 e 60 segundos. 



Tempo limite de resposta: Esse campo define o tempo máximo, em segundos, que 

uma máquina pode permanecer sem responder aos pacotes de ping enviados pelo 

firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos. 


Tempo de ativação: Esse campo define o tempo, em segundos, que o firewall irá 

esperar, após receber um pacote de resposta de uma máquina anteriormente fora 

do ar, até considerá-la novamente ativa. Esse intervalo de tempo é necessário, pois 

normalmente uma máquina responde a pacotes ping antes de estar com todos os 

seus serviços ativos. Seu valor pode variar entre 1 e 60 segundos. 


Monitoramento via http 

Esses parâmetros configuram os tempos utilizados pelo firewall para realizar o 

monitoramento via requisições HTTP. São eles: 

Tempo limite dos pedidos: Esse campo define de quantos em quantos segundos, 

o firewall requisitará a URL especificada pelo administrador para cada máquina 

sendo monitorada. Seu valor pode variar entre 1 e 300 segundos. 


Tempo limite de resposta: Esse campo define o tempo máximo, em segundos, que 

uma máquina sendo monitorada poderá levar para responder à requisição do 

firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 300 segundos. 



Aba Data e Hora 

Figura 79. Parametros de configuração – Data e hora. 

Esta opção permite ao administrador verificar e alterar a data e a hora do firewall. A 

data e hora configuradas corretamente são essenciais para o funcionamento da 

tabela de horário das regras e dos perfis de acesso WWW, das trocas de chaves 

através do protocolo SKIP e dos sistemas de log e eventos. 

Data e hora 

Esta janela consiste de dois campos que mostram o valor da data e hora 

configurado no firewall. Para alterar qualquer um destes valores, basta colocar o 

valor desejado no campo correspondente. Para escolher o mês pode-se utilizar 

as setas de navegação. 

Fuso Horário 

Escolha o fuso horário que mais se aproxima da região aonde o firewall será 

instalado. 

O botão Aplicar alterará a data e hora e manterá a janela aberta. 



O botão Cancelar fechará a janela e descartará as modificações 

efetuadas. 

Servidor NTP (Network Time Protocol) 

Define o servidor de tempo que será utilizado pelo firewall para sincronizar seu 

relógio interno. (Este campo só aparece para o Firewall Box) 


A interface texto de configuração de parâmetros é bastante simples de ser utilizada 

e possui exatamente as mesmas capacidades da interface gráfica. Ela possui, 

entretanto, possibilidades não disponíveis na interface gráfica, de adicionar até três 

máquinas possíveis de administrarem o firewall remotamente, mesmo sem a 

existência de uma regra liberando sua conexão. O objetivo desta funcionalidade é 

permitir que, mesmo que um administrador tenha feito uma configuração 

equivocada que impeça sua conexão, ainda assim ele poderá continuar 

administrando remotamente o firewall. Este parâmetro chama-se end_remoto. 

Localização do programa: /aker/bin/firewall/fwpar 

Sintaxe: 

fwpar - mostra/altera parametros de configuracao 

Uso: 

fwpar [mostra | ajuda] 

fwpar interface_externa 

fwpar [tempo_limite_tcp | tempo_limite_udp] 

fwpar [ip_direcionado] 

fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp] 

fwpar [loga_conversao | loga_syslog] 

fwpar [permanencia_log | permanencia_event | permanencia_stat] 

fwpar [serv_log_remoto ] 

fwpar [add_remoto ] 


fwpar [comunidade_leitura | comunidade_escrita] [nome] 

mostra = mostra a configuracao atual 

ajuda = mostra esta mensagem 

interface_externa = configura o nome da interface externa (conexoes quevierem por 

esta interface nao contam na licenca) 

tempo_limite_tcp = tempo maximo de inatividade para conexoes TCP 

tempo_limite_udp = tempo maximo de inatividade para conexoes UDP 

ip_direcionado = aceita pacotes IP direcionados 

suporte_ftp = habilita suporte ao protocolo FTP 

suporte_real_audio = habilita suporte ao procotolo Real Audio 

suporte_rtsp = habilita suporte ao procotolo RTSP 

loga_conversao = registra mensagens de conversao de endereços 

loga_syslog = envia mensagens de log e eventos para o syslogd 

permanencia_log = tempo de permanencia (dias) dos registros de log 

permanencia_event = tempo de permanencia (dias) dos registris de eventos; 

permanencia_stat = tempo de permanencia (dias) das estatísticas; 

serv_log_remoto = servidor de log remoto (nome da entidade); 

end_remoto = endereco dos tres controladores remotos; 

comunidade_leitura = nome da comunidade de leitura para SNMP 

comunidade_escrita = nome da comunidade de escrita para SNMP 

Exemplo 1: (visualizando a configuração) 

# fwpar mostra Parametros globais: 

------------------- 

tempo_limite_tcp : 900 segundos 

tempo_limite_udp : 180 segundos 

interface_externa : lnc0 


Parametros de seguranca: 

------------------------ 

ip_direcionado : não 

suporte_ftp 

: sim 

suporte_real_audio: sim 

suporte_rtsp 

: sim 

end_remoto : 1) 10.0.0.1 2) 10.0.0.2 3)10.0.0.3 

Parametros de configuracao de log: 

---------------------------------- 

loga_conversao : não 

loga_syslog 

: não 

permanencia_log : 7 dias 

permanencia_event : 7 dias 

permanencia_stat : 7 dias 

Parametros de configuracao de SNMP: 

----------------------------------- 

comunidade_leitura: 

comunidade_escrita: 

Exemplo 2: (habilitando pacotes IP direcionados) 

#/aker/bin/firewall/fwpar ip_direcionado sim 

Exemplo 3: (configurando o nome da comunidade de leitura SNMP) 

#/aker/bin/firewall/fwpar comunidade_leitura public 

Exemplo 4: (apagando o nome da comunidade de escrita SNMP) 

#/aker/bin/firewall/fwpar comunidade_escrita 


Cadastrando Entidades 


6. Cadastrando Entidades 

Este capítulo mostrará o que são, para que servem e como cadastrar entidades no 


6.1. Planejando a instalação 

O que são e para que servem as entidades? 

Entidades são representações de objetos do mundo real para o Aker Firewall. 

Através delas, pode-se representar máquinas, redes, serviços a serem 

disponibilizados, entre outros. 

A principal vantagem da utilização de entidades para representar objetos reais é que 

a partir do momento em que são definidas no Firewall, elas podem ser referenciadas 

como se fossem os próprios objetos, propiciando uma maior facilidade de 

configuração e operação. Todas as alterações feitas em uma entidade serão 

automaticamente propagadas para todos os locais onde ela é referenciada. 

Pode-se definir, por exemplo, uma máquina chamada de Servidor WWW, com o 

endereço IP de 10.0.0.1. A partir deste momento, não é mais necessário se 

preocupar com este endereço IP. Em qualquer ponto onde seja necessário 

referenciar esta máquina, a referência será feita pelo nome. Caso futuramente seja 

necessário alterar seu endereço IP, basta alterar a definição da própria entidade que 

o sistema automaticamente propagará esta alteração para todas as suas 

referências. 

Definindo entidades 

Antes de explicar como cadastrar entidades no Aker Firewall é necessária uma 

breve explicação sobre os tipos de entidades possíveis e o que caracteriza cada 

uma delas. 

Existem 9 tipos diferentes de entidades no Aker Firewall: máquinas, máquinas IPv6, 

redes, redes IPv6, conjuntos, conjuntos IPv6, serviços, autenticadores e interfaces. 

As entidades do tipo máquina e rede, como o próprio nome já diz, representam 

respectivamente máquinas individuais e redes. Entidades do tipo conjunto 

representam uma coleção de máquinas e redes, em qualquer número. Entidades do 

tipo serviço representam um serviço a ser disponibilizado através de um protocolo 

qualquer que rode em cima do IP. Entidades do tipo autenticador representam um 

tipo especial de máquina que pode ser utilizada para realizar autenticação de 


usuários e as entidades do tipo interface, representam uma interface de rede do 

firewall. 

Por definição, o protocolo IP, exige que cada máquina possua um endereço 

diferente. Normalmente estes endereços são representados da forma byte a byte, 

como por exemplo, 172.16.17.3. Desta forma, pode-se caracterizar unicamente uma 

máquina em qualquer rede IP, incluindo a Internet, com apenas seu endereço. 

Para definir uma rede deve-se utilizar uma máscara além do endereço IP. A 

máscara serve para definir quais bits do endereço IP serão utilizados para 

representar a rede (bits com valor 1) e quais serão utilizados para representar as 

máquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas 

máquinas podem assumir os endereços IP de 192.168.0.1 a 192.168.0.254, deve-se 

colocar como rede o valor 192.168.0.0 e como máscara o valor 255.255.255.0. Esta 

máscara significa que os 3 primeiros bytes serão usados para representar a rede e 

o último byte será usado para representar a máquina. 

Para verificar se uma máquina pertence a uma determinada rede, basta fazer um E 

lógico da máscara da rede, com o endereço desejado e comparar com o E lógico do 

endereço da rede com sua máscara. Se eles forem iguais, a máquina pertence à 

rede, se forem diferentes não pertence. Vejamos dois exemplos: 

Suponha que desejamos verificar se a máquina 10.1.1.2 pertence à rede 10.1.0.0, 

máscara 255.255.0.0. Temos: 

10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede) 

10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereço) 

Temos então que os dois endereços são iguais após a aplicação da máscara, 

portanto a máquina 10.1.1.2 pertence à rede 10.1.0.0. 

Suponha agora que desejamos saber se a máquina 172.16.17.4 pertence à rede 

172.17.0.0, máscara 255.255.0.0. Temos: 

172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede) 

172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereço) 

Como os endereços finais são diferentes, temos que a máquina 172.16.17.4 não 

pertence à rede 172.17.0.0 

Caso seja necessário definir uma rede onde qualquer máquina seja considerada 

como pertencente a ela (ou para especificar qualquer máquina da Internet), deve-se 

colocar como endereço IP desta rede o valor 0.0.0.0 e como máscara o valor 

0.0.0.0. Isto é bastante útil na hora de disponibilizar serviços públicos, onde todas as 

máquinas da Internet terão acesso. 


Toda a vez que ocorre uma comunicação entre duas máquinas, usando o protocolo 

IP, estão envolvidos não apenas os endereços de origem e destino, mas também 

um protocolo de nível mais alto (nível de transporte) e algum outro dado que 

identifique a comunicação unicamente. No caso dos protocolos TCP e UDP (que 

são os dois mais utilizados sobre o IP), uma comunicação é identificada por dois 

números: a Porta Origem e a Porta Destino. 

A porta destino é um número fixo que está associado, geralmente, a um serviço 

único. Assim, temos que o serviço Telnet está associado com o protocolo TCP na 

porta 23, o serviço FTP com o protocolo TCP na porta 21 e o serviço SNMP com o 

protocolo UDP na porta 161, por exemplo. 

A porta origem é um número seqüencial escolhido pelo cliente de modo a 

possibilitar que exista mais de uma sessão ativa de um mesmo serviço em um dado 

instante. Assim, uma comunicação completa nos protocolos TCP e UDP pode ser 

representada da seguinte forma: 

10.0.0.1 1024 10.4.1.2 23 TCP 

Endereço origem Porta origem Endereço destino Porta destino Protocolo 

Para um firewall, a porta de origem não é importante, uma vez que ela é randômica. 

Devido a isso, quando se define um serviço, leva-se em consideração apenas a 

porta de destino. 

Além dos protocolos TCP e UDP existem outro protocolo importante: o ICMP. Este 

protocolo é utilizado pelo próprio IP para enviar mensagens de controle, informar 

sobre erros e testar a conectividade de uma rede. 

O protocolo ICMP não utiliza o conceito de portas. Ele usa um número que varia de 

0 a 255 para indicar um Tipo de Serviço. Como o tipo de serviço caracteriza 

unicamente um serviço entre duas máquinas, ele pode ser usado como se fosse a 

porta destino dos protocolos, TCP e UDP, na hora de definir um serviço. 

Por último, existem outros protocolos que podem rodar sobre o protocolo IP e que 

não são TCP, UDP ou ICMP. Cada um destes protocolos tem formas próprias para 

definir uma comunicação e nenhum deles é utilizado por um grande número de 

máquinas. Ainda assim, o Aker Firewall optou por adicionar suporte para possibilitar 

ao administrador o controle sobre quais destes protocolos podem ou não passar 

através do firewall. 

Para entender como isso é feito, basta saber que cada protocolo tem um número 

único que o identifica para o protocolo IP. Este número varia de 0 a 255. Desta 

forma, podemos definir serviços para outros protocolos usando o número do 

protocolo como identificação do serviço. 


O que é Qualidade de Serviço (QoS) 

A qualidade de serviço pode ser compreendida de duas formas: do ponto de vista 

da aplicação ou da rede. 

Para uma aplicação oferecer seus serviços com qualidade, tem que atender às 

expectativas do usuário em relação ao tempo de resposta e da qualidade do serviço 

que está sendo provido. Por exemplo, no caso de uma aplicação de vídeo, 

fidelidade adequada do som e/ou da imagem sem ruídos nem congelamentos. 

A qualidade de serviço da rede depende das necessidades da aplicação, ou seja, do 

que ela requisita da rede a fim de que funcione bem e atenda, por sua vez, às 

necessidades do usuário. Estes requisitos são traduzidos em parâmetros 

indicadores do desempenho da rede como, por exemplo, o atraso máximo sofrido 

pelo tráfego da aplicação entre o computador origem e destino. 

O Aker Firewall implementa um mecanismo com o qual é possível definir uma banda 

máxima de tráfego para determinadas aplicações. Através de seu uso, 

determinadas aplicações que tradicionalmente consomem muita banda, podem ter 

seu uso controlado. As entidades do tipo Canal são utilizadas para este fim e serão 

explicadas logo abaixo. 

6.2. Cadastrando entidades utilizando a interface gráfica 

Para ter acesso à janela de cadastro de entidades deve-se: 

Clicar no menu Configuração do Firewall da janela do firewall que se quer 

administrar; 

Selecionar o item Entidades (a janela será mostrada abaixo da janela com os menus 

de configuração dos firewalls). 


A janela de cadastro de entidades 

Figura 80. Janela de entidades (Aker Firewall). 

Figura 81. Entidades (Instância Aker Firewall). 


A janela de cadastro de entidades é onde são cadastradas todas as entidades do 

Aker Firewall, independente do seu tipo. Esta janela, por ser constantemente 

utilizada em praticamente todas as demais configurações do firewall, normalmente é 

mostrada sempre aberta na horizontal, abaixo da janela com os menus de 

configuração de cada firewall. 

Dica: Possui uma janela única para todos os firewalls abertos. A janela continuará a 

mesma, só mudará o conteúdo que será referente ao firewall selecionado. Os 

tipos de entidades mais usados são os únicos apresentados na aba. As entidades 

menos utilizadas aparecem no menu. 

Dica: É possível posicionar a janela de entidades como se fosse uma janela 

comum, bastando para isso clicar sobre sua barra de título e arrastá-la para a 

posição desejada. 

Dica: Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia, 

deve-se clicar em cima da aba que fica na parte inferior da janela. 

Nesta janela estão desenhados oito ícones, em forma de árvore, que representam 

os oito tipos de entidades possíveis de serem criados. 

Dica: Para visualizar as entidades criadas é só clicar no sinal de '+' e as entidades 

ficarão listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a 

entidade que se deseja visualizar. 

Para cadastrar uma nova entidade, deve-se proceder da seguinte forma: 

1. Clicar uma vez no ícone correspondente à entidade do tipo que deseja criar com 

o botão direito do mouse e selecionar a opção Inserir no menu pop-up 

ou 

2. Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a 

tecla Insert. 

Para editar ou excluir uma entidade, deve-se proceder da seguinte forma: 

1. Selecionar a entidade a ser editada ou excluída (se necessário, expande-se a 

lista do tipo de entidade correspondente); 

2. Clicar com o botão direito do mouse e selecionar a opção Editar ou Apagar, 

respectivamente, no menu pop-up que aparecer; 

3. Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a 

tecla Delete. 

No caso das opções Editar ou Incluir, aparecerá a janela de edição de parâmetros 

da entidade a ser editada ou incluída. Esta janela será diferente para cada um dos 

tipos possíveis de entidades. 


O ícone , localizado na parte inferior da janela aciona o assistente de 

cadastramento de entidades que será descrito no final deste capítulo. 

Incluindo / editando máquinas 

Figura 82. Cadastro de entidade Tipo Máquina. 

Para cadastrar uma entidade do tipo máquina deve-se preencher os seguintes 

campos: 

Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. É 

possível especificar este nome manualmente ou deixar que ele seja atribuído 

automaticamente. A opção Automático permite escolher entre estes dois modos de 

operação: caso ela esteja marcada, a atribuição será automática, caso contrário, 

manual. 

Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das 

entidades. Desta forma, é possível a existência de várias entidades compostas de 

nomes com as mesmas letras, porém com combinações distintas de maiúsculas e 

minúsculas. As entidades Aker, AKER e aker são, portanto, consideradas 

diferentes. 

Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Para 

alterá-lo, basta clicar sobre o desenho do ícone atual. O Firewall então mostrará 

uma lista com todos os possíveis ícones para representar máquinas. Para escolher 

entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo 

após ver a lista, basta clicar no botão Cancelar. 

Endereço IP: É o endereço IP da máquina a ser criada. 

Após todos os campos estarem preenchidos, deve-se clicar no botão OK para 

realizar a inclusão ou alteração da máquina. Para cancelar as inclusões ou 

alterações realizadas deve pressionar o botão Cancelar. 


Para facilitar a inclusão de várias máquinas seguidamente, existe um botão 

chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este 

botão fará com que a máquina inclua os dados preenchidos e mantenha aberta a 

janela de inclusão de máquinas onde estará pronta para uma nova inclusão. Desta 

forma é possível cadastrar rapidamente um grande número de máquinas. 

Incluindo / editando servidor IPv6 

Figura 83. Cadastro de entidade Tipo Máquina IPv6. 

Para cadastrar uma entidade do tipo máquina IPv6 deve-se preencher os seguintes 

campos: 

Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. É 




manual. 




minúsculas. As entidades Aker, AKER e aker são, portanto, consideradas 

diferentes. 

Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Para 

alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostrará uma 

lista com todos os possíveis ícones para representar máquinas. Para escolher entre 

eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após 

ver a lista, basta clicar no botão Cancelar. 

Endereço IPv6 : É o endereço IPv6 da máquina a ser criada. 



realizar a inclusão ou alteração da máquina. Para cancelar as inclusões ou 

alterações realizadas deve pressionar o botão Cancelar. 

Para facilitar a inclusão de várias máquinas seguidamente, existe um botão 


botão fará com que a máquina inclua os dados preenchidos e mantenha aberta a 

janela de inclusão de máquinas onde estará pronta para uma nova inclusão. Desta 

forma, é possível cadastrar rapidamente um grande número de máquinas. 

A ampliação de 32 bits do endereço IPv4 para 128 bits no endereço IPv6 é uma 

das mais importantes características do novo protocolo. É um imenso espaço de 

endereçamento, com um número difícil de ser apresentado (2 elevado a 128), 

porque são milhares de bilhões de endereços. O IPv6 acaba ainda com as classes 

de endereços e possibilita um método mais simples de auto-configuração. 

A notação mais usual que o endereço IPv6 é representado é x:x:x:x:x:x:x:x, onde os 

"x" são números hexadecimais, ou seja, o endereço é dividido em oito partes de 16 

bits, como no seguinte exemplo: 1080:0:0:0:8:800:200C:417A 

Incluindo / editando redes 

Figura 84. Inclusão e edição de redes. 

Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos: 

Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possível 

especificar este nome manualmente ou deixar que ele seja atribuído 



manual. 





minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. 

Ícone: É o ícone que aparecerá associado à rede em todas as referências. Para 

alterá-lo deve clicar sobre o desenho do ícone atual. O firewall então mostrará uma 

lista com todos os possíveis ícones para representar redes. Para escolher entre eles 

tem que clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver 

a lista, basta clicar no botão Cancelar. 

Endereço IP: É o endereço IP da rede a ser criada. 

Máscara de Rede: Define quais bits do endereço IP serão utilizados para 

representar a rede (bits com valor 1) e quais serão utilizados para representar as 

máquinas dentro da rede (bits com valor 0) 

Intervalo: Este campo mostra a faixa de endereço IP a que pertence a rede e 

realiza uma crítica quanto a máscara que está sendo cadastrada, ou seja não 

permite cadastramento de máscaras erradas. 

Após estarem todos os campos preenchidos, deve-se clicar no botão OK para 

realizar a inclusão ou alteração da rede. Para cancelar as alterações realizadas ou a 

inclusão, deve-se pressionar o botão Cancelar. 

Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado 

Nova (que não estará habilitado durante uma edição). Ao clicar neste botão fará 

com que sejam incluídos os dados preenchidos e manterá aberta a janela de 

inclusão de redes onde estará pronta para uma nova inclusão. Desta forma é 

possível cadastrar rapidamente um grande número de redes. 

Incluindo / editando redes IPv6 

Figura 85. Inclusão e edição de redes IPv6. 


Para cadastrar uma entidade do tipo rede IPv6 deve-se preencher os seguintes 

campos: 

Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possível 

especificar este nome manualmente ou deixar que ele seja atribuído 



manual. 





Ícone: É o ícone que aparecerá associado à rede em todas as referências. Para 

alterá-lo deve clicar sobre o desenho do ícone atual. O firewall então mostrará uma 

lista com todos os possíveis ícones para representar redes. Para escolher entre eles 

tem que clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver 

a lista, basta clicar no botão Cancelar. 

Endereço IPv6: É o endereço IPv6 da rede a ser criada. 

Tamanho do prefixo da sub-rede : Define quais bits do endereço IP serão 

utilizados para representar a rede. 

Após estarem todos os campos preenchidos, deve-se clicar no botão OK para 

realizar a inclusão ou alteração da rede. Para cancelar as alterações realizadas ou a 

inclusão, deve-se pressionar o botão Cancelar. 

Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado 

Nova (que não estará habilitado durante uma edição). Ao clicar neste botão fará 

com que sejam incluídos os dados preenchidos e manterá aberta a janela de 

inclusão de redes onde estará pronta para uma nova inclusão. Desta forma é 

possível cadastrar rapidamente um grande número de redes. 


Incluindo / editando conjuntos 

Figura 86. Inclusão e edição de conjuntos. 

Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes 

campos: 

Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. É 



operação: caso ela esteja marcada, a atribuição será automática se não, manual. 





Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências. 

Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então 

mostrará uma lista com todos os possíveis ícones para representar conjuntos. Para 

escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira 

alterá-lo após ver a lista, basta clicar no botão Cancelar. 


Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais 

máquinas e redes farão parte do mesmo. Abaixo estão os passos que deverão ser 

seguidos. 

1. Clicar com o botão direito do mouse no campo em branco e selecionar a opção 

Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes 

sobre ela ou clicando uma vez e logo abaixo em Adicionar). 

ou 

2. Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-la 

dentro da janela de entidades do conjunto. 

Figura 87. Adição de entidades. 

Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinte 

forma: 

1. Clicar com o botão direito do mouse sobre a entidade a ser removida e 

selecionar a opção Remover, ou, 


2. Clicar na máquina ou rede a ser removida e pressionar a tecla Delete. 

Após todos os campos estarem preenchidos e todas as redes e máquinas que 

devem fazer parte do conjunto selecionadas, deve-se clicar no botão OK para 

realizar a inclusão ou alteração do conjunto. Para cancelar as alterações realizadas 

ou a inclusão, deve-se pressionar o botão Cancelar. 

Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão 


botão fará com que o conjunto cujos dados foram preenchidos seja incluído e a 

janela de inclusão de conjuntos mantida aberta, pronta para uma nova inclusão. 

Desta forma é possível cadastrar rapidamente um grande número de conjuntos. 

Editando conjuntos - IPv6 

Figura 88. Edição de conjuntos IPv6. 

Para cadastrar uma entidade do tipo conjunto IPv6 deve-se preencher os seguintes 

campos: 

Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. É 



operação: caso ela esteja marcada, a atribuição será automática se não, manual. 






Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências. 


mostrará uma lista com todos os possíveis ícones para representar conjuntos. Para 



Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais 

máquinas e redes farão parte do mesmo. Abaixo estão os passos que deverão ser 

seguidos. 

1. Clicar com o botão direito do mouse no campo em branco e selecionar a 

opção Adicionar Entidades (a entidade pode ser adicionada clicando-se 

duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar). 

ou 

2. Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-la 

dentro da janela de entidades do conjunto. 

Figura 89. Edição de conjuntos IPv6 (entidades a ser adicionada). 


Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinte 

forma: 

1. Clicar com o botão direito do mouse sobre a entidade a ser removida e 

selecionar a opção Remover. 

ou 

2. Clicar na máquina ou rede a ser removida e pressionar a tecla Delete. 

Após todos os campos estarem preenchidos e todas as redes e máquinas que 

devem fazer parte do conjunto selecionadas, deve-se clicar no botão OK para 

realizar a inclusão ou alteração do conjunto. Para cancelar as alterações realizadas 


Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão 


botão fará com que o conjunto cujos dados foram preenchidos seja incluído e a 

janela de inclusão de conjuntos mantida aberta, pronta para uma nova inclusão. 

Desta forma é possível cadastrar rapidamente um grande número de conjuntos. 

Incluindo/Editando lista de categorias 

Figura 90. Inclusão e edição das listas de categorias. 


Para definir uma lista de categorias é necessário proceder da seguinte forma: 

Selecionar a opção Automático, caso queira atribuir um nome padrão a lista. 

Preencher o campo nome, onde pode definir um nome específico para a lista de 

categorias. 

O botão Atualizar permite buscar as categorias no firewall caso tenha havido 

alguma 

atualização. 

Ao selecionar a opção Tentar recuperar categorias pelo critério nome quando o 

Analisador de Contexto for trocado, permite identificar as categorias pelos nomes 

que foram cadastradas, pois ao trocar o analisador de contexto muitas categorias 

podem ser perdidas. 

Incluindo/Editando lista de padrões de busca 

Figura 91. Inclusão e edição dos padrões de buscas. 

Para definir um padrão de pesquisa é necessário proceder da seguinte forma: 

Selecionar a opção Automático, caso queira atribuir um nome padrão ao tipo de 

pesquisa. 

Preencher o campo nome, onde pode definir um nome específico para a pesquisa. 

Os campos Padrão e Texto permitem definir qual será a string ou os parâmetros 

que serão pesquisados na URL acessada e qual operação a ser efetuada. 


Incluindo/Editando lista de quotas 

Figura 92. Inclusão e edição de quotas. 

Esta janela permite definir, vários tipos de quotas de acesso do usuário à rede. 

Para criar uma quota pode-se selecionar a opção Automático para que seja 

atribuído um nome padrão ao tipo de quota a ser definido ou então preencher o 

campo nome, onde pode atribuir um nome específico para a lista de quotas. 

A opção Tipo da Quota permite escolher se a quota definida será atribuída 

diariamente, semanalmente ou mensalmente. Ao marcar qual o tipo de quota 

desejada, pode associar a ela a checagem de tempo de acesso e/ou de volume de 

dados. 

A checagem de tempo pode ser definida em dias e/ou horas. Por exemplo, 

diariamente só vai ser liberado 3 horas de acesso à internet, ou semanalmente 3 

dias ou até mesmo semanalmente liberado 7 dias. 

Observação 1: A contagem de tempo funciona da seguinte forma: quando o usuário 

acessa uma página, conta um relógio de 31 segundos, se o usuário acessar uma 

outra página, começa a contar do zero, mas não deixar de contar, por exemplo, os 

10 segundos que o usuário gastou ao acessar a página anterior. 

Observação 2: Para o consumo de quota, funciona da seguinte forma: no MSN, 

para cada janela de conversação, o tempo é contado separadamente, já na WEB 

ser tiver acessando 10 sites, será contado somente o tempo de uma. 


Incluindo / Editando agentes externos 

Agentes externos são utilizados para a definição de programas complementares ao 

Aker Firewall. São responsáveis por funções específicas que podem estar rodando 

em máquinas distintas. Quando houver necessidade de realização de uma 

determinada tarefa por um dos agentes externos, ou vice-versa, o firewall se 

comunicará com eles e requisitará sua execução. 

Figura 93. Inclusão e edição de agentes externos. 

Existem 10 diferentes tipos de agentes externos, cada um responsável por um tipo 

distinto de tarefas: 

Autenticadores 

Os agentes de autenticação são utilizados para fazer a autenticação de usuários no 

firewall utilizando usuarios/senhas de bases de dados de diversos sistemas 

operacionais (Windows NT, Linux, etc). 

Autoridades certificadoras 

Autoridades certificadoras são utilizadas para fazer autenticação de usuários 

através de PKI, com o uso de Smart Cards e para autenticação de firewalls com 

criptografia IPSEC. 

Autenticadores Token 

Os autenticadores token são utilizados para fazer autenticação de usuários no 

firewall utilizando SecurID (R) , Alladin e outros. 


Agentes IDS 

Os agentes IDS (Intrusion Detection Systems - Sistemas detectores de intrusão) são 

sistemas que ficam monitorando a rede em tempo real procurando por padrões 

conhecidos de ataques ou abusos. Ao detectar uma destas ameaças, ele pode 

incluir uma regra no firewall que bloqueará imediatamente o acesso do atacante. 

Módulos de Antivirus 

Os agentes anti-vírus são utilizados pelo proxy SMTP, POP3 e Filtro Web para 

realizarem a checagem e a desinfecção de virus de forma transparente em e-mails e 

nos downloads FTP e HTTP. 

Analisadores de contexto 

Os analisadores de contexto são utilizados pelo Filtro Web para controlar o acesso a 

URLs baseados em diversas categorias pré-configuradas. 

Servidores remotos de log 

Os servidores de log remoto são utilizados pelo firewall para enviar o log para 

armazenamento em uma máquina remota. 

Autenticador Radius 

O autenticador Radius é utilizado para fazer autenticação de usuários no firewall a 

partir de uma base Radius. 

Autenticadores LDAP 

O autenticador LDAP permite ao firewall autenticar usuário usando uma base LDAP 

compatível com o protocolo X500. 

Spam Meters 

Os servidores do spam meter são utilizados pelo firewall para classificar e-mails e 

definir quais deles serão considerados SPAM. 

É possível a instalação de diversos agentes externos em uma mesma máquina, 

desde que sejam distintos. 

Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo 

o diretório de Agentes Externos. Independemente de seu sub-tipo, todos os agentes 

externos possuem os seguintes campos (os demais campos serão então 

modificados de acordo com o tipo do agente a ser cadastrado): 

Nome: É o nome pelo qual o agente será sempre referenciado pelo firewall. É 





manual. 





Ícone: É o ícone que aparecerá associado ao agente em todas as referências. Para 


lista com todos os possíveis ícones para representar agentes do sub-tipo 

selecionado. Para escolher entre eles basta clicar no ícone desejado e no botão OK. 

Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. 

Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token, é 

necessário preencher os seguintes campos adicionais: 

Figura 94. Cadastro de um agente externo tipo autenticador ou autenticador Token. 

IP: É o endereço IP da máquina onde o agente está rodando. 

Backup 1 e Backup 2: Estes campos permitem com que seja especificado até dois 

endereços de outras máquinas que também estarão rodando o agente e que 

servirão como backup no caso de quedas da máquina principal. 

A máquina principal e as de backup deverão compartilhar uma mesma base de 

usuários, ou seja, elas deverão ser controladoras de domínio primárias e de backup 


(PDCs e BDCs), no caso de redes Windows, ou várias máquinas Unix utilizando 

NIS. 

Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia 

usadas na comunicação com o agente. Esta senha deverá ser igual a configurada 

no agente. Para maiores informações, veja o capítulo intitulado: Trabalhando com 

proxies. 

Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada 

corretamente. Deve-se digitá-la exatamente como no campo Senha. 

Tempo limite do cache: Todas as vezes que é realizada uma autenticação com 

sucesso, o firewall mantém em memória os dados recebidos do usuário e do 

agente. Nas autenticações seguintes, o firewall possui todos os dados necessários e 

não mais precisa consultar o agente. Isso permite um grande ganho de 

performance. 

Este parâmetro permite definir em segundos o tempo em que o firewall deve manter 

as informações de autenticação em memória. Para maiores informações, veja o 

capítulo intitulado: Trabalhando com proxies. 

Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-se 

preencher os seguintes campos adicionais: 

Figura 95. Cadastro de um agente externo tipo Autoridade Certificadora. 


Localização da publicação da lista de certificados revogados (CRL): É a URL 

da qual será baixada a lista de certificados revogados da CA (CRL). Esta URL deve 

ser obrigatoriamente do protocolo HTTP e deve ser especificada sem o http:// na 

sua frente. 

O botão Importar certificado raiz permite carregar o certificado root da CA no 

firewall. Ao ser clicado, a interface abrirá uma janela para que especificar o nome do 

arquivo com o certificado a ser importado. 

É necessário importar um certificado raiz para cada Autoridade Certificadora 

criada, caso contrário não será possível autenticar usuários por meio dela. 

O Campo Pseudo-grupos permite definir grupos para usuários que se autenticarem 

por meio da autoridade certificadora, da mesma forma como define grupos em um 

sistema operacional. Desta maneira, é possível criar pseudo-grupos que 

representem todos os usuários de uma determinada empresa, departamento, 

cidade, etc. Após serem criados os pseudo-grupos, eles podem ser associados a 

perfis de acesso, da mesma forma como se faz com grupos de autenticadores ou 

autenticadores token. 

Clicando com o botão direito podemos selecionar as seguintes opções: 

Inserir: Esta opção permite incluir um novo pseudo-grupo; 

Excluir: Esta opção remove da lista o pseudo-grupo selecionado.; 

Editar: Esta opção abre a janela de edição para o pseudo-grupo selecionado; 

Ao clicar no botão Inserir ou Editar, a seguinte janela será mostrada: 


Figura 96. Definição de Pseudo-Grupos para usuários que se autenticarem por meio de autoridade 

certificadora. 

Nome: Campo de preenchimento obrigatório é o campo que, indicará o nome pelo 

qual o pseudo-grupo será referenciado pelo firewall. Os demais campos 

representam dados que serão comparados com os dados presentes no certificado 

X509 de cada usuário autenticado. Se um determinado campo estiver em branco 

então qualquer valor será aceito no campo correspondente do certificado, se não 

apenas certificados que possuírem o campo igual ao valor informado serão 

considerados como parte do grupo. 

Domínio: Nome da pessoa certificada; 

E-mail: Endereço de e-mail da pessoa certificada; 

Empresa: Nome da empresa onde trabalha a pessoa certificada ; 

Departamento: Departamento dentro da empresa onde trabalha a pessoa 

certificada; 

Cidade: Cidade onde se localiza a empresa onde trabalha a pessoa certificada; 

Estado: Estado onde se localiza a empresa onde trabalha a pessoa certificada; 

País: País onde se localiza a empresa onde trabalha a pessoa certificada; 

Os campos: Domínio, E-mail, Empresa, Departamento, Cidade, Estado e País se 

referem a pessoa que o certificado foi emitido. 


Para que um usuário autenticado através da autoridade certificadora seja 

considerado como membro de um pseudo-grupo, todos os campos de seu 

certificado X509 devem ser iguais aos valores dos campos correspondentes do 

pseudo-grupo. Campos em branco de um pseudo-grupo são ignorados na 

comparação e, portanto, quaisquer valores do certificado para estes campos serão 

aceitos. 

Para cadastrar um agente externo do tipo Agente IDS, Analisador de contexto, 

Anti-vírus, Spam Meter ou Servidor de Log Remoto, deve-se preencher os 

seguintes campos adicionais: 

Figura 97. Cadastro de agente externo tipo Agente IDS. 

Figura 98. Cadastro de agente externo tipo Analisador de texto. 


Figura 99. Cadastro de agente externo tipo Módulo de Antivírus. 

Figura 100. Cadastro de agente externo tipo Spam Meter. 


Figura 101. Cadastro de agente externo Servidor Remoto. 


Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de 

outras máquinas que também estarão rodando o agente e que servirão como 

backup no caso de quedas da máquina principal. 


usadas na comunicação com o agente. Esta senha deve ser igual à configurada no 

agente. 

Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada 

corretamente. Deve-se digitá-la exatamente como no campo Senha. 

Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher 

os seguintes campos: 


Figura 102. Cadastro de agente externo Autenticador LDAP. 


Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de 

outras máquinas que também estarão rodando o servidor LDAP e que servirão 

como backup no caso de quedas da máquina principal. 

Tempo limite da cache: Todas as vezes que uma autenticação é realizada com 




performance. 

Este parâmetro permite definir em segundos o tempo que o firewall deve manter as 

informações de autenticação em memória. Para maiores informações, veja o 

capítulo intitulado Trabalhando com proxies. 

Configurações LDAP: Neste conjunto de campos deve-se especificar as 

configurações do servidor LDAP que será utilizado para a realização das 

autenticações. A descrição de cada campo pode ser vista a seguir: 


DN Root de conexão: DN do usuário utilizado pelo firewall para as consultas; 

Senha Root de conexão: a senha deste usuário; 

DN Base: DN para começar a busca; 

ObjectClass da Conta: valor de objectclass que identifica objetos de contas 

válidas; 

Atributo nome do usuário: o atributo onde encontra o nome do usuário; 

Atributo senha: o atributo onde se encontra a senha do usuário; 

Atributo grupo: o atributo onde se encontra o grupo do usuário; 

Permitir senha em branco: permite senhas em branco para o usuário quando 

marcado; 

Usar a versão 3 do protocolo LDAP: Habilita a o uso da versão 3 do protocolo 

LDAP; 

Ignorar maiúsculas e minúsculas na comparação: Permite que maiúsculas e 

minúsculas na comparação sejam equivalentes; 

Método de Autenticação: Este campo especifica se o firewall deve buscar a senha 

ou deve se conectar na base LDAP com as credenciais do usuário para validá-lo; 

Conectar utilizando as credencias do usuário: Permite ao usuário autenticar-se 

utilizando suas credenciais. 

Hash (RFC2307): Permite atenticação pelo modo Hash (RFC2307); 

Adicionar DN Base ao nome do usuário: Permite adicionar DN Base ao nome do 

usuário na autenticação; 

Conexão LDAP segura: Este campo especifica se a conexão ao servidor LDAP 

será encriptada ou não. Ele consiste das seguintes opções: 

SSL: especifica que o firewall usará conexão encriptada via SSL; 

TLS: especifica que o firewall usará conexão encriptada via TLS; 

Nenhuma: especifica que o firewall não usará criptografia ao se conectar ao 

servidor LDAP; 

Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencher 

os seguintes campos adicionais: 


Figura 103. Cadastro de agente externo Autenticador Radius. 


Porta: Número da porta onde o servidor RADIUS estará escutando as requisições 

de autenticação. 

1º Backup: Este campo permite com que se especifique outra máquina que também 

estará rodando o servidor RADIUS e que servirá como backup no caso de queda 

da máquina principal. 

Segredo: É o segredo compartilhado utilizado no servidor RADIUS. 

Confirmação: Este campo é utilizado apenas para se verificar se o segredo foi 

digitado corretamente. Deve-se digitá-lo exatamente como no campo Segredo. 

Tempo limite do cache: Todas as vezes que é realizado uma autenticação com 




performance. 

Este parâmetro permite definir o tempo, em segundos, que o firewall deve manter as 

informações de autenticação em memória. Para maiores informações, veja o 

capítulo intitulado Trabalhando com proxies. 

Usuários: Este campo serve para que se possa cadastrar e posteriormente 

associar usuários específicos RADIUS com perfis de acesso do firewall, uma vez 

que com este protocolo não é possível para o firewall conseguir a lista completa de 


usuários. Somente é necessário realizar o cadastramento dos usuários que queira 

se associar com perfis específicos. 

Grupos: Este campo serve para cadastrar e posteriormente associar grupos 

específicos RADIUS com perfis de acesso do firewall, uma vez que com este 

protocolo não é possível para o firewall conseguir a lista completa de grupos. 

Somente é necessário realizar o cadastramento dos grupos que quer associar com 

perfis específicos. 

Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo 

firewall que pode ser utilizado para a associação de usuários RADIUS com um perfil 

de acesso específico. Todos os usuários autenticados em um determinado servidor 

RADIUS são considerados como pertencentes a este grupo. Desta forma, caso 

queira utilizar um único perfil de acesso para todos os usuários, não é necessário o 

cadastramento de nenhum usuário e/ou grupo. 


realizar a inclusão ou alteração do agente externo. Para cancelar as alterações 

realizadas ou a inclusão, deve-se pressionar o botão Cancelar. 

Para facilitar a inclusão de vários agentes seguidamente, existe um botão chamado 

Nova (que não estará habilitado durante uma edição). Ao clicar, neste botão fará 

com que o dados preenchidos do agente, sejam incluídos e a janela de inclusão de 

agentes mantida aberta, pronta para uma nova inclusão. Desta forma é possível 

cadastrar rapidamente um grande número de agentes. 

Incluindo / editando serviços 

Figura 104. Inclusão e edição de serviços. 


Para cadastrar uma entidade do tipo serviço deve-se preencher os seguintes 

campos: 

Nome: É o nome pelo qual o serviço será sempre referenciado pelo firewall. É 




manual. 





Ícone: É o ícone que aparecerá associado ao serviço em todas as referências. Para 

alterá-lo, deve-se clicar sobre o desenho do ícone atual. O firewall então mostrará 

uma lista com todos os possíveis ícones para representar serviços. Para escolher 

entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo 


Protocolo: É o protocolo associado ao serviço. (TCP, UDP, ICMP ou OUTROS) 

Serviço: É o número que identifica o serviço. No caso dos protocolos TCP e UDP, 

este número é a porta destino. No caso de ICMP é o tipo de serviço e no caso de 

outros protocolos é o número do protocolo. Para cada protocolo, o firewall possui 

uma lista dos valores mais comuns associados a ele, de modo a facilitar a criação 

do serviço. Entretanto, é possível colocar valores que não façam parte da lista, 

simplesmente digitando-os neste campo. 

Caso queira especificar uma faixa de valores, ao invés de um único valor, deve-se 

clicar no botão ao lado dos nomes De e Para e especificar o menor valor da faixa 

em De e o maior em Para. Todos os valores compreendidos entre estes dois, 

inclusive, serão considerados como fazendo parte do serviço. 

Proxy: Este campo só se encontra habilitado para os protocolos TCP e UDP e 

permite especificar se a conexão que se enquadrar neste serviço, será 

automaticamente desviada para um dos proxies transparentes do Firewall Aker ou 

não. O valor padrão é Sem Proxy, que significa que a conexão não deve ser 

desviada para nenhum proxy. Quando o protocolo TCP está selecionado, as outras 

opções são Proxy SMTP, Proxy Telnet, Proxy FTP, Proxy do usuário, Proxy 

HTTP e Proxy POP3 que desviam para os proxies SMTP, Telnet, FTP, proxies 

criados pelo usuário, HTTP e POP3, respectivamente. Quando o protocolo UDP 

está selecionado, as outras opções são Proxy RPC, que desvia para o proxy RPC, 

e Proxy do Usuário. 

O serviço Telnet está associado à porta 23, o SMTP à porta 25, o FTP à porta 

21, o HTTP à porta 80 e o POP3 à porta 110. É possível especificar que conexões 

de quaisquer outras portas sejam desviadas para um destes proxies, entretanto, isto 


não é o comportamento padrão e não deve ser feito a não ser que tenha 

conhecimento de todas as possíveis implicações. 

Caso tenha especificado que a conexão deve ser desviada para um proxy, pode ser 

necessário definir os parâmetros do contexto que será utilizado pelo proxy para este 

serviço. Caso isso seja necessário, no momento em que o proxy for selecionado, a 

janela será expandida para mostrar os parâmetros adicionais que devem ser 

configurados. 

A explicação dos parâmetros de cada um dos contextos dos proxies padrão, se 

encontra nos capítulos intitulados Configurando o proxy SMTP, Configurando o 

proxy Telnet, Configurando o proxy FTP, Configurando o proxy POP3 e 

Configurando o Proxy RPC e o proxy DCE-RPC. O proxy HTTP não tem 

parâmetros configuráveis e suas configurações são descritas no capítulo 

Configurando o Filtro Web . Para maiores informações sobre proxies 

transparentes e contextos, veja o capítulo intitulado Trabalhando com proxies. 

Proxies definidos pelo usuário somente são úteis para desenvolvedores e sua 

descrição não será abordada aqui. 


realizar a inclusão ou alteração do serviço. Para cancelar as alterações realizadas 


Para facilitar a inclusão de vários serviços seguidamente, existe um botão chamado 

Nova (que não estará habilitado durante uma edição). Ao ser clicado, este botão 

fará com que o serviço, cujos dados foram preenchidos, seja incluído e a janela de 

inclusão de serviços mantida aberta, pronta para uma nova inclusão. Desta forma é 

possível cadastrar rapidamente um grande número de serviços. 

Incluindo / editando interfaces 

Figura 105. Inclusão e edição de interfaces. 


Para cadastrar uma entidade do tipo interface é necessário preencher os seguintes 

campos: 

Nome: É o nome pelo qual a interface será sempre referenciada pelo firewall. É 



operação: se ela estiver marcada, a atribuição será automática caso contrário será 

manual. 





Ícone: É o ícone que aparecerá associado à interface em todas as referências. Para 


lista com todos os possíveis ícones para representar interfaces. Para escolher entre 

eles deve-se clicar no ícone desejado e no botão OK. Caso não queira alterá-lo 


Interface: É o nome do adaptador de rede que será associado à entidade 

interface. Será mostrada automaticamente uma lista com todos os adaptadores de 

rede configurados no firewall e o endereço IP de cada um, se existir. 

Comentário: É um campo texto livre usado apenas para fins de documentação. 


realizar a inclusão ou alteração da interface. Para cancelar as alterações realizadas 

ou a inclusão, deve-se pressionar o botão Cancelar . 

Para facilitar a inclusão de várias interfaces seguidamente, existe um botão 

chamado Nova (que não estará habilitado durante uma edição). Ao clicar este botão 

fará com que os dados da interface que foram preenchidos sejam incluídos e 

mantida aberta a janela de inclusão de interfaces onde estará pronta para uma nova 

inclusão. Desta forma, é possível cadastrar rapidamente um grande número de 

interfaces. 

Incluindo / editando listas de e-mails 

Listas de e-mails são entidades usadas no proxy MSN com o objetivo de definir com 

quais pessoas um determinado usuário pode conversar através do MSN Messenger. 


Figura 106. Inclusão e edição de listas de e-mails. 

Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher os 

seguintes campos: 

Nome: É o nome pelo qual a lista de e-mails será sempre referenciado pelo firewall. 

É possível especificar este nome manualmente ou deixar que ele seja atribuído 



manual. 

A lista deve ter apenas "enter ou (\n)" como separadores na lista de e-mails. 





Domínio de E-mail: Este campo é composto pelos e-mails ou domínios que farão 

parte da lista. É possível especificar um e-mail completo ou utilizar o símbolo * para 

representar um caractere qualquer. As seguintes opções são e-mails válidos: 

= *@* - Corresponde a qualquer e-mail 

= *@aker.com.br - Corresponde a todos os e-mails do domínio aker.com.br 

Para executar qualquer operação sobre um e-mail ou domínio, deve-se clicar sobre 

ele com o botão direito e a seguir escolher a opção desejada no menu que será 

mostrado. As seguintes opções estão disponíveis: 


Figura 107. Opção para realizar uma operação sobre um e-mail ou domínio. 

Incluir: Esta opção permite incluir um novo endereço; 

Excluir: Esta opção remove da lista o endereço selecionado; 

Importar: Esta opção importa a lista de e-mails a partir de um arquivo .ctt 

(formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por 

linha); 

Exportar: Esta opção exporta a lista de e-mails para um arquivo .ctt 

(formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por 

linha). 

A lista deve ter apenas "enter ou (\n)" como separadores na lista de domínios. 

Incluindo / editando listas de tipos de arquivos 

Listas de tipos de arquivos são entidades usadas no proxy MSN com o objetivo de 

definir quais tipos de arquivos podem ser enviados e recebidos, através do MSN 

Messenger. 

Figura 108. Lista dos tipos de arquivos. 


Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os 


Nome: É o nome pelo qual a lista de tipos de arquivos será sempre referenciado 

pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja 

atribuído automaticamente. A opção Automático permite escolher entre estes dois 

modos de operação: caso ela esteja marcada, a atribuição será automática, caso 

contrário, manual. 


entidades. Desta forma é possível a existência de várias entidades compostas de 



Para executar qualquer operação sobre uma entrada da lista, deve-se clicar sobre 

ela com o botão direito e a seguir escolher a opção desejada no menu que será 

mostrado. As seguintes opções estão disponíveis: 

Figura 109. Opção para realizar uma operação (Entrada da lista). 

Incluir: Incluir um novo tipo de arquivo; 

Excluir: Remover da lista o tipo de arquivo selecionado; 

Duplicar: Criar uma nova entrada na lista, idêntica à entrada selecionada, sendo 

indicada para criar vários tipos com a mesma descrição; 

Para cada entrada, os seguintes campos devem ser preenchidos: 

Extensão: Extensão do arquivo sem o ponto. Ex.: zip, exe, etc. 

Descrição: Breve descrição do tipo associado à extensão. 

Incluindo / editando acumuladores 

Acumuladores são entidades usadas nas regras de filtragem com o objetivo de 

coletar estatísticas sobre o tráfego de rede. Um mesmo acumulador pode ser 

utilizado em várias regras de filtragem. O tráfego que encaixar em cada uma destas 

regras é sumarizado pelo acumulador. A sua utilização está descrita nos capítulos: 

O Filtro de Estados e Visualizando estatísticas. 


Figura 110. Acumuladores. 

Para cadastrar uma entidade do tipo acumulador deve-se preencher os seguintes 

campos: 

Nome: É o nome pelo qual o acumulador será sempre referenciado pelo firewall. É 


automaticamente. A opção Automático permite escolher entre esses dois modos de 

operação: se ela estiver marcada, a atribuição será automática caso contrário será 

manual. 





Ícone: É o ícone que aparecerá associado ao acumulador em todas as referências. 


mostrará uma lista com todos os possíveis ícones para representar interfaces. Para 



Comentário: É um campo texto livre, usado apenas para fins de documentação. 


realizar a inclusão ou alteração do acumulador. Para cancelar as alterações 

realizadas ou a inclusão, deve-se pressionar o botão Cancelar . 

Para facilitar a inclusão de vários acumuladores seguidamente, existe um botão 

chamado Nova (que não estará habilitado durante uma edição). Ao clicar neste 

botão fará com que os dados do acumulador que foram preenchidos sejam incluídos 

e mantida aberta a janela de inclusão de acumuladores onde estará pronta para 

uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande 

número de acumuladores. 


Incluindo / editando Canais 

Canais são entidades usadas nas regras de filtragem com o objetivo de limitar a 

banda de determinados serviços, máquinas, redes e/ou usuários. Seu uso está 

descrito no capítulo: O Filtro de Estados. 

Figura 111. Cadastro de entidade tipo Canal. 

Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes 

campos: 

Nome: É o nome pelo qual o canal será sempre referenciado pelo firewall. É 


automaticamente. A opção Nome automático permite escolher entre estes dois 

modos de operação: caso ela esteja marcada, a atribuição será automática, caso 

contrário, manual. 





Ícone: É o ícone que aparecerá associado ao Canal em todas as referências. Para 



lista com todos os possíveis ícones para representar interfaces. Para escolher entre 

eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após 

ver a lista, basta clicar no botão Cancelar. 

Largura de Banda: É um campo texto usado para designar a largura de banda 

(velocidade máxima de transmissão em bits por segundo) deste Canal. Esta banda 

será compartilhada entre todas as conexões que usarem este Canal. Deve ser 

escolhida a unidade de medida mais conveniente. 

Banda de upload: velocidade máxima de transmição em bits por segundo definida 

para realizar um upload. 

Banda de download: velocidade máxima de transmição em bits por segundo 

definida para realizar um download. 

Buffer: É um campo texto usado para designar o tamanho do buffer (espaço 

temporário de dados utilizado para armazenar pacotes que serão transmitidos) 

utilizado por este Canal. Deve ser escolhida a unidade de medida. É possível 

especificar este tamanho manualmente ou deixar que ele seja atribuído 

automaticamente. 

A opção Automático permite escolher entre estes dois modos de operação: se ela 

estiver marcada, a atribuição será automática, senão manual. 


realizar a inclusão ou alteração do Canal. Para que as alterações e as inclusões 

sejam canceladas deve-se pressionar o botão Cancelar . 

Para facilitar a inclusão de vários Canais seguidamente, existe um botão chamado 

Nova (que não estará habilitado durante uma edição). Ao clicar este botão fará com 

que os dados da canal que foram preenchidos sejam incluídos e mantida aberta a 

janela de inclusão de canais onde estará pronta para uma nova inclusão. Desta 

forma é possível cadastrar rapidamente um grande número de canais. 


A utilização da interface texto na configuração das entidades é bastante simples e 

possui praticamente todos os recursos da interface gráfica. As únicas opções não 

disponíveis são a criação de serviços que utilizem proxies transparentes e a edição 

de pseudo-grupos de uma autoridade certificadora. É importante comentar, 

entretanto, que na interface texto os agentes externos são mostrados e criados 

diretamente pelo seu sub-tipo. 

Localização do programa: /aker/bin/firewall/fwent 


Sintaxe: 

Uso: fwent ajuda 

fwent mostra 

fwent remove 

fwent inclui maquina 

< | > 

< | > 

< | > 

< | > 

fwent inclui radius [ ] 

fwent inclui anti-virus [] [] 

fwent inclui ids [] [] 

fwent inclui analisador-url [] [] 

fwent inclui interface [] 

fwent inclui acumulador [] 

fwent inclui servico [TCP | UDP | ICMP | OUTRO] [.. 

fwent inclui ca : 

fwent inclui pipe [ ] 

fwent inclui log_remoto [IP] [IP] 

fwent inclui quota [ kbytes ] [ segundos ] 

 

fwent - Interface texto para configuracao das entidades 

Ajuda do programa : 

inclui = inclui uma nova nova entidade 

remove = remove uma entidade existente 



Para remove / inclui temos: 

nome = nome da entidade a ser criada ou removida 

Para inclui temos: 

IP = endereco IP da maquina ou da rede 

mascara = mascara da rede entidade = nome das entidades a serem 

acrescentadas no conjunto 

(OBS: Somente podem fazer parte de um conjunto entidades do tipo maquina ou 

rede) 

senha = senha de acesso 

t. cache = tempo em segundos de permanencia de uma entrada no cache de 

autenticacao TCP = servico utiliza protocolo TCP 

UDP = servico utiliza protocolo UDP 

ICMP = servico utiliza protocolo ICMP 

OUTRO = servico utiliza protocolo diferente dos acima citados 

valor = Numero que identica o servico. 

Para os protocolos TCP e UDP, e' o valor da porta associada ao servico. 

No caso de ICMP, e' o 

tipo de servico e no caso de outros protocolos o numero do 

proprio protocolo. Pode-se especificar uma faixa atraves da 

notacao valor1..valor2, que significa a faixa de valores 

compreendida entre o valor1 e o valor2 (inclusive). 

Para inclui ldap temos: 

root_dn = DN do usuario utilizado pelo firewall para as consultas 

root_pwd = a senha deste usuario 

base_dn = DN para comecar a busca 

act_class= valor de objectclass que identifica objetos de contas validas 

usr_attr = o atributo onde se encontra o nome do usuario 

grp_addr = o atributo onde se encontra o grupo do usuario 

pwd_addr = o atributo onde se encontra a senha do usuario 

-bind = nao tenta buscar a senha, em vez disso tenta conectar na base 

-append_dn = onde se adiciona base DN ao nome de usuário 

-ldap_v3 = atributo onde habilita ou não a versão 3 do protocolo LDAP 

-case_sensitive = permite a diferenciação de caracteres maiúsculos e minúsculos 

LDAP com as credenciais do usuario para valida-lo 

-ssl = usar conexao encriptada via ssl 

-tls = usar conexao encriptada via tls 

-nenhuma = nao usar conexao encriptada 

-no_pwd = permite senhas em branco para o usuario 

-pwd = nao permite senhas em branco para o usuario 

Exemplo 1:(visualizando as entidades definidas no sistema) 


#fwent mostra 

Maquinas: 

--------- 

cache 10.4.1.12 

firewall 10.4.1.11 

Redes: 

------ 

AKER 10.4.1.0 255.255.255.0 

Internet 0.0.0.0 0.0.0.0 

Conjuntos: 

---------- 

Maquinas Internas cache firewall 

Autenticadores: 

--------------- 

Autenticador NT 10.0.0.1 10.0.0.2 600 

Unix 192.168.0.1 192.168.0.2 192.168.0.3 600 

Autenticadores do tipo token: 

----------------------------- 

Autenticador token 10.0.0.1 10.0.0.2 600 

Agentes IDS: 

------------ 

Agente IDS 10.10.0.1 

Anti-Virus: 

----------- 

Anti-virus local 127.0.0.1 

Servicos: 

--------- 

echo reply ICMP 8 

echo request ICMP 0 

ftp TCP 21 

snmp UDP 161 

telnet TCP 23 

Interfaces: 

---------- 

Interface Externa xl0 

Interface Interna de0 

Exemplo 2:(cadastrando uma entidade do tipo máquina) 

#/aker/bin/firewall/fwent inclui maquina Servidor_1 10.4.1.4 

Entidade incluida 

Exemplo 3:(cadastrando uma entidade do tipo rede) 

#/aker/bin/firewall/fwent inclui rede Rede_1 10.4.0.0 255.255.0.0 



Exemplo 4:(cadastrando uma entidade do tipo serviço) 

#/aker/bin/firewall/fwent inclui servico DNS UDP 53 


Exemplo 5:(cadastrando uma entidade do tipo autenticador) 

#/aker/bin/firewall/fwent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123 

900 


O uso de "" ao redor do nome da entidade é obrigatório quando inclui ou remove 

entidades cujo nome contém espaços. 

Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros são 

as máquinas cache e firewall, previamente definidas) 

#/aker/bin/firewall/fwent inclui conjunto "Conjunto de teste" cache firewall 


Exemplo 7: (incluindo uma entidade do tipo interface, sem especificar um 

comentário) 

#/aker/bin/firewall/fwent inclui interface "Interface DMZ" fxp0 


Exemplo 8: (incluindo uma entidade do tipo autenticador token, utilizando uma 

máquina primária e uma secundária, como backup) 

#/aker/bin/firewall/fwent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha 

600 


Exemplo 9: (removendo uma entidade) 

#/aker/bin/firewall/fwent remove "Autenticador Unix" 


6.4. Utilizando o Assistente de Entidades 

O assistente de criação de entidades pode ser invocado clicando-se no ícone , 

localizado na parte inferior da janela de entidades. O seu intuito é simplificar a tarefa 

de criação das entidades, podendo ser utilizado sempre que desejado. Ele consiste 

de várias janelas mostradas em série, dependendo do tipo de entidade a ser criada. 

Seu uso é extremamente simples e o exemplificaremos para a criação de uma 

entidade do tipo máquina: 


1 - A primeira janela mostrada é uma breve explicação dos procedimentos a serem 

realizados: 

Figura 112. Mensagem de entrada no Assistente de criação de entidades. 


2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a 

ser cadastrada: 

Figura 113. Escolha do tipo de entidade. 


3 - Localizar o endereço IP. Para cadastrar uma máquina deve ser especificado o 

endereço IP correspondente. Caso queira obter esse endereço, deve ser informado 

o nome da máquina e logo em seguida clicar no botão Resolva: 

Figura 114. Inserção do endereço de IP da máquina. 


4 - Atribuição do nome da entidade. Pode-se escolher o nome ou usar a atribuição 

automática: 

Figura 115. Atribuição do nome da entidade. 


5 -Escolha do ícone da entidade. Para escolher o ícone da entidade deve-se clicar 

em um dos ícones que aparecem na janela. Observe que o ícone selecionado irá 

aparecer à direita da janela: 

Figura 116. Escolha do ícone da entidade. 


6 - Finalização do cadastramento. Será mostrado um resumo dos dados da 

entidade. Para cadastrá-la deve-se clicar no botão Finalizar: 

Figura 117. Mensagem de finalização do cadastramento. 


O Filtro de Estado 


7. O Filtro de Estado 

Este capítulo mostrará como configurar as regras que propiciarão a aceitação ou 

não de conexões pelo firewall. Este módulo é o mais importante do sistema e é 

onde normalmente se gasta o maior tempo de configuração. 


O que é um filtro de pacotes? 

Um filtro de pacotes é o módulo que irá decidir se um determinado pacote poderá 

passar através do firewall ou não. Deixar um pacote passar, implica em aceitar um 

determinado serviço. Bloquear um pacote significa impedir que este serviço seja 

utilizado. 

Para que seja decidido qual ação a ser tomada para cada pacote que chega ao 

firewall, o filtro de pacotes possui um conjunto de regras configurado pelo 

administrador do sistema. Para cada pacote que chega, o filtro de pacotes percorre 

este conjunto de regras, na ordem em que foi criado, verificando se este, encaixa 

em alguma das regras. Se ele se encaixar em uma regra então a ação definida para 

ela será executada. Caso o filtro termine a pesquisa de todas as regras e o pacote 

não se encaixe em nenhuma delas então a ação padrão será executada. 

O que é o filtro de estados do Aker Firewall? 

Um filtro tradicional de pacotes baseia suas ações exclusivamente no conjunto de 

regras configurado pelo administrador. Para cada pacote que poderá passar pelo 

filtro, o administrador tem que configurar uma regra que possibilite sua aceitação. 

Em alguns casos isto é simples, mas em outros isto não é possível de ser feito ou 

pelo menos não é possível realizar com a segurança e flexibilidade necessárias. 

O filtro de pacotes do Aker Firewall é chamado de filtro de estados. Armazena 

informações do estado de todas as conexões que estão fluindo por meio dele e usa 

estas informações em conjunto com as regras definidas pelo administrador na hora 

de tomar a decisão de permitir ou não a passagem de um determinado pacote. Além 

disso, diferentemente de um filtro de pacotes que baseia suas decisões apenas nos 

dados contidos no cabeçalho do pacote, o filtro de estados examina dados de todas 

as camadas e utiliza todos estes dados ao tomar uma decisão. 

Vamos analisar como isso permite a solução de diversos problemas apresentados 

pelos filtros de pacotes tradicionais. 

O problema do protocolo UDP: 


Para usar um serviço UDP, a máquina cliente inicialmente escolhe um número de 

porta (que é variável cada vez que o serviço for utilizado) e envia um pacote para a 

porta da máquina servidora correspondente ao serviço (esta porta na máquina 

servidora é fixa). A máquina servidora, ao receber a requisição, responde com um 

ou mais pacotes para a porta da máquina cliente. Para que a comunicação seja 

efetiva o firewall deve permitir a passagem dos pacotes de solicitação do serviço e 

de resposta. O problema é que o protocolo UDP não é orientado à conexão, isto 

significa que se um determinado pacote for observado isoladamente, fora de um 

contexto, não pode saber se ele é uma requisição ou uma resposta de um serviço. 

Nos filtros de pacotes tradicionais; como o administrador não pode saber 

inicialmente, qual a porta será escolhida pela máquina cliente para acessar um 

determinado serviço, ele pode ou bloquear todo o tráfego UDP ou permitir a 

passagem de pacotes para todas as possíveis portas. Ambas as abordagens 

possuem alguns problemas. 

O Aker Firewall possui a capacidade de se adaptar dinamicamente ao tráfego de 

modo a resolver possíveis problemas. Um exemplo é quando um pacote UDP é 

aceito por uma das regras configuradas pelo administrador, com isso é adicionada 

uma entrada em uma tabela interna, chamada de tabela de estados, de modo a 

permitir que os pacotes de resposta ao serviço correspondente possam voltar para a 

máquina cliente. Esta entrada só fica ativa durante um curto intervalo de tempo, ao 

final do qual ela é removida (este intervalo de tempo é configurado através da janela 

de configuração de parâmetros, mostrada no capítulo intitulado Configurando os 

parâmetros do sistema). Desta forma, o administrador não precisa se preocupar 

com os pacotes UDP de resposta, sendo necessário apenas configurar as regras 

para permitir o acesso aos serviços. Isto pode ser feito facilmente, já que todos os 

serviços possuem portas fixas. 

O problema do protocolo FTP: 

O FTP é um dos protocolos mais populares da Internet, porém é um dos mais 

complexos de ser tratado por um firewall. Vamos analisar seu funcionamento: 

Para acessar o serviço FTP, inicialmente a máquina cliente abre uma conexão TCP 

para a máquina servidora na porta 21. (a porta usada pelo cliente é variável). Esta 

conexão é chamada de conexão de controle. A partir daí, para cada arquivo 

transferido ou para cada listagem de diretório, uma nova conexão é estabelecida, 

chamada de conexão de dados. Esta conexão de dados pode ser estabelecida de 

duas maneiras distintas: 

1. O servidor pode iniciar a conexão a partir da porta 20 em direção a uma porta 

variável, informada pelo cliente pela conexão de controle (este é chamado de 

FTP ativo) 

2. O cliente pode abrir a conexão a partir de uma porta variável para uma outra 

porta variável do servidor, informada para o cliente através da conexão de 

controle (este é chamado de FTP passivo). 


Nos dois casos o administrador não tem como saber quais portas serão escolhidas 

para estabelecer as conexões de dados e desta forma, se ele desejar utilizar o 

protocolo FTP através de um filtro de pacotes tradicional, deverá liberar o acesso 

para todas as possíveis portas utilizadas pelas máquinas clientes e servidores. Isto 

tem implicações sérias de segurança. 

O Aker Firewall tem a capacidade de vasculhar o tráfego da conexão de controle 

FTP e desta forma descobrir qual o tipo de transferência que será utilizada (ativa ou 

passiva) e quais portas serão usadas para estabelecer as conexões de dados. 

Desta forma, todas as vezes que o filtro de pacotes determinar que uma 

transferência de arquivos será realizada, ele acrescenta uma entrada na tabela de 

estados de modo a permitir que a conexão de dados seja estabelecida. Esta entrada 

só fica ativa enquanto a transferência estiver se realizando e caso a conexão de 

controle esteja aberta, propiciando o máximo de flexibilidade e segurança. Neste 

caso, para configurar o acesso FTP deve-se acrescentar uma regra liberando o 

acesso para a porta da conexão de controle (porta 21). Todo o resto será feito 


O problema do protocolo Real Áudio: 

O protocolo Real Áudio é o mais popular protocolo de transferência de som e vídeo 

em tempo real através da Internet. 

Para que seja possível uma transmissão de áudio ou vídeo é necessário que o 

cliente estabeleça uma conexão TCP para o servidor de Real Áudio. Além desta 

conexão, para conseguir uma melhor qualidade de som, o servidor pode abrir uma 

conexão UDP para o cliente, para uma porta randômica informada em tempo real 

pelo cliente e o cliente também pode abrir uma outra conexão UDP para o servidor, 

também em uma porta randômica informada pelo servidor no decorrer da conexão. 

Os filtros de pacotes tradicionais não permitem o estabelecimento das conexões 

UDP do servidor para o cliente e vice-versa, uma vez que as portas não são 

conhecidas antecipadamente, fazendo com que a qualidade, do áudio e vídeo 

obtidas, seja bastante inferior. 

O filtro de estados do Aker Firewall acompanha toda a negociação do servidor Real 

Áudio com o cliente de modo a determinar se as conexões UDP serão abertas e 

quais portas serão usadas acrescentando esta informação em uma entrada na sua 

tabela de estados. Esta entrada na tabela de estados só fica ativa enquanto a 

conexão de controle TCP estiver aberta, propiciando o máximo de segurança. 

O problema do protocolo Real Video (RTSP): 

O protocolo Real Vídeo é suportado pelo firewall. Assim como o Real Áudio, as 

transações são controladas pelo firewall, permitindo uma total segurança do uso de 

aplicações de Real Vídeo. 


Montando regras de filtragem em um filtro de pacotes simples 

Antes de mostrar como funciona a configuração do filtro de estados do Aker Firewall 

é interessante explicar o funcionamento básico de um filtro de pacotes simples: 

Existem vários critérios possíveis para realizar filtragem de pacotes. A filtragem de 

endereços pode ser considerada a mais simples de todas, pois ela consiste em 

fazer uma comparação entre os endereços dos pacotes e os endereços das regras. 

Caso os endereços sejam iguais, o pacote é aprovado. Esta comparação é feita da 

seguinte forma: 

Trabalharemos com a seguinte regra: Todas as máquinas da rede 10.1.x.x podem 

se comunicar com as máquinas da rede 10.2.x.x. Escreveremos esta regra 

utilizando o conceito de mascaramento (para maiores informações, veja o capítulo 

intitulado Cadastrando Entidades). Assim temos: 

10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 

------- Origem ------ ------- Destino ------- 

Vamos agora aplicar a regra a um pacote que trafega da máquina 10.1.1.2 para a 

máquina 10.3.7.7. Aplica-se a máscara da regra aos dois endereços, o da regra e o 

do pacote e verifica se os endereços de destino e o de origem são iguais. 

Para o endereço origem temos 

10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (para a regra) 

10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (para o pacote) 

Temos então que os dois endereços origem são iguais após a aplicação da 

máscara. Veremos agora para o endereço destino: 

10.2.0.0 AND 255.255.0.0 = 10.2.0.0 (para a regra) 

10.3.7.7 AND 255.255.0.0 = 10.3.0.0 (para o pacote) 

Como o endereço destino do pacote não está igual ao endereço destino da regra 

após a aplicação da máscara, por definição, esta regra não se aplicaria a este 

pacote. 

Esta operação é feita em toda a lista de endereços e máscaras destino e origem até 

o fim da lista, ou até uma das regras aplicar para o pacote examinado. Uma lista de 

regras teria a seguinte forma: 

10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 


10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 

10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 

10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 

Além dos endereços origem e destino, cada pacote IP possui um protocolo e um 

serviço associado. Esta combinação de serviço mais protocolo pode ser utilizado 

como mais um critério de filtragem. 

Os serviços no protocolo TCP, por exemplo, estão sempre associados a uma porta 

(para maiores informações, veja o capítulo intitulado Cadastrando Entidades). 

Assim, pode-se também associar uma lista de portas aos endereços. 

Pegaremos como exemplo dois serviços conhecidos, o POP3 e o HTTP. O POP3 

está associado à porta 110 do servidor e o HTTP está associado à porta 80. Assim, 

iremos acrescentar estas portas no formato da regra. Teremos então: 

10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 TCP 80 110 

------- Origem ------ ------- Destino ------- - Protocolo - --Portas- 

Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e que 

utiliza os serviços HTTP ou POP3 a trafegar pelo firewall. 

Assim, em uma primeira etapa compara-se os endereços da regra com os do 

pacote. Caso estes endereços sejam iguais após a aplicação das máscaras, passase 

a comparar o protocolo e a porta destino no pacote com o protocolo e a lista de 

portas associados à regra. Se o protocolo for o mesmo e se for encontrada uma 

porta da regra igual à porta do pacote, esta regra por definição se aplica ao pacote, 

caso contrário a pesquisa continua na próxima regra. 

Assim um conjunto de regras teria o seguinte formato: 

10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 UDP 53 

10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 80 

10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 TCP 21 20 113 

10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ICMP 0 8 

Montando regras de filtragem para o Aker Firewall 

Configurar as regras de filtragem no Aker Firewall é algo muito fácil em função de 

sua concepção inteligente. Toda a parte de endereços IP, máscaras, protocolos, 


portas são interfaces e são configuradas nas entidades (para maiores informações, 

veja o capítulo intitulado Cadastrando Entidades). Com isso, ao configurar uma 

regra não é necessário preocupar com qual porta um determinado serviço utiliza ou 

qual o endereço IP de uma rede. Tudo isso já foi previamente cadastrado. Para 

facilitar ainda mais, todos os serviços mais utilizados na Internet já vem previamente 

configurado de fábrica, não havendo a necessidade de gastar tempo pesquisando 

os dados de cada um. 

Basicamente, para cadastrar uma regra, o administrador deve especificar as 

entidades de origem, destino e os serviços que farão parte da regra. Ele pode 

também especificar uma interface de origem para os pacotes e definir em quais 

horários a regra estará ativa, em uma tabela de horários semanal. Com o uso desta 

tabela de horários é possível liberar determinados serviços em determinadas horas 

do dia (por exemplo, liberar IRC, ou bate-papo, apenas nos horários fora do 

expediente). Se um pacote chegar a um horário no qual a regra não está marcado 

como ativa, ela será ignorada, fazendo com que a busca continue na próxima regra 

da lista. 

O funcionamento do filtro é simples: o firewall irá pesquisar uma a uma as regras 

definidas pelo administrador, na ordem especificada, até que o pacote se encaixe 

em uma delas. A partir deste momento, ele irá executar a ação associada à regra, 

que pode ser aceita, rejeitada ou descartada (estes valores serão explicados no 

próximo tópico). Caso a pesquisa chegue ao final da lista e o pacote não se 

enquadre em nenhuma regra então este será descartado (é possível configurar 

ações para serem executadas neste caso). Isto será tratado no capítulo intitulado: 

Configurando as ações do sistema. 

7.2. Editando uma lista de regras usando a interface gráfica 

Para ter acesso a janela de configuração de regras basta: 


Figura 118. Dispositivos remotos (Acesso a janela de configuração das regras). 

Clicar no menu Configurações do firewall da janela principal. 

Selecionar o item Regras de Filtragem. 

A janela de regras de filtragem 

Figura 119. Janelas de regras de filtragem. 


A janela de regras contém todas as regras de filtragem definidas no Aker Firewall. 

Cada regra será mostrada em uma linha separada, composta de diversas células. 

Caso uma regra esteja selecionada, ela será mostrada em uma cor diferente. 

O botão OK fará com que o conjunto de regras seja atualizado e passe a funcionar 

imediatamente. 

O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a 

janela seja fechada. 

O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a 

janela aberta 

Ao clicar sobre uma regra que tenha algum comentário, este aparecerá na parte 

inferior da janela 

Para executar qualquer operação sobre uma determinada regra, deve-se clicar com 

o botão direito do mouse sobre o campo que queira alterar. Aparecerá um menu 

com as opções de entidades referentes ao campo, como na figura abaixo: 

Figura 120. Menu com opções de entidades referente ao campo. 


Inserir: Incluir uma nova regra na lista. Se alguma regra estiver selecionada, a nova 

regra será inserida na posição da selecionada. Caso contrário, a nova regra será 

incluída no final da lista. 

Copiar: Copiar a regra selecionada para uma área temporária. 

Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver 

selecionada, a nova será copiada para a posição da regra selecionada. Caso 

contrário ela será copiada para o final da lista. 

Excluir: Remover da lista a regra selecionada. 

Habilitar/Desabilitar: Desabilitar/habilitar a regra selecionada. 

Adicionar entidades: Adicionar uma entidade cadastrada no firewall. Veja se o 

ponteiro do mouse está sobre o campo o qual se quer inserir a entidade. 

Remover entidades: Remover uma entidade que foi inserida na regra. 

Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a 

mesma para a nova posição desejada, soltando em seguida. 

Política Padrão: pode-se definir uma nova política, clicando no botão "Política" na 

barra de ferramentas do Firewall. É possível editar um nome e uma cor para cada 

política, inclusive a padrão. 

Adicionando e removendo entidades e serviços na regra 

Para adicionar uma entidade a um destes campos, pode-se proceder de duas 

formas: 

1. Selecionar a entidade a ser incluída, clicando sobre ela na tabela de entidades, 

localizada na parte inferior esquerda da janela e a arraste para o campo 

correspondente. As teclas Insert e Delete podem inserir e remover as entidades 

respectivamente. 

2. Clicar com o botão direito do mouse sobre o campo onde se deseja adicionar as 

entidades, será exibida uma lista das entidades pertinentes ao campo 

selecionado, bem como que tipo de ação se deseja aplicar sobre as mesmas. 

3. O duplo-clique na entidade irá permitir a edição da mesma. 

Para remover uma entidade de um destes campos, deve-se proceder da seguinte 

forma: 

1. Clicar com o botão direito do mouse sobre o campo onde se encontra a entidade 

que se deseja remover e será exibida uma lista das entidades participantes do 

campo com a opção de remoção da entidades no seguinte formato: remover 

'entidade_removida'. 

2. Pode-se utilizar a opção Remover Entidade para eliminar várias entidades de 

uma vez. 

Na criação de regras ao selecionar as entidades, deve-se observar a origem e o 

destino destas. Se especificar um endereço ipv4 na origem, obrigatoriamente devese 

especificar um endereço ipv4 no destino, a mesma coisa acontece caso a opção 

seja o endereço ipv6. 


Parâmetros da regra: 

Além das especificações básicas de uma regra, entidades de origem, entidades de 

destino e serviços, deve-se levar em conta outros parâmetros de configuração: 

Acumulador: Define qual o acumulador para os pacotes da regra. A opção nenhum 

desativa a contabilização dos pacotes que se encaixem nesta regra. Se for 

escolhido um acumulador, serão adicionados a ele a quantidade de bytes e pacotes 

encaixados nesta regra. 

Canal: Define o canal que será utilizado para controlar a banda para a regra. A 

opção nenhum desativa a utilização de controle de banda para esta regra. 

Ação: Este campo define qual a ação a ser tomada para todos os pacotes que se 

encaixem nesta regra. Ela consiste nas seguintes opções: 

Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem através do 

firewall. 

Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta 

regra. Assim será enviado um pacote ICMP para a máquina de origem do pacote 

dizendo que o destino é inatingível. Esta opção não funciona para alguns tipos de 

serviço ICMP, devido a uma característica inerente a este protocolo. 

Descarta: Significa que os pacotes que se encaixarem nesta regra não passarão 

pelo firewall, mas não será enviado nenhum pacote para a máquina de origem. 

Restrições: Este campo permite especificar exigências adicionais que um pacote 

deve cumprir para que ele se encaixe nesta regra. Ele é formado pelas seguintes 

opções: 

Nenhum: Não existe nenhuma exigência adicional. 

Somente se encriptado: Neste caso, para que um pacote se enquadre nesta 

regra, ele deverá obrigatóriamente vir encriptado/autenticado, ou seja, vir de 

um canal seguro. Esta opção é particularmente útil quando está utilizando 

clientes de criptografia e deseja que apenas conexões provenientes destes 

clientes (ou de canais de criptografia firewall-firewall) sejam aceitas. Para 

maiores informações sobre criptografia e canais seguros, veja o capítulo: 

Criando canais de criptografia. 

Somente se encriptado e de um usuário autenticado: Neste caso, para 

que os pacotes sejam aceitos, além deles virem encriptados/autenticados, o 

usuário que estabeleceu o canal seguro deve ter sido autenticado pelo 

firewall. A única maneira de um pacote atender esta exigência é ele ser 

proveniente de um cliente de criptografia e a opção de realizar autenticação 

de usuários para os clientes de criptografia, estar ativa. 


Log: Definir quais tipos de ações serem executadas pelo sistema quando um 

pacote se encaixar na regra. Ele consiste em várias opções que podem ser 

selecionadas independentemente uma das outras. Os valores possíveis são: 

Logs: Se esta opção estiver selecionada, todos os pacotes que se 

enquadrarem nesta regra serão registrados no log do sistema. 

Envia email: Se esta opção estiver selecionada, será enviado um e-mail 

todas as vezes que um pacote enquadrar-se nesta regra (a configuração do 

endereço de e-mail será mostrada no capítulo intitulado configurando as 

ações do sistema). 

Executar programa: Ao selecionar essa opção, será executado um 

programa definido pelo administrador todas as vezes que um pacote se 

enquadrar nesta regra (a configuração do nome do programa a ser executado 

será mostrada no capítulo intitulado configurando as ações do sistema). 

Disparar mensagens de alarme: Ao selecionar essa opção, o firewall 

mostrará uma janela de alerta todas as vezes que um pacote se enquadrar 

nesta regra. Esta janela de alerta será mostrada na máquina onde a interface 

gráfica remota estiver aberta e, se a máquina permitir, será emitido também 

um aviso sonoro. Caso a interface gráfica não esteja aberta, não será 

mostrada nenhuma mensagem e esta opção será ignorada. 

Enviar Trap SMNP: Se esta opção estiver selecionada, será enviada uma 

Trap SNMP para cada pacote que enquadrar nesta regra (a configuração dos 

parâmetros para o envio das traps será mostrada no capítulo intitulado 

configurando as ações do sistema). 

No caso do protocolo TCP, somente serão executadas as ações definidas na 

regra para o pacote de abertura de conexão. No caso do protocolo UDP, todos os 

pacotes que forem enviados pela máquina cliente e se enquadrarem na regra 

(exceto os pacotes de resposta) provocarão a execução das ações. 

Tabela de horários: Definir as horas e dias da semana em que a regra será 

aplicável. As linhas representam os dias da semana e as colunas representam as 

horas. Caso queira que a regra seja aplicável em determinada hora o quadrado 

deve ser preenchido, caso contrário o quadrado deve ser deixado em branco. 

Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse 

sobre um quadrado e a seguir arrastá-lo, mantendo o botão pressionado. Isto faz 

com que a tabela seja alterada na medida em que o mouse se move. 

Período de validade: Permitir o cadastro de duas datas que delimitam um período 

fora do qual a regra não tem validade. É um recurso muito útil para, por exemplo, 

liberar o tráfego relacionado a um evento não recorrente, como um teste. Se o 


período ainda não tiver começado ou estiver expirado, o número da regra será 

mostrado sobre um fundo vermelho. 

Comentário: Inserir um comentário sobre a regra. Muito útil na documentação e 

manutenção das informações sobre a utilidade da regra. 

Verificação de regras 

A verificação de regras é feita por meio do ícone , ou então automaticamente, 

quando o usuário aplica as regras no botão aplicar na janela de Regras de filtragem. 

A verificação pelo botão aplicar só será feita se a opção estiver habilitada, esta 

opção é configurada no menu configurações > suprimir > verificar regras. 

Figura 121. Menu ícone de verificação de regras. 

O botão verificar faz a verificação da conexão com o Aker Control Center e a 

verificação das regras eclipsadas. A primeira permite checar se existe alguma regra 

que impeça o usuário de conectar-se no firewall que ele está atualmente 

configurando. 

Exemplo: O ip do usuário é o 10.0.0.1 e o do firewall é o 10.0.0.2 e a porta do 

control center é a 1020. Caso exista alguma regra dizendo que é para rejeitar os 

pacotes de origem 10.0.0.1 e destino 10.0.0.2 na porta 1020, e caso esta regra seja 

aplicada, implicará na impossibilidade do usuário se conectar a esse firewall. É um 

mecanismo para impedir que o próprio usuário tire o seu acesso de conexão no 

firewall, sendo assim um tipo de regra problemático que o verificador de regras 

válidas. 

A segunda verificação é a da regra "eclipsa", é necessária essa verificação quando 

a regra 1 engloba completamente a regra 2, impedindo que a regra 2 seja atingida. 

Exemplo: A regra 1 tem origem 0.0.0.0 (qualquer origem), destino 0.0.0.0 (qualquer 

destino) e todas as portas TCP 7. A regra 2 tem origem 10.0.0.1, destino 10.0.0.2 e 

porta TCP 7. A primeira regra faz tudo o que a segunda regra faz, então a segunda 

regra nunca vai ser atingida, porque a primeira regra vai ser processada primeiro e 

não vai deixar com que a outra regra seja alcançada. 

Obs.: Todas as regras que são verificadas, são regras que já existem ou seja, que 

já foram definidas. 


Figura 122. Verificador de regras. 

Utilização dos Canais na Regra de Filtragem do Aker Firewall 

O administrador pode definir Qualidade de Serviço (QoS) diferenciada para cada 

tipo de regra. No caso da figura abaixo, foi criado um canal de 500Kbits e aplicado 

nas regras 8 e 9. O servidor "Correio_SMTP" possui prioridade no tráfego pois a 

prioridade para ele no canal está como "Muito alto". 

Figura 123. Regras de filtragem (Exemplo de canal de 50KBits). 


Para ajustes de prioridade de canal, basta clicar como o botão direito na entidade 

Canal e escolher a prioridade pelo botão deslizando. Veja a figura abaixo: 

Figura 124. Ajustes de prioridade de canal. 

7.3. Trabalhando com Políticas de Filtragem 

Este recurso permite que o administrador do firewall faça um agrupamento de 

regras dentro de um levantamento feito dos fluxos que ocorrerem entre as suas sub 

redes. 

Para exemplificar, suponha que o administrador possua um firewall colocado entre 

as redes interna, DMZ e Internet, conforme esquema abaixo: 


Figura 125. Exemplo de como trabalhar com políticas de filtragem. 

Pode-se verificar os possíveis fluxos de dados que poderão ocorrer entre essas 

redes. Para cada fluxo foi dada uma numeração e com isso pode-se concluir que os 

fluxos com números mais altos (5 e 6) serão considerados os mais inseguros, pois 

envolvem o acesso da internet as redes DMZ e interna, respectivamente. 

Estes fluxos para o firewall serão desdobrados em regras de filtragem, com isto 

poderiam ter as seguintes regras: 


Figura 126. Exemplo de regras de filtragem. 

No exemplo acima foram criadas as seguintes regras: 


Regras Gerais do Firewall, de 1 a 4; 

Fluxo Interna para DMZ, de 5 a 7; 

Fluxo DMZ para Interna, de 8 a 10; 

Fluxo Interna para Internet, de 11 a 13; 

Fluxo DMZ para Internet, de 14 a 16; 

Fluxo Internet para DMZ, de 17 a 19; 

Fluxo Internet para Interna a 20. 

Repare que ao final de cada fluxo foi colocada uma regra bloqueando o mesmo (4, 

7, 10, 13, 16, 19 e 20). O objetivo desta técnica é evitar que erros cometidos ao 

longo do cadastramento das regras de filtragem possam abrir indevidamente um 

acesso não permitido, com isso caso uma regra não esteja colocada corretamente 

dentro do fluxo, ela cairá em um destes bloqueios que não permitirá o acesso 

indevido. 

Observe que no fluxo Internet para Rede Interna não existe nenhuma regra 

cadastrada, apenas o bloqueio. 

Para melhor visualização e controle, o firewall permite agrupar estas regras pelos 

fluxos. A interface então ficaria desta forma: 

Figura 127. Interface regras de filtragem. 

Para criar novas “Políticas” basta clicar no ícone da barra de ferramentas "Política". 

Figura 128. Barra de ícones (Politíca). 


A figura abaixo mostra o desdobramento das regras da política. Basta dar um duplo 

clique na linha para exibir as regras que ela contém: 

Figura 129. Exibição das regras de filtragem. 

No caso de desabilitar uma política, todas as regras que ela contém também 

serão desabilitadas. 


A utilização da interface texto na configuração das regras de filtragem traz uma 

dificuldade gerada pela grande quantidade de parâmetros que devem ser passados 

pela linha de comando. 

Não é possível configurar a tabela de horários nem especificar comentários para 

as regras através da interface texto. Também não é possível especificar mais de 

uma entidade para origem ou destino da regra. Todas as regras acrescentadas por 

esta interface são consideradas aplicáveis em todas as horas da semana. 

Localização do programa: /aker/bin/firewall/fwrule. 

Sintaxe: 

Uso: fwrule [ajuda | mostra] 

fwrule [habilita | desabilita | remove] [forca] 

fwrule inclui [forca] 

 

[pipe ] [acumulador ] 


Ajuda do programa: 

[loga] [mail] [trap] [programa] [alerta] 

[encriptado | usuario ] [ ...] 

Firewall Aker - Versão 6.5 

fwrule - Configura tabela de regras do filtro de estados 

Uso: fwrule [ajuda | mostra] 

fwrule [habilita | desabilita | remove] 

fwrule inclui [forca] 

 

[pipe ] [acumulador ] 

[loga] [mail] [trap] [programa] [alerta] 

[encriptado | usuario ] [ ...] 

mostra = mostra todas as entradas da tabela de regras 

inclui = inclui uma nova regra de filtragem 

habilita = habilita uma regra de filtragem desabilitada 

desabilita = desabilita uma regra de filtragem existente 

remove = remove uma regra existente 



pos = posicao onde incluir a nova regra na tabela 

(Pode ser um inteiro positivo ou a palavra FIM para incluir 

no final da tabela) 

aceita = a regra aceita as conexoes que se enquadrarem nela 

rejeita = a regra rejeita as conexoes que se enquadrarem nela e envia 

pacote ICMP de destino inatingivel para maquina de origem 

descarta = a regra descarta os pacotes recebidos (nao envia pacote ICMP) 

pipe = faz com que o trafego que se encaixe nesta regra seja 

direcionado ao "pipe" indicado com peso relativo dado por: 

acumulador = faz com que o trafego que se encaixe nesta regra seja 

somado a entidade acumulador especificada 

peso = "ocioso", "m_baixo" (muito baixo), "baixo", "normal", 

"alto", "m_alto" (muito alto) ou "tr" (tempo real) 

loga = loga os pacotes que se enquadrarem na regra 

mail = envia e-mail para cada pacote que se enquadre na regra 

trap = gera trap SNMP para cada pacote que se enquadre na regra 

programa = executa um programa para cada pacote que se enquadre na regra 

alerta = abre uma janela de alerta para cada pacote que se enquadre na regra 

encriptado = indica que a regra so e' valida se os pacotes vierem encriptados 

usuario = indica que a regra so e' valida se os pacotes vierem 


encriptados e o usuario tiver se autenticado previamente no 

firewall. Esta condicao somente pode ser atendida por 

conexoes originadas de clientes de criptografia 

servico = lista de nomes dos servicos para a nova regra 

Para habilita / desabilita / remove temos: 

pos = numero da regra a ser habilitada, desabilitada ou removida 

Exemplo 1: (visualizando as regras de filtragem) 

#/aker/bin/firewall/fwrule mostra 

Regra 01 

-------- 

Origem : Internet 

Destino : firewall cache 

Acao : Descarta 

Log : Loga Trap Alerta 

Servicos : todos_tcp todos_udp 

todos_icmp 

Regra 02 

-------- 

Origem : cache firewall 

Destino : Internet 

Acao : Aceita 

Log : Loga 

Servicos : http ftp 

Regra 03 

-------- 

Origem 

Destino 

Acao 

Log 

Servicos 

: Internet 

: Mail server 

: Aceita 

: Loga 

: smtp 

Regra 04 

-------- 

Origem 

Destino 

Acao 

Log 

Servicos 

: Empresas externas 

: Aker 

: Aceita 

: Loga 

: smtp 


Exemplo 2: (removendo a quarta regra de filtragem) 

#/aker/bin/firewall/fwrule remove 4 

Regra 4 removida 

Exemplo 3: (incluindo uma nova regra no final da tabela) 

#/aker/bin/firewall/fwrule inclui fim Internet "Mail server" aceita loga smtp 

Regra incluida na posicao 4 

As entidades Internet e Mail server, bem como o serviço smtp devem ter sido 

previamente cadastradas no sistema. Para maiores informações sobre como 

cadastrar entidades no Aker Firewall, veja o capítulo intitulado Cadastrando 

Entidades. 

O uso de "" ao redor do nome da entidade a ser incluída na regra é obrigatório 

quando este contém espaços. 

7.5. Utilizando o assistente de regras 

O assistente de regras pode ser acionado pelo menu ou pela barra de tarefas. Caso 

o número de regras for muito pequeno o próprio assistente será acionado 


1 - Acionando do assistente de regras. A janela abaixo aparecerá quando um 

número muito pequeno de regras for detectado. 

Figura 130. Assistente de regras filtragem (janela exibida quando um número pequeno de regras for 

detectado). 


2 - Tela inicial com as explicações necessárias. 

Figura 131. Mensagem de boas vindas ao Assitente de regras filtragem. 


3 - Escolha da rede interna na configuração inicial. 

Figura 132. Escolha da rede interna e configuração inicial. 


4 - Informação necessária para saber se as máquinas terão acesso irrestrito à 

Internet. 

Figura 133. Tela de acesso para escolha de acesso restrito ou não à internet. 


5 - Configuração da DMZ. 

Figura 134. Escolha se possui ou não DMZ. 


6 - Escolha da entidade da DMZ. 

Figura 135. Escolha da entidade DMZ. 


7 - Informa se a DMZ terá acesso irrestrito a Internet. 

Figura 136. Máquinas DMZ (acesso restrito ou não a internet). 


8 - Serviços a serem disponibilizados para a DMZ. 

Figura 137. Escolha dos serviços da internet e estações de trabalho que o DMZ terá acesso. 


9 - Administração do Firewall. Informar quem terá acesso de administração ao 

mesmo. 

Figura 138. Configuração do Firewall. 


10- Registro individual de servidor para a DMZ. 

Figura 139. Registro de configuração do servidor. 


11 - Informação de servidor específico para a DMZ. 

Figura 140. Escolha da entidade do servidor. 


12 - Seleção dos serviços do servidor para a DMZ. 

Figura 141. Selecionar o locar onde o servidor DMZ ficará disponível. 


13 - Pergunta se deseja configurar outro servidor. 

Figura 142. Escolha para configurar outro servidor ou não. 


14 - Visualização final das regras de filtragem montada pelo assistente. 

Figura 143. Aviso de finalização de configuração das regras de filtragem. 

7.6. Utilizando Regras de Pipes 

Esta janela foi criada para organizar suas regras de Q.o.S, no Aker Firewall 

conhecida como "canal/pipe". Ela permite que seja visualizado em apenas uma 

janela todas as suas regras de PIPE, sem a necessidade de visualizar várias janelas 

separadas como as de Regras de filtragem Geral e/ou Regras de Filtragem nos 

Perfis de Acesso. 

Os campos são muito parecidos com a janela de Regras de Filtragem, contendo: 


Origem: Determina o IP/rede de origem dos pacotes; 

Destino: Determina o IP/rede de destino dos pacotes; 

Serviço: Permite selecionar quais os serviços (TCP, UDP, ICMP ou Outros) 

utilizará esta regra de PIPE; 

Canal: O administrador pode definir Qualidade de Serviço (QoS) diferenciada 

para cada tipo de regra; 

Hora:Define as horas e dias da semana em que a regra será aplicável. As linhas 

representam os dias da semana e as colunas representam às horas. Caso queira 

que a regra seja aplicável em determinada hora o quadrado deve ser preenchido, 

caso contrário o quadrado deve ser deixado em branco. 

Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse 

sobre um quadrado e arrastá-lo, mantendo o botão pressionado. Isto faz com que a 

tabela seja alterada na medida em que o mouse se move. 

Período de validade: Permitir o cadastro de duas datas que delimitam um 

período fora do qual a regra não tem validade. É um recurso muito útil para, 

por exemplo, liberar o tráfego relacionado a um evento não recorrente, como um 

teste. Se o período ainda não tiver começado ou estiver expirado, o número da 

regra será mostrado sobre um fundo vermelho. 

Comentário: Inserir um comentário sobre a regra. Muito útil na documentação e 

manutenção das informações sobre a utilidade da regra. 

A janela de Regras de Pipes 

Figura 144. Janela com as regras de Pipes. 

Observação: Estas regras sobrepõem às configurações de "Canal" das Regras de 

Filtragem Geral e das Regras de Filtragem nos Perfis de Acesso. 


Configurando conversão de 

endereços 


8. Configurando a conversão de endereços 

Este capítulo mostrará como configurar os parâmetros de conversão de endereços 

(NAT) de modo a possibilitar que a rede interna trabalhe com endereços reservados, 

aumentando sua capacidade de endereçamento, ocultando as máquinas da rede 

interna e acessando a Internet, de forma totalmente transparente. Nesta versão 

também será possível realizar um balanceamento de carga das conexões de forma 

mais inteligente. 


O que é conversão de endereços? 

Qualquer rede que vai se ligar à Internet necessita de um conjunto de endereços IP 

atribuídos por alguma autoridade designada para tal (no Brasil esta distribuição é de 

responsabilidade da FAPESP). Basicamente existem 3 conjuntos de endereços 

possíveis, os chamados classe A, que possibilitam 16.777.214 máquinas dentro da 

rede, os classe B, que possibilitam 65.533 máquinas e os classe C, que possibilitam 

254 máquinas. 

Devido ao grande crescimento apresentado pela Internet nos últimos anos, não 

existem mais endereços classe A e B disponíveis. Assim sendo, qualquer rede que 

venha a se conectar receberá um endereço classe C que permite o endereçamento 

de apenas 254 máquinas. Caso o número de máquinas seja maior do que isso, 

deve-se adquirir vários endereços classe C o que dificulta o trabalho de 

administração, ou utilizar uma solução de conversão de endereços. 

A conversão de endereços é uma tecnologia que permite que os endereços das 

máquinas da rede interna sejam distribuídos livremente, utilizando endereços classe 

A. Assim continua a permitir que todas as máquinas tenham acesso a internet de 

forma simultânea e transparente a Internet. 

O seu funcionamento é simples, todas as vezes que uma máquina com um 

endereço reservado tenta acessar a Internet, o Firewall detecta e automaticamente 

traduz seu endereço para um endereço válido. Quando a máquina de destino 

responde e envia dados para o endereço válido, o Firewall converte de volta este 

endereço para o reservado e repassa os dados para a máquina interna. Da forma 

que isso é feito, nem as máquinas clientes nem as máquinas servidoras sabem da 

existência de tal mecanismo. 

Outra vantagem, além da apresentada acima, é que com a conversão de endereços 

todas as máquinas da sua rede interna ficam invisíveis para a rede externa, 

aumentando ainda mais o nível de segurança da instalação. 


A conversão de endereços não é compatível com serviços que transmitem 

endereços IP ou portas como parte do protocolo. Os únicos serviços deste tipo 

suportados pelo Aker Firewall são o FTP, Real Áudio e Real Vídeo. 

Quais são as minhas redes internas? 

As redes internas se constituem de todas as máquinas de uma ou mais sub-redes 

que estão sendo protegidas pelo Aker Firewall. Isto inclui todos os dispositivos 

internos à rede, como roteadores, switches, máquinas servidoras, máquinas 

clientes, etc. São os equipamentos que guardam informações importantes da sua 

rede, ou são peças chaves para seu funcionamento. 

Quais são as minhas redes externas? 

As redes externas são formadas por todas as máquinas que não fazem parte da 

rede interna. Elas podem estar ou não sobre a responsabilidade administrativa de 

sua organização. 

No caso de uma rede de uma organização se ligando à Internet, a rede externa 

seria toda a Internet. 

Endereçando as minhas redes internas 

Apesar de tecnicamente possível, os endereços de suas redes internas não devem 

ser escolhidos aleatoriamente. Existem alguns endereços reservados 

especificamente para este fim. Estes endereços não podem ser atribuídos a 

nenhuma máquina ligada à Internet. 

Os endereços reservados são: 

De 10.0.0.0 à 10.255.255.255, máscara 255.0.0.0 (classe A) 

De 172.16.0.0 à 172.31.0.0, máscara 255.255.0.0 (classe B) 

De 192.168.0.0 à 192.168.255.255, máscara 255.255.255.0 (classe C) 

Tipos de conversão de endereços 

Existem três tipos diferentes de conversão de endereços: 1-1, N-1, 1-N e N-N. Cada 

um deles possui características distintas e normalmente são utilizados em conjunto 

para conseguir melhores resultados. 

1-1 

O tipo 1-1 é o mais intuitivo, porém normalmente o menos útil. Ele consiste em 

fazer mapeamentos binários de um para um entre endereços reservados e 

endereços válidos. Desta forma, máquinas distintas teriam endereços 

convertidos distintos. 


A grande limitação desta forma de operação é que não é possível colocar um 

número de máquinas maior que o número de endereços válidos, uma vez que 

são sempre convertidos na base de um para um. Em compensação, ela permite 

que máquinas com endereços reservados possam ser acessadas externamente 

com endereços válidos. 

N-1 

A conversão de N-1, como o nome já diz, possibilita que várias máquinas com 

endereços reservados utilizem um mesmo endereço válido. Para conseguir este 

objetivo, ela utiliza endereços IP em combinação com portas (no caso dos 

protocolos TCP e UDP) ou com números de seqüência (no caso de ICMP). Este 

mapeamento é feito dinamicamente pelo firewall, cada vez que uma nova 

conexão é estabelecida. Como existem 65535 portas ou números de seqüência 

distintos é possível a existência de até 65535 conexões simultâneas ativas 

utilizando o mesmo endereço. 

A única limitação desta tecnologia é que ela não permite que as máquinas 

internas sejam acessadas externamente. Todas as conexões devem ser 

iniciadas internamente. 

1-N 

Este tipo de conversão é também chamado de balanceamento de carga e 

possibilita que vários servidores sejam colocados atrás de um único endereço IP 

válido. Cada vez que uma nova conexão é aberta para esse endereço, ela é 

redirecionada para um dos servidores internos. A grande vantagem dessa 

tecnologia é possibilitar que serviços que demandam uma grande quantidade de 

recursos possam ser separados em várias máquinas e serem acessados de 

forma transparente, através de um único endereço. No caso de quedas de 

algumas dessas máquinas, as novas conexões são automaticamente 

repassadas para as máquinas que ainda estiverem no ar, implantando com isso 

mecanismo de tolerância a falhas. 

N-N 

Esta conversão permite que todos os endereços de uma rede sejam convertidos 

para os endereços de uma rede virtual automaticamente. 

Aplicações da conversão de endereços com o Aker Firewall 

O Aker Firewall permite que qualquer tipo de conversão seja realizada, não se 

limitando apenas ao endereço válido da interface externa do firewall, mas sim dando 

total flexibilidade ao administrador em utilizar qualquer endereço dentro da rede, 

inclusive fazendo a conversão entre redes inválidas. 


S. Suponhamos que uma determinada organização receba uma rede de endereços 

classe C, com o formato A.B.C.0. Este endereço é um endereço válido que suporta 

no máximo 254 máquinas (os endereços A.B.C.0 e A.B.C.255 são reservados para 

fins específicos e não podem ser utilizados, sobrando os valores de A.B.C.1 a 

A.B.C.254). Suponha ainda que esta rede possua 1000 máquinas para serem 

conectadas. Em virtude da impossibilidade de alocar todas as máquinas no 

endereço recebido, foi decidido pelo uso da conversão de endereços. Escolheu-se 

então um endereço reservado classe A para ser colocado nas máquinas da rede 

interna, o 10.x.x.x com máscara 255.0.0.0. 

O Aker Firewall irá ficar na fronteira da Internet com a rede interna, que possui 

endereços reservados. Ele será o responsável pela conversão dos endereços 

reservados 10.x.x.x para os endereços válidos A.B.C.x. Desta forma, o firewall 

deverá possuir pelo menos dois endereços: um endereço válido, para que possa ser 

atingido pela Internet e um reservado, para que possa ser atingido pela rede interna. 

(na maioria das instalações, colocam-se duas ou mais placas de rede no firewall: 

uma para a rede externa e uma ou mais para a rede interna. Entretanto é possível, 

porém não recomendado, fazer esta mesma configuração com apenas uma placa 

de rede, atribuindo um endereço válido e um reservado para a mesma placa). 

Supondo que seja escolhido o endereço A.B.C.2 para o segmento válido e o 

10.0.0.2 para o segmento reservado. Este endereço válido será utilizado pelo 

firewall para converter todas as conexões com origem na rede interna e destino na 

Internet. Externamente, todas as conexões serão vistas como se partissem dele. 

Outro exemplo seria a de uma organização que possua saídas para a Internet e três 

classes de endereços válidos, neste caso o administrador tem a possibilidade de 

distribuir a conversão de endereços entre essas três classes, obtendo muito mais 

flexibilidade na configuração. 

Com a conversão de endereços funcionando, todas as máquinas internas 

conseguem acessar qualquer recurso da Internet transparentemente, como se elas 

próprias possuíssem endereços válidos. Porém, não é possível para nenhuma 

máquina externa iniciar uma conexão para qualquer máquina interna (devido ao fato 

delas não possuírem endereços válidos). Para resolver este problema, o Aker 

Firewall possibilita a configuração de regras de conversão 1-1, o que permite 

simular endereços válidos para quaisquer endereços reservados. 

Voltando para o caso da nossa hipotética organização, suponha que em sua rede 

exista um servidor WWW, com endereço 10.1.1.5, e que seja desejado que este 

servidor forneça informações para a rede interna bem como para a Internet. Neste 

caso deve-se escolher um endereço válido para que este possa ser utilizado pelos 

clientes externos para se conectarem a este servidor. Suponha que o endereço 

escolhido tenha sido o A.B.C.10. Deve-se então acrescentar uma regra de 

conversão 1-1, de modo a mapear o endereço A.B.C.10 para o endereço interno 

10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10 serão 

automaticamente mapeados novamente pelo firewall para 10.1.1.5. 


Os endereços válidos escolhidos para realizar a conversão de 1-1 não podem ser 

atribuídos a nenhuma máquina real. Desta forma, em nosso exemplo é possível a 

configuração de até 253 servidores na sua rede interna passíveis de serem 

acessados externamente (um dos 254 endereços válidos já é usado para que o 

firewall converta o tráfego de todas as máquinas clientes). 

O Aker Firewall utiliza a tecnologia de proxy-arp para possibilitar que os 

servidores virtuais sejam tratados pelas máquinas pertencentes à rede válida (por 

exemplo, o roteador externo), como se fossem máquinas reais. 

Exemplos de configurações usando conversão de endereços: 

Se ligando à Internet com uma linha dedicada 

Equipamento: 1 roteador, 1 Aker Firewall, n clientes, 2 servidores na rede interna 

Endereço válido: A.B.C.x, máscara da rede 255.255.255.0 

Endereço reservado: 10.x.x.x máscara da rede 255.0.0.0 

Endereço dos servidores: 10.1.1.1, 10.2.1.1 

Endereço dos clientes: 10.x.x.x 

Endereços do roteador: Rede válida A.B.C.1 , Internet :x.x.x.x 

Configuração do Aker Firewall: 

Endereços das placas: rede interna: 10.0.0.2, rede válida A.B.C.2 

IP virtual para a conversão N-1: A.B.C.2 

Rede privada: 10.0.0.0 

Máscara da rede privada: 255.0.0.0 

Regras de conversão 1-1: 

A.B.C.10 - 10.1.1.1 

A.B.C.30 - 10.2.1.1 

Figura 145. Exemplo 1 - configuração do Aker Firewall (interligando departamentos). 


Desenho do Exemplo 1 

Interligando departamentos 

Neste exemplo, iremos mostrar como interligar departamentos de uma mesma 

empresa, utilizando um conversor de endereços entre estes departamentos. 

Equipamento: 1 roteador, 3 Aker Firewall, n clientes, 4 servidores na rede interna 

Endereço válido: A.B.C.x, máscara da rede 255.255.255.0 

Endereço reservado: 10.x.x.x máscara da rede 255.255.0.0 

Endereço reservado:172.16.x.x, máscara 255.255.0.0 

Endereços da sub-rede 1: 

10.1.x.x 

Endereço do servidor: 10.1.1.1 

Endereço dos clientes: 10.1.x.x 

Endereços do roteador: Rede válida A.B.C.1 , Internet: x.x.x.x 


Rede interna: 10.1.0.1, Rede válida A.B.C.2 

IP virtual para a conversão N-1: A.B.C.2 

Rede privada: 10.0.0.0 



Externamente: 10.1.0.2 

Internamente:172.16.x.x 




Sub-Rede 2: 172.16.0.1, Sub-rede 1:10.1.0.2 

IP Virtual para conversão N-1:10.1.0.2 

Rede privada (2): 172.16.0.0 



10.2.1.1 - 172.16.1.1 



Externamente: 10.1.0.3 

Internamente:172.16.x.x 




Sub-Rede 3: 172.16.0.1, Sub-rede 1:10.1.0.3 

IP Virtual para conversão N-1:10.1.0.3 

Rede privada (3): 172.16.0.0 



10.3.1.1 - 172.16.1.1 

Na tabela de roteamento para este tipo de instalação devemos inserir rotas para 

as sub-redes 10.1.x.x, 10.2.x.x, 10.3.x.x. 

Figura 146. Exemplo 2 - configuração do Aker Firewall (múltiplas ligações com a internet). 


Múltiplas ligações com a Internet 

Neste exemplo bem mais complexo, mostraremos como utilizar três ligações com a 

Internet e duas redes internas, utilizando o conversor de endereços entre elas. 


Equipamento: 3 roteadores, 1 Aker Firewall, n clientes, 2 servidores na rede DMZ 

Endereços válidos: A.B.C.x, D.E.F.x, G.H.I.x, todos com máscara de rede 

255.255.255.0 

Endereço reservado para a rede interna: 10.x.x.x máscara da rede 255.0.0.0 

Endereço reservado para a DMZ:172.16.x.x, máscara 255.255.0.0 

Endereços dos roteadores: Rede válida A.B.C.1, D.E.F.1, G.H.I.1 , Internet :x.x.x.x 


Endereços das placas: Placa 1: 10.0.0.2, Placa 2: 172.16.0.2 , Placa 3: A.B.C.2, 

Placa 4: D.E.F.2, Placa 5: G.H.I.2 

Redes privadas: 10.0.0.0 e 172.16.0.0 

Máscara da redes privadas: 255.255.0.0 

Servidores da DMZ 

Servidor Web - 10.0.0.10 

Servidor SMTP - 10.0.0.25 

Regras de conversão de Endereços 

1. Origem - 10.0.0.10 converte para A.B.C.10 quando for para a Internet 

2. Origem - 10.0.0.25 converte para D.E.F.25 quando for para a Internet 

3. Origem - 172.16.x.x converte para 10.0.0.4 quando for para rede 10.0.0.0 

4. Origem - 172.16.x.x converte para D.E.F.25 quando for para Internet 

5. Origem - 10.x.x.x converte para A.B.C.20 quando for para Internet 

Figura 147. Exemplo 3 - configuração do Aker Firewall (montando regras de conversão de 

endereços). 



Com o Aker Firewall é possível realizar um balanceamento dos links para realizar 

um aproveitamento mais otimizado dos links. O firewall possui mecanismos de 

verificação de ativação dos links, sendo possível dividir o tráfego de forma 

inteligente pelos links ou desviar totalmente o tráfego daquele que estiver fora do ar. 

O administrador também poderá atribuir pesos às suas conexões, ou seja, as 

conexões mais rápidas poderão ter um peso maior do que as conexões mais lentas, 

desta forma o firewall dará preferência em enviar o tráfego para o link com maior 

peso. 

Montando regras de conversão de endereços para o Aker Firewall 

Configurar as regras de conversão de endereços no Aker Firewall é algo fácil em 

função de sua concepção inteligente. Toda a parte de endereços IP, máscaras, 

protocolos e portas são configurados nas entidades (para maiores informações, veja 

o capítulo intitulado (Cadastrando Entidades). Devido a isso, ao configurar uma 

regra, não é necessário se preocupar com qual porta um determinado serviço utiliza 

ou qual o endereço IP de uma rede ou máquina. Tudo isso já foi previamente 

cadastrado. Para facilitar ainda mais, todos os serviços mais utilizados na Internet já 

vem previamente configurado de fábrica, sendo desnecessário perder tempo 

pesquisando os dados de cada um. 

Basicamente, para cadastrar uma regra de conversão, deve-se especificar as 

entidades de origem e destino, tipo de conversão, interface virtual e serviço (se for o 

caso). 

O funcionamento da conversão é simples: o firewall pesquisará uma a uma as 

regras definidas pelo administrador, na ordem especificada, até que o pacote se 

encaixe numa delas. A partir deste momento, ele executará o tipo de conversão 

associado à regra. Caso a pesquisa chegue ao final da lista e o pacote não se 

enquadre em nenhuma regra então este não será convertido. 

Utilizando a interface gráfica 

Para ter acesso a janela de configuração da conversão de endereços, basta: 


Figura 148. Janela de acesso - configuração da conversão de endereços. 

Clicar no menu Configuração do Firewall. 

Selecionar o item NAT. 

A janela de configuração de conversão de endereços (NAT) 

Figura 149. Janela de configuração da conversão de endereços (NAT). 


A janela de conversão de endereços contém todas as regras de conversão definidas 

no Aker Firewall. Cada regra será mostrada em uma linha separada, composta de 

diversas células. Caso uma regra esteja selecionada, ela será mostrada em uma cor 

diferente. 

O botão OK fará com que o conjunto de regras seja atualizado e passe a 

funcionar imediatamente. 

O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá 

a janela aberta 

O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e 

a janela seja fechada. 

Existe uma barra para inclusão de comentários relativo a regra de conversão. 

A opção Ativar NAT se estiver marcada, fará com que o firewall passe a 

converter os endereços de acordo com as regras cadastradas. Caso ela esteja 

desmarcada, nenhum tipo de conversão de endereços será feita. 

A barra de rolagem do lado direito serve para visualizar as regras que não 

couberem na janela. 

Ao clicar sobre uma regra e selecioná-la, se ela possuir um comentário, este 

aparecerá na parte inferior da janela. 

A posição da regra pode ser alterada clicando e arrastando com o mouse para a 

nova posição desejada. 

A janela possui os seguintes campos: 

Origem: Neste campo especifica-se a lista de todas as entidades cujos endereços 

serão convertidos para o endereço da Entidade Virtual, descrita acima. A conversão 

1-1 ou conversão de serviços permitem que apenas uma entidade seja selecionada 

para este campo e esta entidade deve ser do tipo máquina. 

Caso esteja utilizando Conversão 1-N ou Conversão de Serviços 1-N, então cada 

máquina pertencente a esse campo terá um peso associado a ela, mostrado entre 

parênteses, à direita do nome da entidade. Para alterar o peso de uma determinada 

máquina, ou seja, fazer com que ela receba mais conexões que as demais, deve-se 

clicar com o botão direito sobre o nome da entidade, na lista da direita, selecionar a 

opção Alterar peso e escolher o novo valor. 

O campo Entidade Origem deve sempre conter os endereços internos 

(reservados ou não válidos) das máquinas participantes da conversão, 

independentemente de seu tipo. 

Destino: Este campo serve para especificar as entidades para as quais a conversão 

de endereços será efetuada (no caso da conversão N-1) ou as máquinas que 

acessarão as máquinas internas através do endereço contido no campo Entidade 

Virtual (para os demais tipos de conversão). Ao criar várias regras com valores 

distintos nesse campo, faz com que uma mesma máquina tenha seu endereço 

convertido em endereços distintos dependendo do destino da comunicação. 


O valor mais comum para esse campo é a especificação da entidade Internet 

como destino. Isso fará com que a conversão de endereços selecionada na regra 

seja efetuada para todas as máquinas externas. 

Opções: Tipo de nat que será utilizado. 

Entidade Virtual: Neste campo deve-se configurar a entidade para a qual os 

endereços internos serão convertidos ou para o qual as requisições externas devem 

ser direcionadas. A entidade virtual deverá sempre ser uma entidade do tipo 

máquina. 

Serviços: Este campo define quais os serviços que farão parte da regra, quando for 

utilizado o tipo de conversão de Serviços, N-1 serviços ou 1-N com Serviços. A 

janela ficará desabilitada para os demais tipos de conversão. 

Serviço Virtual: Serviço que sofrerá a conversão, somente utilizado em Nat de 

porta. 

Balanceamento de link: Este campo permite habilitar ou desabilitar o 

balanceamento de link. As configurações do balanceamento deverão ter sido 

realizadas quando for selecionada esta opção. 

Comentário: Reservado para colocar uma descrição sobre a regra. Muito útil na 

documentação e manutenção das informações sobre sua utilidade. 

A janela de configuração de Balanceamento de Link 

Figura 150. Janela de configuração de balanceamento de link. 


O botão OK fará com que o conjunto de regras seja atualizado e passe a 






Esta aba possui os seguintes campos: 

Nome: Neste campo dever ser informado um nome para representar o link da 

operadora; 

Tipo: Este campo informa qual o tipo da configuração e pode assumir dentre dois 

valores possíveis, "estático" ou "dinâmico". 

Quando o link for estático é obrigatório cadastrar uma entidade de rede e uma 

entidade de máquina (gateway) sendo, neste, caso não permitido o cadastro de 

entidade de interface de rede. Quando o link for estático, a situação se inverte, 

sendo o usuário obrigado a cadastrar uma entidade do tipo interface, sendo que o 

cadastro de entidades do tipo rede e máquina (gateway) não são permitidos. 

Rede: Cadastre a rede que a operadora forneceu; 

Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall 

fará uma crítica para verificar se o gateway realmente pertence a rede da 

operadora); 

Interface: Esse campo é utilizado para o cadastro da entidade do tipo interface de 

rede, a qual irá representar o link dinâmico. 

Peso: Indica um valor a ser atribuído ao link. Quando os pesos são maiores 

pressupõe que os links sejam mais rápidos. 

Checa host 1: Nesse campo deve ser cadastrada uma entidade que tenha certeza 

que esteja logo a seguir do roteador da operadora, de preferência dentro de um ou 

dois saltos de seu roteador. Esta entidade será utilizada pelo firewall para 

determinar se o link está no ar ou não. Pode ser cadastrado um servidor DNS da 

operadora ou mesmo roteadores próximos. 

Checa host 2 e Checa host 3: Entidades de verificação também utilizadas pelo 

firewall. Não é obrigatório que estejam cadastradas as três entidades de verificação, 

contudo, quanto mais entidades cadastradas melhor para o sistema de verificação 

do firewall. 

Para executar qualquer operação sobre uma determinada regra, basta clicar com o 

botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será 

acionado sempre que o botão direito for pressionado, mesmo que não exista 


nenhuma regra selecionada. Neste caso, somente as opções Incluir e Colar estarão 

habilitadas). 

Figura 151. Janela de configuração para adicionar entidades. 

Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver 

selecionada, a nova será inserida na posição da regra selecionada. Caso 

contrário, a nova regra será incluída no final da lista. 






Habilita/Desabilita: Permitir habilitar/desabilitar a regra selecionada, ou seja, ela 

permanecerá cadastrada, mas o Firewall se comportará como se a mesma não 

existisse (no caso do Disable) e prosseguirá a pesquisa na regra seguinte. 

Adicionar entidades: No ponto em que for feito o clique do mouse, será 

possível inserir a entidade no campo correspondente da regra de conversão. 

Apenas um certo número de entidades poderá ser visualizada. Para escolher 

outra entidade faça a rolagem da janela na barra correspondente. 

Dica: O método mais prático para o administrador montar sua regra de conversão 

será arrastando diretamente as entidades para dentro da regra. 


Dica 2: A posição de cada regra pode ser alterada, bastando clicar e arrastar a 

mesma para a nova posição desejada, soltando em seguida. Observe que o cursor 

de indicação do mouse irá mudar para uma caixa pontilhada. 

No caso de inclusão ou edição de regras, será mostrada a janela de propriedades, 

descrita na seção abaixo: 

1.1.1.1.1 A janela de inclusão de regras de NAT 

Figura 152. Janela de inclusão de regras de NAT. 

Tipos de NAT: Neste campo é definido o tipo de conversão que a regra realizará. 

Ela possui as seguintes opções: 

Sem Conversão: Esta opção indica ao firewall que não deve haver conversão 

de endereços quando qualquer uma das máquinas pertencentes às Entidades 

Origem for acessar qualquer uma das máquinas pertencentes às Entidades 

Destino e vice-versa. 

Conversão 1-1: Esta opção indica ao firewall que quando a máquina listada nas 

Entidades Origem for acessar qualquer uma das máquinas pertencentes às 

Entidades Destino ela terá seu endereço convertido para o endereço da Entidade 

Virtual. Todas as vezes que uma máquina pertencente às Entidades Destino 

acessar o endereço da Entidade Virtual, esse último será automaticamente 

convertido para o endereço real, definido pela entidade presente nas Entidades 

Origem. Este tipo de conversão é útil para possibilitar o acesso externo a 

servidores internos. 


Nas Entidades Origem deve-se colocar uma entidade com o endereço real 

(interno, reservado) da máquina para a qual se fará conversão de 1-1. Na Entidade 

Virtual deve-se colocar uma entidade com o endereço para o qual o endereço 

interno será convertido (endereço válido) e que será acessado pelas máquinas 

externas. 

Conversão N-1: Esta opção indica ao firewall que quando qualquer máquina 

listada nas Entidades Origem for acessar qualquer uma das máquinas 

pertencentes às Entidades Destino ela terá seu endereço convertido para o 

endereço da Entidade Virtual. Este tipo de conversão é útil para possibilitar que 

um grande número de máquinas utilize apenas um endereço IP válido para se 

comunicar através da Internet, entretanto ela não permite com que máquinas 

externas (listadas nas Entidades Destino) iniciem qualquer comunicação com as 

máquinas internas (listadas nas Entidades Origem). 

Quando o módulo de Cluster Cooperativo estiver funcionado na conversão de N- 

1, o IP da entidade virtual não pode ser nenhum dos atribuídos as interfaces do 

firewall. 

Conversão de Serviços: Esta opção é útil para redes que dispõem de apenas 

um endereço IP e necessitam disponibilizar serviços para a Internet. Ela 

possibilita que determinados serviços, ao serem acessados no firewall, sejam 

redirecionados para máquinas internas. 

No campo Entidades Origem, deve-se colocar o endereço IP interno (real) da 

máquina para a qual os serviços serão redirecionados. No campo Entidades 

Destino, deve-se colocar as máquinas que irão acessar os serviços externamente. 

No campo Serviços, deve-se escolher todos os serviços que serão redirecionados 

para a máquina presente em Entidades Origem quando uma máquina presente nas 

Entidades Destino acessá-los no endereço IP da Entidade Virtual. 

Quando o módulo de Cluster Cooperativo estiver funcionado não é possível a 

conversão de serviços. 

Conversão 1-N: Esta opção é utilizada para fazer balanceamento de carga, ou 

seja, possibilitar que várias máquinas respondam como se fossem uma única. 

No campo Entidades Origem deve-se colocar a lista de máquinas que farão parte 

do balanceamento e que passarão a responder como se fossem uma única. No 

campo Entidades Destino, deve-se colocar as máquinas que irão acessar as 

máquinas internas pelo endereço especificado na entidade presente no campo 

Entidade Virtual. 


Figura 153. Janela de configuração para ações que deseja ser realizada. 

Conversão 1:N para serviços: Esta opção é utilizada para fazer balanceamento 

de carga para determinados serviços, ou seja, possibilitar que várias máquinas 

respondam a requisições destes serviços como se fosse uma única. 

Porta: Para efetuar conversões não somente de endereços ip, mas também de 

portas para conexão, utiliza-se este tipo de nat, que também é conhecido com 

PAT (port address translation). 

1:N para Porta: Faz balanceamento de servidores efetuando conversões não 

somente de endereços ip, mas também as portas de conexão, sendo que após a 

conversão os acessos são distribuídos entre os servidores que fazem parte do 

balanceamento. 

Faz balanceamento de servidores efetuando conversões não somente de endereços 

ip, mas também das portas de conexão sendo, que após a conversão os acessos, 

são distribuídos entre os servidores que fazem parte do balanceamento. 

Conversão N:N: Esta opção indica ao firewall que os endereços pertencentes à 

rede listada nas Entidades Origem, ao acessar qualquer uma das máquinas 

pertencentes às Entidades Destino, serão convertidos para os endereços da 

rede no campo Entidade Virtual, ou seja, nesta conversão deve-se usar uma 

entidade de rede na coluna origem e uma entidade de rede na coluna entidade 

virtual. O campo destino pode ser preenchido da mesma maneira como é feito 

para os demais tipos de NAT. 

Além disso, as máscaras de rede da entidade de origem e da entidade virtual 

precisam ser iguais para que o NAT funcione. Por exemplo: 


IP 

Máscara de rede 

Origem 192.168.0.0 255.255.255.0 

Entidade 

virtual 

172.16.0.0 255.255.255.0 

Figura 154. Comparativo: máscaras de rede da entidade de origem e virtual. 

Nesse caso, todos os IPs da rede 192 serão convertidos para a 172. 

O botão Avançado, que somente estará habilitado quando selecionar a conversão 

de endereços 1-N ou Conversão de serviços 1-N, permite configurar os parâmetros 

do monitoramento que será realizado pelo firewall a fim de detectar se as máquinas 

participantes do balanceamento estão no ar ou não e como o balanceamento será 

realizado. Ao clicar neste botão, a seguinte janela será mostrada: 

Figura 155. Configuração dos parâmetros de monitoramento. 

O campo Tipo de monitoramento, permite definir o método utilizado pelo firewall 

para verificar se as máquinas participantes do balanceamento (máquinas definidas 

no campo Entidades Origem) estão no ar. Ela consiste das seguintes opções: 

Sem monitoramento: Se essa opção for selecionada, o firewall não monitorará as 

máquinas e assumirá que elas estão sempre ativas. 


Pacotes Ping: Se essa opção for selecionada, o firewall monitorará as máquinas 

através de pacotes ICMP de Echo Request e Echo Reply (que também são 

utilizados pelo comando PING, daí o nome dessa opção). 

Pedidos HTTP: Se essa opção for selecionada, o firewall monitorará as máquinas 

através de requisições HTTP. Nesse caso, deve-se especificar a URL (sem o prefixo 

http://) que o firewall tentará acessar em cada máquina para verificar se ela está 

ativa ou não. 

Algoritmo de balanceamento de carga: Esse campo permite definir o método 

utilizado para balancear as requisições entre as máquinas presentes no campo 

Entidades Origem. Ele consiste das seguintes opções: 

Round - Robin: Ao selecionar essa opção, o firewall distribuirá seqüencialmente as 

requisições para as máquinas participantes do balanceamento, uma a uma. Caso as 

máquinas tenham pesos diferentes, primeiro será distribuída uma conexão para 

cada máquina, a seguir uma conexão para cada máquina que recebeu um número 

de conexões menor que seu peso e assim sucessivamente. Quando todas as 

máquinas receberem o número de conexões equivalente a seu peso, o algoritmo se 

inicia. 

Aleatório: Ao selecionar essa opção, o firewall distribuirá as conexões de forma 

randômica entre as máquinas, ou seja, a probabilidade de uma conexão ser 

redirecionada para uma determinada máquina é igual à razão entre seu peso e o 

peso total de todas as máquinas. 

Persistência entre conexões: Esse campo permite definir o tempo de persistência 

da sessão em protocolos ou aplicativos que utilizem mais de uma conexão em 

tempos diferentes, ou seja, o tempo máximo de espera por uma nova conexão após 

o término da primeira. Neste intervalo de tempo as novas conexões serão 

direcionadas pelo firewall ao mesmo servidor. 

Observações sobre a montagem das regras 

É altamente recomendável que as regras de conversão sejam colocadas na 

seguinte ordem: 

1. Regras de Não Conversão; 

2. Regras de Conversão de Serviços; 

3. Regras de Conversão 1-1 e de N-N; 

4. Regras de Conversão de Serviços 1-N; 

5. Regras de Conversão 1-N; 

6. Regras de Conversão N-1; 

7. Regras de Conversão N-N. 


É necessária a inclusão de uma regra de Não Conversão com origem nas redes 

internas e destino nas próprias redes internas caso se pretenda administrar o 

firewall por uma máquina interna que participará de qualquer tipo de conversão. 

Essa regra deverá estar antes das demais regras de conversão. 

Exemplos - Cenário 1 - Conversão de Endereços 

Suponha que uma empresa possua as máquinas e serviços abaixo e deseja 

implementar a conversão de endereços. A empresa possui uma conexão dedicada 

com a Internet e seu provedor distribuiu uma faixa de endereços IP válidos na 

Internet de 200.120.210.0 até 200.120.210.63. 

Na regra 1 colocamos as redes internas da empresa (DMZ e Interna) em não 

tradução. Esta regra possibilita que caso alguma máquina interna da rede for 

administrar o firewall o seu endereço não é convertido e a administração seja 

possível. Estaria também correto em especificar as máquinas que são 

administradoras (Entidade Origem) e a interface por onde iremos administrar o 

firewall (Entidade de Destino) com a opção de "Sem tradução". 

Na regra 2 o servidor server1 fará uma conversão de 1:1 para o endereço 

200.120.210.15, ou seja, caso alguém da Internet procure pelo IP 200.120.210.15 

será enviado para o servidor server1 (IP 10.20.0.50). Do mesmo modo caso o 

servidor server1 origine uma conexão para Internet o seu IP será 200.120.210.15. 

A regra 3 por analogia é idêntica a regra 2, o servidor servidor_web_aker fará 

conversão de 1:1 para o endereço 200.120.210.25. 

A regra 4 é o exemplo de balanceamento de carga. Alguém da Internet procurando 

pela máquina 200.120.210.20 será enviado para o NT3, NT2 ou NT1. Isto 

dependerá do cálculo a ser realizado pelo firewall. No caso abaixo os pesos são 

diferentes, portanto a máquina NT3 que possui o peso 4 é a que receberá a maior 

quantidade de conexões. Caso as máquinas NT tenham de originar conexões para 

Internet, elas também terão seus endereços convertidos para 200.120.210.20. 

A regra 5 é de conversão de N:1, ou seja qualquer máquina da Rede_Interna 

(10.20.0.0 com máscara 255.255.255.0) terá o seu endereço convertido para 

200.120.210.16 quando as mesmas originarem conexão para a Internet. No entanto 

a recíproca não é verdadeira, caso alguém da Internet venha procurando conexão 

para o IP 200.120.210.16 o firewall não enviará para nenhuma máquina da rede 

interna e irá descartar os pacotes para esta conexão, pois o mesmo não sabe para 

qual máquina enviar a requisição. 

Cabe ressaltar que a ordem das regras é de extrema importância. Vamos supor que 

a regra 2 seja movida para a última posição. Neste caso alguém que viesse 

procurando pela máquina 200.120.210.15 seria enviado para o server1, entretanto 

quando o server1 fosse originar uma conexão para a Internet o mesmo teria seu 

endereço convertido para 200.120.210.16, pois a regra da antiga posição 5 é que 

iria atender primeira a conversão. 


Figura 156. Exemplo 1 - conversão de endereços. 

Exemplos - Cenário 2 - Conversão de Serviços 

Suponha agora que a empresa não possua uma faixa de endereços IP da Internet e 

sim um Único IP válido. Neste caso é conveniente fazer a conversão de serviços. 

Com este tipo de configuração poderá ser feito um aproveitamento deste único IP 

para diversos tipos de serviços. No caso o IP é o 200.120.210.15. 

A regra 1, foi colocada pelos mesmos motivos citados no cenário anterior. 

Na regra 2, alguém da Internet esteja procurando pela máquina 200.120.210.15 e 

na porta do servidor FTP (21/TCP). Neste caso o firewall irá enviar a conexão para a 

máquina server1. 

Na regra 3, alguém da Internet está procurando pela mesma máquina 

200.120.210.15, porém na porta do SMTP (25/TCP). O firewall irá mandar esta 

conexão para o endereço da entidade Correio_SMTP. 

Já a regra 4 possibilita que o servidor web da empresa seja acessado pela porta 

HTTP (80/TCP). 

A regra 5 é um exemplo do balanceamento de carga utilizando uma porta de 

serviço. Neste caso alguém da Internet está procurando acesso ao IP 

200.120.210.15 para o serviço web seguro (443/TCP), sendo que há três servidores 

para atender a requisição, no caso NT1, NT2 e NT3. Os princípios para atender 

estas conexões são os mesmos já explicados no cenário anterior. 


Finalizando, a regra 6 permite que qualquer outra máquina origine conexão para 

Internet, no caso sendo visualizado o IP 200.120.210.15 no destino. 

Apesar de ser possível utilizar a conversão de serviços no caso do cenário 1, a Aker 

recomenda que esta configuração seja utilizada no caso da empresa possuir 

somente um único endereço IP válido para Internet. 

Figura 157. Exemplo 2 - conversão de serviços. 

Exemplos - Cenário 3 - Balanceamento de Link 

Neste cenário será descrito como realizar o balanceamento de links. Suponha que a 

empresa possua dois prestadores de conexão IP para Internet, por exemplo, 

Embratel e Intelig. No caso cada operadora forneceu sua faixa de endereço IP para 

a empresa. 

Primeira Fase - Montagem do Balanceamento 

O administrador do firewall então irá realizar o cadastramento e informar as 

seguintes entidades e campos: 

Nome: Informe um nome para representar o link da operadora; 

Tipo: Este campo informa qual o tipo da configuração e pode assumir dentre 

dois valores possíveis, "estático" ou "dinâmico"; 

Rede: Cadastre a rede que a operadora forneceu; 


Gateway: O IP do roteador da operadora deve ser informado (neste caso o 

firewall fará uma crítica para verificar se o gateway realmente pertence a rede da 

operadora); 

Interface: Esse campo é utilizado para o cadastro da entidade do tipo interface 

de rede, a qual irá representar o link dinâmico; 

Peso: Um valor a ser atribuído ao link. Quando os pesos são maiores pressupõe 

que links sejam mais rápidos. 

Checa host 1: Cadastre uma entidade que tenha certeza que esteja logo a 

seguir do roteador da operadora, de preferência dentro de um ou dois saltos de 

seu roteador. Esta entidade será utilizada pelo firewall para determinar se o link 

está no ar ou não. Pode ser cadastrado um servidor DNS da operadora ou 

mesmo roteadores próximos. 

Checa host 2 e Checa host 3: Entidades de verificação também utilizadas pelo 

firewall. Não é mandatório que estejam cadastrados as três entidades de 

verificação, contudo quanto mais entidades cadastradas, melhor para o sistema 

de verificação do firewall. 

Figura 158. Balanceamento de link (primeira fase). 

Segunda Fase - Montagem das Regras de NAT 

A segunda fase da montagem é bem simples, bastando colocar em cada regra de 

conversão duas ou mais entidades virtuais, uma com endereço de cada prestador 

de serviço. 

Não esqueça de habilitar na coluna Balanceamento de links o ícone correspondente 

para que o serviço possa ser realizado pelo firewall. Cabe ressaltar que o firewall 

também realizará uma crítica para determinar se realmente a Entidade Virtual 

pertence a um link previamente cadastrado. 


Uma limitação desta implementação é quanto à origem da conexão pela Internet. Os 

DNS devem ter entradas duplas de IP e devem trabalhar em modo Round-Robin. O 

problema está quando um link de determinada operadora cai, o firewall não tem 

como desviar as conexões que são originadas pela Internet. Para contornar este 

problema o administrador poderia utilizar de scripts para remover do DNS o IP da 

operadora que esteja fora do ar, pois o firewall passa para o log de eventos desta 

informação. 

Figura 159. Montangem das regras do NAT (segunda fase). 


A interface texto de configuração da conversão de endereços é relativamente 

simples e tem as mesmas capacidades da interface gráfica, exceto pelo fato de não 

ser possível configurar os parâmetros de monitoramento. 

Localização do programa: /aker/bin/firewall/fwnat 

Sintaxe: 


fwnat - Configura regras de conversao de enderecos (NAT) 

Uso: fwnat [ajuda | mostra | ativa | desativa] 

fwnat [habilita | desabilita | remove] 

fwnat inclui 1-1 [ | 


-bal ... ] 

fwnat inclui n-1 [ | 

-bal ... ] 

fwnat inclui servicos [ | 

-bal ... ] ... 

fwnat inclui portas [ | 

-bal ... ] 

fwnat inclui sem_conversao 

fwnat inclui 1-n ... [ | 

-bal ... ] 

nenhum | ping | HTTP > 

fwnat inclui n-n [ | -bal 

...] 


desativa = desativa conversao de enderecos 

mostra = mostra todas as regras da tabela de conversao 

inclui = inclui uma nova regra de conversao 

habilita = habilita uma regra de conversao desabilitada 

desabilita = desabilita uma regra de conversao existente 

remove = remove uma regra de conversao existente 

ajuda = mostra esta mensagem Para inclui temos: 

pos = posicao onde incluir a nova regra na tabela 

(Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela) 

1-1 = realiza conversao de servidores. Neste caso a origem deve 

ser obrigatoriamente uma entidade do tipo maquina 

n-1 = realiza conversao de clientes 

servicos = realiza conversao apenas para os servicos citados. 

Neste caso a origem deve ser obrigatoriamente uma entidade do 

tipo maquina 

portas = realiza conversao apenas para o servico citado. 

Neste caso a origem deve ser obrigatoriamente uma entidade do 

tipo maquina. Alem disso, o servico visivel externamente 

sera' o sem_conversao = nao realiza conversao 

entre a origem e o destino 

1-n = realiza balanceamento de carga, ou seja, possibilita que 

as varias maquinas origem sejam acessadas pelo endereco 

IP configurado na entidade virtual, como se fossem uma so 

maquina 

n-n 

= Esta conversão permite que todos os endereços de uma rede 

sejam convertidos para os endereços de uma rede virtual automaticamente. 


servico1 = lista de nomes dos servicos para a nova regra. Sao aceitos 

apenas servicos dos protocolos TCP ou UDP Para habilita / desabilita / 

remove temos: 

pos 

= numero da regra a ser habilitada, desabilitada ou removida da tabela 

Para conversao 1-n temos: 

round-robin = Utiliza algoritmo round-robin para o balanceamento das conexoes 

randomico = Utiliza algoritmo randomico para o balanceamento das conexoes 

persist = Tempo de persistencia (mins) de servidor destino para 

conexoes originadas do mesmo cliente 

nenhum = Nao monitora as maquinas origem, isto e', considera que elas estao 

sempre ativas 

ping = Monitora as maquinas origem atraves de pings 

HTTP = Monitora as maquinas origem atraves de conexoes HTTP 

URL = Especifica qual a URL deve utilizada para monitorar as 

maquinas, no caso de se utilizar monitoramento HTTP 

Exemplo 1 : (Mostrando a configuração) 

#/aker/bin/firewall/fwnat mostra 

Parametros Globais: 

------------------- 

Conversao de enderecos: Ativada 

Regras de Conversao: 

-------------------- 

Regra 01 

-------- 

Tipo: sem_conversao 

Origem: Rede Interna 

Destino: Rede Interna 

Regra 02 

-------- 

Tipo: servicos 

Origem: Server 

Destino: Internet 

Entidade virtual: Firewall - interface externa 

Servicos: MYSQL POP3 SMTP 

Regra 03 


-------- 

Tipo: 1-1 

Origem: Web Server_001 


Entidade virtual: External Web server 

Regra 04 

-------- 

Tipo: n-n 

Origem: rede1 

Destino: internet 

Entidade Virtual: rede2 

Regra 05 

-------- 

Tipo: 1-n 

Origem: server1,server2, server3 


Entidade virtual: Virtual Server 

Balanceamento: randomico Monitoramento: http 

URL: www.aker.com.br 

Regra 06 

-------- 

Tipo: n-1 

Origem: Rede Interna 


Entidade virtual: Firewall - interface externa 

Exemplo 2 : (Incluindo uma regra de conversão 1-1 no final da tabela. mapeando o 

servidor SMTP Server, com endereço reservado para o External Server, com 

endereço válido para todas as máquinas da Internet). 

#/aker/bin/firewall/fwnat inclui fim 1-1 "SMTP Server" Internet "External Server" 


Exemplo 3: (Incluindo uma regra de conversão n-n na posição 5). 

#/aker/bin/firewall/fwnat inclui 5 n-n rede1 internet rede2. 

Regra incluida na posição 5 


Exemplo 4 : (Incluindo uma regra de conversão de serviços no início da tabela). 

#/aker/bin/firewall/fwnat inclui 1 Servicos "Server 2" Internet "External Server 2" 

Telnet FTP 


Exemplo 5 : (Removendo a regra 3). 

#/aker/bin/firewall/fwnat remove 3 

Regra 5 removida 

Exemplo 6 : (Incluindo uma regra de conversão 1-N, balanceamento, mapeando os 

servidores srv01 e srv02 em uma máquina externa chamada de srv_externo, para 

todas as máquinas da Internet, e monitorando via ping). 

#/aker/bin/firewall/fwnat inclui 4 1-N srv01 srv02 Internet srv_externo round-robin 

ping 


8.3. Redundância de Link Via Modem 

Este aplicativo é utilizado apenas em modelos de Firewall Box com modem, onde se 

pode configurar a redundância de link usando o aplicativo de configuração " 

fwdialup_conn", conforme demonstrado na sintaxe abaixo: 

Sintaxe: 

/aker/bin/firewall # fwdialup_conn ajuda 

Firewall Aker - Versão 6.5 (HW) 

Uso: fwdialup_conn ajuda 

fwdialup_conn mostra 

fwdialup_conn configura [fone2] [fone3] 

fwdialup_conn habilita 

fwdialup_conn desabilita 

fwdialup_conn habilita_teste 

fwdialup_conn desabilita_teste 

os parametros sao: 

nome_usuario : nome de usuario para a conexao com o ISP. 

senha : senha utilizada para conexao com o ISP. 

fone1, 2, 3 : numero de telefone do ISP para discagem. 

dias_semana : dias da semana quando o teste sera executado. Os dias devem ser 

especificados por digitos. 

Exemplos: 0 => para representar Domingo, 6 => para representar Sabado. 

Voce pode especificar valores simples (1;3;5 ou 3) ou sequencias (1-5). 

hora : hora do dia quando o teste sera executado, tipo 20:55. 


aker/bin/firewall # fwdialup_conn mostra 

Configuracao: 

--------------------- 

Habilitado: Nao 

Nome de usuario: ig 

Senha: ig 

Telefone 1: 34824000 

Telefone 2: 

Telefone 3: 

Teste: 

--------------------- 

Teste habilitado: Nao 

Dias da semana: 

Hora: 00:00 

Exemplo 1: (Habilita e desabilita a funcionalidade) 

/aker/bin/firewall # fwdialup_conn habilita 

Alteracao feita com sucesso!!! 

/aker/bin/firewall # fwdialup_conn desabilita 


Exemplo 2: (testando o funcionamento do modem periodicamente, o exemplo 

abaixo habilita o teste de segunda a sexta às 00:27) 

/aker/bin/firewall # fwdialup_conn habilita_teste '1;6' 00:27 


/aker/bin/firewall # fwdialup_conn desabilita_teste 


A funcionalidade de Redundância de Link aplica-se apenas em Firewall Box. 

8.4. Utilizando o Assistente de Configuração NAT 

O assistente de configuração NAT pode ser acionado tanto pela barra de 

ferramentas como pelo menu. As janelas abaixo irão solicitar diversas informações 

de modo que a conversão seja configurada. 

1 - A janela inicial informa sobre o que é o NAT. Clique no botão Próximo para 

continuar com a configuração. 


Figura 160. Mensagem de boas vindas ao Assistênte de configuração de NAT. 


2 - Informe as redes que necessitarão acessar a Internet. 

Figura 161. Seleção das redes que tem a necessidade de acessar a internet compartilhando um 

endereço IP. 


3 - Escolha o IP da Máquina virtual para realizar a conversão N-1. 

Figura 162. Seleção do IP da máquina virtual para realizar a conversão de N-1. 


4 - Escolha a opção Sim caso queira configurar os servidores que deverão aparecer 

para Internet. 

Figura 163. Mensagem se deseja configurar os servidores acessíveis externamentes. 


5 - Escolha a entidade para aparecer para a Internet. 

Figura 164. Escolha da entidade que deseja tornar acessível na internet. 


6 - Escolha o IP da Máquina virtual o qual o servidor será mostrado para Internet. 

Figura 165. Escolha do endereço IP utilizados por máquinas externas a ser utilizado no servidor. 


7 - Esta tela irá permitir que mais servidores sejam configurados. 

Figura 166. Escolha para configurar mais servidores. 


8 - Tela de finalização do Assistente e as regras que foram criadas pelo mesmo. 

Figura 167. Finalização do assistentes de regras. 


Criando canais de criptografia 


9. Criando canais de criptografia 

Este capitulo mostrará como configurar as regras que propiciarão a criação de 

canais seguros de comunicação na Internet. Estes canais seguros são usados para 

interligar instituições pela Internet de forma a permitir que os dados fluam entre elas 

sem o risco de serem lidos ou alterado por estranhos. 

9.1. Planejando a instalação. 

O que é e para que serve um canal seguro de dados? 

A Internet é uma rede mundial composta de milhares de máquinas espalhadas por 

todo o mundo. Quando duas máquinas quaisquer estão se comunicando, todo o 

tráfego entre elas passa por diversas outras máquinas (roteadores, switches, etc) 

desde sua origem até seu destino. Na quase totalidade das vezes, a administração 

destas máquinas intermediárias é feita por terceiros e nada se pode afirmar quanto 

a sua honestidade (na maioria das vezes, não é nem possível saber 

antecipadamente por quais máquinas os pacotes passarão até atingir seu destino). 

Qualquer uma destas máquinas que estiver no caminho dos pacotes pode visualizar 

seu conteúdo e/ou alterar qualquer um destes. Isto é um problema sério e sua 

importância é aumentada ainda mais quando existe a necessidade de transmitir 

dados confidenciais e de grande impacto. 

Para resolver este problema, pode-se usar um canal seguro de dados. Um canal 

seguro de dados pode ser visto como se fosse um túnel. De um lado são colocadas 

as informações que só poderão ser lidas novamente após saírem do outro lado. 

Na prática, o que é feito é dar um tratamento especial aos dados a serem 

transmitidos de modo que estes não possam ser alterados durante seu caminho 

(autenticação), nem visualizados (criptografia). A combinação das duas técnicas 

produz dados invisíveis e imutáveis para qualquer máquina que se encontre no 

caminho dos pacotes, da origem ao destino. 

O que é criptografia? 

Criptografia é a combinação de uma chave com um algoritmo matemático baseado 

em uma função unidirecional. Este algoritmo é aplicado aos dados, juntamente com 

a chave, de modo a torná-los indecifráveis para qualquer um que os veja. O modo 

que isso é feito garante que somente é possível obter os dados originais caso 

possua o algoritmo e a chave usados inicialmente. 

Ao manter um destes dois componentes secretos (no caso, a chave), torna 

impossível a visualização dos dados por terceiros. 


O que é autenticação? 

Autenticação é também a combinação de uma chave com um algoritmo matemático 

baseado em uma função unidirecional. A diferença em relação a criptografia é que 

este algoritmo, quando aplicado sobre os dados, não produz dados indecifráveis 

mas sim uma assinatura digital para estes. Essa assinatura é gerada de tal forma 

que qualquer pessoa que desconheça o algoritmo ou a chave utilizado para gerá-la 

seja incapaz de calculá-la. 

Quando a assinatura digital é gerada, ela passa a ser transmitida para o destino 

junto com os dados. Caso estes tenham sofrido quaisquer alterações no caminho, o 

recipiente quando calcular a assinatura digital dos dados recebidos e compará-la 

com a assinatura recebida irá perceber que as duas são diferentes e concluir que os 

dados foram alterados. 

A autenticação é uma operação bastante rápida quando comparada com a 

criptografia, porém ela sozinha não consegue impedir que os dados sejam lidos. Ela 

deve ser usada apenas nos casos onde necessita confiabilidade dos dados, mas 

não sigilo. Caso necessite de ambos, usa-se autenticação em conjunto com a 

criptografia. 

O que é certificação digital? 

Através do processo de autenticação descrito acima é possível garantir a origem 

das mensagens em uma comunicação entre duas partes. Entretanto, para que isso 

seja possível é necessário que as entidades que estão se comunicando já tenham 

previamente trocado informações através de algum meio fora do tráfego normal dos 

dados. Esta troca de informações normalmente consiste no algoritmo a ser utilizado 

para a autenticação e sua chave. 

O problema surge quando é necessário assegurar a origem das mensagens de uma 

entidade com a qual nunca existiu comunicação prévia. A única forma de resolver 

este problema é delegar a uma terceira entidade o poder de realizar estas 

autenticações (ou em termos mais técnicos, realizar a certificação da origem de uma 

mensagem). Esta terceira entidade é chamada de Entidade Certificadora e para 

que seja possível ela assegurar a origem de uma mensagem, ela já deve ter 

realizado uma troca de informações com a entidade que está sendo certificada. 

O que é um certificado digital? 

Certificado digital é um documento fornecido pela Entidade Certificadora para cada 

uma das entidades que irá realizar uma comunicação, de forma a garantir sua 

autenticidade. 


Tipos de algoritmos de autenticação e criptografia 

Atualmente existem inúmeros algoritmos de autenticação e criptografia. Neste tópico 

serão mostrados apenas os algoritmos suportados pelo Aker Firewall. 

Cabe comentar que um dos parâmetros para medir a resistência de um algoritmo é 

o tamanho de suas chaves. Quanto maior o número de bits das chaves, maior o 

número de possíveis combinações e, teoricamente, maior é a resistência do 

algoritmo contra ataques. 

Algoritmos de autenticação: 

MD5 

MD5 é a abreviatura de Message Digest 5. Ele é um algoritmo criado e 

patenteado pela RSA Data Security, Inc, porém com uso liberado para quaisquer 

aplicações. Ele é usado para gerar assinaturas digitais de 128 bits para 

mensagens de qualquer tamanho e é considerado um algoritmo bastante rápido 

e seguro. 

SHA 

SHA é a abreviatura de Secure Hash. Ele é um algoritmo que gera assinaturas 

digitais de 160 bits para mensagens de qualquer tamanho. Ele é considerado 

mais seguro que o MD5, porém tem uma performance em média 50% inferior (na 

implementação do Aker Firewall ). 

A versão implementada pelo Aker Firewall é o SHA-1, uma revisão no algoritmo 

inicial para corrigir uma pequena falha. Entretanto ele será chamado sempre de 

SHA, tanto neste manual quanto nas interfaces de administração. 

Algoritmos de criptografia simétricos: 

Os algoritmos de criptografia simétricos são utilizados para encriptar fluxos de 

informações. Eles possuem uma única chave que é utilizada tanto para encriptar 

quanto para decriptar os dados. 

DES 

O algoritmo DES é um anagrama para Data Encription Standard, foi criado pela 

IBM na década de 70 e foi adotado pelo governo americano como padrão até 

recentemente. Ele é um algoritmo bastante rápido em implementações de 

hardware, porém não tão rápido quando implementado em software. Suas 

chaves de criptografia possuem tamanho fixo de 56 bits, número considerado 

pequeno para os padrões atuais. Devido a isso, deve-se dar preferência a outros 

algoritmos em caso de aplicações críticas. 

Triplo DES ou 3DES 


Este algoritmo consiste na aplicação do algoritmo DES três vezes, usando três 

chaves distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo 

com chave de 112 bits, o que representa uma segurança extremamente maior do 

que a oferecida pelo DES. O problema deste algoritmo é que ele é duas vezes 

mais lento que o DES (na implementação utilizada no Aker Firewall). 

AES 

O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para 

substituir o já inseguro e ineficiente DES. AES é um anagrama para Advanced 

Encryption Standard. O algoritmo escolhido em concurso foi o Rijndael, e ele 

utiliza 256 bits de chave, sendo ao mesmo tempo muito mais seguro e rápido 

que o DES ou mesmo o 3DES. 

O Aker Firewall trabalha com o AES utilizando chaves de 256 bits, o que garante 

um nível altíssimo de segurança. Ele é a escolha recomendada. 

Blowfish 

O algoritmo Blowfish foi criado como uma possível substituição ao DES. Ele é 

um algoritmo extremamente rápido (quando comparado com outros algoritmos 

de criptografia), bastante seguro e pode trabalhar com vários tamanhos de 

chaves, de 40 a 438 bits. 

O Aker Firewall trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o 

que garante um nível altíssimo de segurança. 

Algoritmos de criptografia assimétricos: 

Os algoritmos de criptografia assimétricos possuem um par de chaves associadas, 

uma para encriptar e outra para decriptar os dados. Eles são bastante lentos se 

comparados aos algoritmos simétricos e, devido a isso, normalmente são utilizados 

apenas para realizar assinaturas digitais e no estabelecimento de chaves de sessão 

que serão usadas em algoritmos simétricos. 

RSA 

O RSA é um algoritmo baseado em aritmética modular capaz de trabalhar com 

chaves de qualquer tamanho, porém valores inferiores a 512 bits são 

considerados muito frágeis. Ele pode ser utilizado para encriptar e decriptar 

dados, porém, devido a sua grande lentidão se comparado aos algoritmos 

simétricos, seu principal uso é em assinaturas digitais e no estabelecimento de 

chaves de sessão. 

Diffie-Hellman 

O algoritmo Diffie-Hellman na verdade não pode ser encarado como algoritmo de 

criptografia, uma vez que não serve para encriptar dados ou realizar assinaturas 

digitais. Sua única função é possibilitar a troca de chaves de sessão, feita de 


forma a impedir que escutas passivas no meio de comunicação consigam obtêlas. 

Ele também é baseado em aritmética modular e pode trabalhar com chaves 

de qualquer tamanho, porém chaves menores que 512 são consideradas muito 

frágeis. 

Algoritmos de trocas de chaves 

Um problema básico que ocorre quando se configura um canal seguro é como 

configurar as chaves de autenticação e criptografia e como realizar trocas periódicas 

destas chaves. 

É importante realizar trocas periódicas de chaves para diminuir a possibilidade de 

quebra das mesmas por um atacante e para diminuir os danos causados caso ele 

consiga decifrar uma das chaves. Suponha que um atacante consiga em seis meses 

quebrar as chaves usadas por um algoritmo de criptografia (este tempo é totalmente 

hipotético, não tendo nenhuma relação com situações reais). Se uma empresa usar 

as mesmas chaves, por exemplo, durante 1 ano, então um atacante conseguirá 

decifrar todo o tráfego nos últimos 6 meses desta empresa. Em contrapartida, se as 

chaves forem trocadas diariamente, este mesmo atacante, após 6 meses, 

conseguirá decifrar o tráfego do primeiro dia e terá mais 6 meses de trabalho para 

decifrar o tráfego do segundo dia e assim por diante. 

O Aker Firewall possui quatro métodos para trocas de chaves: IPSEC-IKE, AKER- 

CDP, SKIP e manual: 

Troca de chaves via IPSEC-IKE 

Esta opção estará disponível apenas quando utilizar o conjunto completo de 

protocolos IPSEC. 

O IPSEC (IP Security) é um conjunto de protocolos padronizados (RFC 2401- 

RFC 2412) desenvolvidos pela IETF. O IPSec oferece transferência segura de 

informações através de rede IP pública ou privada. Uma conexão via IPSec 

envolve sempre 3 etapas: 

1. Negociação do nível de segurança; 

2. Autenticação e Integridade; 

3. Confidencialidade. 

Para implementar essas 3 etapas o IPSec utiliza-se 3 mecanismos: 

AH - Autentication Header 

ESP - Encapsulation Security Payload 

IKE - Internet Key Exchange Protocol 

Recomenda-se fortemente o uso desta opção na hora de configurar os canais 

seguros. 


Troca de chaves via Aker-CDP 

O Aker-CDP é um protocolo desenvolvido pela Aker Security Solutions que 

possibilita a configuração totalmente automática de todos os parâmetros de um 

canal seguro. Ele utiliza o protocolo SKIP como base (o que significa que ele 

oferece todas as facilidades de trocas de chaves apresentadas anteriormente), 

porém possui a grande vantagem de não necessitar de uma configuração 

manual dos segredos compartilhados, tudo é feito automaticamente. 

Para assegurar o máximo de segurança, toda a troca de chaves é feita por meio 

de certificados digitais assinados pela própria Aker ou por outras entidades 

certificadoras autorizadas. Nestes certificados são utilizados os protocolos Diffie- 

Hellman e RSA, ambos com 1024 bits. 

Os algoritmos a serem utilizados na criptografia e autenticação podem ser 

especificados, da mesma forma que no protocolo SKIP, ou deixados em modo 

automático, o que fará que os dois firewalls comunicantes negociem o algoritmo 

mais seguro suportado por ambos. 

Troca de chaves via SKIP 

SKIP é um anagrama para Simple Key Management for IP. Ele é basicamente 

um algoritmo que permite que as trocas de chaves sejam realizadas de forma 

automática e com uma freqüência extremamente elevada, tornando inviável a 

quebra destas chaves. O funcionamento do SKIP é complexo e não entraremos 

em maiores detalhes aqui. Nossa abordagem ficará limitada a descrever seu 

funcionamento. 

Basicamente o SKIP trabalha com três níveis diferentes de chaves: 

• Um segredo compartilhado pelas duas entidades que desejam 

comunicar-se (configurado manualmente, no caso do Aker Firewall). 

• Uma chave mestre, recalculada de hora em hora, baseada no segredo 

compartilhado. 

• Uma chave randômica, que pode ser recalculada quando se desejar. 

Genericamente falando, para efetuar a comunicação, o algoritmo gera uma 

chave aleatória e a utiliza para encriptar e autenticar os dados a serem enviados. 

A seguir ele encripta esta chave com a chave mestre e envia isto junto com os 

dados encriptados. Ao receber o pacote, o outro lado decripta a chave, com o 

auxílio da chave mestra, e a utiliza para decriptar o restante do pacote. 

Os algoritmos utilizados para autenticar o pacote e encriptar a chave são 

definidos pelo remetente e informados como parte do protocolo. Desta forma, 

não é necessário configurar estes parâmetros no recipiente. 

A principal vantagem do SKIP é a possibilidade de utilizar o mesmo segredo 

compartilhado por anos, sem a menor possibilidade de quebra das chaves por 

qualquer atacante (uma vez que a troca de chaves é efetuada em intervalos de 

poucos segundos a no máximo uma hora, dependendo do tráfego entre as redes 


comunicantes). 

Troca de chaves manual 

Neste caso, toda a configuração de chaves é feita manualmente. Isto implica que 

todas as vezes que uma chave for trocada, ambos os Firewall participantes de 

um canal seguro terão que ser re-configurados simultaneamente. 

Tipos de canais seguros 

O Aker Firewall possibilita a criação de dois tipos de canais seguros distintos, 

chamados de Firewall-Firewall e Cliente-Firewall. Cada um destes tipos de canais 

possuem objetivos e limitações diferentes e normalmente são combinados para 

atingir o máximo de segurança e flexibilidade. 

Canais seguros Firewall-Firewall 

Este tipo de canal seguro é o mais comum e é suportado pelo Aker Firewall 

desde sua versão 1.31. Ele consiste na utilização de criptografia e autenticação 

entre dois firewalls, interligados através da Internet ou de outro meio qualquer. 

Os pontos de entrada e saída do canal são os dois firewalls, o que significa que 

toda a criptografia é feita transparentemente por eles e nenhum software 

adicional necessita ser instalado em nenhuma máquina cliente. 

A única limitação desta solução é que ela exige a presença de dois firewalls, um 

na entrada de cada rede, para que o canal seguro possa ser criado. 

Canais seguros Cliente-Firewall (Secure Roaming) 

Estes canais são suportados pelo Aker Firewall a partir da versão 3.10. Eles 

permitem com que uma máquina cliente (Família Windows TM e Linux) estabeleça 

um canal seguro diretamente com um Aker Firewall. Para tanto é necessária a 

instalação de um programa, chamado de Aker Client, em cada uma destas 

máquinas. 

A principal vantagem desta tecnologia é possibilitar com que clientes acessem 

uma rede coorporativa através de linhas discadas com total segurança e 

transparência (transparência na medida em que as aplicações que estejam 

rodando na máquina com o cliente de criptografia instalado desconhecem sua 

existência e continuam funcionando normalmente). 

Apesar de ser bastante útil, esta tecnologia possui algumas desvantagens e 

limitações: 

É necessário a instalação de um software, Aker Client, em todas as 

máquinas clientes; 

O cliente de criptografia não está disponível para todas as plataformas; 


Definindo um canal seguro firewall-firewall 

Para definirmos um canal seguro firewall-firewall deve-se escolher primeiro dois 

grupos de máquinas que irão trocar informações entre si de forma segura. Estes 

grupos de máquinas terão seus pacotes autenticados e, caso desejado, 

criptografados. É necessário que exista um firewall nas duas extremidades do canal. 

Estes firewalls serão responsáveis por autenticar/verificar e criptografar/decriptar os 

dados a serem transmitidos e recebidos, respectivamente. 

Para definir os grupos de máquinas, será utilizado o conceito de entidades, 

mostrado no capítulo intitulado Cadastrando Entidades. Pode-se utilizar entidades 

do tipo máquina, rede ou conjunto nesta definição. 

O Aker Firewall suporta a existência de diversos canais seguros simultâneos, entre 

pontos distintos. A união destes diversos canais produz uma lista, onde cada 

entrada define completamente os parâmetros de um canal seguro. Cada uma 

destas entradas recebe o nome de Associação de Segurança ou SA. 

O planejamento destes canais seguros deverá ser feito com bastante cuidado. A 

criptografia é um recurso dispendioso que demanda uma capacidade de 

processamento muito alta. Desta forma, criptografar pacotes para os quais não 

exista uma necessidade real de segurança será um desperdício de recursos. Além 

disso, deve-se atentar que diferentes algoritmos de criptografia exigem quantidades 

de processamento diferentes e, por conseguinte, produzem um nível de segurança 

mais elevado. Dependendo do nível de segurança desejado, pode-se optar por um 

ou outro algoritmo (a descrição da cada algoritmo suportado pelo Aker Firewall se 

encontra no tópico anterior). 

Uma última observação sobre canais de criptografia firewall-firewall é que estes são 

unidirecionais, ou seja, caso deseje configurar uma comunicação segura entre duas 

redes, A e B, deve-se configurar dois canais diferentes: um canal com origem na 

rede A e destino na rede B e outro com origem na rede B e destino na rede A. Os 

pacotes que forem enviados de A para B seguirão a configuração do primeiro canal 

e os pacotes de B para A seguirão a configuração do segundo. Isto será ilustrado 

com mais clareza nos exemplos abaixo: 

Exemplos do uso de canais seguros firewall-firewall 

Exemplo básico de configuração de um canal seguro firewall-firewall 

Neste exemplo será mostrado como definir um canal seguro de comunicação entre 

duas redes, através da Internet, usando dois Aker Firewalls. O canal será criado de 

forma com que toda a comunicação entre estas duas redes seja segura. Como o 

algoritmo de autenticação foi escolhido o MD5 e como algoritmo de criptografia, o 

DES. 


É obrigatório o uso de um algoritmo de autenticação para todos os fluxos, ou 

seja, não é permitida a criação de fluxos com criptografia apenas. Isto é necessário 

já que sem a autenticação os algoritmos de criptografia são passíveis de ataques de 

recortar e colar (cut and paste). 

Configuração do Aker Firewall da rede 1 

Entidades: 

REDE1 - Endereço IP: A1.B1.C1.0 - Máscara 255.255.255.0 


Regra de criptografia 1: 

Sentido do canal: envia 

Entidades origem: REDE1 

Entidades destino: REDE2 

Algoritmo de criptografia: DES 

Algoritmo de autenticação: MD5 

Chave de autenticação: X1 

Chave de criptografia: X2 


Sentido do canal: recebe 








Entidades: 




















Note que a regra 1 do Aker Firewall 1 é exatamente igual à regra 1 do Aker 

Firewall 2, exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2. 

Figura 168. Exemplo de configuração de um canal seguro firewall-firewall para uma sub-rede. 

Exemplo de configuração de um canal seguro firewall-firewall para uma subrede 

Neste exemplo o nosso canal seguro será definido apenas para um grupo de 

máquinas dentro de cada uma das duas redes. Além disso, definiremos algoritmos 

diferentes para os fluxos entre estes grupos. 

Na prática, configurar algoritmos diferentes para os dois sentidos de um canal 

seguro pode ser interessante quando as informações de um determinado sentido 

tiverem um valor maior do que as do sentido oposto do fluxo. Neste caso, utiliza-se 

um algoritmo mais seguro no sentido mais crítico. 

Neste exemplo, vamos supor que as redes 1 e 2 possuam dois endereços classe B: 

A1.B1.0.0 e A2.B2.0.0, respectivamente. 


Entidades: 


SUB_REDE1 - Endereço IP: A1.B1.2.0 - Máscara 255.255.255.0 




Entidades origem: SUB_REDE1 

Entidades destino: SUB_REDE2 









Algoritmo de criptografia: 3DES 

Algoritmo de autenticação: SHA 




Entidades: 







Algoritmo de criptografia: 3DES 

Algoritmo de autenticação:SHA 












Note que neste caso as regras aparecem colocadas em uma ordem diferente nos 

dois firewalls: a regra 1 no Firewall 1 é igual a regra 2 do Firewall 2 (com os sentidos 

invertidos) e a regra 2 no Firewall 1 é igual a regra 1 no Firewall 2 (novamente com 

os sentidos trocados). Neste exemplo, a ordem das regras não faz diferença 

(observe, entretanto que em alguns casos isto pode não ser verdade). 

Certificados IPSEC 

Figura 169. Canal seguro entre redes. 

Os certificados IPSEC são certificados padrão X.509 utilizados pelo firewall para 

identificarem-se junto a seus pares quando do estabelecimento dos canais 

criptográficos firewall-firewall no padrão IPSEC (veja a seção Configurando túneis 

IPSEC, logo abaixo). Seu uso, entretanto, não é obrigatório, já que é possível 

estabelecer canais IPSEC usando segredos compartilhados. 

Para que um firewall aceite um certificado apresentado por outro, é preciso que 

ele possua o certificado da Autoridade Certificadora que o emitiu. 

Para ter acesso a janela de manutenção de certificados IPSEC basta: 


Figura 170. Janela de acesso - Certificados IPSEC). 

Clicar no menu Criptografia da janela principal. 

Escolher o item Certificados IPSEC. 

A janela de certificados e requisições IPSEC 


Figura 171. Janela de Certificados IPSEC. 

A janela de certificados IPSEC contém os certificados e as requisições do Aker 

Firewall. 

Uma requisição é um formulário a ser preenchido com seus dados para que a 

autoridade certificadora gere um certificado. Um certificado é uma carteira de 

identidade para autenticar (reconhecer como o próprio) o seu proprietário. O Aker 

Firewall utilizará estes certificados para autenticar frente a seus pares quando da 

negociação de um canal IPSEC. Desta forma cada um dos dois Firewalls envolvidos 

num canal IPSEC tem que gerar seu próprio certificado. 

As operações desta janela se encontram na barra de ferramentas localizada acima 

da janela de Certificados IPSEC ou clicando-se com o botão direito do mouse sobre 

o campo que se deseja operar. 

Figura 172. Barra de ferramentas (Certificados IPSEC). 


Figura 173. Janela de ação para Certificados IPSEC. 

O botão Inserir permite incluir uma nova requisição, podendo ser local ou 

remota, sendo que as requisições e certificados locais ficam na janela "deste 

firewall" e certificados e requisições remotas ficam na janela "outros firewalls". 

O botão Copiar copia o certificado/requisição selecionado. 

O botão Colar cola da memória o certificado/requisição copiado. 

O botão Excluir remove da lista o certificado/requisição selecionado. 

O botão Importar permite que seja carregado um certificado que foi exportado. 

O botão Exportar permite que salve o certificado selecionado. 

O botão Submeter permite que carregue um certificado exportado ou carregue 

um certificado de acordo com uma requisição selecionada (somente aparece 

quando inserindo um novo certificado). 

O botão Instalar fará com que a janela seja fechada e atualizada. 

O botão Atualizar faz com seja recarregada as informações de certificados. 

Para gerar um certificado é necessário que primeiro gere uma requisição no Aker 

Firewall, com esta requisição faça um pedido a uma autoridade certificadora para 

gerar o certificado e depois importe o certificado para o Aker Firewal. 

Esta janela é atualizada dinamicamente, ou seja, não é possível cancelar quando 

já feito o pedido. Quando incluir-se uma nova requisição local, as requisições e os 

certificados locais serão apagados. Da mesma forma, ao importar novo Certificado 

local com par de chaves (.pfx), serão apagados as requisições e os certificados 

locais. 

Desta maneira, a operação deve se dar da seguinte forma (para o certificado local): 

1. Criar uma requisição local; 

2. Enviar esta requisição a uma Autoridade Certificadora; 

3. Esperar até que a Autoridade Certificadora emita o certificado 

correspondente; 

4. Carregar o certificado correspondente à requisição (clicar na requisição e, 

depois, em Carregar). 


Se o desejado for criar um certificado para um firewall remoto, o procedimento 

muda: 

1. Criar uma requisição remota; 

2. Enviar esta requisição a uma Autoridade Certificadora; 

3. Esperar até que a Autoridade Certificadora emita o certificado 

correspondente; 

4. Carregar o certificado correspondente à requisição (clicar na requisição e, 

depois, em Carregar); 

5. Exportar o certificado para um arquivo PKCS#12 (Clicar no certificado remoto 

correspondente e, em seguida, em exportar); 

6. Importar este certificado no firewall remoto, selecionando Deste Firewall e, 

em seguida com o botão direito do mouse, Importar. 

Na janela de requisições, há dois campos que podem causar confusão: 

Dominio (CN): É o identificador principal do dono da requisição. Este campo 

deve ser preenchido com common name. 

Tamanho da chave: Se o certificado for local com criação de nova chave ou 

remoto, este campo conterá o comprimento da chave em bits. Caso contrário 

(certificado local adicional) ele não poderá ser modificado, uma vez que a chave 

que já existe será utilizada. 

Configurando canais Firewall-Firewall 

Para ter acesso a janela de configuração de canais Firewall-Firewall basta: 


Figura 174. Janela de acesso - Firewall/Firewall. 


Escolher o item Firewall-Firewall. 

A janela de criptografia firewall-firewall 

Figura 175. Janela de Criptografia Firewall/Firewall. 


A janela de criptografia contém a definição de todos os fluxos de criptografia do Aker 

Firewall. Cada fluxo será mostrado em uma linha separada, composta de diversas 

células. Caso um fluxo esteja selecionado, ele será mostrado em uma cor diferente. 

Esta janela é composta por quatro abas, onde cada uma delas permite a 

configuração de fluxos de criptografia usando diferentes métodos de troca de 

chaves. 

O botão OK fará com que o conjunto de fluxos seja atualizado e passe a 


O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e 




A barra de rolagem do lado direito serve para visualizar os fluxos que não 


Ao clicar sobre um fluxo e selecioná-lo, se ele possuir um comentário, este 

aparecerá na parte inferior da janela. 

Dica: A posição de cada regra pode ser alterada, bastando-se clicar e arrastar a 


de indicação do mouse irá mudar para uma mão segurando um bastão. 

Para executar qualquer operação sobre um determinado fluxo, basta clicar com o 

botão direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será 

acionado sempre que pressionar o botão direito, mesmo que não exista nenhum 

fluxo selecionado. Neste caso, somente as opções Inserir e Copiar estarão 

habilitadas). 

Figura 176. Menu de inserção, copia ou exclusão para definição dos fluxos de criptografia. 

Inserir: Esta opção permite incluir um novo fluxo na lista. Se algum fluxo estiver 

selecionado, o novo será inserido na posição do fluxo selecionado. Caso 

contrário, o novo fluxo será incluído no final da lista. 

Copiar: Esta opção copia o fluxo selecionado para uma área temporária. 

Colar: Esta opção copia o fluxo da área temporária para a lista. Se um fluxo 

estiver selecionado, o novo será copiado para a posição do fluxo selecionado. 

Caso contrário ele será copiado para o final da lista. 

Excluir: Esta opção apaga o fluxo selecionado. 

Habilitar/Desabilitar: Esta opção permite desabilitar o fluxo selecionado. 


Dica: Todas estas opções podem ser executadas a partir da barra de ferramentas 

localizada na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo, 

clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada. 

Caso queira incluir ou editar fluxos, pode-se fazer de duas formas: As entidades 

envolvidas podem ser arrastadas para o fluxo que vão participar ou clicando com o 

botão direito do mouse sobre o campo desejado, neste caso será dada a opção de 

inserir, apagar ou editar entidades como mostrado a seguir: 

Configurando túneis IPSEC 

Figura 177. Menu de inclusão ou alteração de fluxos. 

Túneis IPSEC servem para criar uma VPN entre duas redes. A palavra túnel é 

utilizada para diferenciar das VPNs comuns, pois efetivamente cria um canal virtual 

entre os firewalls envolvidos, possibilitando, por exemplo, que redes com endereços 

inválidos se comuniquem de maneira segura através da Internet. 

Para configurar canais IPSEC, deve-se selecionar a opção IPSEC, na janela 

Firewall-Firewall. Isto provocará a alteração da janela de forma a mostrar os campos 

necessários para esta configuração. 


Figura 178. Configuração de canais IPSEC. 

Os campos de configuração têm os seguintes significados: 

Origem: Definir as entidades cujos endereços serão comparados com o 

endereço origem dos pacotes IP que formarão o fluxo. 

Destino: Definir as entidades cujos endereços serão comparados com o 

endereço destino dos pacotes IP que formarão o fluxo. 

Direção: Define em que sentido o fluxo será aplicado. Só existem duas 

opções possíveis: ou o pacote está sendo criptografado (encriptação) ou o 

pacote esta sendo decriptado (decriptação). (para maiores detalhes, veja o 

tópico intitulado Planejando a instalação). 

Gateway Remoto: Define a entidade do tipo máquina que será o gateway 

remoto, ou seja, a outra ponta do túnel IPSEC. 

Agora é possível adicionar até três gateways remotos na mesma regra. 

Cada um dos dois firewalls envolvidos no túnel precisa ter certeza da identidade do 

outro, de forma a evitar ataques de falsificação. Para isso, há dois modos 

selecionáveis: 

Autenticação: Definir qual algoritmo será utilizado na autenticação. Os 

valores possíveis são: MD5 ou SHA. 

Segredo Compartilhado: Uma seqüência de caracteres que funciona como 

uma senha e deve ser igual de cada um dos lados do túnel. 


Certificado: Utiliza certificados padrão X.509 com um esquema de chaves 

públicas para a identificação dos firewalls. Este é o mesmo esquema utilizado 

por sites seguros na Internet, por exemplo. 

Deverão ser especificados: 

Avançado 

certificado local a apresentar para a outra ponta do túnel (Remote Gateway) 

e dado de identificação exigido do firewall remoto. Este dado será um 

endereço de email para certificados criados com a opção USER- FQDN e 

nome de uma máquina (Fully Qualified Domain Dame), se a opção for FQDN. 

A janela avançado permite definir quais são os algoritmos de criptografia e 

autenticação preferidos e permitidos pelo firewall durante a negociação de chaves 

IKE. Os campos já vêm preenchidos com algoritmos padrão que podem ser 

alterados. Mais informações nas RFC 2401 a RFC 2412. 

A janela de avançado agora inclui uma escolha da ponta local do túnel, para os 

casos da rede de passagem entre o firewall e o roteador ser inválida. 

Figura 179. Definição dos algoritmos de criptografia e autenticação permitidos pelo firewall durante 

negociação das chaves IKE. 

Visualizando o tráfego IPSEC 

Clicando no item Túneis IPSEC, dentro de Informações, a janela abaixo aparecerá. 


Figura 180. Visualização do tráfego IPSEC. 

Na janela acima, é possível visualizar quais SPIs IPSEC foram negociadas para 

cada um dos túneis configurados, bastando para isso clicar sobre a regra 

correspondente. Se houver mais de uma SPI, é porque o firewall negocia uma nova 

sempre antes da anterior acabar, de forma a nunca interromper o tráfego dentro da 

VPN. Descrição de cada coluna: 

SPI: Número de identificação da política de segurança. 

Algoritmo de criptografia: Mostra que algoritmo de criptografia foi negociado. 

Algoritmo de Hash: Mostra que algoritmo deve ser utilizado para fazer o hash 

das informações. 

Tamanho da chave de criptografia: Informa o tamanho da chave de 

criptografia que ambos os lados do canal devem utilizar. 

Tamanho da chave de autenticação: Informa o tamanho da chave de 

autenticação negociado. 

Protocolo: Conjunto de protocolos negociados para a SP. 

Bytes negociados: Quantidade de bytes que devem ser transmitidos para que 

uma nova politica de segurança seja negociada. 

Bytes transferidos: Quantidade de bytes trafegados pela SP. 

Tempo total: Tempo de validade da SP. 

Ocioso: Tempo de inatividade do SP. 

Expiração: Data no qual a SP deixará de ser utilizada. 


Ao clicar em "gráfico", pode-se ver um gráfico de uso dos túneis, que é atualizado a 

cada cinco segundos. Ele mostra o tráfego agregado de todas as SPIs de cada 

regra, permitindo verificar, em tempo real, o uso efetivo de banda criptografada. 

Figura 181. Gráfico de acompanhamento (Bytes de logs transferidos). 

Para utilizar troca de chaves manual, deve-se selecionar a opção Manual, na janela 

Firewall/Firewall. Isto provocará a alteração da janela de forma a mostrar os campos 

necessários para esta configuração. 


Através da interface texto é possível realizar todas as configurações mostradas 

acima. A descrição de cada configuração distinta se encontra em um tópico 

separado. 

Carregando certificados IPSEC 

A interface texto de configuração dos certificados IPSEC é de uso simples e possui 

as mesmas capacidades da interface gráfica. 

Localização do programa: /aker/bin/firewall/fwipseccert 


Sintaxe: 

Uso: fwipseccert ajuda 

fwipseccert mostra [requisicao | certificado] 

fwipseccert remove [requisicao | certificado] 

fwipseccert requisita 

 

[use_email] [imprime] 

fwipseccert instala 

fwipseccert exporta 

fwipseccert importa 



fwipseccert - Criacao e manejamento de requisicoes e certificados x.509 

Uso: fwipseccert ajuda 

fwipseccert mostra [requisicao | certificado] 

fwipseccert remove [requisicao | certificado] 

fwipseccert requisita 

 

[use_email] [imprime] 

fwipseccert instala 

fwipseccert exporta 

fwipseccert importa 


mostra = mostra uma lista contendo as requisicoes pendentes ou os 

certificados instalados 

remove = remove uma requisicao ou certificado de acordo com seu numero 

requisita = cria um par de chaves publicas e privadas juntamente com uma 

requisicao de um certificado x.509 

instala = instala um certificado x.509 cujo o par de chaves deve ter 

sido criado anteriormente pelo sistema atraves do comando 

requisita 

exporta = exporta o certificado e seu par de chaves correspondente para 

para um arquivo de formato pkcs12 

importa = obtem do arquivo pkcs12 um certificado e seu par de chaves e o 

instala como certificado local(ver abaixo) 

Para requisita temos: 

local = o certificado local e' usado na indentificacao do proprio 


firewall; pode-se criar varios certificados locais porem, 

todos eles usarao o mesmo par de chaves que e' gerado na 

primeira vez que uma requisicao local e' gerada 

remoto = certificados remotos sao utilizados para identificacao de 

outras entidades da rede. 

1024/2048 = sao os possiveis tamanhos das chaves que serao geradas 

use_email = o certificado contera o valor de como seu subject 

alternative name; como default ele usara o valor de 

imprime = apos a criacao da requizicao, ela sera impressa na tela 

email, pais, estado, cidade, organizacao, unid org e dominio sao campos 

que 

serao usados para indentificar do usuario do certificao. O campo 

deve conter 2 caracteres no maximo. O campo e' 

abreviatura de unidade organizacional e se refere ao departamento 

ou divisao da organizacao ao qual pertence o usuario do certificado 

Carregando certificados 

A interface texto de configuração dos certificados de criptografia é de uso simples e 

possui as mesmas capacidades da interface gráfica. 

Localização do programa:/aker/bin/firewall/fwcert 

Sintaxe: 

fwcert ajuda 

fwcert mostra [local | ca | negociacao | revogacao] 

fwcert carrega [local | ca] [-f] 

fwcert carrega revogacao 

fwcert remove [-f] 



fwcert - Configura os certificados para criptografia 

Uso: fwcert ajuda 

fwcert mostra [local | ca | negociacao | revogacao] 

fwcert carrega [local | ca] [-f] 

fwcert carrega revogacao 

fwcert remove [-f] 


mostra = mostra os certificados especificados 

carrega = carrega um novo certificado no firewall 

remove = remove o certificado de uma entidade certificadora 


Para mostra temos: 

local = mostra o certificado de negociacao local 

negociacao = mostra os certificados de negociacao de outros firewalls 

que foram recebidos pela rede 

revogacao = mostra os certificados de revogacao que foram carregados 

localmente ou recebidos pela rede 

Para carrega temos: 

local = carrega o certificado de negociacao local (se ja existir um 

certificado carregado ele sera substituido) 

ca = carrega um certificado de uma Entidade Certificadora que sera 

usado para validar os certificados de negociacao recebidos 

(se ja existir um outro certificado com o mesmo codigo ele 

sera substituido) 

revogacao = carrega um certificado de revogacao, que sera usado para 

invalidar um certificado de negociacao comprometido 

arquivo = nome do arquivo do qual o certificado sera carregado 

-f = se estiver presente, faz com que o programa nao confirme ao 

substituir um certificado 

Para remove temos: 

codigo = codigo da entidade certificadora a ser removida 

-f = se estiver presente, faz com que o programa nao confirme ao 

remover um certificado 

Exemplo 1: (carregando o certificado local) 

#/aker/bin/firewall/fwcert carrega local /tmp/firewall.crt 

Carregando certificado...OK 

Exemplo 2: (mostrando os certificados de entidades certificadoras) 

#/aker/bin/firewall/fwcert mostra ca 

Nome: Aker Security Solutions 

Codigo: 1 

Nome: Entidade certificadora autorizada 

Codigo: 2 

Exemplo 3: (carregando um novo certificado de entidade certificadora) 


#/aker/bin/firewall/fwcert carrega ca /tmp/novo_ca.ca 

Certificado incluido 

Exemplo 4: (removendo um certificado de entidade certificadora, sem confirmação) 

#/aker/bin/firewall/fwcert remove 2 -f 

Entidade certificadora removida 

Configurando canais Firewall-Firewall 

A utilização da interface texto na configuração das regras de criptografia e de 

autenticação firewall-firewall traz uma dificuldade gerada pela grande quantidade de 

parâmetros que devem ser passados na linha de comando. 

Esta interface texto possui as mesmas capacidades da interface gráfica com a 

exceção de que através dela não é possível atribuir comentários. Além disso, não 

será possível configurar os algoritmos a serem usados pelo IPSEC-IKE (janela 

avançado), eles terão sempre os valores padrão. 

Localização do programa: /aker/bin/firewall/fwcripto 

Sintaxe: 

Uso: fwcripto [mostra | ajuda] 

fwcripto [habilita | desabilita | remove] 

fwcripto inclui 

ipsec

Uso: fwcripto [mostra | ajuda] 

fwcripto [habilita | desabilita | remove] 


ipsec 


manual NENHUM 


manual 

 


manual 

3DES 

fwcripto inclui envia 

skip 

 

fwcripto inclui recebe 

skip 

fwcripto inclui aker-cdp 

mostra = mostra todas as entradas da tabela de criptografia 

inclui = inclui uma entrada na tabela 

habilita = habilita uma entrada previamente desabilitada 

desabilita = desabilita uma entrada existente 

remove = remove uma entrada existente da tabela 



pos = posicao onde a nova entrada sera incluida na tabela 

(Podera ser um inteiro positivo ou a palavra FIM 

para incluir no final da tabela) 

envia = esta entrada sera usada na hora de enviar pacotes 

recebe = esta entrada sera usada na hora de receber pacotes 

ipsec = usa troca de chave e protocolo IPSEC 

gateway = a entidade que representa a ponta remota do tunel IPSEC 

ss = usa segredo compartilhado como forma de autenticacao 

segredp = a "string" que sera usada como segredo compartilhado 

cert = usa certificados X.509 para autenticacao 

local = o nome de dominio (FQDN) no certificado a apresentar 

remoto = o nome de dominio (FQDN) no certificado esperado 

manual = utiliza troca de chaves manual 

skip = utiliza troca de chaves automatica via o protocolo SKIP 


aker-cdp = utiliza troca de chaves automatica via o protocolo Aker-CDP 

spi = indice de parametro de seguranca 

(E' um inteiro que identifica unicamente a associacao de 

seguranca entre a maquina de origem e de destino. Este 

numero deve ser maior que 255) 

MD5 = usa como algoritmo de autenticacao o MD5 

SHA = usa como algoritmo de autenticacao o SHA-1 

DES = usa como algoritmo de criptografia o DES 

3DES = usa como algoritmo de criptografia o triplo DES 

BFISH128 = usa como algoritmo de criptografia o Blowfish com chaves de 

128 bits 

BFISH256 = usa como algoritmo de criptografia o Blowfish com chaves de 

256 bits 

NENHUM = nao usa criptografia, somente autenticacao 

(No caso do skip, o primeiro algoritmo selecionado 

correponde ao algoritmo de criptografia da chave e 

o segundo corresponde ao de criptografia do pacote) 

tamanho_iv = tamanho do vetor de inicializacao, em bits, para o algoritmo 

de criptografia. Deve ter o valor 32 ou 64. 

As chaves de autenticacao, criptografia e o segredo skip 

devem ser entradas como numeros hexadecimais. 

No caso do 3DES devem ser digitadas 3 chaves separadas por brancos 

Para habilita / desabilita / remove temos: 

pos = posicao a ser habilitada, desabilitada ou removida da tabela 

(a posicao e' o valor mostrado na esquerda da entrada ao 

se usar a opcao mostra) 


Configurando criptografia 

Cliente-Firewall 


10. Configurando criptografia Cliente-Firewall 

Este capítulo mostrará como configurar o firewall e o Aker Client de modo a 

propiciar a criação de canais seguros entre máquinas clientes e um Aker Firewall. 

10.1. Planejando a instalação. 

O que é um canal seguro Cliente-Firewall? 

Conforme já explicado no capítulo anterior, um canal seguro cliente-firewall é aquele 

estabelecido diretamente entre uma máquina cliente e um Aker Firewall. Isto é 

possível com a instalação de um programa, chamado de Aker Client, nas máquinas 

clientes. 

Um canal de criptografia Cliente-Firewall utiliza as mesmas tecnologias de 

criptografia, autenticação e troca de chaves já mostradas para os canais seguros 

Firewall-Firewall, com a diferença de que tudo é negociado automaticamente pelas 

partes comunicantes. Ao administrador é possível apenas desabilitar determinados 

algoritmos, de forma a assegurar que eles não serão utilizados. 

Outra diferença fundamental entre os canais seguros firewall-firewall e clientefirewall, 

da forma com que são implementados no Aker Firewall, é que os primeiros 

são sempre realizados ao nível de pacotes IP, onde cada pacote é encriptado 

individualmente, enquanto que os segundos são feitos ao nível de fluxo de dados, 

onde está encriptado somente as informações contidas na comunicação (e não os 

demais dados do pacote IP). 

Exigências para a criação de canais seguros Cliente-Firewall 

Para que seja possível o estabelecimento de canais seguros entre clientes e um 

firewall, é necessário que a seguinte lista de condições seja atendida: 

1. O Aker Client esteja instalado em todas as máquinas que estabelecerão canais 

seguros com o firewall, no caso de utilizarem o Secure Roaming; 

ou 

2. Clientes que suportem os protocolos L2TP ou PPTP. 


Definindo um canal seguro cliente-firewall 

A definição de um canal seguro cliente-firewall é bem mais simples do que a de um 

canal firewall-firewall. É necessário apenas configurar no firewall quais máquinas 

poderão estabelecer canais seguros de clientes e se ocorrerá ou não autenticação 

de usuários. Todo o restante da configuração é feito automaticamente, no momento 

em que o cliente inicia a abertura do canal seguro. 

10.2. Aker Secure Roaming 

Para ter acesso à janela de configurações do Secure Roaming basta: 

Figura 182. Janela de acesso – Clientes VPN. 

Clicar no menu Criptografia da janela principal; 

Escolher o item Clientes VPN. 


A janela de configurações do Secure Roaming 

Figura 183. Configuração geral do Security Roaming. 

O botão OK fará com que a janela de configurações do Secure Roaming seja 

fechada e as alterações efetuadas aplicadas; 

O botão Cancelar fará com que a janela seja fechada porém as alterações 

efetuadas não sejam aplicadas; 


a janela aberta. 

Aba Geral 

Número máximo de conexões simultâneas: Aqui você pode configurar o 

número máximo de clientes conectados simultaneamente no Secure Roaming, 

L2TP ou PPTP em um determinado tempo. Use esta opção para evitar com que 

o servidor tenha uma sobrecarga por excesso de clientes, o que pode diminuir a 

perfomance. 

O número não pode ser superior ao de sua licença. Se estiver em 0, nenhum cliente 

será permitido. 

Limite de conexões simultâneas: Indica o limite máximo de conexões permitido 

por sua licença. 


Aba Secure Roaming 

Figura 184. Configuração do Security Roaming. 

Métodos de Autenticação: As opções disponíveis, que podem ser marcadas 

independentemente, são: 

1. Usuário/senha: O usuário deverá ser autenticado por meio de uma 

combinação de nome e uma senha. Esses dados serão repassados a um ou 

mais servidores de autenticação que deverão validá-los. Esta opção é a mais 

insegura porém não depende de nenhum hardware adicional; 

2. Token (SecurID): O usuário deverá ser autenticado mediante o fornecimento 

de um nome, um PIN e um código presente em um Token SecurID que é 

modificado a cada minuto. Esses dados serão repassados para o 

autenticador Token cadastrado no firewall para serem validados. Essa opção 

é bem mais segura que a anterior, porém exige que cada usuário possua um 

Token; 

3. Smartcard/X.509: O usuário deverá ser autenticado por meio do uso de 

certificados X.509 (por exemplo, gravados em smart cards) e emitidos por 

uma das autoridades certificadoras cadastradas no firewall. Essa forma de 

autenticação é a mais segura das três, por exigir a senha de desbloqueio da 

chave privada e a posse da mesma; 


Versões antigas do cliente Secure Roaming são permitidas: Permite que 

versões antigas do cliente Secure Roaming se conectem. 

Habilita IPSEC: Utiliza protocolo IPSEC na comunicação com o Secure 

Roaming. 

Permitir compressão de dados: A compressão de dados é importante para 

conexões lentas, como as discadas. Quando esta opção está marcada, é feita a 

compressão das informações antes de serem enviadas pela rede. Isso permite 

um ganho de performance na velocidade de comunicação, porém, exige um 

maior processamento local. Para redes mais rápidas, é melhor não se utilizar a 

compressão. 

Porta TCP/UDP: Este controle permite configurar a porta usada pelo servidor 

para escutar conexões e dados de clientes, respectivamente. Por exemplo, você 

pode configurar o servidor para usar as portas TCP/443 e UDP/53, em ordem 

para burlar firewalls e/ou outros dispositivos de filtragem entre servidores e 

clientes. Esses dispositivos recusariam uma conexão VPN, mas não uma 

conexão HTTP segura e uma requisição DNS, respectivamente. 

A porta padrão é 1011 tanto para TCP e UDP. 

Aba Acesso 

Figura 185. Lista de controle de acesso do Security Roaming. 


Tipo da lista de controle de acesso: Aqui você escolhe qual é o tipo da Lista 

de controle de acesso: 

1. Nenhum: Sem controle de acesso. Todo cliente tem permissão para 

conectar ao servidor. 

2. Permitir entidades listadas: Somente os endereços IP listados, ou 

endereços que pertençam às entidades rede e/ou conjunto listadas, 

poderão estabelecer conexão. 

3. Proibir entidades listadas: As entidades listadas, ou que pertençam a 

entidades rede e/ou conjunto listadas, não serão capazes de estabelecer 

conexões. As demais entidades serão. 

Lista de controle de acesso: 

Para adicionar uma entidade à lista, deve-se proceder da seguinte forma: 

Clicar com o botão direito do mouse na lista, ou 

Arrastar a entidade do campo entidades, localizado no lado inferior 

esquerdo, para a lista. 

Para remover uma entidade, deve-se proceder da seguinte forma: 

Clicar com o botão direito do mouse sobre a entidade que será removida, 

ou 

Selecionar a entidade desejada e pressione a tecla Delete. 

A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele 

é mostrado ao clicar com o botão direito do mouse em alguma entidade listada. 

No exemplo da figura, a entidade clicada foi Host4: 

Figura 186. Menu com escolha das entidades a ser adicionadas. 


Aba Endereços 

Figura 187. Conjuto de endereços do Security Roming. 

Conjunto de endereços: Lista de endereços que podem ser atribuídos a 

clientes remotamente conectados ao firewall. Os endereços de máquinas 

listados e todos os endereços que compõem as redes e conjuntos incluídos 

somam-se para definir o conjunto de endereços atribuíveis a clientes. 

Notar que as entidades listadas devem estar conectadas a algum adaptador de 

rede configurado no firewall. Caso contrário, não será possível estabelecer 

conexão com tal entidade. 

Para adicionar ou remover uma entidade do Conjunto de endereços, basta proceder 

como na Lista de controle de acesso. 

As redes nesse campo definem um conjunto de endereços, não uma sub-rede no 

sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do 

firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for 

incluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e o 

último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 

10.1.0.255, incluindo-se ambos os extremos. 


10.3. L2TP 

L2TP é uma extensão do PPP (Point-to-Point Protocol), unindo características de 

outros dois protocolos proprietários: o L2F (Layer 2 Forwarding) da Cisco e o PPTP 

(Point-to-Point Tunneling Protocol) da Microsoft. É um padrão da IETF (Internet 

Engineering Task Force), que conta com a participação da Cisco e do PPTP fórum, 

entre outros líderes de mercado. 

O L2TPv3, analisado neste trabalho é uma atualização da RFC2661 (L2TPv2), e foi 

originalmente definido como um método para tunelamento para quadros PPP 

através de uma rede de comutação de pacotes. Surgiu então a necessidade de 

atualizar o método, para que ele incluísse todos os encapsulamentos da camada 2 

que necessitassem de tunelamento através de redes de comutação de pacotes. 

Entre as mudanças para a versão 3, temos: retirada de todas as partes específicas 

ao PPP do cabeçalho L2TP, garantindo assim a generalização para outras 

aplicações, e a mudança para um formato que possibilitasse o desencapsulamento 

de forma mais rápida. 

O L2TP fornece a flexibilidade e escalabilidade do IP com a privacidade do Frame 

Relay ou ATM (Asynchronous Transfer Mode), permitindo que serviços de rede 

sejam enviados em redes roteadas IP. As decisões são tomadas nas terminações 

dos túneis ou VPNs, e comutadas sem a necessidade de processamento nos nós 

intermediários. 

As seguintes vantagens são oferecidas pelo L2TP: 

permite o transporte de protocolos que não o IP, como o IPX (Internetwork 

Packet Exchange, da Novell/Xerox) e o SNA, assim como outros protocolos 

dos terminais; 

mecanismo simples de tunelamento para implementar funcionalidades de 

LAN e IP de forma transparente, possibilitando serviços de VPN IP de forma 

bastante simples; 

simplifica a interação entre as redes do cliente e do provedor; 

fácil configuração para o cliente. 

Referências: Steven Brown, Implementing Virtual Private Networks, McGraw 

Hill,1999. 


Configurando a VPN L2TP 

Figura 188. Configuração da VPN L2TP. 

Figura 189. Lista de endereços que podem ser fornecidos a clientes conectados remotamente ao 

firewall. 


Habilitar L2TP: Este campo habilita o servidor de L2TP no Aker Firewall e permite 

configurar outros campos como: 

Servidor de DNS Primário e secundário: Configura dois servidores DNS 

a serem usados durante a sessão criptográfica. Usado para o caso de 

haver um servidor de DNS interno na corporação; 

Usar autenticação IPSEC: Habilita os modos de autenticação e 

encapsulamento dos dados L2TP em pacotes IPSEC, os modos de 

autenticação são através de “Segredo compartilhado ou certificado X.509. 

Conjunto de Endereços: Lista de endereços que podem ser atribuídos a 


listados e todos os endereços que compõem as redes e conjuntos incluídos 

somam-se para definir o conjunto de endereços atribuíveis a clientes. 










ou 





Figura 190. Menu com escolhas da entidade para adicionar. 








Configurando usando interface texto 

# fwl2tp ajuda 

Firewall Aker - Versao 6.5 

Uso: fwl2tp help 

fwl2tp mostra 

fwl2tp < habilita | desabilita > 

fwl2tp ipsec ss < segredo > 

fwl2tp ipsec cert < fqdn > 

fwl2tp ipsec nenhum 

fwl2tp dns_1 < dns_server > 

fwl2tp dns_2 < dns_server > 

fwl2tp inclui < rede > 

fwl2tp remove < rede > 


segredo : O segredo compartilhado IPSEC 

fqdn : O nome dominio presente no certificado X.509 para autenticacao IPSEC 

dns_server : Um servidor DNS (entidade) para os clientes de VPN 

rede : Entidade rede ou maquina para o conjunto de endercos IP dos clientes de 

VPN 

Configurando o Cliente L2TP 

Windows Vista / XP 

No Windows Vista, crie uma nova conexão de VPN, no Network and Sharing Center. 

No Windows XP, isso deve ser feito na janela Network Connections. Um assistente 

para a criação desta conexão aparecerá, e deve ser preenchido de acordo com as 

imagens abaixo: 


Figura 191. Configurando o cliente L2TP (Windows Vista/XP). 

Figura 192. Configurando o cliente L2TP (utilizando VPN). 


Figura 193. Configurando o cliente L2TP (escolha do IP e nome da conexão). 

Na imagem acima, 192.168.0.100 é o endereço do Aker Fireewall com servidor 

L2TP visível pelo Cliente de VPN. Este endereço pode ser um nome, como 

firewall.empresa.com.br. 

Figura 194. Configurando o cliente L2TP (nome do usuário e senha utilizados para autenticar o 

cliente de VPN no Aker Firewall). 


Na imagem acima, devem ser preenchidos o nome de usuário e senha que serão 

utilizados para autenticar o cliente de VPN no AKER FIREWALL. 

Figura 195. Configuração da VPN L2TP concluída. 

Após clicar em Close, será criada uma nova conexão, que precisa ser editada, no 

passo seguinte. Não clique em Connect now. 

Abra a janela Network Connections, e edite as propriedades da conexão recém 

criada de acordo com as janelas abaixo: 


Figura 196. Network conections (edição das propriedades de conexão). 

Clique no botão Settings, após escolher Advanced (custom settings), e configure a 

janela de configurações avançadas de acordo com a imagem abaixo: 


Figura 197. Network conections (janela de configurações avançadas). 

Após clicar OK, volte ao diálogo de propriedades e continue a configuração: 


Figura 198. Diálogo de propriedades (configuração). 

Por fim, basta utilizar a conexão recém criada. 

10.4. PPTP 

O Point-to-Point Tunneling Protocol (PPTP) é um método para execução de 

redes virtuais privadas. PPTP usa o TCP (porta 1723) e o GRE (Outros 47). PPTP 

usa um canal de controle sobre TCP e GRE túnel operacional para encapsular PPP 

pacotes. 


Configurando a VPN PPTP 

Figura 199. Configurando a VPN PP TP. 

Habilitar PPTP: Este campo habilita o servidor de PPTP no Aker Firewall e permite 

configurar outros campos como: 

Servidor de DNS Primário e secundário: Configura dois servidores DNS 

a serem usados durante a sessão criptográfica. Usado para o caso de 

haver um servidor de DNS interno na corporação; 

Segurança: Permite especificar os métodos de encriptação da 

auteticação e dos dados trafegados, as opções são: 

PAP: Autenticação não cifrada e dados não cifrados. Funciona com 

qualquer tipo de autenticador que possa ser cadastro no Firewall; 

CHAP: Autenticação cifrada, dados não cifrados. Funciona 

somente com o autenticador RADIUS; 

MS-CHAPv2: Autenticação cifrada, dados não cifrados. Funciona 

somente com o autenticador RADIUS; 

MPPE (MS-CHAPv2 + MPPE): Autenticação cifrada, dados 

cifrados com RC4 e chave de 40 a 128 bits. Funciona somente com 

o autenticador RADIUS; 

MPPE-128(MS-CHAPv2 + MPPE-128): Autenticação cifrada, dados 

cifrados com RC4 e chave de 128 bits. Funciona somente com o 

autenticador RADIUS. 


Conjunto de Endereços: Lista de endereços que podem ser atribuídos a 


listados e todos os endereços que compõem as redes e conjuntos 

incluídos somam-se para definir o conjunto de endereços atribuíveis a 

clientes. 

Notar que as entidades listadas devem estar conectadas a algum 

adaptador de rede configurado no firewall. Caso contrário, não será 

possível estabelecer conexão com tal entidade. 







ou 





Figura 200. Menu com escolhas da entidades para adicionar. 









/aker/bin/firewall # fwpptpsrv ajuda 

Aker Firewall - Versao 6.5 (HW) 

Uso: fwpptpsrv ajuda 

fwpptpsrv mostra 

fwpptpsrv < habilita | desabilita > 

fwpptpsrv limpa 

fwpptpsrv dns_1 < dns_server > 

fwpptpsrv dns_2 < dns_server > 

fwpptpsrv inclui < rede > 

fwpptpsrv remove < rede > 

fwpptpsrv seguranca < PAP | CHAP | MS-CHAPv2 | MPPE | MPPE-128 > 



rede 

: Entidade rede ou maquina para o conjunto de enderecos IP dos 

clientes de VPN 

Configurando o Cliente PPTP para autenticação com PAP 

Windows Vista / XP 

No Windows Vista, crie uma nova conexão de VPN, no Network and Sharing Center. 

No Windows XP, isso deve ser feito na janela Network Connections. Um assistente 

para a criação desta conexão aparecerá, e deve ser preenchido de acordo com as 

imagens abaixo: 


Figura 201. Configurando o Cliente PPTP para autenticação com PAP (Windows Vista/XP). 


Figura 202. Janela de configuração da VPN no Microsoft Windows®. 


Figura 203. Janela de configuração de rede da VPN no Microsoft Windows®. 

Na imagem acima, 192.168.0.100 é o endereço do AKER FIREWALL com servidor 

PPTP visível pelo cliente de VPN. Este endereço pode ser um nome, como 

firewall.empresa.com.br. 


Figura 204. Janela de configuração de usuário e senha da VPN no Microsoft Windows®. 

Na imagem acima, devem ser preenchidos o nome de usuário e senha que serão 

utilizados para autenticar o cliente de VPN no AKER FIREWALL. 


Figura 205. Configuração da VPN no Microsoft Windows® concluída. 

Após clicar em Close, será criada uma nova conexão, que precisa ser editada, no 

passo seguinte. Não clique em Connect now. 

Abra a janela Network Connections, e edite as propriedades da conexão recém 

criada de acordo com as janelas abaixo: 


Figura 206. Janela de configurações avançadas da VPN no Microsoft Windows®. 

Clique no botão Settings, após escolher Advanced (custom settings), e configure a 

janela de configurações avançadas de acordo com a imagem abaixo: 


Figura 207. Janela de configurações dos parâmentros de autenticação da VPN no Microsoft 

Windows®. 

Após clicar OK, volte ao diálogo de propriedades e continue a configuração. Nesta 

janela que definimos as configurações de Segurança conforme configuração 

realizada pelo administrador do firewall. 


Figura 208. Janela de configurações dos parâmentros de rede da VPN no Microsoft Windows®. 

Por fim, basta utilizar a conexão recém criada. 

Configurando o servidor Radius Microsoft – IAS 

A seguinte configuração aceita todos os tipos de criptografia. Para iniciar a 

configuração precisamso cadastrar o endereço IP do firewall e sua senha NAS: 


Figura 209. Configurações do Servidor de autenticação Radius do Microosft Windows Server®. 


Figura 210. Configurações do Shared secret do servidor de autenticação Radius do Microosft 

Windows Server®. 

Após cadastrar o(s) firewall(s), define-se as regras de acesso remoto (Remote 

Access Policies), efetue suas configurações iguais as exibidas abaixo: 


Figura 211. Definição das regras de acesso remoto do servidor de autenticação Radius do Microosft 

Windows Server®. 


Figura 212. Especificação das condições de conexão do servidor de autenticação Radius do 

Microosft Windows Server®. 


Clique em Edit Profile. 

Figura 213. Especificação das condiçõs de conexão - Edição. 


Figura 214. Especificação das condiçõs de conexão – IP. 


Figura 215. Especificação das condiçõs de conexão – Multilink. 


Figura 216. Especificação das condiçõs de conexão – Authentication. 


Figura 217. Especificação das condiçõs de conexão – Encryption. 


Figura 218. Especificação das condiçõs de conexão – Advanced. 

Devido as políticas de segurança do Windows Server tm , será necessário informar 

quais usuários podem efetuar estas autenticações, para realizar esta etapa uma 

Policy em “Connection Request Policies”. 


Figura 219. Informações dos usuários que podem efetuar autenticações. 

Tembém é necessário que no Microsoft Active Directory tm , selecione os usuários 

que podem efetuar estas autenticações e permitam que VPN e Dial-in, vejam na 

janela abaixo: 


Figura 220. Propriedades dos usuários podem efetuar autenticações. 

Para suporte CHAP, é necessário alterar as políticas de segurança do Windows, de 

forma que o mesmo salve as senhas com criptografia reversível e, após este passo, 

alterar as senhas dos usuários. Mais informações neste link: 

http://technet.microsoft.com/en-us/library/cc782191(WS.10).asp 

10.5. IPSEC Client 

O conjunto de protocolos IPSEC (em especial IKE e ESP) não foi projetado para o 

uso em modo cliente-servidor. Por isso, diversas extensões na sua implementação 

original (RFC 2401 e família) são necessárias para que o mesmo possa ser utilizado 

com esta finalidade. 

Diferentemente do que ocorre com as VPNs L2TP/IPSEC e PPTP, não existe um 

padrão devidamente normatizado para essas extensões necessárias ao 

funcionamento de VPNs IPSEC modo túnel para clientes remotos. O que existe são 

uma série de propostas de RFCs (Internet Drafts) que nunca foram aceitas pelo 


IETF, mas mesmo assim, são utilizadas largamente por diversos fabricantes de 

equipamentos e clientes de VPN. 

A seguir, explicamos os diversos problemas encontrados para estabelecer esse tipo 

de VPN e indicamos as soluções encontradas, indicando as RFCs e drafts 

correspondentes, quando for o caso. 

Autenticação com usuário e senha 

Originalmente, o protocolo IKE somente suporta autenticação simétrica, em especial 

utilizando segredos compartilhados ou certificados digitais. Quando se trata de 

VPNs para clientes remotos, o mais prático é utilizar autenticação por meio de 

usuário e senha. 

A proposta mais aceita para extensão do IKE nesse sentido chama-se 1XAUTH, 

uma proposta da Cisco cujo draft mais recente é o 2draft-beaulieu-ike-xauth-02, de 

outubro de 2001. Essa proposta é largamente utilizada por diversos fabricantes e 

propõe estender o protocolo IKE incluindo uma segunda etapa de autenticação entre 

as fases 1 e 2 tradicionais. Com isso, após o estabelecimento de uma SA ISAKMP 

durante a fase 1, antes de estabelecer SAs de fase 2 (ESP), uma nova troca cifrada 

verifica as credenciais do usuário. 

Configuração de rede do cliente 

Um problema importante a ser resolvido nas VPNs IPSEC para clientes é a 

configuração de rede do mesmo. Geralmente, uma interface virtual é criada no 

computador onde executa o cliente de VPN e esta interface recebe endereços e 

rotas da rede interna protegida pelo gateway de VPNs. Para não precisar configurar 

cada um dos clientes com endereços IPs estáticos e diferentes, é necessário uma 

solução que permita ao servidor de VPN informar ao cliente quais configurações 

utilizar. 

A proposta mais aceita para solucionar essa questão chama-se Mode Config3, 

também produzida pela Cisco em outubro de 2001 e que tem como draft mais 

recente o draftdukes-ike-mode-cfg-024. Essa proposta é também largamente 

utilizada por diversos fabricantes de equipamento de VPN e propõe, do mesmo 

modo que o XAUTH, entre as fases 1 e 2, executar uma série de perguntas e 

respostas entre o cliente e o servidor de criptografia, com o propósito de configurar 

aquele a partir desse. 

Detecção de cliente desconectado 

Clientes remotos têm grande probabilidade de serem desconectados do servidor de 

criptografia sem aviso prévio. Um exemplo simples é um dispositivo conectado por 

WIFI afastar-se demais de seu access point. O protocolo IPSEC originalmente 

proposto não tem nenhuma outra forma de detectar que a conectividade foi perdida 

que não seja pela falha da troca de chaves, o que se dá em intervalos relativamente 

longos, devido a seu custo computacional. Se a desconexão de clientes não for 


apidamente detectada, recursos escassos como os endereços IP do conjunto 

disponível para os mesmos podem ser rapidamente exauridos no servidor de VPN. 

A proposta padronizada para este fim está descrita na RFC 3706 e consiste em 

permitir a ambos endpoints IPSEC enviar pacotes de ping protegidos pela SA de 

fase 1 (ISAKMP) de acordo com sua necessidade. Esses pacotes geralmente são 

enviados em intervalos bem mais curtos que a troca de chave, uma vez que toda a 

transação de enviá-los, respondê-los e recebê-los tem um custo muito baixo. 

IPSEC 

Figura 221. Clientes VPN - IPSEC. 

Habilitar Cliente IPSEC: Este campo habilita o servidor de IPSEC Client no Aker 

Firewall e permite configurar outros campos como: 

Servidor de DNS Primário, secundário e terciário: Configura até três 

servidores DNS a serem usados durante a sessão criptográfica. Usado 

para o caso de haver um servidor de DNS interno na corporação; 

Servidor WINS Primário, secundário e terciário: Configura até três 

servidores WINS a serem usados durante a sessão criptográfica. Usado 

para o caso de haver um servidor de WINS interno na corporação; 

Mensagem de autenticação: Mensagem de apresentação (banner) a ser 

mostrada para os clientes. 


Lista de endereços que podem ser atribuídos a clientes - Conjunto de 

Endereços: Lista de endereços que podem ser atribuídos a clientes 

remotamente conectados ao firewall. Os endereços de máquinas listados e todos 

os endereços que compõem as redes e conjuntos incluídos somam-se para 

definir o conjunto de endereços atribuíveis a clientes. 










ou 





Figura 222. Lista de endereços que podem ser atribuídos aos clientes. 








Lista de endereços que são redes protegidas – Redes Protegidas: Lista de 

endereços de hosts ou redes protegidas pela VPN IPSEC, quando utilizado os 

clientes da VPN IPSEC Client recebem rotas para alcançarem estes endereços 

sem alterar o default gateway da sua estação. Quando deixar este campo em 

branco os clientes da VPN IPSEC Client recebem o endereço IP do Aker Firewall 

como default gateway. 







ou 





Figura 223. Lista de endereços que são redes protegidas. 








Grupos: Este campo permite definir as opções de autenticação do IPSEC para os 

clientes: 

Nome do grupo: Identidade dos grupos, os clientes especificam o grupo 

e assim qual o método de autenticação será utilizado. 

Autenticação: 

Segredo Compartilhado: Uma seqüência de caracteres que 

funciona como uma senha e deve ser igual de cada um dos lados 

do túnel. 

Certificado: Utiliza certificados padrão X.509 com um esquema de 

chaves públicas para a identificação dos firewalls. Este é o mesmo 

esquema utilizado por sites seguros na Internet, por exemplo. 


/aker/bin/firewall # fwipseccli ajuda 


Uso: fwipseccli ajuda 

fwipseccli mostra 

fwipseccli < habilita | desabilita > [ grupo ] 

fwipseccli dns_1 < dns_server > 



fwipseccli wins_1 < wins_server > 



fwipseccli mensagem < mensagem > 

fwipseccli inclui < conjunto | protegida > < rede > 

fwipseccli remove < conjunto | protegida > < rede > 

fwipseccli grupo < inclui | remove > < grupo > 


fwipseccli ss < grupo > < segredo > 

fwipseccli cert < grupo > < fqdn > 


segredo 

: O segredo compartilhado IPSEC 

fqdn : O nome dominio presente no certificado X.509 

para autenticacao IPSEC 


wins_server: Um servidor WINS (entidade) para os clientes de VPN 

rede 

: Entidade rede ou maquina para o conjunto de endercos IP dos 

clientes de VPN ou a lista de redes protegidas 

grupo 

: O nome do grupo de clientes 

mensagem : A mensagem de autenticacao dos usuarios 

Configurando os Clientes 

De modo genérico, as configurações recomendadas para clientes de criptografia 

são as seguintes: 

Shared Secret 

Fase Configuração Valor 

1 Forma de autenticação secret + XAUTH 

1 Forma de identificação KEY_ID. Use o mesmo nome do grupo 

criado no fwipseccli. Alguns clientes chamam 

essa configuração de grupo mesmo. 

1 Credenciais de usuário 

(XAUTH) 

Use usuário e senha que possam ser 

verificados pelo subsistema de autenticação 

do Aker Firewall, os mesmos que, por 

exemplo, o Filtro Web aceita para 

autenticação. 

1 Algoritmos de criptografia 

e hash 

3DES / SHA-1 (pode ser modificado pela 

Controle Center) 

1 Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pela 

Control Center) 

1 Tempo de vida de SA 3600 segundos (pode ser modificado pela 



2 Algortimos AES-256 / SHA-1 HMAC-96 

2 PFS / Grupo diffie Não / 0 

hellman 

2 Tempo de vida de SA 3600 segundos 

Figura 224. Configurações recomendadas para clientes de criptografia – Shared Secret. 

X.509 

A configuração X.509 é muito parecida: 

Fase Configuração Valor 

1 Forma de autenticação X.509 (RSA SIG) + XAUTH. 

1 Forma de identificação FQDN. Use o nome do Subject Alternative 

Name do certificado. Alguns clientes exigem 

que esse nome seja o mesmo do endereço IP 

ou domínio de conexão. 

1 Credenciais de usuário 

(XAUTH) 

Use usuário e senha que possam ser 

verificados pelo subsistema de autenticação 

do Aker Firewall, os mesmos que, por 

exemplo, o Filtro Web aceita para 

autenticação. 

1 Algoritmos de criptografia 

e hash 

3DES / SHA-1 (pode ser modificado pela 

Controle Center) 

1 Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pela 


1 Tempo de vida de SA 3600 segundos (pode ser modificado pela 


2 Algortimos AES-256 / SHA-1 HMAC-96 

2 PFS / Grupo diffie Não / 0 

hellman 

2 Tempo de vida de SA 3600 segundos 

Exemplos: 

Figura 225. Configurações recomendadas para clientes de criptografia – X.509. 

ShrewSoft VPN Client com com segredo compartilhado 

Para a configuração deve ser preenchido os campos de acordo com as imagens 

abaixo: 


Figura 226. Configuração da VPN – General. 

Figura 227. Configuração da VPN – Authentication. 


Figura 228. Configuração da VPN – Phase 1. 

Figura 229. Configuração da VPN – Phase 2. 


iPhone com certificado 

Figura 230. Configuração da VPN – Connect. 

Nesse caso, é necessário usar a feramenta de configuração para empresas do 

iPhone, que pode ser obtida gratuitamente no site da Apple. Atenção ao fato que 

é necessário incluir o certificado da CA (.CER) e o certificado com chaves do do 

cliente (.PFX) no perfil de configuração. Para fazer isso, primeiro é necessário 

incluir esses certificados nas configurações do Windows. 

Além disso, atenção ao fato que o iPhone exige que o "Hostname or IP Address 

for Server" seja igual ao Subject Alternative Name do firewall, sob pena de 

recusar o certificado e impedir a conexão. 


Figura 231. Configuração I-Phone – certificado. 


Figura 232. Configuração I-Phone – estabelecendo VPN. 


ShrewSoft VPN Client com certificado 

Figura 233. Configuração VPN com certificado. 

Figura 234. Configuração VPN - Authentication – Local Identity. 


Figura 235. Configuração VPN - Authentication – Remote Identily. 

Figura 236. Configuração VPN - Authentication – Authentication Method. 


10.6. VPN – SSL 

A configuração do Portal VPN SSL e do Applet é bastante simples, uma vez que 

todos os detalhes de funcionamento do portal e do applet são responsabilidade do 

firewall. Ao administrador cabe definir nome do portal, qual o certificado será 

utilizado pelo firewall e etc. 

Todas estas configurações são feitas na janela VPN SSL. Para acessá-la, basta: 

Figura 237. Janela de acesso – VPN SSL. 


Escolher o item VPN SSL. 

Ao selecionar a opção Enable VPN SSL, os campos de edição das configurações do 

portal e do applet são habilitados. 

Portal 


Figura 238. VPN SSL - Portais. 

No portal web, o cliente se autentica no firewall e como resultado recebe o applet 

que implementa o túnel SSL. 

Título do Portal: Este campo informa o nome do portal. Possui um limite máximo de 

64 caracteres e somente aceita texto simples. 

Certificado CN do Firewall: Este campo informa o nome do certificado aplicado ao 

FW. 

Ao clicar no ícone 

o certificado. O ícone 

carrega-se um arquivo com extensão *.p12/*.pfx que contém 

mostra um resumo das informações do certificado e o 

ícone permite exportar um arquivo com extensão *.p12/*.pfx contendo um 

certificado. 


Autenticação: Este campo informa o tempo de expiração de autenticação no portal, 

sendo o tempo máximo que pode levar para estabelecer a sessão, variando de 0 a 

30 seg. 

Mostrar campo Domínio: Ao selecionar essa opção permite mostrar o campo 

domínio no formulário de login do portal. A seleção desse campo é opcional. 

Usar o protocolo SSLv2: Ao selecionar essa opção, opta por utilizar a versão 2 do 

protocolo SSL. Ele não é utilizado por padrão devido a existência de um bug de 

segurança. 

Forçar autenticação x.509: Esta opção permite forçar uma autenticação x.509, pois 

impede que o usuário se autentique sem ser por meio do certificado digital. 

Permitir que um usuário tenha acesso por diferentes IPs ao mesmo tempo: 

Esta opção permite ao usuário se logar no portal a partir de um ou mais IPs 

diferentes simultâneamente. 

Informação de logon: Esse campo permite incluir o texto que será apresentado no 

portal com informações básicas sobre o seu funcionamento. Não possui tamanho 

definido e pode ser escrito usando o formato HTML. 

Popup não aberto: Esse campo é informativo. Caso o applet apresente erro ao 

carregar, este texto será mostrado ao usuário como resposta ao erro ocorrido. 


Applet 

Figura 239. VPN SSL - Applet. 

Usar o logo customizado: Ao habilitar essa opção, permite ao usuário apresentar 

o seu logotipo no applet. 

Alterar arquivo: Este botão permite trocar o logotipo apresentado. 

Porta: Esta opção permite definir a porta na qual o applet vai se conectar no firewall 

para fazer o túnel SSL. 

Timeout da Conexão: Este campo informa o tempo em segundos que pode ficar 

sem trafegar nenhum dado no túnel SSL. Ao expirar esse tempo o túnel será 

fechado. 


Usando a applet: Este campo mostra informações gerais de utilização do applet. O 

texto não pode ser em formato HTML e não possui tamanho definido. 

Visualização: Nesta área podem ser visualizadas todas as configurações visuais 

aplicadas ao applet, sendo incluso o título e os logotipos da Aker e do Cliente. 

Cliente 

O cliente necessita de um browser e do Java virtual Machine instalado para ter 

acesso, que é realizado através da seguinte url: 

https:// 

O usuário após aceitar os certificados aparecerá uma tela de autenticação, onde o 

usuário e senha definirá qual o perfil de acesso e quais portas de comunicação terá 

permissão na VPN. 

Figura 240. Perfil de acesso – Permissão VPN. 

Após a auteticação ser realizada com sucesso teremos o Applet rodando com as 

informações que foram configuradas na sessão Applet que vimos a pouco: 


Figura 241. VPN SSL – Instruções gerais. 

O acesso aos serviços atravé da VPN são realizados através do IP: 

127.0.0.1: 

Esta porta de comunicação é configurada em Configuração do Firewall, Perfis na 

aba VPN-SSL (Proxy SSL). 


Configurando o Proxy SSL 


11. Configurando criptografia Cliente-Firewall 

Este capítulo mostrará para que servem e como configurar a Proxy SSL no Aker 

Firewall. 

O que é um Proxy SSL? 

Um Proxy SSL é uma VPN cliente-firewall, feita através do protocolo SSL, e que tem 

como principal característica a utilização do suporte nativo a este protocolo que está 

presente em várias aplicações: navegadores, leitores de e-mail, emuladores de 

terminal, etc. Devido ao suporte nativo destas aplicações, não é necessária a 

instalação de nenhum cliente para o estabelecimento da VPN. 

O seu funcionamento é simples: de um lado o cliente se conecta ao firewall através 

do protocolo SSL, autenticando-se através de certificados X.509 (caso seja o desejo 

do administrador que a autenticação seja demandada) e o firewall então se conecta 

em claro ao servidor interno. Dessa forma, o cliente enxerga uma conexão SSL com 

o servidor e, este, enxerga uma conexão em claro (transparente) com o cliente. 

Utilizando um Proxy SSL 

Para utilizar um Proxy SSL em uma comunicação, é necessário executar uma 

seqüência de 2 passos: 

Criar um serviço que será interceptado pelo proxy SSL e edita-se os 

parâmetros do contexto a ser usado por este serviço (para maiores 

informações, veja o capítulo intitulado Cadastrando Entidades). 

Acrescentar regras de filtragem de perfis SSL, permitindo o uso do serviço 

criado no passo 1, para as redes ou máquinas desejadas (para maiores 

informações, veja o item Configurando regras de Proxy SSL). 


Figura 242. Utilização do Proxy SSL. 

11.1. Editando os parâmetros de um contexto SSL 

A janela de propriedades de um contexto SSL será mostrada quando a opção Proxy 

SSL for selecionada. Através dela é possível definir o comportamento do proxy SSL 

quando este for lidar com o serviço em questão. 

A janela de propriedades de um contexto SSL 


Figura 243. Edição dos paramentros de um contexto SSL. 

Na janela de propriedades são configurados todos os parâmetros de um contexto 

associado a um determinado serviço. Ela consiste de duas abas distintas: a primeira 

permite a configuração dos parâmetros e a segunda a definição do certificado que 

será apresentado ao cliente no estabelecimento da VPN. 

Aba Geral 

Porta do servidor: Este campo indica a porta que o servidor estará esperando 

receber a conexão, em claro, para o serviço em questão. 

Permitir autenticação de usuário: Este campo, se estiver marcado, indica que os 

usuários podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja 

desmarcado, somente sessões anônimas serão autorizadas, o que implica na 

utilização do perfil de acesso padrão sempre. 

Forçar autenticação de usuário: Se este campo estiver marcado, não serão aceitas 

sessões de Proxy SSL nas quais o usuário não tenha apresentado um certificado 

X.509 válido. 


Inatividade do cliente: Este campo indica o tempo máximo em segundos que o 

firewall manterá a sessão de Proxy SSL ativa (desde que a sessão já tenha sido 

estabelecida) sem o recebimento de dados por parte do cliente. 

Conexão: Este campo indica o tempo máximo em segundos que o firewall 

aguardará pelo estabelecimento da conexão com o servidor. 

Autenticação SSL: Este campo indica o tempo máximo em segundos que o firewall 

aguardará para que o cliente realize, com sucesso, uma autenticação SSL. 

Avançado: Este botão permite o acesso a parâmetros de configuração que não são 

normalmente 

utilizados. 

São eles: 

Permitir um usuário acessar de IPs diferentes ao mesmo tempo: Este campo, se 

estiver marcado, permite que um mesmo usuário estabeleça sessões simultâneas a 

partir de máquinas diferentes. Caso esteja desmarcado, se um usuário já possuir 

uma sessão em uma máquina, tentativas de abertura a partir de outras máquinas 

serão recusadas. 

Tempo de manutenção de sessão: Como não existe o conceito de sessão em uma 

Proxy SSL, é necessário que o proxy simule uma sessão, mantendo um usuário 

logado por algum tempo após o fechamento da última conexão, caso seja 

necessário impedir que um mesmo usuário acesse simultaneamente de máquinas 

diferentes. O que este campo especifica é por quanto tempo, em segundos, o 

firewall deve considerar um usuário como logado após o fechamento da última 

conexão. 

Permitir o uso de SSL v2: Este campo indica se o firewall deve ou não aceitar uma 

conexão SSL usando a versão 2 deste protocolo. 

A versão 2 do protocolo SSL possui sérios problemas de segurança e 

recomenda-se que ela não seja utilizada, a não ser que isso seja estritamente 

necessário. 


Aba Certificado 

Figura 244. Exibição do certificado do proprietário – X.509. 

Esta aba é utilizada para especificar o certificado X.509 que será apresentado ao 

cliente quando ele tentar estabelecer uma Proxy SSL. É possível criar uma 

requisição que posteriormente será enviada para ser assinada por uma CA ou 

importar um certificado X.509 já assinado, em formato PKCS#12. 

Criar requisição: 

Este botão permite que seja criada uma requisição que posteriormente será enviada 

a uma CA para ser assinada. Ao ser clicado, serão mostrados os campos do novo 

certificado a ser gerado e que devem ser preenchidos. 

Após o preenchimento deve-se clicar no botão OK, que fará com que a janela seja 

alterada para mostrar os dados da requisição recém criada, bem como dois botões 

para manipulá-la: O botão Salvar em arquivo permite salvar a requisição em um 

arquivo para que ela seja então enviada a uma CA que irá assiná-la. O botão 

Instalar esta requisição permite importar o certificado já assinado pela CA. 

Importar certificado PKCS#12: 


Este botão provocará o aparecimento de um diálogo onde pode especificar o nome 

do arquivo com o certificado X.509 que será importado. 

11.2. Configurando regras de Proxy SSL 

Após a definição de um ou mais contextos SSL, mostrados no tópico anterior, é 

necessário configurar os perfis de acesso dos usuários de modo a definir que 

serviços eles podem acessar através de sessões de VPN SSL. Esta configuração 

fica na aba SSL, dentro de cada perfil de acesso. 

Para maiores informações de como realizar o cadastramento das regras, consultar o 

tópico Cadastrando perfis de acesso. 


Integração dos Módulos do 

Firewall 


12. Integração dos Módulos do Firewall 

Neste capítulo será mostrada a relação entre os três grandes módulos do Aker 

Firewall: o filtro de pacotes, o conversor de endereços e o módulo de criptografia e 

autenticação. Será mostrado também o fluxo pelo qual os pacotes atravessam 

desde sua chegada no Firewall até o momento de serem aceitos ou rejeitados. 

12.1. O fluxo de pacotes no Aker Firewall 

Nos capítulos anteriores deste manual foram mostrados separadamente os três 

grandes módulos do Aker Firewall e todos os detalhes pertinentes à configuração de 

cada um. Será mostrado agora como um pacote os atravessam e quais alterações 

ele pode sofrer em cada um deles. 

Basicamente, existem dois fluxos distintos: um para pacotes que são emitidos pela 

rede interna e tem como destino alguma máquina da rede externa (fluxo de dentro 

para fora) ou pacotes que são gerados na rede externa e tem como destino alguma 

máquina da rede interna (fluxo de fora para dentro). 

O fluxo de dentro para fora 

Todo o pacote da rede interna ao atingir o firewall passa pelos módulos na seguinte 

ordem: módulo de montagem, filtro de pacotes, conversor de endereços e módulo 

de encriptação. 

O módulo de montagem 

Figura 245. Fluxo do pacote da rede interna ao atingir o firewall. 

O módulo de montagem é o responsável por armazenar todos os fragmentos de 

pacotes IP recebidos até que estes possam ser montados e convertidos em um 

pacote completo. Este pacote será então entregue para os demais módulos. 

O filtro de pacotes 

O filtro de pacotes possui a função básica de validar um pacote de acordo com as 

regras definidas pelo administrador, e a sua tabela de estados, e decidir se este 


deve ou não ser autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode 

trafegar, este será repassado para os demais módulos, caso contrário será 

descartado e o fluxo terminado. 

O conversor de endereços 

O conversor de endereços recebe um pacote já autorizado a trafegar e verifica, de 

acordo com sua configuração, se este deve ter o endereço de origem convertido. 

Em caso positivo, ele o converte do contrário o pacote não sofre quaisquer 

alterações. 

Independente de ter sido convertido ou não, o pacote será repassado para o módulo 

de criptografia. 

O módulo de encriptação 

O módulo de encriptação recebe um pacote validado e com os endereços 

convertidos e decide baseado em sua configuração, se este pacote deve ser 

encriptado ou autenticado antes de ser enviado ao destino. Em caso positivo, o 

pacote será autenticado, encriptado, e sofrerá o acréscimo de cabeçalhos 

específicos destas operações. 

Independentemente de ter sido encriptado/autenticado ou não, o pacote será 

enviado pela rede. 

O fluxo de fora para dentro 

Todo o pacote proveniente da rede externa, em direção à rede interna, ao atingir o 

firewall passa pelos módulos na seguinte ordem: módulo de montagem, módulo de 

decriptação, conversor de endereços e filtro de pacotes. 

O módulo de montagem 

Figura 246. Fluxo do pacote da rede externa em direção a rede interna. 

O módulo de montagem é o responsável por armazenar todos os fragmentos de 

pacotes IP recebidos até que estes possam ser montados e convertidos em um 

pacote completo. Este pacote será então entregue para os demais módulos. 

O módulo de decriptação 


O módulo de decriptação tem a função de remover os cabeçalhos adicionados pelo 

módulo de encriptação, verificar a assinatura de autenticação do pacote e decriptálo. 

Caso a autenticação ou a criptografia apresentem erro, o pacote será 

descartado. 

A outra função deste módulo é assegurar que todos os pacotes que cheguem de 

uma rede para a qual existe um canal seguro estejam vindo criptografados. Caso 

um pacote venha de uma rede para a qual existe um canal de criptografia ou 

autenticação e se este pacote não estiver autenticado ou criptografado, ele será 

descartado. 

Caso o pacote tenha sido validado com sucesso, este será repassado para o 

conversor de endereços. 

O conversor de endereços 

O conversor de endereços recebe um pacote e verifica se o endereço destino deste 

pacote é um dos IP's virtuais. Em caso positivo, este endereço é convertido para um 

endereço real. 

Independente de ter sido convertido ou não, o pacote será repassado para o filtro de 

pacotes. 

O filtro de pacotes 

O filtro de pacotes é o último módulo do fluxo de fora para dentro. Ele possui a 

função básica de validar os pacotes recebidos de acordo com as regras definidas 

pelo administrador, e a sua tabela de estados, e decidir se este deve ou não ser 

autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este 

será repassado para a máquina destino, caso contrário ele será descartado. 

12.2. Integração do filtro com a conversão de endereços 

Quando vai configurar as regras de filtragem para serem usadas com máquinas 

cujos endereços serão convertidos surge a seguinte dúvida: Deve-se usar os 

endereços reais das máquinas ou os endereços virtuais? 

Esta dúvida é facilmente respondida ao analisar o fluxo dos pacotes: 

No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depois 

possuem seus endereços convertidos (se for o caso), ou seja, o filtro recebe os 

endereços reais das máquinas. 

No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversor 

de endereços que converte os endereços destino dos IPs virtuais para os endereços 


eais. Após isso os pacotes são enviados para o filtro de pacotes, ou seja, 

novamente o filtro de pacotes recebe os pacotes com os endereços reais. 

Em ambos os casos, o filtro não sabe da existência dos endereços virtuais, o que 

nos leva a fazer a seguinte afirmação: 

Ao criar regras de filtragem deve-se ignorar a conversão de endereços. As 

regras devem ser configuradas como se as máquinas origem e destino estivessem 

conversando diretamente entre si, sem o uso de qualquer tipo de conversão de 

endereços 

12.3. Integração do filtro com a conversão e a criptografia 

No tópico anterior, mostramos como configurar as regras de filtragem para 

máquinas cujos endereços serão convertidos. A conclusão foi de que deveria 

trabalhar apenas com os endereços reais, ignorando a conversão de endereços. 

Agora, pode-se acrescentar mais uma pergunta: ao configurar os fluxos de 

criptografia para máquinas que sofrerão conversão de endereços, deve-se usar os 

endereços reais destas máquinas ou os endereços virtuais? 

Para responder esta pergunta, novamente deve-se analisar o fluxo dos pacotes: 

No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro, depois 

possuem seus endereços convertidos (se for o caso) e por fim são repassados para 

o módulo de encriptação. Devido a isso, o módulo de encriptação recebe os pacotes 

como se eles fossem originados dos endereços virtuais. 

No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo módulo de 

decriptação e são decriptados (se for o caso). A seguir são enviados para o 

conversor de endereços, que converte os IP's virtuais para reais, e por fim são 

enviados para o filtro de pacotes. O módulo de decriptação recebe os pacotes antes 

de eles terem seu endereço convertido e, portanto, com os endereços virtuais. 

Em ambos os casos, o módulo de criptografia recebe os pacotes como se eles 

tivessem origem ou destino nos IP's virtuais, o que nos leva à seguinte afirmação: 

Ao se criar fluxos de criptografia, deve-se prestar atenção à conversão de 

endereços. Os endereços de origem e destino devem ser colocados como se o fluxo 

se originasse ou tivesse como destino IP's virtuais. 


Configurando a Segurança 


13. Configurando a Segurança 

Este capítulo mostrará como configurar a proteção contra ataques no módulo de 

segurança do Aker Firewall. 

13.1. Proteção contra SYN Flood 

O que é um ataque de SYN flood? 

SYN Flood é um dos mais populares ataques de negação de serviço (denial of 

service). Esses ataques visam impedir o funcionamento de uma máquina ou de um 

serviço específico. No caso do SYN Flood, é possível inutilizar quaisquer serviços 

baseados no protocolo TCP. 

Para entender este ataque, é necessário primeiro entender o funcionamento do 

protocolo TCP, no que diz respeito ao estabelecimento de conexões: 

O protocolo TCP utiliza um esquema de 3 pacotes para estabelecer uma conexão: 

1. A máquina cliente envia um pacote para a máquina servidora com um flag 

especial, chamado de flag de SYN. Este flag indica que a máquina cliente deseja 

estabelecer uma conexão. 

2. A máquina servidora responde com um pacote contendo os flags de SYN e ACK. 

Isto significa que ela aceitou o pedido de conexão e está aguardando uma 

confirmação da máquina cliente para marcar a conexão como estabelecida. 

3. A máquina cliente, ao receber o pacote com SYN e ACK, responde com um 

pacote contendo apenas o flag de ACK. Isto indica para a máquina servidora que 

a conexão foi estabelecida com sucesso. 

Todos os pedidos de abertura de conexões recebidas por um servidor ficam 

armazenadas em uma fila especial, que tem um tamanho pré-determinado e 

dependente do sistema operacional, até que o servidor receba a comunicação da 

máquina cliente de que a conexão está estabelecida. Caso o servidor receba um 

pacote de pedido de conexão e a fila de conexões em andamento estiver cheia, este 

pacote é descartado. 

O ataque consiste basicamente em enviar um grande número de pacotes de 

abertura de conexão, com um endereço de origem forjado, para um determinado 

servidor. Este endereço de origem é forjado para o de uma máquina inexistente 

(muitas vezes usa um dos endereços reservados descritos no capítulo sobre 

conversão de endereços). O servidor, ao receber estes pacotes, coloca uma entrada 

na fila de conexões em andamento, envia um pacote de resposta e fica aguardando 

uma confirmação da máquina cliente. Como o endereço de origem dos pacotes é 

falso, esta confirmação nunca chega ao servidor. 


O que acontece é que em um determinado momento, a fila de conexões em 

andamento do servidor fica lotada. A partir daí, todos os pedidos de abertura de 

conexão são descartados e o serviço inutilizado. Esta inutilização persiste durante 

alguns segundos, pois o servidor ao descobrir que a confirmação está demorando 

demais, remove a conexão em andamento da lista. Entretanto, se o atacante 

persistir em mandar pacotes seguidamente, o serviço ficará inutilizado enquanto ele 

assim o fizer. 

Nem todas as máquinas são passíveis de serem atingidas por ataques de SYN 

Flood. Implementações mais modernas do protocolo TCP possuem mecanismos 

próprios para inutilizarem ataques deste tipo. 

Como funciona a proteção contra SYN flood do Aker Firewall? 

O Aker Firewall possui um mecanismo que visa impedir que um ataque de SYN 

flood seja bem sucedido. Seu funcionamento baseia-se nos seguintes passos: 

1. Ao chegar um pacote de abertura de conexão (pacote com flag de SYN, 

mostrado no tópico acima) para uma máquina servidora a ser protegida, o 

firewall registra isso em uma tabela e deixa o pacote passar (evidentemente, ele 

só deixará o pacote passar se este comportamento for autorizado pelas regras 

de filtragem configuradas pelo administrador. Para maiores detalhes veja o 

capítulo intitulado O filtro de estados); 

2. Quando chegar a resposta do servidor dizendo que a conexão foi aceita (pacote 

com os flags SYN e ACK), o firewall imediatamente enviará um pacote para o 

servidor em questão confirmando a conexão e deixará o pacote de resposta 

passar em direção à máquina cliente. A partir deste momento, será acionado um 

relógio interno no firewall que marcará o intervalo de tempo máximo em que o 

pacote de confirmação do cliente deverá chegar; 

3. Se a abertura de conexão for uma abertura normal, dentro de um intervalo de 

tempo menor que o máximo permitido, a máquina cliente responderá com um 

pacote confirmando o estabelecimento da conexão. Este pacote fará o firewall 

considerar válido o pedido de abertura de conexão e desligar o relógio interno; 

4. Caso a máquina cliente não responda dentro do tempo máximo permitido, o 

firewall mandará um pacote especial para a máquina servidora que fará com que 

a conexão seja derrubada. 

Com estes procedimentos, o firewall consegue impedir que a fila de conexões em 

andamento na máquina servidora fique cheia, já que todas as conexões pendentes 

serão estabelecidas tão logo os pacotes de reposta atinjam o firewall. O ataque de 

SYN flood, portando, não será efetivado. 

Cabe enfatizar que todo o funcionamento desta proteção baseia-se no intervalo 

de tempo máximo de espera pelos pacotes de confirmação dos clientes. Se o 

intervalo de tempo for muito pequeno, conexões válidas podem ser recusadas. Se o 

intervalo for muito grande, a máquina servidora, no caso de um ataque, ficará com 


um grande número de conexões abertas o que poderá provocar problemas ainda 

maiores. 

13.2. Utilizando a interface gráfica para Proteção contra SYN Flood 

Para ter acesso a janela de configuração dos parâmetros de proteção contra SYN 

Flood, basta: 

Figura 247. Janela de acesso - SYN Flood. 

Clicar no menu Segurança na janela do Firewall que deseja administrar. 

Escolher o item SYN Flood. 


A janela de configuração da proteção contra SYN flood 

Figura 248. SYN Flood – Ativação de proteção SYN Flood. 

O botão OK fará com que os parâmetros de configuração sejam atualizados e a 

janela fechada. 


a janela fechada. 



Significado dos campos da janela: 

Ativar proteção SYN flood: Esta opção deve estar marcada para ativar a 

proteção contra SYN flood e desmarcada para desativá-la. (ao desabilitar a 

proteção contra SYN flood, as configurações antigas continuam 

armazenadas, mas não podem ser alteradas). 

Duração máxima do handshake do TCP: Esta opção define o tempo 

máximo, em unidades de 500 ms, que o firewall espera por uma confirmação 

do fechamento das conexões por parte do cliente. Se este intervalo de tempo 

for atingido, será enviado um pacote para as máquinas servidoras derrubando 

a conexão. 


O valor ideal deste campo pode variar para cada instalação, mas sugere-se 

valores entre 3 e 10, que correspondem a intervalos de tempo entre 1,5 e 5 

segundos. 

A lista de máquinas e redes a proteger 

Esta lista define as máquinas ou redes que serão protegidos pelo firewall. 

Para incluir uma nova entidade na lista de proteção, deve-se proceder de um dos 

seguintes modos: 

Executar uma operação de drag-n-drop (arrastar e soltar) da janela de entidades 

diretamente para a lista de hosts e redes a proteger 

Abrir o menu de contexto na janela na lista de hosts e redes a proteger com o 

botão direito do mouse ou com a tecla correspondente no teclado e seleciona-se 

Adicionar entidades, para então escolher aquelas que serão efetivamente 

incluídas na lista. 

Para remover uma entidade da lista de proteção, deve-se marcá-la e pressionar a 

tecla delete, ou escolher a opção correspondente no menu de contexto, acionado 

com o botão direito do mouse ou com a tecla correspondente: 

Deve-se colocar na lista de entidades a serem protegidas todas as máquinas 

servidoras de algum serviço TCP passível de ser utilizado por máquinas externas. 

Não se deve colocar o endereço do próprio firewall nesta lista, uma vez que o 

sistema operacional Linux não é suscetível a ataques de SYN flood. 

13.3. Proteção de Flood 

O que é um ataque de Flood? 

Os ataques de Flood se caracterizam por existir um elevado número de conexões 

abertas e estabelecidas contra servidores web, ftp, smtp e etc, a partir de outras 

máquinas existentes na Internet que foram invadidas e controladas para perpetrar 

ataques de negação de serviço (DoS). 

A proteção também é útil para evitar abuso do uso de determinados serviços (sites 

de download, por exemplo) e evitar estragos maiores causados por vírus, como o 

NIMDA, que fazia com que cada máquina infectada abrisse centenas de conexões 

simultaneamente. 

Como funciona a proteção contra Flood do Aker Firewall? 

O Aker Firewall possui um mecanismo que visa impedir que um ataque de Flood 

seja bem sucedido. Seu funcionamento baseia na limitação de conexões que 


possam ser abertas simultaneamente a partir de uma mesma máquina para uma 

entidade que está sendo protegida. 

O administrador do firewall deve estimar este limite dentro do funcionamento 

cotidiano de cada servidor ou rede a ser protegida. 

13.4. Utilizando a interface gráfica para Proteção de Flood 

Figura 249. Janela de acesso - Proteção de Flood. 

Clicar no menu Segurança na janela do Firewall. 

Escolher o item Proteção de Flood. 


A janela de configuração da proteção de Flood 

Figura 250. Proteção de Flood - Configuração. 








Número: Corresponde ao número da regra de Proteção de Flood. 

Origem: Neste campo pode ser uma rede ou máquina de onde poderá ser 

originado um ataque de DDoS. 

Destino: Incluir neste campo máquinas ou redes que deseja proteger. 

Serviços: Portas de serviços que desejam-se proteger. Poderá ser incluído 

no campo mais de uma entidade. 

Conexões Máximas: Campo numérico onde deve informar o número 

máximo de conexões que a entidade pode receber a partir de uma mesma 

origem. 

A quantidade máxima de conexões nas regras de proteção de flood não é a 

quantidade agregada de conexões a partir da origem especificada, mas sim a 

quantidade, por endereço IP único que encaixa na origem informada, de conexões 

simultâneas. Desta forma, por exemplo, havendo a necessidade de limitar o número 

de downloads simultâneos por usuário em 2, esse número dever ser 2, 

independentemente do número de usuários que façam os downloads. 


13.5. Proteção Anti Spoofing 

O que é um Spoofing? 

O spoofing do IP envolve o fornecimento de informações falsas sobre uma pessoa 

ou sobre a identidade de um host para obter acesso não-autorizado a sistemas e/ou 

aos sistemas que eles fornecem. O spoofing interfere na forma como um cliente e 

um servidor estabelecem uma conexão. Apesar do spoofing poder ocorrer com 

diversos protocolos específicos, o spoofing do IP é o mais conhecido dentre todos 

os ataques de spoofing. 

A primeira etapa de um ataque de spoofing é identificar duas máquinas de destino, 

que chamaremos de A e B. Na maioria dos casos, uma máquina terá um 

relacionamento confiável com a outra. É esse relacionamento que o ataque de 

spoofing tentará explorar. Uma vez que os sistemas de destino tenham sido 

identificados, o violador tentará estabelecer uma conexão com a máquina B de 

forma que B acredite que tem uma conexão com A, quando na realidade a conexão 

é com a máquina do violador, que chamaremos de X. Isso é feito através da criação 

de uma mensagem falsa (uma mensagem criada na máquina X, mas que contém o 

endereço de origem de A) solicitando uma conexão com B. Mediante o recebimento 

dessa mensagem, B responderá com uma mensagem semelhante que reconhece a 

solicitação e estabelece números de seqüência. 

Em circunstâncias normais, essa mensagem de B seria combinada a uma terceira 

mensagem reconhecendo o número de seqüência de B. Com isso, o "handshake" 

seria concluído, e a conexão poderia prosseguir. No entanto, como acredita que 

está se comunicando com A, B envia sua resposta a A, e não para X. Com isso, X 

terá de responder a B sem conhecer os números de seqüência gerados por B. 

Portanto, X deverá adivinhar com precisão números de seqüência que B utilizará. 

Em determinadas situações, isso é mais fácil do que possa imaginar. 

No entanto, além de adivinhar o número de seqüência, o violador deverá impedir 

que a mensagem de B chegue até A. Se a mensagem tivesse de chegar a A, A 

negaria ter solicitado uma conexão, e o ataque de spoofing falharia. Para alcançar 

esse objetivo, normalmente o intruso enviaria diversos pacotes à máquina A para 

esgotar sua capacidade e impedir que ela respondesse à mensagem de B. Essa 

técnica é conhecida como "violação de portas". Uma vez que essa operação tenha 

chegado ao fim, o violador poderá concluir a falsa conexão. 

O spoofing do IP, como foi descrito, é uma estratégia desajeitada e entediante. No 

entanto, uma análise recente revelou a existência de ferramentas capazes de 

executar um ataque de spoofing em menos de 20 segundos. O spoofing de IP é 

uma ameaça perigosa, cada vez maior, mas, por sorte, é relativamente fácil criar 

mecanismos de proteção contra ela. A melhor defesa contra o spoofing é configurar 

roteadores de modo a rejeitar qualquer pacote recebido cuja origem alegada seja 

um host da rede interna. Essa simples precaução impedirá que qualquer máquina 

externa tire vantagem de relacionamentos confiáveis dentro da rede interna. 


Como funciona a proteção contra Spoofing do Aker Firewall? 

O Aker Firewall possui um mecanismo que visa impedir que um ataque de Spoofing 

seja bem sucedido. Seu funcionamento baseia-se no cadastramento das redes que 

estão sendo protegidas pelo firewall ou seja, atrás de cada interface de rede do 

firewall. 

Nas redes internas, só serão aceitos pacotes das entidades cadastradas e, das 

externas, somente pacotes cujo IP origem não se encaixe em nenhuma entidade 

cadastrada nas redes internas (todas). 

O administrador do firewall deve então fazer o levantamento destas redes, criar as 

entidades correspondentes e utilizar a interface gráfica para montar a proteção. 

13.6. Utilizando a interface gráfica para Anti Spoofing 

Figura 251. Janela de acesso - Anti Spoofing. 


Clicar no menu Segurança na janela do Firewall. 

Escolher o item Anti Spoofing. 

A janela de configuração de Anti Spoofing 

Figura 252. Anti Spoofing – Ativação do controle. 








Ativação do controle anti-spoofing: A marcação da caixa ativa a proteção 

Anti Spoofing. 

Interface: Corresponde a interface cadastrada no firewall pelo administrador. 

Status: Neste campo é mostrado o estado da interface, ou seja, se está ativa 

ou não. Este campo não pode ser editado. 

Tipo: Por padrão este campo é marcado como Externa. Ao clicar com o 

botão direito do mouse poderá ser trocado o tipo para Protegida, passando o 

campo Entidades para a condição de editável. 


Protegida significa que a interface está conectada a uma rede interna e somente 

serão aceitos pacotes com endereços IP originados em alguma das entidades 

especificadas na regra. Externa significa que é uma interface conectada a Internet 

da qual serão aceitos pacotes provenientes de quaisquer endereços origem, exceto 

os pertencentes a entidades listadas nas regras de interfaces marcadas como 

Protegidas. 

Entidades: Ao definir uma interface Protegida, deve-se incluir neste campo a lista 

de todas as redes e/ou máquinas que encontram-se conectadas a esta interface. 

13.7. Utilizando a interface texto - Syn Flood 

A interface texto de configuração da proteção contra SYN flood é bastante simples 

de ser usada e tem as mesmas capacidades da interface gráfica. 

Localização do programa:/aker/bin/firewall/fwflood 

Sintaxe: 


fwflood - Configura parametros de protecao contra SYN Flood 

Uso: fwflood [ativa | desativa | mostra | ajuda] 

fwflood [inclui | remove] 

fwflood tempo 



fwflood - Configura parametros de protecao contra SYN Flood 

Uso: fwflood [ativa | desativa | mostra | ajuda] 

fwflood [inclui | remove] 

fwflood tempo 

ativa = ativa protecao contra SYN Flood 

desativa = desativa protecao contra SYN Flood 


inclui = inclui uma entidade a ser protegida 

remove = remove uma das entidades a serem protegidas 

tempo = configura o tempo maximo de espera para fechar conexao 

ajuda = mostra esta mensagemPara inclui / remove temos: 

nome = nome da entidade a ser protegida ou removida da protecaoPara 

tempo temos: 

valor = tempo maximo de espera em unidades de 500ms 



#/aker/bin/firewall/fwflood mostraParametros de configuracao: 

------------------------------------- 

Protecao contra SYN Flood: ativada 

Tempo limite de espera : 6 (x 500 ms) 

Lista de entidades a serem protegidas: 

------------------------------------- 

NT1 

(Maquina) 

NT3 

(Maquina) 

13.8. Utilizando a interface texto - Proteção de Flood 

Localização do programa:/aker/bin/firewall/fwmaxconn 

Sintaxe: 


Uso: fwmaxconn ajuda 

fwmaxconn mostra 

fwmaxconn inclui 

fwmaxconn remove 

fwmaxconn < habilita | desabilita > 


pos: posicao da regra na tabela 

origem: maquina/rede de onde se origina as conexoes 

destino: maquina/rede a que se destinam as conexoes 

servico: servico de rede para o qual existe a conexao 

n_conns: numero maximo de conexoes simultaneas de mesma origem 


#/aker/bin/firewall/fwmaxconn mostraRegra 01 

-------- 

Origem: Rede_Internet 

Destino: NT1 

Servicos: HTTP 

Conexoes: 5000 

Regra 02 

-------- 


Destino: NT3 

Servicos: FTP 

Conexoes : 10000 


Regra 03 

-------- 


Destino: Rede_Interna 

Servicos: Gopher 

Conexoes: 100 

13.9. Utilizando a interface texto - Anti Spoofing 

Localização do programa:/aker/bin/firewall/fwifnet 


Uso: fwifnet [ajuda | mostra] 

fwifnet inclui interface [externa] 

fwifnet inclui rede [rede1] [rede2] ... 

fwifnet remove [-f] interface 

fwifnet remove rede 

fwifnet 


Uso: fwifnet [ajuda | mostra] 

fwifnet inclui interface [externa] 

fwifnet inclui rede [rede1] [rede2] ... 

fwifnet remove [-f] interface 

fwifnet remove rede 

para inclui/remove temos: 

interface: o nome da interface de rede a ser controlada 

externa: se esta palavra estiver presente, a interface será considerada externa 

pelo firewall 

rede: uma rede permitida em uma interface nao externa 


#/aker/bin/firewall/fwifnet mostra 


Status do modulo anti-spoofing: habilitado 

Interface cadastrada: Interf_DMZ 

Rede permitida: Rede_DMZInterface 

cadastrada: Interf_externa (externa) 

Interface cadastrada: Interf_interna 

Rede permitida: Rede_Interna 


13.10. Bloqueio por excesso de tentativas de login inválidas 

Figura 253. Bloqueio de excesso de tentativas de login inválidas - Eventos. 

O firewall, por padrão, vem com bloqueio de excesso de tentativas de login inválidas 

via control center. Caso um IP realize três tentativas de conexões com usários e/ou 

senhas inválidos, o firewall não permite mais conexões por um período de tempo. 

São criados eventos de log que podem ser vistos na janela de log, eles contêm 

informações sobre o horário do bloqueio e o IP que realizou a tentativa. 


Configurando as Ações do 

Sistema 


14. Configurando Ações de Sistema 

Este capítulo mostrará como configurar as respostas automáticas do sistema para 

situações pré-determinadas. 

O que são as ações do sistema? 

O Aker Firewall possui um mecanismo que possibilita a criação de respostas 

automáticas para determinadas situações. Estas respostas automáticas são 

configuradas pelo administrador em uma série de possíveis ações independentes 

que serão executadas quando uma situação pré-determinada ocorrer. 

Para que servem as ações do sistema? 

O objetivo das ações é possibilitar um alto grau de interação do Firewall com o 

administrador. Com o uso delas, é possível, por exemplo, que seja executado um 

programa capaz de chamá-lo através de um pager quando a máquina detectar que 

um ataque está em andamento. Desta forma, o administrador poderá tomar uma 

ação imediata, mesmo que ele não esteja no momento monitorando o 

funcionamento do Firewall. 


Para ter acesso a janela de configuração das ações deve-se: 


Expandir o item Configurações do Sistema; 

Selecionar o item Ações. 

A janela de configuração das ações 

Figura 254. Janela de acesso - Ações. 

Ao selecionar esta opção será mostrada a janela de configuração das ações a 

serem executadas pelo sistema. Para cada mensagem de log e de eventos e para 

os pacotes que não se enquadrarem em nenhuma regra é possível determinar 

ações independentes. A janela mostrada terá a seguinte forma: 


Figura 255. Ações – Mensagens de logs. 

Para selecionar as ações a serem executadas para as mensagens mostradas na 

janela, deve-se clicar com o botão direito do mouse sobre as mensagens. A cada 

opção selecionada aparecerá um ícone correspondente. 

Figura 256. Ações a serem executadas para mensagens exibidas. 

Se a opção estiver marcada com o ícone aparente, a ação correspondente será 

executada pelo Firewall quando a mensagem ocorrer. São permitidas as seguintes 

ações: 

Logar: Ao selecionar essa opção, todas as vezes que a mensagem 

correspondente ocorrer, ela será registrada pelo firewall; 

Enviar email: Ao selecionar essa opção, será enviado um e-mail todas as vezes 

que a mensagem correspondente ocorrer (a configuração do endereço de e-mail 

será mostrada no próximo tópico); 

Executar programa: Ao marcar essa opção, será executado um programa 

definido pelo administrador todas as vezes que a mensagem correspondente 


ocorrer (a configuração do nome do programa a ser executado será mostrada no 

próximo tópico); 

Disparar mensagens de alarme: Ao selecionar essa opção, o firewall mostrará 

uma janela de alerta todas as vezes que a mensagem correspondente ocorrer. 

Esta janela de alerta será mostrada na máquina onde a interface gráfica remota 

estiver aberta e, se a máquina permitir, será emitido também um aviso sonoro. 

Caso a interface gráfica não esteja aberta, não será mostrada nenhuma 

mensagem e esta opção será ignorada (esta ação é particularmente útil para 

chamar a atenção do administrador quando ocorrer uma mensagem importante); 

Enviar trap SNMP: Ao selecionar essa opção, será enviada uma Trap SNMP 

para o gerente SNMP todas as vezes que a mensagem correspondente ocorrer 

(a configuração dos parâmetros de configuração para o envio das traps será 

mostrada no próximo tópico). 

Não é possível alterar as ações para a mensagem de inicialização do firewall 

(mensagem número 43). Esta mensagem sempre terá como ações configuradas 

apenas a opção Loga. 

Significado dos botões da janela de ações 

O botão OK fará com que a janela de ações seja fechada e as alterações 

efetuadas aplicadas; 


efetuadas não serão aplicadas; 

O botão Aplicar fará com que as alterações sejam aplicadas sem que a janela 

feche. 

A janela de configuração dos parâmetros 

Para que o sistema consiga executar as ações deve-se configurar certos 

parâmetros (por exemplo, para o Firewall enviar um e-mail, o endereço tem que ser 

configurado). Estes parâmetros são configurados através da janela de configuração 

de parâmetros para as ações. 

Esta janela é mostrada ao selecionar Parâmetros na janela de Ações. Ela tem o 



Figura 257. Ações: Parametros. 

Significado dos parâmetros: 

Parâmetros para executar um programa 

Arquivo de Programa: Este parâmetro configura o nome do programa que será 

executado pelo sistema quando ocorrer uma ação marcada com a opção 

Programa. Deve ser colocado o nome completo do programa, incluindo o 

caminho. Deve-se atentar para o fato de que o programa e todos os diretórios do 

caminho devem ter permissão de execução pelo usuário que irá executá-lo (que 

é configurado na próxima opção). 

O programa receberá os seguintes parâmetros pela linha de comando (na ordem 

em que serão passados): 

1. Nome do próprio programa sendo executado (isto é um padrão do sistema 

operacional Unix); 

2. Tipo de mensagem (1 - para log ou 2- para evento); 

3. Prioridade (7 - depuração, 6 - informação, 5 - notícia, 4 - advertência ou 3 

- erro); 

4. Número da mensagem que provocou a execução do programa ou 0 para 

indicar a causa não foi uma mensagem. (neste caso, a execução do 

programa foi motivada por uma regra); 

5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta 

cadeia de caracteres pode conter o caractere de avanço de linha no meio 

dela). 


No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de 

um programa. Isto pode causar confusão para quem estiver acostumado com o 

ambiente DOS/Windows, que usa a barra invertida "\". 

Nome efetivo do usuário: Este parâmetro indica a identidade com a qual o 

programa externo será executado. O programa terá os mesmos privilégios deste 

usuário. 

Este usuário deve ser um usuário válido, cadastrado no Linux. Não se deve 

confundir com os usuários do Aker Firewall, que servem apenas para a 

administração do Firewall. 

Parâmetros para enviar traps SNMP 

Endereço IP do servidor SNMP: Este parâmetro configura o endereço IP da 

máquina gerente SNMP para a qual o firewall deve enviar as traps. 

Comunidade SNMP: Este parâmetro configura o nome da comunidade SNMP 

que deve ser enviada nas traps. 

As traps SNMP enviadas terão o tipo genérico 6 (enterprise specific) e o tipo 

específico 1 para log ou 2 para eventos. Elas serão enviadas com o número de 

empresa (enterprise number) 2549, que é o número designado pela IANA para a 

Aker Consultoria e Informática. 

Parâmetros para enviar e-mail 

Endereço de e-mail: Este parâmetro configura o endereço de e-mail do usuário 

para o qual devem ser enviados os e-mails. Este usuário pode ser um usuário da 

própria máquina ou não (neste caso deve-se colocar o endereço completo, por 

exemplo user@aker.com.br). 

Caso queira enviar e-mails para vários usuários, pode-se criar uma lista e 

colocar o nome da lista neste campo. 

É importante notar que caso algum destes parâmetros esteja em branco, a ação 

correspondente não será executada, mesmo que ela esteja marcada para tal. 



A interface texto para a configuração das ações possui as mesmas capacidades da 

interface gráfica, porém, é de fácil uso. 

Localização do programa: /aker/bin/firewall/fwaction 

Sintaxe: 

fwaction ajuda 

fwaction mostra 

fwaction atribui [loga] [mail] [trap] [programa] [alerta] 

fwaction [nome] 

fwaction ip [endereco IP] 

fwaction e-mail [endereco] 


fwaction - Interface texto para a configuracao das acoes do sistema 

Uso: fwaction ajuda 

fwaction mostra 

fwaction atribui [loga] [mail] [trap] [programa] [alerta] 

fwaction [nome] 

fwaction ip [endereco IP] 

fwaction e-mail [endereco] 


mostra = lista as mensagens e as acoes configuradas para cada uma 

atribui = configura as acoes para uma determinada mensagem 

programa = define o nome do programa a ser executado 

usuario = define o nome do usuario que executara o programa 

comunidade = define o nome da comunidade SNMP para o envio das traps 

ip = define o endereco IP do servidor SNMP que recebera as traps 

e-mail = define o nome do usuario que recebera os e-mails 

Para atribui temos: 

numero = numero da mensagem a atribuir as acoes 

(o numero de cada mensagem aparece na esquerda ao se 

selecionar a opcao mostra) 

loga = Loga cada mensagem que for gerada 

mail = Manda um e-mail para cada mensagem que for gerada 

trap = Gera trap SNMP para cada mensagem que for gerada 


programa = Executa programa para cada mensagem que for gerada 

alerta = Abre janela de alerta para cada mensagem que for gerada 

Exemplo 1: (configurando os parâmetros para envio de e-mail e execução de 

programa) 

#fwaction e-mail root 

#fwaction programa /aker/bin/pager 

#fwaction usuario nobody 

Exemplo 2: (mostrando a configuração completa das ações do sistema) 

#fwaction mostra 

Condicoes Gerais: 

00 - Pacote fora das regras 

>>>> Loga 

Mensagens do log: 

01 - Possivel ataque de fragmentacao 

>>>> Loga 

02 - Pacote IP direcionado 

>>>> Loga 

03 - Ataque de land 

>>>> Loga 

04 - Conexao nao consta na tabela dinamica 

>>>> Loga 

05 - Pacote proveniente de interface invalida 

>>>> Loga 

06 - Pacote proveniente de interface nao determinada 

>>>> Loga 

07 - Conexao de controle nao esta aberta 

>>>> Loga 

(...) 

237 - O Secure Roaming encontrou um erro 

>>>> Loga 

238 - O Secure Roaming encontrou um erro fatal 

>>>> Loga 

239 - Usuarios responsaveis do Configuration Manager 

>>>> Loga 


Parametros de configuracao: 

programa: /aker/bin/pager 

usuario: nobody 

e-mail: root 

comunidade: 

ip: 

Devido ao grande número de mensagens, só estão sendo mostradas as 

primeiras e as últimas. O programa real mostrará todas ao ser executado. 

Exemplo 3: (atribuindo as ações para os Pacotes fora das regras e mostrando as 

mensagens) 

#fwaction atribui 0 loga mail alerta 




>>>> Loga Mail Alerta 



>>>> Loga 


>>>> Loga 


>>>> Loga 


>>>> Loga 


>>>> Loga 


>>>> Loga 


>>>> Loga 

(...) 


>>>> Loga 



Loga 


>>>> Loga 


programa : /aker/bin/pager 

usuario : nobody 

e-mail : root 

comunidade: 

ip : 


primeiras e as últimas. O programa real mostrará todas as mensagens, ao ser 

executado. 

Exemplo 4: (cancelando todas as ações para a mensagem de Pacote IP 

direcionado e mostrando as mensagens) 

#fwaction atribui 2 




>>>> Loga Mail Alerta 



>>>> Loga Mail 


>>>> 


>>>> Loga 


>>>> Loga 


>>>> Loga 


>>>> Loga 


>>>> Loga 


(...) 


>>>> Loga 


>>>> Loga 


>>>> Loga 


programa: /aker/bin/pager 

usuario: nobody 

e-mail: root 

comunidade: 

ip: 


primeiras e as últimas. O programa real mostrará todas ao ser executado. 


Visualizando o Log do Sistema 


15. Visualizando o log do Sistema 

Este capítulo mostrará como visualizar o log do sistema, um recurso imprescindível 

na detecção de ataques, no acompanhamento e monitoramento do firewall e na fase 

de configuração do sistema. 

O que é o log do sistema? 

O log é o local onde o firewall guarda todas as informações relativas aos pacotes 

recebidos. Nele podem aparecer registros gerados por qualquer um dos três 

grandes módulos: filtro de pacotes, conversor de endereços e 

criptografia/autenticação. O tipo de informação guardada no log depende da 

configuração realizada no firewall, mas basicamente ele inclui informações sobre os 

pacotes que foram aceitos, descartados e rejeitados, os erros apresentados por 

certos pacotes e as informações sobre a conversão de endereços. 

De todos estes dados, as informações sobre os pacotes descartados e rejeitados 

são possivelmente as de maior importância, já que são através delas que se pode 

determinar possíveis tentativas de invasão, tentativa de uso de serviços não 

autorizados, erros de configuração, etc. 

O que é um filtro de log? 

Mesmo que o sistema tenha sido configurado para registrar todo o tipo de 

informação, muitas vezes está interessado em alguma informação específica (por 

exemplo, suponha que queira ver as tentativas de uso do serviço POP3 de uma 

determinada máquina que foram rejeitadas em um determinado dia, ou ainda, quais 

foram aceitas). O filtro de log é um mecanismo oferecido pelo Aker Firewall para se 

criar visões do conjunto total de registros, possibilitando que se obtenham as 

informações desejadas facilmente. 

O filtro só permite a visualização de informações que tiverem sido registradas no 

log. Caso queira obter uma determinada informação, é necessário inicialmente 

configurar o sistema para registrá-la e então utilizar um filtro para visualizá-la. 



Para ter acesso a janela de visualização do log basta: 

Figura 258. Janela de acesso - Log. 

Clicar no menu Auditoria do firewall que se deseja ver o log; 

Selecionar a opção Log. 

A barra de ferramentas do Log 

Todas as vezes que a opção Log for selecionada é mostrada automaticamente a 

barra de ferramentas de Log. Esta barra, que estará ao lado das outras barras, 

poderá ser arrastada e ficar flutuando acima das informações do Log. Ela tem o 


Figura 259. Barra de ferramentas de log. 


Significado dos Ícones: 

Abre a janela de filtragem do firewall; 

Este ícone somente irá aparecer quando o firewall estiver fazendo uma 

procura no Log. Ele permite interromper a busca do firewall; 

Exporta o log para diversos formatos de arquivos; 

Apaga o Log do firewall; 

Realiza uma resolução reversa dos IP que estão sendo mostrados pelo 

Log; 

Permite fazer uma atualização da tela de logs dentro de um 

determinado período definido no campo seguinte; 

Define o tempo que o firewall irá atualizar a janela com informações de 

log; 

Percorre o Log para frente e para trás; 

Expande as mensagens de Log, mostrando as mesmas com o máximo 

de informação; 

Ao clicar no ícone de filtro a janela abaixo irá aparecer: 


A Janela de Filtragem de Log 

Figura 260. Filtro de log. 

Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. 

Permite gravar um perfil de pesquisa que poderá ser usado posteriormente pelo 

administrador. 

Para salvar um filtro de log, deve-se proceder da seguinte forma: 

1. Preencher todos os seus campos da forma desejada. 

2. Definir, no campo Filtros, o nome pelo qual ele será referenciado. 

3. Clicar no botão Salvar. 

Para aplicar um filtro salvo, basta selecionar seu nome no campo Filtros e todos os 

campos serão automaticamente preenchidos com os dados salvos. 


Para excluir um filtro, deve-se proceder da seguinte forma: 

1. Selecionar o filtro a ser removido, no campo Filtros. 

2. Clicar no botão Remover. 

O filtro padrão é configurado para mostrar todos os registros do dia atual. Para 

alterar a visualização para outros dias, na janela Data/Hora, pode-se configurar os 

campos De e Até para os dias desejados (a faixa de visualização compreende os 

registros da data inicial à data final, inclusive). 

Caso queira ver os registros cujos endereços origem e/ou destino do pacote 

pertençam a um determinado conjunto de máquinas, pode-se utilizar os campos IP / 

Máscara ou Entidade para especificá-lo. 

O botão permite a escolha do modo de filtragem a ser realizado: caso o botão 

esteja selecionado, serão mostrados na janela os campos, chamados de IP, 

Máscara (para origem do pacote) e IP, Máscara (para Destino do pacote). Estes 

campos poderão ser utilizados para especificar o conjunto origem e/ou o conjunto 

destino. Neste caso, pode-se selecionar uma entidade em cada um destes campos 

e estas serão utilizadas para especificar os conjuntos origem e destino. O botão 

pode ser usado independente um do outro, ou seja pode-se optar que seja 

selecionado pela entidade na origem e por IP e Máscara para o destino. 


Figura 261. Filtro de log. 

Para monitorar um serviço específico deve-se colocar seu número no campo Porta. 

A partir deste momento só serão mostradas entradas cujo serviço especificado for 

utilizado. É importante também que seja selecionado o protocolo correspondente ao 

serviço desejado no campo protocolo, mostrado abaixo. 

No caso dos protocolos TCP e UDP, para especificar um serviço, deve-se 

colocar o número da porta destino, associada ao serviço, neste campo. No caso do 

ICMP deve-se colocar o tipo de serviço. Para outros protocolos, coloca-se o número 

do protocolo desejado. 

Além destes campos, existem outras opções que podem ser combinadas para 

restringir ainda mais o tipo de informação mostrada: 

Ação: 

Representa qual ação o sistema tomou ao lidar com o pacote em questão. Existem 

as seguintes opções possíveis, que podem ser selecionadas independentemente: 

Aceito: Mostra os pacotes que foram aceitos pelo firewall. 


Rejeitado: Mostra os pacotes que foram rejeitados pelo firewall. 

Descartado: Mostra os pacotes que foram descartados pelo firewall. 

Convertido: Mostra as mensagens relacionadas à conversão de endereços. 

Prioridade: 

Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for a 

prioridade associada a um determinado registro, mais importância deve-se dar a ele. 

Abaixo está a lista com todas as prioridades possíveis, ordenada da mais importante 

para a menos (caso tenha configurado o firewall para mandar uma cópia do log para 

o syslogd, as prioridades com as quais as mensagens serão geradas no syslog são 

as mesmas apresentadas abaixo): 

Aviso 

Os registros que se enquadram nesta prioridade normalmente indicam que 

algum tipo de ataque ou situação bastante séria (como por exemplo, um erro na 

configuração dos fluxos de criptografia) está ocorrendo. Este tipo de registro 

sempre vem precedido de uma mensagem que fornece maiores explicações 

sobre ele. 

Nota 

Normalmente se enquadram nesta prioridade os pacotes que foram rejeitados ou 

descartados pelo sistema, em virtude destes terem se encaixado em uma regra 

configurada para rejeitá-los ou descartá-los ou por não terem se encaixado em 

nenhuma regra. Em algumas situações eles podem ser precedidos por 

mensagens explicativas. 

Informação 

Os registros desta prioridade acrescentam informações úteis mas não tão 

importantes para a administração do Firewall. Estes registros nunca são 

precedidos por mensagens explicativas. Normalmente se enquadram nesta 

prioridade os pacotes aceitos pelo firewall. 

Depuração 

Os registros desta prioridade não trazem nenhuma informação realmente útil, 

exceto quando se está configurando o sistema. Se enquadram nesta prioridade 

as mensagens de conversão de endereços. 

Módulo: 


Esta opção permite visualizar independentemente os registros gerados por cada 

um dos três grandes módulos do sistema: filtro de pacotes, conversor de 

endereços, módulo de criptografia, IPSEC e Clustering. 

Protocolo: 

Este campo permite especificar o protocolo dos registros a serem mostrados. As 

seguintes opções são permitidas: 

TCP 

Serão mostrados os registros gerados a partir de pacotes TCP. Se esta 

opção for marcada, a opção TCP/SYN será automaticamente desmarcada. 

TCP/SYN 

Serão mostrados os registros gerados a partir de pacotes TCP de abertura de 

conexão (pacotes com o flag de SYN ativo). Se esta opção for marcada, a 

opção TCP será automaticamente desmarcada. 

UDP 

Serão mostrados os registros gerados a partir de pacotes UDP. 

ICMP 

Serão mostrados os registros gerados a partir de pacotes ICMP. 

Outro 

Serão mostrados registros gerados a partir de pacotes com protocolo diferente de 

TCP, UDP e ICMP. Pode-se restringir mais o protocolo a ser mostrado, 

especificando seu número através do campo Porta destino ou Tipo de Serviço. 

O botão OK aplicará o filtro escolhido e mostrará a janela de log, com as 

informações selecionadas. 

O botão Cancelar fará com que a operação de filtragem seja cancelada e a 

janela de log mostrada com as informações anteriores. 

A janela de log 


Figura 262. Lista com várias entradas de log. 

A janela de log será mostrada após a aplicação de um filtro novo. Ela consiste de 

uma lista com várias entradas. Todas as entradas possuem o mesmo formato, 

entretanto, dependendo do protocolo do pacote que as gerou, alguns campos 

podem estar ausentes. Além disso, algumas entradas serão precedidas por uma 

mensagem especial, em formato de texto, que trará informações adicionais sobre o 

registro (o significado de cada tipo de registro será mostrado no próximo tópico). 


Os registros serão mostrados de 100 em 100. 

Só serão mostrados os primeiros 10.000 registros que se enquadrem no filtro 

escolhido. Os demais podem ser vistos exportando o log para um arquivo ou 

utilizando um filtro que produza um número menor de registros. 

No lado esquerdo de cada mensagem, será mostrado um ícone colorido 

simbolizando sua prioridade. As cores têm o seguinte significado: 

Azul 

Verde 

Amarelo 

Depuração 

Informação 

Nota 


Vermelho 

Aviso 

Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte 

inferior da tela uma linha com informações adicionais sobre o registro. 

Ao se apagar todo o log, não existe nenhuma maneira de recuperar as 

informações anteriores. A única possibilidade de recuperação é a restauração de 

uma cópia de segurança. 

Se a opção Expande mensagens estiver marcada e se tiver escolhido a opção 

de exportação em formato texto, o log será exportado com as mensagens 

complementares; caso contrário, o log será exportado sem elas. 

Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa, 

para guardar uma cópia em formato texto de informações importantes ou para 

importar o log por um analisador de log citados acima. Ao ser clicado, será mostrada 

a seguinte janela: 

Figura 263. Exportador de log. 

Figura 264. Barra de exportação de log – porcentagem realizada. 


Para exportar o conteúdo do log, basta fornecer o nome do arquivo a ser criado, 

escolher seu formato e clicar no botão Salvar. Para cancelar a operação, clique em 

Cancelar. 

Se já existir um arquivo com o nome informado ele será apagado. 

O botão Próximos, representado como uma seta para a direita na barra de 

ferramentas, mostrará os próximos 100 registros selecionados pelo filtro. Se não 

existirem mais registros, esta opção estará desabilitada. 

O botão Últimos, representado como uma seta para a esquerda na barra de 

ferramentas, mostrará os 100 registros anteriores. Se não existirem registros 

anteriores, esta opção estará desabilitada. 

O botão Ajuda mostrará a janela de ajuda específica para a janela de log. 

15.2. Formato e significado dos campos dos registros do log 

Abaixo segue a descrição do formato de cada registro, seguido de uma descrição de 

cada um dos campos. O formato dos registros é o mesmo para a interface gráfica e 

para a interface texto. 

Registros gerados pelo filtro de pacotes ou pelo módulo de criptografia 

Qualquer um destes registros pode vir precedido de uma mensagem especial. A 

listagem completa de todas as possíveis mensagens especiais e seus significados 

se encontra no apêndice A. 

Protocolo TCP 

Formato do registro: 

- TCP 


Descrição dos campos: 

Data: Data em que o registro foi gerado. 

Hora: Hora em que o registro foi gerado. 

Repetição: Número de vezes em que o registro se repetiu seguidamente. Este 

campo é mostrado entre parênteses na interface texto. 

Status: Este campo, que aparece entre parênteses na interface texto, consiste de 

uma a três letras, independentes, que possuem o significado abaixo: 

A: Pacote autenticado 

E: Pacote encriptado 

S: Pacote usando troca de chaves via SKIP ou AKER-CDP 

Ação: Este campo indica qual foi a ação tomada pelo firewall com relação ao 

pacote. Ele pode assumir os seguintes valores: 

A: Indica que o pacote foi aceito pelo firewall 

D: Indica que o pacote foi descardado 

R: Indica que o pacote foi rejeitado 

IP origem: Endereço IP de origem do pacote que gerou o registro. 

Porta origem: Porta de origem do pacote que gerou o registro. 

IP destino: Endereço IP destino do pacote que gerou o registro. 

Porta destino: Porta destino do pacote que gerou o registro. 

Flags: Flags do protocolo TCP presentes no pacote que gerou o registro. Este 

campo consiste de uma a seis letras independentes. A presença de uma letra, 

indica que o flag correspondente a ela estava presente no pacote. O significado das 

letras é o seguinte: 

S: SYN 

F: FIN 

A: ACK 

P: PUSH 

R: RST (Reset) 

U: URG (Urgent Pointer) 

Interface: Interface de rede do firewall por onde o pacote foi recebido. 

Protocolo UDP 


- UDP 

 















D: Indica que o pacote foi descartado 





Porta destino: Porta destino do pacote que gerou o registro. 


Protocolo ICMP 


- ICMP 

 














D: Indica que o pacote foi descartado 





Tipo de serviço: Tipo de serviço ICMP do pacote que gerou o registro. 


Outros procotolos 


- 














D: Indica que o pacote foi descardado 


Protocolo: Nome do protocolo do pacote que gerou o registro (caso o firewall não 

consiga resolver o nome do protocolo, será mostrado o seu número). 




Registros gerados pelo conversor de endereços 


- C 

Descrição dos campos dos registros 




Repetição: Número de vezes que o registro se repetiu seguidamente. Este campo é 

mostrado entre parênteses na interface texto. 

Protocolo: É o protocolo do pacote que gerou o registro. Pode ser TCP ou UDP. 



IP convertido: Endereço IP para o qual o endereço de origem do pacote foi 

convertido. 

Porta convertida: Porta para qual a porta de origem do pacote foi convertida. 


A interface texto para o acesso ao log tem funcionalidade similar à da interface 

gráfica, porém possui opções de filtragem bem mais limitadas. Além disso, através 

da interface texto, não se tem acesso às informações complementares que são 

mostradas quando se seleciona uma entrada do log na interface gráfica ou quando 

se ativa a opção Expande mensagens. 

Localização do programa: /aker/bin/firewall/fwlog 

Sintaxe: 


fwlog apaga [log | log6 | eventos] [ ] 

fwlog mostra [log | log6 | eventos] [local | cluster] [ ] 

[prioridade] 


Uso: fwlog ajuda 

fwlog apaga [log | log6 | eventos] [ ] 

fwlog mostra [log | log6 | eventos] [local | cluster] [ ] 

[prioridade] 

fwlog - Interface texto para visualizar log e eventos 

mostra = lista o conteudo do log ou dos eventos. Ele pode mostra 

apenas o log local ou todo o log do cluster 

apaga = apaga todos os registro do log ou dos eventos 


Para "mostra" temos: data_inicio = data a partir da qual os registros serão 

mostrados 

data_fim = data ate onde mostrar os registros 

(As datas devem estar no formato dd/mm/aaaa 


(Se nao forem informadas as datas, mostra os registros de 

hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes 

valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO 

(Ao selecionar uma prioridade, somente serão listados 

registros cuja prioridade for igual a informada) 

Exemplo 1: (mostrando o log do dia 07/07/2003) 

#fwlog mostra log 07/07/2003 07/07/2003 

07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0 

07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0 

07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0 

07/07/2003 19:06:22 (01) A TCP 10.4.1.24 1027 10.5.1.1 23 de0 

07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0 

07/07/2003 19:06:21 (01) A ICMP 10.5.1.134 10.4.1.12 8 de1 

07/07/2003 19:06:20 (01) A ICMP 10.4.1.12 137 10.5.1.134 0 de0 

07/07/2003 19:06:02 (01) A UDP 10.4.1.59 1050 10.7.1.25 53 de0 

Exemplo 2: (mostrando o log do dia 07/07/2003, apenas prioridade notícia) 

#fwlog mostra log 07/07/2003 07/07/2003 noticia 

07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0 

07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0 

07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0 

07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0 

Exemplo 3: (apagando o arquivo de log) 

#fwlog apaga log 21/10/2003 23/10/2003 Remocao dos registros foi solicitada ao 

servidor de log 


Visualizando Eventos do 

Sistema 


16. Visualizando Eventos do Sistema 

Este capítulo mostrará como visualizar os eventos do sistema, um recurso muito útil 

para acompanhar o funcionamento do firewall e detectar possíveis ataques e erros 

de configuração. 

O que são os eventos do sistema? 

Eventos são as mensagens do firewall de nível mais alto, ou seja, não relacionadas 

diretamente a pacotes (como é o caso do log). Nos eventos, podem aparecer 

mensagens geradas por qualquer um dos três grandes módulos (filtro de pacotes, 

conversor de endereços e autenticação/criptografia) e por qualquer outro 

componente do firewall, como por exemplo, os proxies e os processos servidores 

encarregados de tarefas específicas. 

Basicamente, o tipo de informação mostrada varia desde mensagens úteis para 

acompanhar o funcionamento do sistema (uma mensagem gerada todas as vezes 

que a máquina é reiniciada, todas as vezes que alguém estabelece uma sessão 

com o firewall, etc) até mensagens provocadas por erros de configuração ou de 

execução. 

O que é um filtro de eventos? 

Mesmo que o sistema tenha sido configurado para registrar todos os possíveis 

eventos, muitas vezes está interessado em alguma informação específica (por 

exemplo, suponha que queira ver todas as mensagens do dia de ontem). O filtro de 

eventos é um mecanismo oferecido pelo Aker Firewall para criar visões do conjunto 

total de mensagens, possibilitando que obtenha as informações desejadas 

facilmente. 

O filtro só permite a visualização de informações que tiverem sido registradas nos 

eventos. Caso queira obter uma determinada informação deve-se inicialmente 

configurar o sistema para registrá-la e então utilizar um filtro para visualizá-la. 


Para ter acesso a janela de eventos deve-se: 


Figura 265. Janela de acesso - Eventos. 

Clicar no menu Auditoria do firewall que se deseja visualizar os eventos; 

Selecionar a opção Eventos. 

A barra de ferramentas de Eventos 

Todas as vezes que a opção Eventos é selecionada, é mostrada automaticamente a 

barra de ferramentas de Eventos. Esta barra, que estará ao lado das outras barras, 

poderá ser arrastada e ficar flutuando acima das informações dos Eventos. Ela tem 

o seguinte formato: 

Significado dos Ícones: 

Figura 266. Barra de ferramentas: Eventos. 

Abre a janela de filtragem dos Eventos; 

Este ícone somente irá aparecer quando o firewall estiver fazendo uma 

procura no Evento. Ele permite interromper a busca do firewall; 


Exporta os Eventos para diversos formatos de arquivos; 

Apaga os Eventos do firewall; 

Permite fazer uma atualização da tela de eventos dentro de um 

determinado período definido no campo seguinte; 

Define o tempo que o firewall irá atualizar a janela com informações de 

eventos; 

Percorre os Eventos para frente e para trás; 

Expande as mensagens de Evento, mostrando as mesmas com o 

máximo de informação; 

Ao clicar no ícone de filtragem a seguinte janela será mostrada: 

A janela de filtro de eventos 

Figura 267. Filtro de eventos. 


Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. O 

botão Salvar permite que seja salvo os campos de um filtro de forma a facilitar sua 

aplicação posterior e o botão excluir permite que seja excluído um filtro salvo não 

mais desejado. 

Para salvar um filtro de eventos, deve-se proceder da seguinte forma: 

1. Preencher todos os seus campos da forma desejada. 

2. Definir, no campo Filtros, o nome pelo qual ele será referenciado. 

3. Clicar no botão Salvar. 

Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos 

os campos serão automaticamente preenchidos com os dados salvos. 

Para excluir um filtro que não mais seja desejado, deve-se proceder da seguinte 

forma: 

1. Selecionar o filtro a ser removido, no campo Filtros. 

2. Clicar no botão Excluir. 

O filtro padrão é configurado para mostrar todos as mensagens do dia atual. Para 

alterar a visualização para outros dias, pode-se configurar a Data Inicial e a Data 

Final para os dias desejados (a faixa de visualização compreende os registros da 

data inicial à data final, inclusive). 

Além de especificar as datas, é possível também determinar quais mensagens 

devem ser mostradas. A opção Filtrar por permite escolher entre a listagem de 

mensagens ou de prioridades. 

Filtragem por mensagens 

Ao selecionar filtragem por mensagens, seram mostrados na lista do lado 

esquerdo da janela os nomes de todos os módulos que compõem o firewall. Ao 

clicar em um destes módulos, seram mostradas na lista à direita as diferentes 

mensagens que podem ser geradas por ele. 

Dica: Para selecionar todas as mensagens de um módulo, deve-se clicar sobre a 

caixa à esquerda do nome do módulo. 

Filtragem por prioridade 

Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for 

a prioridade associada a um determinado registro, mais importância deve-se dar 

a ele. 

Ao selecionar filtragem por prioridade, será mostrado na lista do lado esquerdo 

da janela o nome de todos os módulos que compõem o firewall. Ao clicar em um 

destes módulos, seram mostradas na lista à direita as diferentes prioridades das 

mensagens que podem ser geradas por ele. 


Abaixo, está a lista com todas as prioridades possíveis, ordenadas das mais 

importantes para as menos importantes (caso tenha configurado o firewall para 

mandar uma cópia dos eventos para o syslog, as prioridades com as quais as 

mensagens serão geradas no syslog são as mesmas apresentadas abaixo): 

Erro 

Os registros que se enquadrem nesta prioridade indicam algum tipo de erro de 

configuração ou de operação do sistema (por exemplo, falta de memória). 

Mensagens desta prioridade são raras e devem ser tratadas imediatamente. 

Alerta 

Os registros que se enquadrarem nesta prioridade indicam que algum tipo de 

situação séria e não considerada normal ocorreu (por exemplo, uma falha na 

validação de um usuário ao estabelecer uma sessão de administração remota). 

Aviso 

Enquadram-se nesta prioridade os registros que trazem informações que são 

consideradas importantes para o administrador do sistema, mas estão 

associadas a uma situação normal (por exemplo, um administrador iniciou uma 

sessão remota de administração). 

Informação 

Os registros desta prioridade acrescentam informações úteis mas não tão 

importantes para a administração do Firewall (por exemplo, uma sessão de 

administração remota foi finalizada). 

Depuração 

Os registros desta prioridade não trazem nenhuma informação realmente 

importante, exceto no caso de uma auditoria. Nesta prioridade se encaixam as 

mensagens geradas pelo módulo de administração remota todas as vezes que é 

feita uma alteração na configuração do firewall e uma mensagem gerada todas 

as vezes que o firewall é reinicializado. 

Como última opção de filtragem, existe o campo Filtrar no complemento por. 

Este campo permite que seja especificado um texto que deve existir nos 

complementos de todas as mensagens para que elas sejam mostradas. Desta 

forma, é possível, por exemplo, visualizar todas as páginas WWW acessadas por 

um determinado usuário, bastando para isso colocar seu nome neste campo. 

O botão OK aplicará o filtro escolhido e mostrará a janela de eventos, com as 

informações selecionadas. 

O botão Cancelar fará com que a operação de filtragem seja cancelada e a 

janela de eventos será mostrada com as informações anteriores. 


A janela de eentos 

Figura 268. Descrição dos Eventos. 

A janela de eventos será mostrada após a aplicação de um novo filtro. Ela consiste 

de uma lista com várias mensagens. Normalmente, cada linha corresponde a uma 

mensagem distinta, porém existem mensagens que podem ocupar 2 ou 3 linhas. O 

formato das mensagens será mostrado na próxima seção. 


As mensagens serão mostradas de 100 em 100. 

Só serão mostradas as primeiras 10.000 mensagens que são enquadradas no 

filtro escolhido. As demais podem ser vistas exportando os eventos para um 

arquivo ou utilizando um filtro que produza um número menor de mensagens. 

No lado esquerdo de cada mensagem, será mostrado um ícone colorido 

simbolizando sua prioridade. As cores têm o seguinte significado: 


Azul 

Verde 

Amarelo 

Vermelho 

Preto 

Depuração 

Informação 

Notícia 

Advertência 

Erro 

Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte 

inferior da tela uma linha com informações adicionais sobre ela. 

Ao apagar todos os eventos, não existe nenhuma maneira de recuperar as 

informações anteriores. A única possibilidade de recuperação é a restauração de 

uma cópia de segurança. 

O botão Salvar, localizado na barra de ferramentas, gravará todas as 

informações selecionadas pelo filtro atual em um arquivo em formato texto ou em 

formatos que permitem sua importação pelos analisadores de log da Aker e da 

WebTrends (R) . Os arquivos consistirão de várias linhas de conteúdo igual ao 

mostrado na janela. 

Se a opção Expande mensagens estiver marcada e se tiver escolhido a opção 

de exportação em formato texto, os eventos serão exportados com as mensagens 

complementares; caso contrário, os eventos serão exportados sem elas. 

Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa, 

para guardar uma cópia em formato texto de informações importantes ou para 

importar os eventos por um analisador de log citado acima. Ao ser clicado, será 

mostrada a seguinte janela: 

Figura 269. Exportar log de eventos. 


Para exportar o conteúdo dos eventos, basta fornecer o nome do arquivo a ser 

criado, escolher seu formato e clicar no botão Salvar. Para cancelar a operação, 

clique em Cancelar. 

Se já existir um arquivo com o nome informado ele será apagado. 

O botão Próximos 100, representado como uma seta para a direita na barra de 

ferramentas mostrará as últimas 100 mensagens selecionadas pelo filtro. Se não 

existirem mais mensagens, esta opção estará desabilitada. 

O botão Últimos 100, representado como uma seta para a esquerda na barra de 

ferramentas mostrará as 100 mensagens anteriores. Se não existirem 

mensagens anteriores, esta opção estará desabilitada. 

O botão Ajuda mostrará a janela de ajuda específica para a janela de eventos. 

16.2. Formato e significado dos campos das mensagens de eventos 

Abaixo segue a descrição do formato das mensagens, seguido de uma descrição de 

cada um de seus campos. A listagem completa de todas as possíveis mensagens e 

seus significados se encontra no apêndice A. 


[Complemento] 

[Mensagem complementar 1] 

[Mensagem complementar 2] 




Mensagem: Mensagem textual que relata o acontecimento. 

Complemento: Este campo traz informações complementares e pode ou não 

aparecer, dependendo da mensagem. Na interface texto, caso ele apareça, virá 

entre parênteses. 

Mensagem complementar 1 e 2: Estes complementos só existem no caso de 

mensagens relacionadas às conexões tratadas pelos proxies transparentes e nãotransparentes 

e são mostrados sempre na linha abaixo da mensagem a que se 

referem. Nestas mensagens complementares, se encontram o endereço origem da 

conexão e, no caso dos proxies transparentes, o endereço destino. 


A interface texto para o acesso aos eventos tem funcionalidade similar à da 

interface gráfica. Todas as funções da interface gráfica estão disponíveis, exceto a 

opção de filtragem de mensagens e o fato de que através da interface texto não tem 

acesso às informações complementares que são mostradas quando selecionada 

uma mensagem de eventos na interface gráfica ou quando se ativa a opção 

Expande mensagens. 


O programa que faz a interface texto com os eventos é o mesmo usado para a 

interface com o log e foi mostrado também no capítulo anterior. 

Localização do programa: /aker/bin/firewall/fwlog 

Sintaxe: 


fwlog apaga [log | eventos] [ ] 

fwlog mostra [log | eventos] [local | cluster] [ ] [prioridade] 


Uso: fwlog ajuda 

fwlog apaga [log | eventos] [ ] 

fwlog mostra [log | eventos] [local | cluster] [ ] [prioridade] 

fwlog - Interface texto para visualizar log e eventos 

mostra = lista o conteudo do log ou dos eventos. Ele pode mostra 

apenas o log local ou todo o log do cluster 

apaga = apaga todos os registro do log ou dos eventos 


Para mostra temos: data_inicio = data a partir da qual os registros serao mostrados 

data_fim = data ate onde mostrar os registros 

(As datas devem estar no formato dd/mm/aaaa 

(Se nao forem informadas as datas, mostra os registros de 

hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes 

valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO 

(Ao selecionar uma prioridade, somente serão listados 

registros cuja prioridade for igual a informada) 

Exemplo 1: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006) 

#fwlog mostra eventos 05/01/2006 06/01/2006 

06/01/2006 11:39:35 Sessao de administracao finalizada 

06/01/2006 09:13:09 Sessao de administracao estabelecida (administrador, CF CL 

GU) 

06/01/2006 09:13:09 Pedido de conexao de administracao (10.4.1.14) 

06/01/2006 09:09:49 Operacao sobre o arquivo de log (Compactar) 

05/01/2006 10:27:11 Aker Firewall v6.0 - Inicializacao completa 

05/01/2006 08:57:11 Tabela de conversão UDP cheia 


Exemplo 2: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006, apenas 

prioridade depuração) 

#fwlog mostra eventos 05/01/2006 06/01/2006 depuracao 

06/01/2006 09:09:49 Operacao sobre o arquivo de log (Compactar) 

05/01/2006 10:27:11 Aker Firewall v6.0 - Inicializacao completa 

Exemplo 3: (removendo todo o conteúdo do arquivo de eventos) 

#fwlog apaga eventos 21/01/2006 23/01/2006 

Remocao dos registros foi solicitada ao servidor de log 


Visualizando Estatísticas 


17. Visualizando Estatísticas 

Este capítulo mostrará sobre o que é a janela de estatística e suas características. 

O que é a janela de estatísticas do Aker Firewall? 

No Firewall, a estatística é um método de medir o tráfego de dados através de suas 

interfaces. Este tráfego é traduzido em números que mostram a quantidade de 

pacotes enviados ou recebidos, além do tamanho total de bytes trafegados. 

Utilizando-se destas informações, o administrador consegue verificar o fluxo de 

dados de seus serviços podendo, assim saber se o ambiente físico da rede precisa 

ser melhorado ou expandido. 

Outra utilização para este tipo de informação é a realização de bilhetagem da rede. 

Tendo-se conhecimento da quantidade de bytes que cada máquina transferiu na 

rede, calcula-se o quanto que cada uma deve ser taxada. 

Para realizar bilhetagem de rede, deve ser criado uma regra de filtragem com um 

acumulador diferente para cada máquina a ser taxada. Todos os acumuladores 

devem ter regras de estatísticas associados a eles. Estas regras são configuradas 

na janela de visualização de estatística. 

Como funcionam as estatísticas do Aker Firewall? 

O funcionamento das estatísticas do Aker Firewall é baseado em três etapas 

distintas: 

Criação de Acumuladores: 

Nesta etapa, cadastramos os acumuladores que serão associados a regras de 

filtragem. Eles servem apenas como totalizadores de uma ou mais regras de 

filtragem. Para maiores informações sobre a criação de acumuladores e sua 

associação com regras de filtragem, vejam os capítulos Cadastrando Entidades 

e O Filtro de Estados. 

Criação de regras de estatística: 

Após a criação dos acumuladores e sua associação com as regras de filtragem 

desejadas, devemos criar regras de estatística que definem os intervalos de 

coleta e quais acumuladores serão somados para gerar o valor da estatística em 

um dado momento. Esta etapa será explicada neste capítulo. 

Visualização das estatísticas: 


Após a criação das regras de estatísticas, podemos ver os valores associados a 

cada uma delas, exportá-los ou traçar gráficos. Esta etapa também será 

mostrada neste capítulo. 


Para ter acesso a janela de configuração de estatística deve-se: 

Figura 270. Janelas de eventos - Estatística. 

Clicar no menu Auditoria da janela do firewall que queira administrar. 

Selecionar o item Estatísticas. 


A janela de regras de estatística 

Figura 271. Regras de estatística. 

A janela de estatísticas contém todas as regras de estatística definidas no Aker 

Firewall. Cada regra será mostrada em uma linha separada, composta de diversas 

células. Caso uma regra esteja selecionada, ela será mostrada em uma cor 

diferente: 

O botão OK fará com que o conjunto de estatísticas seja atualizado e passe a 







A barra de rolagem do lado direito serve para visualizar as regras que não 


Cada regra de estatística é composta dos seguintes campos: 

Nome: Nome da estatística, utilizada para facilitar a sua referência. Deve possuir 

um nome único entre o conjunto de regras; 

Intervalo: Corresponde ao intervalo de tempo que fará a totalização da regra, ou 

seja, a soma dos valores de todos os acumuladores presentes na regra; 

Acumulador: Este campo define quais os acumuladores farão parte da regra; 

Hora: Esta tabela define as horas e dias da semana em que a regra é aplicável. 

As linhas representam os dias da semana e as colunas as horas. Caso queira 

que a regra seja aplicável em determinada hora o quadrado deve ser 

preenchido, caso contrário o quadrado deve ser deixado em branco. 

Para interagir com a janela de regras, utilize a barra de ferramentas localizada na 

parte superior da janela ou clicar com o botão direito sobre ela. 

Figura 272. Barra de ferramentas - Regras de estatística. 

Inserir: Permite a inclusão de uma nova regra na lista. 






Habilitar/Desabilitar: Ativar ou desativar a regra selecionada da lista. 

Visualização: Exibe a janela de visualização de estatísticas relativa a regra 

selecionada. 

Visualizando estatísticas 

Ao clicar no botão Visualização ou clicar duas vezes sobre uma regra de 

estatística, a seguinte janela será mostrada: 


Figura 273. Visualizar estatísticas. 

Nesta janela, os dados computados para a estatística selecionada serão mostrados 

em formato gráfico ou texto . Estas informações são relativas a data de 

início e fim especificadas na parte superior da janela. Para alterar esta data deve-se 

escolher os campos de Data, colocando as datas de início e de finalização da 

pesquisa. 

Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro refere a 

contabilização dos acumuladores da estatística em um determinado tempo. 

O botão Remover 

especificado. 

desta pasta irá remover o conjunto de registros com o tempo 


Gráfico: Representa os dados contidos na pasta Leitura em formato gráfico. O 

gráfico é gerado ao ser pressionado o botão na barra de ferramentas. 

Este gráfico também permite que o usuário selecione qual linha deve ser 

mostrada pressionando-se os rótulos dos mesmos. 

Figura 274. Visualizar estatísticas – Gráfico. 

Ao pressionar o botão de salvar estatísticas a janela abaixo irá aparecer de 

modo a escolher o nome do arquivo. Este arquivo é gravado no formato CSV que 

permite sua manipulação através de planilhas de cálculo. 


Figura 275. Exportar estatística. 

A barra de ferramentas da visualização das estatísticas 

A barra de ferramentas da visualização das estatísticas terá as seguintes funções: 

Figura 276. Barra de ferramentas: visualização das estatísticas. 

O botão salvar registros permite a exportação dos dados gerados 

pelos contadores; 

Este botão irá excluir os registros selecionados gerados pelos 

contadores; 

Este é o botão de navegação dos dados registrados pelos 

contadores e que estão sendo exibidos pelas estatísticas. 


A interface texto para o acesso às estatísticas tem funcionalidade similar à da 

interface gráfica. Todas as funções da interface gráfica estão disponíveis, exceto a 

opção de verificar os dados através de gráfico e de se verificar em quais regras os 

acumuladores de uma determinada estatística estão presentes. 


A tabela de horário é visualizada da seguinte forma: 

O símbolo “:” (dois pontos) informa que a regra é valida para os dois dias da 

semana que aparecem separados por / .Ex: Dom/Seg 

O símbolo “.” (ponto) informa que a regra so é válida para o dia da semana que 

segue o caractere / .Ex: Dom/Seg - Seg 

O símbolo “ ' ” (acento) informa que a regra so é válida para o dia da semana que 

antecede o caractere / .Ex: Dom/Seg - Dom 

Localização do programa: /aker/bin/firewall/fwstat 

Sintaxe: 

fwstat ajuda 

mostra [[-c] [ ]] 

inclui [ [acumulador2] ...] 

remove 

desabilita [ ] 

habilita [ ] 



Uso: fwstat ajuda mostra [[-c] [ ]] 

inclui [ [acumulador2] ...] 

remove 

desabilita [ ] 

habilita [ ] 


mostra = sem parametros, mostra as estatisticas cadastradas com, mostra os dados 

coletados para estatistica = nome da estatistica 

-c = resultado no formato CSV (comma separated value) (util para importar dados 

em planilhas eletronicas) datas = dadas limite para mostrar dados 

inclui = adiciona uma estatistica de nome "estatistica" 

remove = remove uma estatistica de nome "estatistica" 

periodo = periodo de captura dos dados (segundos) 

acumulador_ = nome das entidades acumulador para ler 

desabilita = desabilita uma estatistica 

habilita = habilita uma estatistica dia 

hora = se especificado (sempre ambos), habilita ou desabilita apenas para a hora 

especificada. 'dia' pertence a {dom, seg, ter, ...} e 'hora' a {0..23} 


Exemplo 1: (mostrando as estatísticas) 

#fwstat mostra 

Nome : estatistica1 (habilitada) 

---- 

Periodo : 17400 segundo(s) 

Acumuladores: a1 

Horario : 

Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 

------------------------------------------------------------------------------- 

Dom/Seg |: : : : : : : : : : : : : : : : 

Ter/Qua |: : : : : : : : : : : : : : : : 

Qui/Sex |: : : : : : : : : : : : : : : : 

Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' 

Nome : estatistica2 

(habilitada) 

---- 

Periodo : 100 segundo(s) 

Acumuladores: a1 a11 

Horario : 

Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 

------------------------------------------------------------------------------- 

Dom/Seg |: : : : : : : : : : : : : : : : : : : : : : : : 

Ter/Qua |: : : : : : : : : : : : : : : : : : : : : : : : 

Qui/Sex |: : : : : : : : : : : : : : : : : : : : : : : : 

Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' 

Exemplo 2: (mostrando a estatística do dia 28/10/2001 ao dia 29/10/2001) 

#fwstat mostra estatistica 28/10/2001 29/10/2001 

Dia Hora Enviados (bytes/pacotes) Recebidos (bytes/pacotes) 

----------------------------------------------------------------------- 

29/10/2001 17:24:54 320/1 321/1 

29/10/2001 17:23:14 652/6 654/6 

29/10/2001 17:21:34 234/2 980/9 

29/10/2001 17:19:54 324/3 650/6 

29/10/2001 17:18:14 325/3 150/1 

29/10/2001 17:16:34 985/9 240/2 

29/10/2001 17:14:54 842/8 840/8 

29/10/2001 17:13:14 357/3 289/2 

29/10/2001 16:58:14 786/7 261/2 


Visualizando e Removendo 

Conexões 


18. Visualizando e Removendo conexões 

Neste capítulo mostrará como visualizar e remover conexões TCP e sessões UDP 

em tempo real. 

O que são conexões ativas? 

Conexões ativas são conexões TCP ou sessões UDP que estão ativas através do 

firewall. Cada uma destas conexões foi validada através de uma regra do filtro de 

estados, acrescentada pelo administrador do sistema, ou por uma entrada na tabela 

de estados, acrescentada automaticamente pelo Aker Firewall. 

Para cada uma destas conexões, o firewall mantém diversas informações em suas 

tabelas de estado. Algumas destas informações são especialmente úteis para o 

administrador e podem ser visualizadas a qualquer momento através da janela de 

conexões ativas. Dentre estas informações, pode-se citar a hora exata do 

estabelecimento da conexão e o tempo em que ela se encontra parada, isto é, sem 

que nenhum pacote trafegue por ela. 


Para ter acesso a janela de conexões ativas deve-se: 


Figura 277. Janela de acesso - Conexões TCP. 

Clicar no menu Informação do firewall que queira visualizar. 

Selecionar Conexões TCP ou Conexões UDP. 

A janela de conexões ativas 

A janela de conexões ativas é onde são mostradas todas as conexões IPv4 e IPv6, 

que estão passando pelo firewall em um determinado instante. As janelas para os 

protocolos TCP e UDP são exatamente iguais, com a exceção do campo chamado 

Status que somente existe na janela de conexões TCP. 

Para simplificar o entendimento, fala-se de conexões TCP e UDP, entretanto, isto 

não é totalmente verdadeiro devido ao protocolo UDP ser um protocolo não 

orientado à conexão. Na verdade, quando se fala em conexões UDP refere-se às 

sessões onde existe tráfego nos dois sentidos. Cada sessão pode ser vista como 

um conjunto dos pacotes de requisição e de resposta que fluem através do firewall 

para um determinado serviço provido por uma determinada máquina e acessado por 

outra. 

Essa janela é composta de quatro pastas: nas duas primeiras são mostradas 

uma lista com as conexões ativas tanto IPv4 como IPv6 e as duas últimas permitem 


visualizar gráficos em tempo real das máquinas e serviços mais acessados, das 

conexões IPv4e IPv6. 

Pasta de conexões IPv4 

Figura 278. Conexões TCP – Conexões IPv4. 


Pasta de conexões IPV6 

Figura 279. Conexões TCP – Conexões IPv6. 

As pastas, conexão IPv4 e conexão IPv6, consistem de uma lista com uma entrada 

para cada conexão ativa. Na parte inferior da janela é mostrada uma mensagem 

informando o número total de conexões ativas em um determinado instante. As 

velocidades, total e média, são exibidas na parte inferior da janela. 

O botão OK faz com que a janela de conexões ativas seja fechada. 

Caixa Filtro exibe as opções de filtragem sendo possível selecionar os 

endereços origem ou destino e/ou portas para serem exibidos na janela. 

A opção Mostrar itens selecionados no topo coloca as conexões selecionadas 

no topo da janela para melhor visualização. 

A opção Remover, que aparece ao clicar com o botão direito sobre uma 

conexão, permite remover uma conexão. 


Ao remover uma conexão TCP, o firewall envia pacotes de reset para as 

máquinas participantes da conexão, efetivamente derrubando-a, e remove a entrada 

de sua tabela de estados. No caso de conexões UDP, o firewall simplesmente 

remove a entrada de sua tabela de estados, fazendo com que não sejam mais 

aceitos pacotes para a conexão removida. 

Figura 280. Barra de ferramentas: conexões TCP. 

Todas as alterações efetuadas na barra de ferramentas, quando a opção conexão 

ipv4 ou a opção gráfico ipv4, estiverem selecionadas, também serão realizados nas 

opções, conexão ipv6 ou gráfico ipv6, e assim respectivamente. 

O botão Atualizar, localizado na barra de ferramentas faz com que as 

informações mostradas sejam atualizadas periodicamente de forma automática 

ou não. Ao clicar sobre ele permite alternar entre os dois modos de operação. O 

intervalo de atualização pode ser configurado mudando o valor logo à direita 

deste campo. 

O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes 

(DNS) para resolver os nomes das máquinas cujos endereços IP's aparecem 

listados. Cabe ser observado, os seguintes pontos: 

1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, a 

tradução dos nomes é feita em segundo plano. 

2. Muitas vezes, devido aos problemas de configuração do DNS reverso 

(que é o utilizado para resolver nomes a partir de endereços IP), não será 

possível a resolução de certos endereços. Neste caso, os endereços não 

resolvidos serão mantidos na forma original e será indicado ao seu lado 

que eles não possuem DNS reverso configurado. 

A opção Desabilitar gráficos desabilita o desenho do gráfico de conexões, 

sendo indicada para máquinas especialmente lentas. 

A opção Mostrar velocidade das conexões, se ativa, faz com que a interface 

calcule e mostre a velocidade de cada conexão em bits/s. 

É possível ordenar a lista das conexões por qualquer um de seus campos, 

bastanto para isso clicar no título do campo. O primeiro click produzirá uma 

ordenação ascendente e o segundo uma ordenação descendente. 

Pasta Gráfico de Conexões IPv4 e IPv6 

As pastas, gráfico IPv4 e gráfico IPv6, consistem de dois gráficos: o gráfico superior 

mostram os serviços mais utilizados e o gráfico inferior mostram as máquinas que 


mais acessam serviços ou que mais são acessadas. No lado direito existe uma 

legenda mostrando qual máquina ou serviço correspondem a qual cor do gráfico. 

Figura 281. Conexões TCP – Gráfico de conexões IPv4. 

O intervalo de tempo no qual o gráfico é atualizado é o mesmo configurado na 

pasta de conexões. 

Significado dos campos de uma conexão ativa IPv6 e IPv4 

Cada linha presente na lista de conexões ativas representa uma conexão. O 

significado de seus campos é mostrado a seguir: 

IP origem: Endereço IP da máquina que iniciou a conexão. 

Porta origem: Porta usada pela máquina de origem para estabelecer a conexão. 


IP destino: Endereço IP da máquina para a qual a conexão foi efetuada. 

Porta destino: Porta para qual a conexão foi estabelecida. Esta porta normalmente 

está associada a um serviço específico. 

Início: Hora de abertura da conexão. 

Inativo: Número de minutos e segundos de inatividade da conexão. 

Estado Atual: Este campo só aparece no caso de conexões TCP. Ele representa o 

estado da conexão no instante mostrado e pode assumir um dos seguintes valores: 

SYN Enviado: Indica que o pacote de abertura de conexão (pacote com flag de 

SYN) foi enviado, porém a máquina servidora ainda não respondeu. 

SYN Trocados: Indica que o pacote de abertura de conexão foi enviado e a 

máquina servidora respondeu com a confirmação de conexão em andamento. 

Estabelecida: Indica que a conexão está estabelecida. 

Escutando Porta: Indica que a máquina servidora está escutando na porta 

indicada, aguardando uma conexão a partir da máquina cliente. Isto só ocorre no 

caso de conexões de dados FTP. 

Bytes Enviados/Recebidos: Estes campos só aparecem no caso de conexões 

TCP, e indicam o número de bytes trafegados por esta conexão em cada um dos 

dois sentidos. 

Pacotes Enviados/Recebidos: Estes campos só aparecem no caso de conexões 

TCP, e indicam o número de pacotes IP trafegados por esta conexão em cada um 

dos dois sentidos. 


A interface texto para acesso à lista de conexões ativas possui as mesmas 

capacidades da interface gráfica. O mesmo programa trata as conexões TCP e 

UDP. 

Localização do programa: /aker/bin/firewall/fwlist 

Sintaxe: 

Uso: fwlist ajuda 

fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes] 

fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino 

fwlist remove sessao IP_origem 



fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas 






mostra = lista as conexoes ou sessoes ativas 

remove = remove uma conexao ou sessao ativa 

Exemplo 1: (listando as conexões ativas TCP) 

#fwlist mostra TCP 

Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado 

------------------------------------------------------------------------------- 

10.4.1.196:1067 10.4.1.11:23 15:35:19 00:00 Estabelecida 

10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida 

Exemplo 2: (listando as conexões ativas UDP) 

#fwlist mostra UDP 

Origem (IP:porta) Destino (IP:porta) Inicio Inativo 

----------------------------------------------------------- 

10.4.1.1:1099 10.4.1.11:53 15:35:19 00:00 

10.4.1.18:1182 10.5.2.1:111 15:36:20 00:10 

Exemplo 3: (removendo uma conexão TCP e listando as conexões) 

#fwlist remove tcp 10.4.1.196 1067 10.4.1.11 23 

#fwlist mostra TCP 

Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado 

------------------------------------------------------------------------------- 

10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida 


Utilizando o Gerador de 

Relatórios 


19. Utilizando o Gerador de Relatórios 

Este capítulo mostrará para que serve e como configurar os Relatórios no Aker 

Firewall. 

Visando disponibilizar informações a partir de dados presentes nos registros de log 

e eventos, bem como apresentar uma visão sumarizada dos acontecimentos para a 

gerência do Firewall, foi desenvolvida mais esta ferramenta. Neste contexto 

trataremos dos relatórios que nutrirão as informações gerenciais. 

Os relatórios são gerados nos formatos HTML, TXT ou PDF, publicados via FTP em 

até três sites distintos ou enviados através de e-mail para até três destinatários 

distintos. Podem ser agendados das seguintes formas: "Diário", "Semanal", 

"Quinzenal", "Mensal", "Específico" e também em tempo real de execução. 

19.1. Acessando Relatórios 

Para ter acesso à janela de Relatórios deve-se: 

Figura 282. Janela de acesso - Relatório. 


Clicar no menu Auditoria da janela de administração do firewall. 

Selecionar o item Relatório. 

19.2. Configurando os Relatórios 

Figura 283. Configurando relatório - Diário. 

Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal", "Mensal", 

"Quinzenal", "Específico" e em tempo real. Em todos será necessário escolher quais 

sub-relatórios serão incluídos. 

Para executar qualquer relatório, deve-se clicar com o botão direito do mouse sobre 

ele. Aparecerá o seguinte menu: (este menu será acionado sempre que for 

pressionado o botão direito, mesmo que não exista nenhum relatório selecionado. 

Neste caso, somente as opção Inserir estará habilitada); inclusive podendo ser 

executada a partir da barra de ferramentas. 

Inserir: Esta opção permite incluir um novo relatório. 

Ao tentar inserir um novo relatório constará três abas: 

Aba geral 

Nesta aba serão configurados os seguintes campos: 


Figura 284. Configuração do relatório - geral. 

Título do Relatório: Atribuir nome ao relatório. 

Agendamento: Definir hora que será gerado o relatório. 

Formato do Relatório: Define em qual formato será gerado o relatório. As 

opções de formato são: 

TXT: Ao selecionar esta opção é gerado um arquivo chamado report.txt 

que contém o relatório. 

HTML: Ao selecionar esta opção é gerado um arquivo chamado 

index.html que contém o relatório. 

PDF: Ao selecionar esta opção é gerado um arquivo chamado report.pdf 

que contém o relatório. 

Em ambos os casos, o navegador será aberto automaticamente, exibindo o 

conteúdo do arquivo correspondente ao relatório. 

Aba Sub-relatório 


Um sub-relatório é oferecido para que os níveis de detalhamento possam ser 

evidenciados e a informação que compõe o relatório seja mais objetiva. 

Figura 285. Configuração do relatório – sub-relatório. 

Esta aba é composta por duas colunas, onde será necessário indicar filtros para 

ambas. 

Na coluna de "Sub-relatório" deverá ser incluído qual tipo de sub-relatório e como 

será agrupado, por exemplo: "Não agrupar", "Quota", "Usuário". Esta opção varia 

conforme o tipo de sub-relatório selecionado. É possível definir relacionamentos 

com lógica "E" ou "OU" e um limite para TOP. 

Na coluna de "Filtros" haverá mais uma possibilidade de filtro de acordo com o tipo 

de dado. 


Métodos de Publicação 

Método FTP 

Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os 

relatórios via ftp. 

Como utilizar: 

Selecione o(s) servidor (es); 

Digite o usuário; 

Digite a senha de acesso; 

Digite o caminho de destino do relatório. 

Figura 286. Configuração do relatório – método de publicação. 


Método SMTP 

Nesta aba o usuário poderá indicar até três destinatários, para onde serão enviados 

os relatórios através de e-mail. 


Digite o endereço do remetente ("De"); 

Digite o endereço do destinatário ("Para"); 

Digite o "Assunto"; 

Caso deseje é possível incluir uma mensagem, no campo "Mensagem". 

Figura 287. Configuração do relatório – método de SMTP. 


Método Tempo Real 

Esta opção permite a geração de relatório em tempo real, ou seja, o administrador 

do firewall pode gerar relatórios no momento em que desejar. O produto continuará 

funcionando normalmente. Quando o relatório estiver pronto, salve-o em um 

diretório conforme desejado, logo em seguida será exibido uma janela mostrando o 

relatório. 

19.3. Lista dos Relatórios disponíveis 

Abaixo segue os tipos de relatórios possíveis de serem gerados: 

1. Quantidade de acessos web por usuários do autenticador; 

2. Quantidade de acessos web por grupos do autenticador; 

3. Quantidade de acessos web por perfis de acesso; 

4. Quantidade de acessos web por endereço IP origem; 

5. Quantidade de acessos web por endereço IP destino; 

6. Quantidade de acessos TCP e UDP (cada serviço) por grupos do 

autenticador; 

7. Quantidade de acesso por páginas Web (domínio), com possibilidade de 

seleção das N páginas mais acessadas; 

8. Quantidade de acesso por páginas Web (domínio), com possibilidade de 

seleção das N páginas mais acessadas por grupos do autenticador; 

9. Quantidade de acesso, relacionando conjunto de usuários e respectivas 

páginas web mais acessadas; 

10. Quantidade de acessos bloqueados por usuários, com possibilidade de 

seleção dos N usuários com maior número de requisições a páginas 

proibidas; 

11. Quantidade de downloads realizados (HTTP e FTP), com possibilidade de 

seleção dos N arquivos mais baixados; 

12. Volume de tráfego (kbps ou Mbps) processado pelo Firewall, em médias de 

períodos de cinco minutos; 

13. Categoria dos sites; 

14. Downloads; 

15. Sites bloqueados; 

16. Categorias bloqueadas; 

17. Downloads bloqueados; 

18. IPs web; 

19. IPs web bloqueados; 

20. IPs destino; 

21. IPs destino bloqueados; 

22. IPs e Serviços; 

23. IPs e Serviços bloqueados; 

24. Serviços; 

25. Serviços bloqueados; 

26. Tráfego que entrou; 

27. Tráfego que saiu; 


28. Destinatários de e-mails entregues; 

29. Destinatários de e-mails rejeitados; 

30. Endereço IP de e-mails entregues; 

31. Endereço IP de e-mails rejeitados; 

32. Domínios dos destinatários de e-mails entregues; 

33. Domínios dos destinatários de e-mails bloqueados; 

34. Quota - consumo de bytes; 

35. Quota - consumo de tempo; 

36. MSN - duração do chat; 

37. MSN – chat log; 

38. Contabilidade de tráfego web - upload consumido; 

39. Contabilidade de tráfego web - download consumido; 

40. Contabilidade de tráfego web - tempo consumido; 

41. Contabilidade de tráfego de downloads - upload consumido; 

42. Contabilidade de tráfego de downloads - download consumido; 

43. Contabilidade de tráfego de downloads - tempo consumido; 

44. Contabilidade de tráfego de FTP - upload consumido; 

45. Contabilidade de tráfego de FTP - download consumido; 

46. Usuários que acessaram um site; 

47. Usuários que foram bloqueados tentando acessar um site. 


Exportação Agendada de Logs 

e Eventos 


20. Exportação Agendada de Logs e Eventos 

Este capítulo mostrará como configurar a Exportação Agendada de Logs e Eventos. 

Os registros de Logs e/ou Eventos são exportados nos formatos TXT ou CSV, 

publicados via FTP em até três sites distintos ou localmente em uma pasta do 

próprio Firewall. Podem ser agendados das seguintes formas: "Diário", "Semanal" 

e/ou “Mensal”. 

20.1. Acessando a Exportação Agendada de Logs e Eventos 

Para ter acesso à janela de Exportação Agendada de Logs e Eventos deve-se: 

Figura 288. Janela de acesso - Exportação Agendada de Logs e Eventos.. 

Clicar no menu Auditoria da janela de administração do Aker Firewall; 

Selecionar o item Exportação Agendada de Logs e Eventos. 


20.2. Configurando a Exportação Agendada de Logs e Eventos 

Figura 289. Exportação Agendada de Logs e Eventos - diário. 

Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal" e 

"Mensal". 

Para executar qualquer exportação, deve-se clicar com o botão direito do mouse 

sobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre que for 

pressionado o botão direito, mesmo que não exista nenhum relatório selecionado. 

Neste caso, somente as opção Inserir estará habilitada); inclusive podendo ser 

executada a partir da barra de ferramentas. 

Inserir: Esta opção permite incluir um novo relatório. 

Ao tentar inserir um novo relatório constará duas abas: 

Aba Geral 

Nesta aba serão configurados os seguintes campos: 


Figura 290. Configuração da Exportação Agendada de Logs e Eventos - geral. 

Título: Atribuir nome a exportação. 

Formato do Relatório: Define em qual formato será gerado o relatório. As 

opções de formato são: 

TXT; 

CSV. 

Tipo: Define qual informação será exportada: 

Logs; 

Eventos. 

Agendamento: Definir hora que será realizada a exportação. 


Aba Método de Publicação 

FTP: 

Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os 

dados via ftp. 


Selecione o(s) servidor (es); 

Digite o usuário; 

Digite a senha de acesso; 

Digite o caminho de destino do relatório 

Figura 291. Configuração da Exportação Agendada de Logs e Eventos – método de publicação. 


Local: 

Nesta aba, o usuário poderá indicar em qual pasta local do Aker Firewall deseja 

salvar os dados exportados. 

Figura 292. Configuração da Exportação Agendada de Logs e Eventos – tipo de publicação. 


Trabalhando com proxies 


21. Trabalhando com Proxies 

Neste capítulo mostrará toda a base de conhecimento necessária, para entender o 

funcionamento dos proxies do Aker Firewall. Os detalhes específicos de cada proxy 

serão mostrados nos próximos capítulos. 


O que são proxies? 

Proxies são programas especializados que geralmente rodam em firewalls e que 

servem como ponte entre a rede interna de uma organização e os servidores 

externos. Seu funcionamento é simples: eles ficam esperando por uma requisição 

da rede interna, repassam esta requisição para o servidor remoto na rede externa, e 

devolvem sua resposta de volta para o cliente interno. 

Na maioria das vezes os proxies são utilizados por todos os clientes de uma subrede 

e devido a sua posição estratégica, normalmente eles implementam um 

sistema de cache para alguns serviços. Além disso, como os proxies trabalham com 

dados das aplicações, para cada serviço é necessário um proxy diferente. 

Proxies tradicionais 

Para que uma máquina cliente possa utilizar os serviços de um proxy é necessário 

que a mesma saiba de sua existência, isto é, que ela saiba que ao invés de 

estabelecer uma conexão com o servidor remoto, ela deve estabelecer a conexão 

com o proxy e repassar sua solicitação ao mesmo. 

Existem alguns clientes que já possuem suporte para proxies embutidos neles 

próprios (como exemplo de clientes deste tipo, pode-se citar a maioria dos browsers 

existentes atualmente). Neste caso, para utilizar as funções de proxy, basta 

configurá-los para tal. A grande maioria dos clientes, entretanto, não está preparada 

para trabalhar desta forma. A única solução possível neste caso, é alterar a pilha 

TCP/IP em todas as máquinas clientes de modo a fazer com que transparentemente 

as conexões sejam repassadas para os proxies. 

Esta abordagem traz inúmeras dificuldades, já que além de ser extremamente 

trabalhoso alterar todas as máquinas clientes, muitas vezes não existe forma de 

alterar a implementação TCP/IP de determinadas plataformas, fazendo com que 

clientes nestas plataformas não possam utilizar os proxies. 

Um outro problema dos proxies tradicionais, é que eles só podem ser utilizados para 

acessos de dentro para fora (não pode solicitar para que clientes externos repassem 

suas solicitações para o seu proxy para que este repasse para seu servidor interno). 


A figura abaixo ilustra o funcionamento básico de um proxy tradicional: 

Proxies transparentes 

Figura 293. Funcionamento básico de um Proxy tradicional. 

O Aker Firewall introduz um novo conceito de firewall com a utilização de proxies 

transparentes. Estes proxies transparentes são capazes de serem utilizados sem 

nenhuma alteração nas máquinas clientes e nas máquinas servidoras, 

simplesmente porque nenhuma delas sabe de sua existência. 

Seu funcionamento é simples, todas as vezes que o firewall decide que uma 

determinada conexão deve ser tratada por um proxy transparente, esta conexão é 

desviada para o proxy em questão. Ao receber a conexão, o proxy abre uma nova 

conexão para o servidor remoto e repassa as requisições do cliente para este 

servidor. 

A grande vantagem desta forma de trabalho, é que torna possível oferecer uma 

segurança adicional para certos serviços sem perda da flexibilidade e sem a 

necessidade de alteração de nenhuma máquina cliente ou servidora. Além disso, é 

possível utilizar proxies transparentes em requisições de dentro para fora e de fora 

para dentro, indiferentemente. 


Proxies transparentes e contextos 

Figura 294. Funcionamento básico de um Proxy trasparênte. 

O Aker Firewall introduz uma novidade com relação aos proxies transparentes: os 

contextos. Para entendê-los, vamos inicialmente analisar uma topologia de rede 

onde sua existência é necessária. 

Suponha que exista um Aker Firewall conectado a três redes distintas, chamadas de 

redes A, B e C, e que as redes A e B sejam redes de dois departamentos de uma 

mesma empresa e a rede C a Internet. Suponha ainda que na rede A exista um 

servidor SMTP que seja utilizado também pela rede B para enviar e receber correio 

eletrônico. Isto está ilustrado no desenho abaixo: 


Figura 295. Proxie transparentes e contextos. 

Suponha agora que queira configurar o firewall para desviar todas as conexões 

SMTP para o proxy SMTP, de modo a assegurar uma maior proteção e um maior 

controle sobre este tráfego. 

É importante que exista um meio de tratar diferentemente as conexões para A com 

origem em B e C: a rede B utilizará o servidor SMTP de A como relay ao enviar seus 

e-mails, entretanto este mesmo comportamento não deve ser permitido a partir da 

rede C. Pode-se também querer limitar o tamanho máximo das mensagens 

originadas na rede C, para evitar ataques de negação de serviço baseados em falta 

de espaço em disco, sem ao mesmo tempo querer limitar também o tamanho das 

mensagens originadas na rede B. 

Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos. 

Contextos nada mais são que configurações diferenciadas para os proxies 

transparentes de modo a possibilitar comportamentos diferentes para conexões 

distintas. 

No exemplo acima, poderia criar dois contextos: um para ser usado em conexões de 

B para A e outro de C para A. 

Os proxies do Aker Firewall 

O Aker Firewall implementa proxies transparentes para os serviços FTP, Telnet, 

SMTP, POP3, HTTP, HTTPS, RPC, DCE-RPC, SIP, H323, MSN e proxies não 

transparentes para os serviços acessados através de um browser WWW (FTP, 

Gopher, HTTP e HTTPS) e para clientes que suportem o protocolo SOCKS. Para 

utilizar os proxies não transparentes é necessário um cliente que possa ser 

configurado para tal. Dentre os clientes que suportam este tipo de configuração, 

pode-se citar o Mozilla Firefox (Tm) e o Internet Explorer (Tm) . 

Os proxies transparentes podem ser utilizados tanto para controlar acessos 

externos às redes internas quanto acessos de dentro para fora. Os proxies não 

transparentes somente podem ser usados de dentro para fora. 

O Aker Firewall permite ainda implementar Proxies criados pelo usuário que são 

proxies criados por terceiros utilizando a API de desenvolvimento que a Aker 

Security Solutions provê. O objetivo é possibilitar que instituições que possuam 

protocolos específicos possam criar suporte no firewall para estes protocolos. 

Os autenticadores do Aker Firewall 

Os proxies SOCKS, Telnet e WWW do Aker Firewall suportam autenticação de 

usuários, isto é, podem ser configurados para só permitir que uma determinada 

sessão seja estabelecida caso o usuário se identifique para o firewall, através de um 

nome e uma senha, e este tenha permissão para iniciar a sessão desejada. 


O grande problema que surge neste tipo de autenticação é como o firewall irá 

validar os nomes e as senhas recebidas. Alguns produtos exigem que todos os 

usuários sejam cadastrados em uma base de dados do próprio firewall ou que 

sejam usuários válidos da máquina que o firewall estiver rodando. Ambos os 

métodos possuem o grande inconveniente de não aproveitar a base de usuários 

normalmente presente em uma rede local. 

No Aker Firewall, optou-se por uma solução mais versátil e simples de ser 

implantada: ao invés de exigir um cadastramento de usuários no firewall, estes são 

validados nos próprios servidores da rede local, sejam estes Unix ou Windows 

Server tm . 

Para que seja possível ao firewall saber em quais máquinas ele deve autenticar os 

usuários, e também para possibilitar uma comunicação segura com estas máquinas, 

foi criado o conceito de autenticadores. Autenticadoras são máquinas Unix ou 

Windows Server tm , que rodam um pequeno programa chamado de Agente de 

autenticação. Este programa é distribuído como parte do Firewall Aker e tem como 

função básica servir de interface entre o firewall e a base de dados remota. 

Para que o Aker Firewall utilize uma base de dados em um servidor remoto, deve-se 

efetuar os seguintes procedimentos: 

1. Instalar e configurar o agente de autenticação na máquina onde reside a 

base de dados de usuários (este procedimento será descrito nos tópicos 

intitulados Instalando o agente de autenticação no Unix e Instalando o 

agente de autenticação no Windows Server tm ). 

2. Cadastrar uma entidade do tipo autenticador com o endereço da máquina 

onde o agente foi instalado e com a senha de acesso correta (para maiores 

informações de como cadastrar entidades, veja o capítulo intitulado 

Cadastrando Entidades). 

3. Indicar para o firewall que ele deve utilizar o autenticador cadastrado no 

passo 2 para realizar a autenticação de usuários (este procedimento será 

descrito no capítulo intitulado Configurando parâmetros de autenticação). 

O Aker Firewall 6.1 é incompatível com versões anteriores à 4.0 dos agentes de 

autenticação. Caso tenha feito upgrade de uma versão anterior e esteja utilizando 

autenticação, é necessário reinstalar os autenticadores. 

É possível também realizar autententicações através dos protocolos LDAP e 

RADIUS. Neste caso, não existe a necessidade de instalação dos autenticadores 

nas máquinas servidoras, bastando-se criar os autenticadores dos tipos 

correspondentes e indicar ao firewall que eles devem ser utilizados, de acordo com 

os passos 2 e 3 listados acima. 


21.2. Instalando o agente de autenticação em plataformas Unix 

Para instalar o agente de autenticação é necessário efetuar o download do Agente 

de autenticação adequado ao seu sistema no site da Aker (http://www.aker.com.br), 

após o download descompacte o arquivo e execute o seguinte comando: 

#/ ./aginst 

O símbolo # representa o prompt do shell quando executado como root, ele não 

deve ser digitado como parte do comando. 

O programa de instalação copiará o executável do agente (fwagaut) para o diretório 

/usr/local/bin e copiará um modelo do arquivo de configuração (fwagaut.cfg) para o 

diretório /etc/. Após a instalação, é necessário personalizar este arquivo, como 

descrito na próxima seção. 

Caso tenha respondido "Sim" quando o programa de instalação perguntou se o 

agente deveria ser iniciado automaticamente, uma chamada será criada em um 

arquivo de inicialização da máquina de modo a carregar automaticamente o agente. 

O nome deste arquivo de inicialização é dependente da versão de Unix utilizada. 

A sintaxe do arquivo de configuração do agente de autenticação 

Após instalar o agente de autenticação é necessário criar um arquivo de 

configuração com o endereço dos firewalls que poderão utilizá-lo e a senha de 

acesso de cada um. Este arquivo é em formato texto e pode ser criado por qualquer 

editor. 

O arquivo de configuração do agente de autenticação deve ter seus direitos 

configurados de forma que só o usuário root possa ler ou alterar seu conteúdo. Para 

fazer isso, pode-se usar o comando chmod, com a seguinte sintaxe: # chmod 600 

nome_do_arquivo. 

A sua sintaxe é a seguinte: 

Cada linha deve conter o endereço IP de um Aker Firewall que irá utilizar o 

agente, um ou mais espaços em branco ou caracteres tab e a senha de acesso 

que o firewall irá utilizar para a comunicação. 

Linhas começadas pelo caractere #, bem como linhas em branco, são ignoradas. 

Um exemplo de um possível arquivo de configuração é mostrado a seguir: 

# Arquivo de configuracao do agente de autenticacao do Firewall Aker 6.1 

# 

# Sintaxe: Endereco IP do Firewall e senha de acesso (em cada linha) 

# 


# Obs: A senha não pode conter espaços e deve ter até 31 caracteres 

# 

# Linhas começadas pelo caractere '#' sao consideradas comentários 

# Linhas em branco são permitidas 

10.0.0.1 teste_de_senha 

10.2.2.2 123senha321 

O local padrão para o arquivo de configuração do agente é /etc/fwagaut.cfg, 

entretanto é possível criá-lo com qualquer outro nome ou em outro diretório, desde 

que seja informado isso ao agente no momento de sua execução. Isto será 

mostrado no tópico abaixo. 

Sintaxe de execução do agente de autenticação 

O agente de autenticação para Unix possui a seguinte sintaxe de execução: 

fwagaut [-?] [-c NOME_ARQUIVO] [-s ] [-q] 

Onde: 

-? Mostra esta mensagem retorna ao prompt do shell 

-c Especifica o nome de um arquivo de configuracao alternativo 

-s Especifica a fila do syslog para onde devem ser enviadas as 

mensagens do autenticador. 0 = local0, 1 = local1, ... 

-r Aceita validacao do usuario root 

-e Aceita usuarios com senhas em branco 

-q Nao mostra mensagem na hora da entrada 

Suponha que o agente esteja localizado no diretório /usr/local/bin e que se tenha 

criado o arquivo de configuração com o nome /usr/local/etc/fwagaut.cfg. Neste caso, 

para executar o agente, a linha de comando seria: 

/usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg 

Caso queira executar o agente com o arquivo de configuração no local padrão, não 

é necessário a utilização da opção -c , bastando simplesmente executá-lo com o 

comando: 

/usr/local/bin/fwagaut 

O agente de autenticação deve ser executado pelo o usuário root 

Quando for feito alguma alteração no arquivo de configuração é necessário informar 

isso ao agente, se ele estiver rodando. Para tal, deve-se executar o seguinte 

comando: 

#kill -1 pid 


Onde pid é o número do processo do agente de autenticação. Para ser obtido este 

número, pode-se executar o comando. 

#ps -ax | grep fwagaut , em máquinas baseadas em Unix BSD, ou 

#ps -ef | grep fwagaut, em máquinas baseadas em Unix System V. 

O agente de autenticação escuta requisições na porta 1021/TCP. Não pode 

existir nenhuma outra aplicação utilizando esta porta enquanto o agente estiver 

ativo. 

21.3. Instalando o agente de autenticação em Windows Server tm 

A instalação do agente de autenticação para Windows Server tm é bastante simples. 

Efetue o download do Agente de Autenticação adequado ao seu sistema no site da 

Aker (http://www.aker.com.br), Para instalá-lo, clique duas vezes no arquivo salvo. 

O programa inicialmente mostrará uma janela pedindo uma confirmação para 

prosseguir com a instalação. Deve-se responder Sim para continuar com a 

instalação. A seguir será mostrada uma janela com a licença e por fim a janela onde 

pode especificar o diretório de instalação. Essa janela possui o formato mostrado 

abaixo: 

Figura 296. Instalação do agente de autenticação do Windows Server – pasta de destino. 


Após selecionar o diretório de instalação, deve-se pressionar o botão Copiar 

arquivos, que realizará toda a instalação do agente. Esta instalação consiste na 

criação de um diretório chamado de fwntaa, dentro do diretório Arquivos de 

Programas, com os arquivos do agente, a criação de um grupo chamado de 

Firewall Aker com as opções de configuração e remoção do agente e a criação de 

um serviço chamado de Agente de autenticação do Aker Firewall. Este serviço é 

um serviço normal do Windows Server tm e pode ser interrompido ou iniciado através 

do Painel de Controle, no ícone serviços. 

O agente de autenticação escuta requisições nas portas 1016/TCP e 1021/TCP. 

Não pode existir nenhuma outra aplicação utilizando estas portas enquanto o agente 

estiver ativo. 

21.4. Configuração do agente de autenticação para Windows Server tm 

Após realizada a instalação do agente, é necessário proceder com a sua 

configuração. Esta configuração permite fazer o cadastramento de todos os 

firewalls que irão utilizá-lo, bem como a definição de quais mensagens serão 

produzidas pelo agente, durante seu funcionamento. Ao contrário do agente de 

autenticação para Unix, esta configuração é feita através de um programa separado. 

Para ter acesso ao programa de configuração, deve-se clicar no menu Iniciar, 

selecionar o grupo Firewall Aker e dentro deste grupo a opção Configurar agente de 

autenticação. Ao ser feito isso, será mostrada a janela de configuração do agente, 

que está distribuída em três pastas: 

Pasta de configuração dos firewalls 


Figura 297. Agente de autenticação - Aker. 

Esta pasta consiste em todas as opções de configuração do agente. Na parte 

superior existem dois botões que permitem testar a autenticação de um determinado 

usuário, a fim de verificar se o agente está funcionando corretamente. Na parte 

inferior da pasta existe uma lista com os firewalls autorizados a se conectarem ao 

agente de autenticação. 

Para incluir um novo firewall na lista, basta clicar no botão Incluir, localizado na 

barra de ferramentas. Para remover ou editar um firewall, basta selecionar o firewall 

a ser removido ou editado e clicar na opção correspondente da barra de 

ferramentas. 

No caso das opções Incluir ou Editar será mostrada a seguinte janela: 


Figura 298. Agente de autenticação – Firewall Aker. 

IP: É o endereço IP do firewall que se conectará ao agente. 

Descrição: É um campo livre, utilizado apenas para fins de documentação. 


usadas na comunicação com o firewall. Esta senha deve ser igual à configurada 

na entidade do firewall. Para maiores informações, veja o capítulo intitulado 

Cadastrando Entidades. 

Confirmação: Este campo é utilizado apenas para verificar se a senha foi 

digitada corretamente. Deve-se digitá-la exatamente como no campo Senha. 

Autenticação de usuários suportada: Esse campo indica quais formas de 

autenticação de usuários serão permitidas. Ela consiste de duas opções que 

podem ser selecionadas independentemente: 

Domínio Windows NT/2000: Se essa opção estiver marcada, o agente realizará 

autenticação de usuários utilizando a base de usuários do Windows NT/2000. 

SecurID ACE/Server: Se essa opção estiver marcada, o agente realizará 

autenticação de usuários consultando o servidor SecurID. 

Pasta de log 


Figura 299. Agente de autenticação - Log. 

Esta pasta é muito útil para acompanhar o funcionamento do agente de 

autenticação. Ela consiste de uma lista com diversas mensagens ordenadas pela 

hora. Ao lado de cada mensagem existe um ícone colorido, simbolizando sua 

prioridade. As cores têm o seguinte significado: 

Verde 

Azul 

Amarelo 

Vermelho 

Preto 

Depuração 

Informação 

Notícia 

Advertência 

Erro 

Caso não queira que uma determinada prioridade de mensagens seja gerada, basta 

desmarcar a opção a sua esquerda. 

A opção Usar visualizador de eventos, se estiver marcada, faz com que as 

mensagens sejam enviadas para o visualizador de eventos do Windows. 


Pasta de sobre 

Figura 300. Agente de autenticação - Sobre. 

Esta é uma pasta meramente informativa e serve para obter algumas informações 

do cliente. Dentre as informações úteis se encontram sua versão e release. 

Remoção do agente de autenticação para Windows Server tm 

Para facilitar a remoção do agente de autenticação para NT, existe um utilitário que 

a realiza automaticamente. Para iniciá-lo, deve-se clicar no menu Iniciar, selecionar 

o grupo Firewall Aker e dentro deste grupo a opção Remover agente de 

autenticação. Ao ser feito isso, será mostrada uma janela de confirmação. 

Caso deseje desinstalar o agente, deve-se clicar no botão Sim, caso contrário, 

deve-se clicar no botão Não, que cancelará o processo de remoção. 


Configurando parâmetros de 

autenticação 


22. Configurando parâmetros de autenticação 

Este capítulo mostrará quais são e como devem ser configurados os parâmetros de 

autenticação, essenciais para que seja possível a autenticação de usuários pelo 

firewall. 

O que são os parâmetros de autenticação? 

Os parâmetros de autenticação servem para informar ao firewall quais as formas de 

autenticação que são permitidas, quais autenticadores devem ser pesquisados na 

hora de autenticar um determinado usuário e em qual ordem. Além disso, eles 

controlam a forma com que a pesquisa é feita, permitindo uma maior ou menor 

flexibilidade para as autenticações. 


Para ter acesso a janela de parâmetros de autenticação deve-se: 

Figura 301. Janela de acesso - Autenticação. 


Clicar no menu Configuração do Firewall da janela Firewalls. 

Selecionar o item Autenticação. 

Essa janela consiste de cinco partes distintas: a primeira aba corresponde ao 

Controle de Acesso onde os usuários e grupos de autenticadores são associados 

com perfis de acesso. A configuração desta aba será vista em detalhes em Perfis 

de Acesso de Usuários, na segunda aba escolhe-se os Métodos de autenticação 

onde se determina os parâmetros relativos à autenticação de usuários por meio de 

nomes/senhas e se configuram os parâmetros de autenticação por token (SecurID) 

e Autoridade Certificadora (PKI), a terceira aba configura-se a Autenticação para 

Proxies. Na quarta aba "Autenticação local", na quinta e última aba são 

configuradas o Controle de Acesso por IP que também será visto com mais detalhes 

em Perfis de Acesso de Usuários. 

O botão OK fará com que a janela de configuração de parâmetros seja fechada e 

as alterações efetuadas aplicadas. 




efetuadas não sejam aplicadas. 

Aba de Controle de Acesso 

Figura 302. Autenticação de acesso: Controle de acesso. 


A janela de controle de acesso permite que seja criada a associação de 

usuários/grupos com um perfil de acesso. 

Na parte inferior da janela existe um campo chamado Perfil Padrão onde é possível 

selecionar o perfil que será associado aos usuários, que não se enquadrem em 

nenhuma regra de associação. 

A última coluna, quando preenchida, especifica redes e máquinas onde a 

associação é válida. Se o usuário se encaixar na regra, mas estiver em um 

endereço IP fora das redes e máquinas cadastradas, então a regra será pulada, 

permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útil 

para permitir acesso à áreas sensíveis da rede apenas de alguns locais físicos com 

segurança aumentada. 

Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se 

proceder da seguinte maneira: 

1. Clicar com o botão direito do mouse na lista de regras e selecionar a opção 

Inserir; 

2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos, 

clicando-se com o botão direito no campo Autenticador; 

3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecionar entre 

listagem de usuários ou grupos e sua lista será montada automaticamente a 

partir do autenticador selecionado. A partir da lista selecionar o usuário ou grupo 

desejado. 


Figura 303. Autenticação de acesso: Listagem de grupos ou usuários. 

4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado, 

conforme o menu abaixo: 

Figura 304. Autenticação de acesso: Escolha do perfil desejado. 

5. Caso queira, arraste algumas entidades máquina, rede ou conjuntos para o 

campo entidades. Se o usuário estiver fora dessas entidades, a regra será 

pulada. 

Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da 

seguinte maneira: 

1. Clicar na regra a ser removida, na lista da janela; 

2. Clicar no botão Apagar. 


Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte 

forma: 

1. Clicar na regra a ser movida de posição; 

2. Arrastar para a posição desejada. 

A ordem das associações na lista é de fundamental importância. Quando um 

usuário se autenticar, o Aker Firewall pesquisará a lista a partir do início procurando 

pelo nome desse usuário ou por um grupo de que ele faça parte. Tão logo um 

desses seja encontrado, o perfil associado ao mesmo será utilizado. 

Aba Métodos 

Figura 305. Autenticação de acesso: Métodos. 

Habilita autenticação usuário/senha: Essa opção indica se o firewall aceitará ou 

não autenticação de usuários por meio de nomes/senhas. Caso ela esteja ativa, 

deve-se configurar os demais parâmetros relativos a esse tipo de autenticação: 

Pesquisar todos autenticadores: Este parâmetro indica se o firewall deve tentar 

validar um usuário nos próximos autenticadores da lista no caso de um autenticador 

retornar uma mensagem de senha inválida. 

Se esta opção estiver marcada, o firewall percorre todos os autenticadores da lista, 

um a um, até receber uma resposta de autenticação correta ou até a lista terminar. 


Caso ela não esteja marcada, a pesquisa será encerrada no primeiro autenticador 

que retornar uma mensagem de autenticação correta ou de senha inválida. 

Esta opção só é usada para respostas de senha inválida. Caso um autenticador 

retorne uma resposta indicando que o usuário a ser validado não está cadastrado 

na base de dados de sua máquina, o firewall continuará a pesquisa no próximo 

autenticador da lista, independentemente do valor desta opção. 

Pesquisar autenticador interno: Este parâmetro indica se a base de usuários 

locais do firewall - definida na pasta Autenticação Local - deve ser consultada para 

validar a senha dos usuários. Se sim, também deve escolher no combo box ao lado 

se essa base deve ser consultada antes ou depois dos demais autenticadores. 

Permitir domínios especificados pelo usuário: Este parâmetro indica se o 

usuário na hora de se autenticar pode informar ao firewall em qual autenticador ele 

deseja ser validado. 

Se esta opção estiver marcada, o usuário pode acrescentar juntamente ao seu 

nome, um sufixo formado pelo símbolo / e um nome de autenticador, fazendo com 

que a requisição de autenticação seja enviada diretamente para o autenticador 

informado. Caso ela não esteja marcada, a autenticação será feita na ordem dos 

autenticadores configurada pelo administrador. 

O uso desta opção não obriga que o usuário informe o nome do autenticador, 

apenas permite que ele o faça, se desejar. Caso o usuário não informe, a 

autenticação seguirá na ordem normal. 

Para ilustrar a especificação de domínio, pode-se tomar como base um sistema no 

qual existam dois autenticadores configurados, chamados de Unix e Windows 

Server. Neste sistema, se um usuário chamado administrador desejar se autenticar 

na máquina Windows Server, então ele deverá entrar com o seguinte texto, quando 

lhe for solicitado seu login ou username: administrador/Windows Server. Caso ele 

não informe o sufixo, o Aker Firewall tentará autenticá-lo inicialmente pela máquina 

Unix e caso não exista nenhum usuário cadastrado com este nome ou a opção 

Pesquisa em todos os autenticadores estiver marcada, ele então tentará autenticar 

pela máquina Windows Server. 

O nome do autenticador informado pelo usuário deve estar obrigatoriamente na 

lista de autenticadores a serem pesquisados. 

Autenticadores a pesquisar 

Para incluir um autenticador na lista de autenticadores a serem consultados, devese 

proceder da seguinte forma: 


1. Clicar com o botão direito do mouse onde aparecerá um menu suspenso 

(figura abaixo) ou arrastando a entidade autenticador para o local 

indicado; 

Figura 306. Autenticação de acesso: Adicionar entidades. 

2. Seleciona-se o a opção Adicionar entidades e o autenticador a ser 

incluído, na lista mostrada à direita. 

Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinte 

forma: 

1. Selecionar o autenticador a ser removido e apertar a tecla delete ou; 

2. Clicar no botão direito do mouse e selecionar no menu suspenso o item 

Apagar 

Figura 307. Autenticação de acesso: Remover entidades. 

Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte 

forma: 

1. Selecionar o autenticador a ser mudado de posição na ordem de 

pesquisa; 


2. Clicar em um dos botões à direita da lista: o botão com o desenho da seta 

para cima fará com que o autenticador selecionado suba uma posição na 

lista. O botão com a seta para baixo fará com que ele seja movido uma 

posição para baixo na lista. 

Dica: A adição ou remoção dos autenticadores pode ser feita diretamente com o 

mouse, bastando clicar e arrastar os mesmos para a janela correspondente, 

soltando em seguida. 

Os autenticadores serão pesquisados na ordem que se encontram na lista, de 

cima para baixo. 

Habilitar autenticação PKI: Essa opção indica se o firewall aceitará ou não a 

autenticação de usuários por meio de smart cards. Caso ela esteja ativa, deve-se 

configurar as autoridades certificadoras nas quais o firewall confia. 

Autoridades Certificadoras Confiáveis 

Figura 308. Autenticação de acesso: Métodos. 

Para incluir uma autoridade certificadora na lista de autoridades certificadoras 

confiáveis, deve-se proceder da seguinte forma: 

1. Clicar com o botão direito do mouse e escolher a opção Incluir Entidades; 

2. Selecionar a autoridade a ser incluída; 


3. Clique em Incluir; 

4. Pode-se também clicar em uma autoridade certificadora e arrastá-la para 

posição desejada 

Para remover uma autoridade certificadora da lista de autoridades confiáveis, devese 

proceder da seguinte forma: 

1. Selecionar a autoridade a ser removida e apertar a tecla delete ou 

2. Clicar no botão direito do mouse sobre a entidade a ser removida e escolher 

a opção Apagar 

Habilitar autenticação por token: Essa opção indica se o firewall aceitará ou não a 

autenticação de usuários por meio de tokens. Caso ela esteja ativa, deve-se configurar o 

nome do autenticador token a ser consultado para validar os dados recebidos. 

Figura 309. Autenticação de acesso: Métodos (habilitar autenticação do Token). 

Autenticador token a pesquisar: Este campo indica o autenticador token para o 

qual os dados a serem validados serão repassados. 


Aba Autenticação para Proxies 

Figura 310. Autenticação de acesso: Autenticação para proxies. 

Estes parâmetros indicam que tipos de autenticação serão aceitas nos proxies e em 

que ordem serão validadas. Isso é importante pois quando um usuário é autenticado 

através de um browser, por exemplo, não é possível que ele especifique se está 

utilizando token ou usuário/senha. As opções possíveis de configuração são: 

Autenticação Token antes da autenticação usuário/senha; 

Autenticação usuário/senha antes da autenticação Token; 

Autenticação Token somente; 

Autenticação usuário/senha somente; 


Aba Autenticação Local 

Figura 311. Autenticação de acesso: Autenticação local. 

Nessa pasta, pode cadastrar uma série de usuários e associar um grupo a cada um 

deles. Se a opção de usar a base local de usuários estiver habilitada, então esses 

usuários também serão verificados como se estivessem em um autenticador 

remoto. Eles compõem o autenticador local. 

Para incluir um usuário, clique com o botão da direita e escolha inserir, ou então use 

o toolbar e clique no botão inserir. Pode-se usar o botão Inserir no seu teclado. 

Figura 312. Aba para inclusão de usuário. 

Para alterar o nome do usuário e seu nome completo, basta dar um duplo clique no 

campo correspondente: 


Figura 313. Autenticação – Autenticação local. 

Para alterar a senha ou o grupo a que está associado o usuário, use o menu de 

contexto sobre o item, clicando com o botão direito do mouse. 

Figura 314. Autenticação – alteração de senha ou grupo. 


Para criar ou remover grupos, o procedimento é o mesmo, mas na lista lateral 

direita. 

Figura 315. Autenticação local – criar ou remover grupos. 

Grupos vazios não serão mantidos pelo firewall, apenas aqueles que contiverem 

ao menos um usuário. 


Aba Controle de acesso por IP 

Figura 316. Controle de acesso por IP. 

O Aker Firewall pode controlar os acessos por intermédio de endereços IP 

conhecidos juntamente com perfis criados para este fim. Esta aba permite a habilitar 

e a desabilitar individual das regras que configuram a autenticação por Ip, não 

sendo mais necessário ter que removê-las para desabilitá-las, podendo ser 

habilitada ou desabilitada por meio da opção no menu suspenso ou por meio do 

botão 

localizado na barra de tarefas. 

É preciso escolher uma entidade rede ou uma entidade máquina, que definirão a 

origem do tráfego e associá-las ao perfil, de forma que o tráfego originário dessas 

entidades não precisará de autenticação por usuário. 

O Acesso por IP estará habilitado sempre que houver pelo menos uma regra 

habilitada nesta aba. 


Aba NTLM 

Figura 317. Configuração NTLM. 

A janela acima tem a função de configurar a integração do Aker Firewall ao 

Microsoft Active Directory (AD) e utilizar o login automaticamente, sem que seja 

solicitada a digitação no browser. 

Esta integração é realizada através do Kerberos, Winbind e Samba e o 

comportamento deste autenticador será idêntico aos outros tipos de autenticações 

suportadas pelo Aker Firewall podendo listar os usuários e grupos para a vinculação 

com os perfis de acesso. 

Habilitar NTLM: ativando esta opção, uma entidade com o nome NTLM_Auth, 

estará disponível para a configuração na Aba Métodos da janela de Autenticação. 

Active directory: 

Endereço IPv4: endereço IP do servidor com o Microsoft Active Directory; 

Hostname: nome netbius do servidor com o Microsoft Active Directory, obtido 

a partir do comando hostname executado neste servidor. 


Autenticação 

Usuário: usuário com privilégios de administração do domínio para 

integração. 

Senha: senha do usuário citado acima. 

Status/Atualizar status: Informa o status da integração e logs em caso de falhas. 

Para o bom funcionamento da integração o Aker Firewall e o servidor com o 

Microsoft Active Directory devem estar com a data e horas sincronizados através de 

um servidor NTP. 

Para que a integração funcione o domínio configurado no Aker Firewall na janela 

Configuração do Sistema, TCP/IP, aba DNS, deve ser o mesmo domínio do 

Microsoft Active Directory. 

Esta integração está disponível somente para o Filtro Web, em próximas versões 

a integração se estenderá para todas as funcionalidades do Aker Firewall. 

Os usuários que não estiverem cadastrados no domínio do Microsoft Active 

Directory a autenticação será realizada através de um POP-UP no browser do 

usuário que será solicitada a cada 15 minutos. A janela que será apresentada a 

estes usuários: 

Figura 318. Segurança do Window – solicitação de usuário e senha. 


A autenticação transparente está disponível somente para o Filtro Web e Modo 

PROXY ATIVO, em próximas versões a integração se estenderá para todas as 

funcionalidades do Aker Firewall. 


A interface texto permite configurar qual o tipo de autenticação será realizada e a 

ordem de pesquisa dos autenticadores. 

Localização do programa: /aker/bin/firewall/fwauth 

Sintaxe: 

Uso: fwauth [mostra | ajuda] 

fwauth [inclui | remove] [ca | token | autenticador] 

fwauth [dominio | pesquisa_todos] [sim | nao] 

fwauth proxy [token | senha] [sim | nao] 

fwauth proxy primeiro [token | senha] 



fwauth - Configura parametros autenticacao 

Uso: fwauth [mostra | ajuda] 

fwauth [inclui | remove] [ca | token | autenticador] 

fwauth [dominio | pesquisa_todos] [sim | nao] 

fwauth proxy [token | senha] [sim | nao] 

fwauth proxy primeiro [token | senha] 



inclui = inclui entidade na lista de autenticadores ativos 

remove = remove entidade da lista de autenticadores ativos 

dominio = configura se o usuario pode ou nao especificar dominio 

pesquisa_todos = configura se deve pesquisar em todos os autenticadores 

proxy senha = habilita autenticacao por proxies do tipo usuario/senha 

proxy token = habilita autenticacao por proxies do tipo Token 

proxy primeiro = configura qual o primeiro tipo de autenticacao a ser usado 

Exemplo 1: (mostrando os parâmetros de autenticação) 

#fwauth mostraAUTENTICACAO USUARIO/SENHA: 

--------------------------- 

Pesquisa em todos autenticadores: sim 


Usuario pode especificar dominio: nao 

Autenticadores cadastrados: 

aut_local 

AUTENTICACAO PKI: 

----------------- 

Nao ha autenticadores cadastrados 

AUTENTICACAO SECURY ID: 

----------------------- 

Nao ha autenticadores cadastrados 

Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos) 

#fwauth inclui autenticador "agente 10.0.0.12" 

Autenticador incluído 


Perfis de acesso de Usuários 


23. Perfis de acesso de Usuários 

Neste capítulo mostrará para que servem e como configurar perfis de acesso no 



O que são perfis de acesso? 

Firewalls tradicionais baseiam suas regras de proteção e controle de acesso a partir 

de máquinas, através de seus endereços IP. Além do Aker Firewall permitir este tipo 

de controle, ele também permite definir o controle de acesso por usuários. Desta 

forma, é possível que determinados usuários tenham seus privilégios e restrições 

garantidos, independentemente de qual máquina estejam utilizando em um 

determinado momento. Isso oferece o máximo em flexibilidade e segurança. 

Para possibilitar este controle de acesso em nível de usuários, o Aker Firewall 

introduziu o conceito de perfis de acesso. Perfis de acesso representam os direitos 

a serem atribuídos a um determinado usuário no firewall. Estes direitos de acesso 

englobam todos os serviços suportados pelo firewall, o controle de páginas WWW e 

o controle de acesso através do proxy SOCKS. Desta forma, a partir de um único 

local, consegue definir exatamente o que pode e não pode ser acessado. 

Como funciona o controle com perfis de acesso? 

Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados e 

posteriormente associa-se estes perfis com usuários e grupos de um ou mais 

autenticadores. A partir deste momento, todas as vezes que um usuário se logar no 

firewall com o Aker Client ou outro produto que ofereça funcionalidade equivalente, 

o firewall identificará o perfil de acesso correspondente a este usuário e configurará 

as permissões de acesso de acordo com este perfil. Tudo é feito de forma 

completamente transparente para o usuário final. 

Para que seja possível o uso de perfis de acesso é necessário que o Aker Client 

estejam instalado em todas as máquinas clientes ou que se use a opção de 

autenticação por Java no Filtro Web. Caso contrário, só será possível a utilização de 

controle de acesso a páginas WWW ou a serviços através do proxy SOCKS. A 

autenticação de usuários através do Filtro Web (sem Java) e SOCKS são possíveis 

na medida em que eles solicitarão um nome de usuário e uma senha e pesquisarão 

o perfil correspondente quando não identificarem uma sessão ativa para uma 

determinada máquina. 

23.2. Cadastrando perfis de acesso 

Os perfis de acesso do Aker Firewall definem quais páginas WWW podem ser 

visualizadas e quais tipos de serviço podem ser acessados. Para cada página 


WWW ou serviço, existe uma tabela de horários associada, através da qual é 

possível definir os horários nos quais o serviço ou página podem ser acessados. 

Para ter acesso à janela de perfis de acesso deve-se: 

Figura 319. Janela de acesso - Perfis. 

Clicar no menu Configuração do Firewall da janela de administração do firewall. 

Selecionar o item Perfis. 


A janela de Perfis 

Figura 320. Perfis – Aker Firewall. 

A janela de perfis contém todos os perfis de acesso definidos no Firewall. Ela 

consiste de uma lista onde cada perfil é mostrado em uma linha separada. 

O botão OK fará com que a janela de perfis seja fechada; 

O botão Aplicar enviará para o firewall todas as alterações feitas, porém 

manterá a janela aberta; 

Para executar qualquer operação sobre um determinado perfil, deve-se clicar sobre 

ele e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes 


Figura 321. Janela de configuração de perfil (inserir e excluir). 


Inserir perfil filho: Incluir um novo perfil que é filho do perfil atual, i.e., 

estabelece uma hierarquia de perfis. 

Inserir: Permitir a inclusão de um novo perfil na lista. 

Copiar: Copiar o perfil selecionado para uma área temporária. 

Colar: Copiar o perfil da área temporária para a lista. 

Excluir: Remover da lista o perfil selecionado. 

Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de 

ferramentas, bem como a opção de relatório dos Perfis, todos localizados logo 

acima da lista. Neste caso, primeiro selecionam-se os itens para relatório, e em 

seguida indica o caminho e clique no botão Gerar. 

Relatório dos perfis: Gera relatório da lista de perfis em um documento HTML. 

Recomenda-se a não utilização de caracteres especiais (espaços, traços, sinais, 

acentos, aspas e etc..) na criação ou edição dos "perfis de acesso" do Firewall, 

exemplo: "Perfil Administração", a forma correta é "Perfil_Administracao”. 

Para excluir um perfil de acesso, ele não poderá estar associado a nenhum 

usuário (para maiores informações veja o tópico Associando Usuários com Perfis 

de Acesso) 

O perfil filho, criado com a opção Inserir perfil filho herdará automaticamente as 

configurações do perfil pai. 

Na parte superior de ambas as pastas se encontram o campo Nome, que serve 

para especificar o nome que identificará unicamente o perfil de acesso. Este nome 

será mostrado na lista de perfis e na janela de controle de acesso. Não podem 

existir dois perfis com o mesmo nome. 

Cada perfil de acesso é composto de sete tópicos diferentes. Dependendo do tópico 

selecionado em um momento, a parte direita da janela mudará de modo a mostrar 

as diferentes opções. Os tópicos de configuração são: 


23.3. Regras 

Figura 322. Regras: regras de filtragem para o perfil de acesso. 

A pasta de regras permite especificar regras de filtragem para o perfil de acesso. 

Seu formato é exatamente igual à janela de regras de filtragem com a única 

exceção de que não se devem especificar entidades origem para a regra. Aqui 

também é possível trabalhar com Políticas de Regras de Filtragem. (para maiores 

informações, consulte o capítulo intitulado O Filtro de Estados). 

As regras de filtragem para os perfis de acesso consideram como origem a 

máquina na qual a sessão foi estabelecida. Devido a isso, é necessário apenas 

especificar as entidades destino e serviços que podem ser acessados. 


23.4. Regras SOCKS 

Figura 323. Perfis: Socks. 

A pasta de regras SOCKS permite especificar regras de filtragem para o acesso 

através do proxy SOCKS. Seu formato é exatamente igual à janela de regras de 

filtragem com a única exceção de que não se deve especificar entidades origem 

para a regra (para maiores informações, consulte o capítulo intitulado Filtro de 

Estados). 

As regras de filtragem para o proxy SOCKS consideram como origem a máquina 

na qual a sessão foi estabelecida. Devido a isso é necessário apenas especificar as 

entidades destino e serviços que podem ser acessados. 


23.5. Geral 

Figura 324. Perfis: Geral. 

As opções gerais de filtragem são definidas pelos seguintes campos: 

Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as 

regras de seus perfis filhos. 

Configura a prioridade para as regras dos perfis filhos: Se esta opção 

estiver marcada, as regras dos perfis filhos irão aparecer acima das regras 

dos perfis pais, isto é, elas terão prioridade sobre as regras do pai. Caso 

contrário, as regras do perfil pai terão prioridade sobre as regras dos seus 

perfis filhos. Ou seja, nos perfis filhos, as regras herdadas do pai irão 

aparecer acima de suas regras. 

Horário padrão: Esta tabela define o horário padrão para as regras de filtragem 

WWW. Posteriormente, ao se incluir regras de filtragem WWW, existe a opção de se 

utilizar este horário padrão ou especificar um horário diferente. 

As linhas representam os dias da semana e as colunas as horas. Caso queria que a 

regra seja aplicável em determinada hora então o quadrado deve ser preenchido, 

caso contrário o quadrado deve ser deixado em branco. Para facilitar sua 

configuração, pode-se clicar com o botão esquerdo do mouse sobre um quadrado e 

a seguir arrastá-lo, mantendo o botão pressionado. Isto faz com que o a tabela seja 

alterada na medida em que o mouse se move. 


23.6. FTP e GOPHER 

Figura 325. Perfis: FTP e Gopher. 

A pasta de filtragem FTP e GOPHER permitem a definição de regras de filtragem de 

URLs para os protocolos FTP e Gopher. Ela consiste de uma lista onde cada regra 

é mostrada em uma linha separada. 

Na parte inferior da pasta existe um grupo que define a ação a ser executado caso o 

endereço que o cliente desejou acessar não se encaixe em nenhuma regra de 

filtragem. Este grupo é chamado de Ação padrão para o protocolo e consiste de 

três opções. 

Permitir: Se esta opção for a selecionada, então o firewall aceitará as URLs que 

não se enquadrarem em nenhuma regra. 

Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLs que 


Para executar qualquer operação sobre uma determinada regra, basta clicar sobre 

ela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes 



Figura 326. Janela de acesso - perfis (inseir e desabilitar). 









Desabilitar: Ativar ou desativar a regra selecionada na lista. 




A ordem das regras na lista de regras de filtragem é de fundamental importância. 

Ao receber uma solicitação de acesso a um endereço, o firewall pesquisará a lista a 

partir do início, procurando por uma regra na qual o endereço se encaixe. Tão logo 

uma seja encontrada, a ação associada a ela será executada. 

Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisa 

será feita e, o texto a ser pesquisado. As seguintes opções operação estão 

disponíveis: 

CONTÉM: A URL deve conter o texto informado em qualquer posição. 

NÃO CONTÉM: A URL não pode conter o texto informado. 

É: O conteúdo da URL deve ser exatamente igual ao texto informado. 

NÃO É: O conteúdo da URL deve ser diferente do texto informado. 

COMEÇA COM: O conteúdo da URL deve começar com o texto informado. 

NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto 

informado. 

TERMINA COM: O conteúdo da URL deve terminar com o texto informado. 

NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto 

informado. 

EXPRESSÃO REGULAR: O campo a ser pesquisado deverá ser uma expressão 

regular. 

Seguem as definições dos campos da janela: 

N: Número da regra de filtragem. 


Limite de busca: Esse campo permite escolher em qual parte da URL será feito a 

busca, sendo que os parâmetros a serem pesquisados foram definidos no campo 

Text Patterns. 

Padrões de texto: Ao clicar com o botão direito do mouse nesse campo, permite 

selecionar uma entidade lista de padrões criada anteriormente. Com isso, será 

possível associar a regra à uma entidade padrão de pesquisa, permitindo definir 

qual será a string ou os parâmetros que serão pesquisados na URL acessada e 

qual operação a ser efetuada. 

Ação: Define a ação a ser executado caso o endereço que o usuário desejou 

acessar não se encaixe em nenhuma regra de filtragem. Consiste em 

duas opções. 





Categorias: Nesse campo, permite associar alguma entidade categoria à regra que 

está sendo criada. 

Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de 

determinados serviços, máquinas, redes e/ou usuários. 

Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos 

funcionários, com acesso à sites da WEB. Assim as quotas são os limites em 

termos de tempo de acesso e volume de dados, por usuário. Nessa opção permite 

associar ao usuário alguma entidade quota criada. 

Time: Período em que a regra é aplicada. Dia da semana e horário. Exemplo: 

Permite definir que nas segundas-feiras e nas quartas-feiras o usuário terá acesso a 

internet somente das 12:00 às 14:00. 

Período de Validade: Período de validade e aplicação da regra. É definido em mês 

e ano. 


23.7. HTTP/HTTPS 

Aba Geral 

Figura 327. Geral: HTTP e HTTPS. 

Bloquear: Este campo define as opções de bloqueio em sites WWW. São elas: 

URLs com endereço IP: Se esta opção estiver marcada, não será permitido o 

acesso a URLs com endereços IP ao invés de nome (por exemplo, 

http://10.0.1.6), ou seja, somente será possível se acessar URLs por nomes. 

Caso tenha configurado o Filtro Web para fazer filtragem de URLs, deve-se 

configurar esta opção de modo que o usuário não possa acessar através de 

endereços IP, caso contrário, mesmo com o nome bloqueado, o usuário continuará 

podendo acessar a URL através de seu endereço IP. É possível acrescentar 

endereços IP nas regras de filtragem WWW do perfil (caso queria realizar filtragem 

com esta opção ativa), entretanto, devido a estes sofrerem mudanças e ao fato de 

muitos servidores terem mais de um endereço IP, isto se torna extremamente difícil. 

Por outro lado, muitos administradores percebem que sites mal configurados 

(especialmente os de webmail) utilizam redirecionamento para servidores pelo seu 

endereço IP, de forma que, com esta opção desmarcada, tais sites ficam 

inacessíveis. 

Java, Javascript e Activex: Este campo permite definir uma filtragem especial 

para páginas WWW, bloqueando, ou não, tecnologias consideradas perigosas ou 


incômodas para alguns ambientes. Ela possui quatro opções que podem ser 

selecionadas independentemente: Javascript, Java e ActiveX. 

A filtragem de Javascript, Java e ActiveX é feita de forma com que a página 

filtrada seja visualizada como se o browser da máquina cliente não tivesse suporte 

para a(s) linguagem(ns) filtrada(s). Em alguns casos, isto pode fazer com que as 

páginas percam sua funcionalidade. 

Bloqueio de Banners: Esta opção realiza o bloqueio de banners publicitários 

em páginas Web. Caso ela esteja marcada, o firewall substituirá os banners por 

espaços vazios na página, diminuindo o seu tempo de carga. 

Uma vez configurado que se deve realizar o bloqueio, o mesmo será feito através 

de regras globais, iguais para todos os perfis. Para configurar estas regras de 

bloqueio de banners, basta: 

Figura 328. Janela de acesso - Bloqueio de Banners. 

Clicar no menu Aplicação da janela principal. 

Selecionar o item Bloqueio de banners. 


A janela abaixo irá ser mostrada: 

Figura 329. Bloqueio de Banners (URL de banners). 

Esta janela é formada por uma série de regras no formado de expressão regular. 

Caso uma URL se encaixe em qualquer regra, a mesma será considerada um 

banner e será bloqueada. 

A pasta de filtragem HTTP/HTTPS permite a definição de regras de filtragem de 

URLs para os protocolos HTTP/HTTPS. Ela consiste de uma lista onde cada regra é 

mostrada em uma linha separada. 

O protocolo HTTPS, para a URL inicial é filtrado como se fosse o protocolo HTTP. 

Além disso, uma vez estabelecida à comunicação não é mais possível para o 

firewall filtrar qualquer parte de seu conteúdo, já que a criptografia é realizada 

diretamente entre o cliente e o servidor. 


Aba Filtro de URL 

Figura 330. Perfis: bloqueio de URL. 

Na parte inferior da pasta existe um grupo que define a ação a ser executado caso o 

endereço que o cliente desejou acessar não se encaixe em nenhuma regra de 

filtragem. Este grupo é chamado de Ação padrão para o protocolo e consiste de 

três opções. 





Para executar qualquer operação sobre uma determinada regra, basta clicar sobre 

ela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes 


Figura 331. Barra de ferramentas (inserir ou desabilitar). 














A ordem das regras na lista de regras de filtragem WWW é de fundamental 

importância. Ao receber uma solicitação de acesso a um endereço, o firewall 

pesquisará a lista a partir do início, procurando por uma regra na qual o endereço se 

encaixe. Tão logo uma seja encontrada, a ação associada a ela será executada. 

Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisa 

será feita e, o texto a ser pesquisado. As seguintes opções operação estão 

disponíveis: 

CONTÉM: A URL deve conter o texto informado em qualquer posição. 

NÃO CONTÉM: A URL não pode conter o texto informado. 

É: O conteúdo da URL deve ser exatamente igual ao texto informado. 

NÃO É: O conteúdo da URL deve ser diferente do texto informado. 

COMEÇA COM: O conteúdo da URL deve começar com o texto informado. 

NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto 

informado. 

TERMINA COM: O conteúdo da URL deve terminar com o texto informado. 

NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto 

informado. 

EXPRESSÃO REGULAR: O campo a ser pesquisado deverá ser uma expressão 

regular. 

Seguem as definições dos campos da janela: 

N: Número da regra de filtragem. 

Limite de busca: Esse campo permite escolher em qual parte da URL será feito 

a busca, sendo que os parâmetros a serem pesquisados foram definidos 

no campo Text Patterns. 

Padrões de texto: Ao clicar com o botão direito do mouse nesse campo, permite 

selecionar uma entidade lista de padrões criada anteriormente. Com isso, será 

possível associar a regra à uma entidade padrão de pesquisa, permitindo definir 

qual será a string ou os parâmetros que serão pesquisados na URL acessada 

e qual operação a ser efetuada. 


acessar não se encaixe em nenhuma regra de filtragem. Consiste em 

duas opções. 




Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLs 

que não se enquadrarem em nenhuma regra. 

Categorias: Nesse campo, permite associar alguma entidade categoria à regra 

que está sendo criada. 

Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de 

determinados serviços, máquinas, redes e/ou usuários. 

Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos 

pelos funcionários, com acesso à sites da WEB. Assim as quotas são os 

limites em termos de tempo de acesso e volume de dados, por usuário. Nessa 

opção permite associar ao usuário alguma entidade quota criada. 

Time:Período em que a regra é aplicada. Dia da semana e horário. Exemplo: 

Permite definir que nas segundas-feiras e nas quartas- feiras o usuário 

terá acesso a internet somente das 12:00 às 14:00. 

Período de Validade: Período de validade e aplicação da regra. É definido em 

mês e ano. 

Aba Arquivos Bloqueados 

Figura 332. Perfis: Arquivos bloqueados. 


Especificar os arquivos que serão bloqueados pelo perfil juntamente com o Filtro 

Web. 

É possível utilizar dois critérios complementares para decidir se um arquivo 

transferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um 

destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver 

entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre 

aqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo firewall. 

O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta 

em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo 

e o segundo indica o subtipo. O navegador usa esta informação para decidir como 

mostrar a informação que ele recebeu do mesmo modo como o sistema operacional 

usa a extensão do nome do arquivo. 

Sites Excluídos: 

Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se 

enquadrarem na lista de excluídos não serão analisados. 

As escolhas dos operadores podem ser vistas abaixo: 

Figura 333. Escolhas de operadores. 


URL Bloqueada: 

Permitir a configuração de qual ação deve ser executada pelo firewall quando um 

usuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções: 

Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o 

firewall mostrará uma mensagem de erro informando que a URL que se 

tentou acessar se encontra bloqueada. 

Redireciona URL bloqueada: Ao selecionar essa opção, o firewall 

redirecionará todas as tentativas de acesso a URLs bloqueadas para uma 

URL especificada pelo administrador. Nesse caso, deve-se especificar a URL 

para quais os acessos bloqueados serão redirecionados (sem o prefixo 

http://) no campo abaixo. 

Mostrar: Essa opção permite definir a página que será mostrada ao usuário, 

quando a tentativa de acesso a uma URL for bloqueada. Então pode-se optar 

em mostrar a página padrão ou redirecionar para a página escolhida, que 

será personalizada de acordo com os chekboxs selecionados. Segue abaixo 

a descrição de cada opção e o detalhamento das variáveis criadas. 

Cada um desses checkbox selecionado, é um parâmetro. Isso é utilizado para 

identificar aonde e porque a página foi bloqueada, por exemplo, se a página 

foi bloqueada porque caiu em alguma categoria, passar por parâmetro qual a 

categoria que causou o bloqueio da página. 

Domínio: Ao selecionar essa opção será mostrada o domínio da URL. 

Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br. 

Ao selecionar o domínio, é criada a variável domain. 

Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, 

POST. Ao selecionar o Método é criada a variável method. 

Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar 

essa opção é criada a variável perfil. 

Ip do usuário: Endereço IP do usuário que tentou acessar a URL que foi 

bloqueada. Ao selecionar o Método é criada a variável ip. 

Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa 

opção será mostrada a razão do bloqueio do site. Por exemplo, temos as 

seguintes razões: 

"categoria da URL", 

"regra de bloqueio", 

"quota bytes excedidos", 

"quota bytes insuficientes", 

"quota tempo excedido", 


"tipo de objeto nao permitido", 

"tipo de arquivo nao permitido globalmente", 

"tipo de arquivo nao permitido no perfil", 

"connect para a porta especificada nao permitido" 

Nome da Categoria: Nome da Categoria que a URL foi associada. Ao 

selecionar a Categoria é criada a variável cats. 

Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao 

selecionar o nome do usuário é criada a variável user. 

Número da regra: Número da Regra de Filtragem que a URL se enquadrou. 

Ao selecionar o número da regra é criada a variável rule. 

Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi 

bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url. 

No preview, aparece como será a URL e o que será enviado via método GET. 


23.8. Secure Roaming 

Aba Configuração 

Figura 334. Perfis: Security Roaming. 

Essa pasta permite que sejam configuradas as opções de acesso do Secure 

Roaming que variam de acordo com as permissões do cliente que está conectado. 

Para as demais configurações, veja o capítulo Configurações do Secure 

Roaming. 

Permite Secure Roaming: Habilita a fazer uso do secure roaming do 

Firewall. 

Permite o envio de pacotes broadcast aos clientes: Pacotes broadcast 

são utilizados por protocolos que precisam, em algum ponto de seu 

funcionamento, uma comunicação entre um hosts e todos os outros de 

uma sub-rede de modo eficiente. Esse é o caso do protocolo Netbios 

sobre IP. Infelizmente, o abuso no uso desse tipo de pacote pode causar o 

congestionamento de um link lento, como uma conexão dial-up. 

Alterar o gateway padrão durante a sessão VPN: Ao alterar a rota 

padrão dos hosts que se conectam via Secure Roaming, eles passam a 


não conseguir acessar outros destinos na Internet sem passar por dentro 

da rede com os endereços virtuais do Secure Roaming. Isso significa que, 

para conexões bidirecionais, eles ficam protegidos pelo firewall 

coorporativo e também sujeitos às políticas nele definidas. 

Servidores DNS: Configura até três servidores DNS a serem usados 

durante a sessão criptográfica. Usado para o caso de haver um servidor 

de DNS interno na corporação. 

Servidores WINS: Configura até três servidores WINS a serem usados 

durante a sessão criptográfica. Da mesma forma, essa configuração será 

útil no caso de a corporação usar servidores WINS internos. É ignorada 

pelos clientes que não sejam Windows. 

Domínio: Acrescenta um domínio às configurações de nomes da máquina 

cliente durante a sessão criptográfica. Geralmente usado em conjunto 

com a alteração dos servidores DNS. 

Rotas: Durante a sessão do cliente, algumas rotas podem ser 

necessárias para acessar diversos serviços da rede interna. Elas se 

cadastram uma a uma nesse campo. 


Aba Conjunto de Endereços 

Figura 335. Perfis: Security Roaming (conjunto de endereços). 

Permite definir um IP ou um range de IPs aos clientes que se conectarem ao 

Firewall e estiverem vinculados a este perfil. Caso não tenha uma configuração 

nesta “Aba”, será utilizado as configurações padrões do Secure Roaming. 


23.9. VPN SSL (Proxy SSL) 

Figura 336. Perfis: VPN-SSL (Proxy SSL). 

Esta pasta permite configurar os serviços para que possam ser acessados através 

de Proxy SSL e/ou VPN SSL pelos usuários que se enquadrarem neste perfil de 

acesso. Seu formato é exatamente igual à janela de regras de filtragem com as 

exceções de que não se deve especificar entidades origem para a regra e de que 

nem todas as opções estão disponíveis (acumulador, canal, etc). Aqui também é 

possível trabalhar com Políticas de Regras de Filtragem. (para maiores informações, 

consulte o capítulo intitulado O Filtro de Estados). 

N.: Número da regra de filtragem. 

Destino: Nesta coluna pode-se controlar o destino da conexão. 

Serviços: Permite indicar a porta de comunicação do protocolo. 

Tipo: Indica o tipo de conexão SSL. Pode ser direta ou por meio do applet. 

A conexão direta é denominada Proxy Reverso SSL, que possibilita a utilização de 

certificados X.509 com tamanhos de chaves 1024, 2048 ou 4096 bits. O Cliente abre 

uma conexão SSL com o Firewall e o Firewall abre uma conexão normal com o 

servidor. 


Figura 337. Conexão Direta: Proxy Reverso SSL. 

Na conexão via applet o cliente abre uma conexão via SSL com o Firewall por meio 

de uma página WEB. O Firewall disponibiliza um applet de redirecionamento que o 

cliente irá baixá-lo em sua máquina. Esse applet inicia uma conexão com o Firewall 

via SSL e o Firewall inicia uma conexão com o servidor. 

Figura 338. Conexão Via Apllet. 

Figura 339. Conexão Cliente Applet / SSL / Normal. 


Serviço de Bind: Permite indicar a porta de comunicação onde o applet (dará um 

bind) iniciará o serviço. Para isso deve-se inserir uma ou mais entidades do tipo 

serviço. 

Ação: Este campo define qual a ação a ser tomada para todos os pacotes que se 

encaixem nesta regra. Ela consiste nas seguintes opções: 

Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem 

através do firewall; 

Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram 

nesta regra. Assim será enviado um pacote ICMP para a máquina de 

origem do pacote dizendo que o destino é inatingível. Esta opção não 

funciona para alguns tipos de serviço ICMP, devido a uma característica 

inerente a este protocolo. 

Log: Definir quais tipos de ações serão executadas pelo sistema quando um pacote 

se encaixar na regra. Ele consiste em várias opções que podem ser selecionadas 

independentemente uma das outras. 

Hora: Definir as horas e dias da semana em que a regra será aplicável. As linhas 

representam os dias da semana e as colunas representam as horas. Caso queira 

que a regra seja aplicável em determinada hora o quadrado deve ser preenchido, 

caso contrário o quadrado deve ser deixado em branco. 

As regras de filtragem para os perfis de acesso consideram como origem a 

máquina na qual a sessão foi estabelecida. Devido a isso é necessário apenas 

especificar as entidades destino e serviços que podem ser acessados. 


23.10. MSN Messenger 

Figura 340. Perfis – MSN Messenger. 

Essa pasta permite configurar as opções de uso do MSN Messenger e seus 

serviços. Para mais informações, veja o capítulo Configurando o Proxy MSN. As 

seguintes opções estão disponíveis: 

Permite Messenger: Se esta opção estiver desmarcada, os usuários que 

pertencerem a este perfil não poderão acessar o Messenger, mesmo que exista 

uma regra de filtragem permitindo este acesso. 

É fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP, 

caso contrário poderá ser possível acessar o Messenger através deste serviço. Esta 

opção de bloqueio já vem configurada como padrão, mas é importante atentar a isso 

caso se realize configurações no proxy HTTP. 

Não Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger 

esteja ativa. Ela indica que o usuário poderá usar MSN Messenger, sem nenhum 

tipo de filtragem (ex: tempo de conversação, etc.). 

Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger esteja 

ativa. Ela indica que o usuário poderá usar o MSN Messenger, porém de forma 

controlada, ou seja, definida através das regras de filtragem para este serviço. 


Permite notificações do Hotmail: Esta opção (que só estará ativa caso o acesso 

filtrado ao MSN Messenger tenha sido selecionado) permite que o usuário receba 

notificações de mensagens disponíveis no Hotmail. 

Incluir conversas nos registros de log: Esta opção registrará todas as conversas 

entre os usuários. 

Bloquear versão: Estas opções permitem que sejam bloqueadas as versões 

específicas do cliente MSN Messenger. 

Caso tenha selecionado a opção de acesso controlado ao Messenger, é necessário 

criar uma ou mais regras para definir que tipo de acesso será permitido. Para 

executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão 

direito e a seguir escolher a opção desejada no menu que irá aparecer. As 


Figura 341. Menu (inserir/desabilitar) para executar qualquer operação sobre a regra. 

Inserir: Permitir a inclusão de uma nova regra na lista. 



Colar: Copiar a regra da área temporária para a lista. 


Cada regra MSN consiste das seguintes opções: 

Origem: Endereço de e-mail do usuário que enviou a mensagem, ou seja que 

iniciou a conversa. 

Destino: Nesta coluna pode-se controlar com quem os usuários internos irão 

conversar, para isso deve-se inserir uma ou mais entidades do tipo Lista de e-mails 

(para maiores informações veja o capítulo (Cadastrando entidades), contendo a 

lista de e-mails ou domínios liberados. 

Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos 

podem ser enviados/recebidos através do Messenger. Para isso deve-se inserir uma 

ou mais entidades do tipo Lista de Tipo de Arquivo (para maiores informações veja o 

capítulo Cadastrando entidades), contendo a lista de tipos de arquivos permitidos. 

Serviços Permitidos: Nesta coluna pode-se especificar quais serviços adicionais 

podem ser utilizados através do Messenger. A definição dos tipos de serviços 


possíveis é feita dentro da configuração do proxy MSN. Para maiores informações 

veja o capítulo Configurando o proxy MSN. 

Log: Se estiver marcado, informação sobre as conversas de todos os usuários 

serão registradas. Os seguintes dados estarão disponíveis no log: logon/logoff de 

usuário, transferência de arquivos, utilização de serviço adicional e início e fim de 

conversa. 

Pastas compartilhadas: Nesta opção opta por permitir ou não que o usuário 

compartilhe pastas no MSN. 

Tabela de Horários: Horário em que o usuário poderá utilizar o serviço Messenger, 

dividido nas 24 horas do dia. Caso seja desejado é possível copiar o horário padrão 

do perfil de acesso, clicando-se com o botão direito sobre a tabela de horários e 

selecionando-se a opção Usar tabela de horário padrão do perfil. 


acessar não se encaixe em nenhuma regra de filtragem. Consiste em duas opções. 





Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gasto pelos 

funcionários, com acesso à sites da WEB. Assim as quotas são os limites em 

termos de tempo de acesso e volume de dados, por usuário. Nessa opção permite 

associar ao usuário alguma entidade quota criada. 


23.11. Filtros de Aplicação 

Figura 342. Perfis: Filtragem de aplicação. 

Essa pasta permite configurar as regras para filtros de aplicação. Estas regras 

permitem, por exemplo, que determinados tipos de arquivos sejam bloqueados de 

acordo com seu tipo real, independentemente de sua extensão ou protocolo que 

esteja sendo utilizado para enviá-los. É possível também ao invés de bloquear, 

simplesmente mudar a prioridade de um serviço ou tipo de arquivo sendo 

transmitido. 

Uma das grandes utilizações destes filtros é para otimizar o acesso à Internet. É 

possível, por exemplo, que todos os usuários tenham um acesso rápido a Internet, 

porém quando estes tentarem baixar arquivos cujos tipos não sejam considerados 

importantes, i.e, mp3, vídeos, etc, a conexão sendo utilizada para transferir estes 

arquivos automaticamente fique com uma largura de banda bastante reduzida. 

Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o 

botão direito e a seguir escolher a opção desejada no menu que irá aparecer. As 


Figura 343. Menu (inserir/desabilitar) para executar qualquer operação sobre a regra. 







Cada regra consiste dos seguintes campos: 

Destino: Especificar os destinos da comunicação que o filtro estará inspecionando, 

para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ou 

conjuntos (para maiores informações veja o capítulo Cadastrando entidades). 

Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando, 

para isso deve-se inserir uma ou mais entidades do tipo serviço (para maiores 

informações veja o capítulo Cadastrando entidades). 

Filtros de Aplicação: Indicar quais os filtros que estarão ativos para as conexões 

que forem em direção a um dos destinos especificados na regra e utilizando um dos 

serviços também especificados. A definição dos filtros é feita na janela de Filtragem 

de Aplicações. Para maiores informações veja o capítulo Configurando Filtragem 

de Aplicações. 

Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtros 

especificados seja aplicado. Ela consiste das seguintes opções: 

Aceita: Significa que a conexão será autorizada a passar através do firewall. 

Rejeita: Significa que a conexão não passará pelo firewall e será enviado um 

pacote de reset para a máquina originária da comunicação. 

Descarta: Significa que a conexão não passará pelo firewall, mas não será enviado 

nenhum pacote para a máquina de origem. 

Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridade 

diferente, que deverá ser especificada na coluna Canal. 

Bloqueia origem: Indica que a máquina que originou a conexão deverá ser 

bloqueada por algum tempo (isso significa que todas as conexões originadas nela 

serão recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto 

tempo a máquina permanecerá bloqueada. 

Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sido 

selecionada. Ela indica qual a nova prioridade que será atribuída à conexão. Devese 

inserir uma entidade do tipo canal (para maiores informações veja o capítulo 

Cadastrando entidades). 

Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueia 

origem tenha sido selecionada. Ela indica por quanto tempo a máquina origem será 

bloqueada. 


23.12. Associando Usuários com Perfis de Acesso 

Uma vez que os perfis de acesso estão criados, torna-se necessário associá-los 

com usuários e grupos de um ou mais autenticadores ou autoridades certificadoras 

do firewall. Isto é feito através da janela de controle de acesso. 

Para ter acesso a janela de controle de acesso deve-se: 

Figura 344. Janela de acesso - Autenticação. 

Clicar no menu Configurações do Firewall da janela principal. 

Selecionar o item Autenticação. 

Selecionar a pasta Controle de Acesso. 


A pasta de Controle de Acesso 

Figura 345. Autenticação: Controle de acesso. 

A janela de controle de acesso permite que seja criada a associação de 

usuários/grupos com um perfil de acesso. 

Na parte inferior da janela existe um campo chamado Perfil Padrão onde se pode 

selecionar o perfil que será associado aos usuários que não se enquadrem em 

nenhuma regra de associação. 

A última coluna, quando preenchida, especifica redes e máquinas onde a 

associação é válida. Se o usuário se encaixar na regra, mas estiver em um 

endereço IP fora das redes e máquinas cadastradas, então a regra será pulada, 

permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útil 

para permitir acesso à áreas sensíveis da rede apenas de alguns locais físicos com 

segurança aumentada. 

Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se 

proceder da seguinte maneira: 

1. Clicar com o botão direito do mouse na lista de regras e selecionar a opção 

Inserir; 


2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos, 

clicando-se com o botão direito no campo Autenticador. Para maiores 

informações sobre os autenticadores, veja o capítulo intitulado Configurando 

parâmetros de autenticação. 

3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecionar entre 

listagem de usuários ou grupos e sua lista será montada automaticamente a 

partir do autenticador selecionado. A partir da lista selecionar o usuário ou grupo 

desejado. 

Figura 346. Menu de escolha do usuário. 

4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado, 

conforme o menu abaixo: 

Figura 347. Menu de escolha do perfil. 

5. Caso deseje, arraste algumas entidades máquina, rede ou conjuntos para o 

campo entidades. Se o usuário estiver fora dessas entidades, a regra será 

pulada. 


Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da 

seguinte maneira: 

1. Clicar na regra a ser removida, na lista da janela. 

2. Clicar no botão Apagar. 

Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte 

forma: 

1. Clicar na regra a ser movida de posição. 

2. Arrastar para a posição desejada. 

A ordem das associações na lista é de fundamental importância. Quando um 

usuário se autenticar, o firewall pesquisará a lista a partir do início procurando pelo 

nome desse usuário ou por um grupo de que ele faça parte. Tão logo um desses 

seja encontrado, o perfil associado ao mesmo será utilizado. 

A aba Controle de Acesso por IP 

Figura 348. Controle de acesso por IP. 


O firewall pode controlar os acessos por intermédio de endereços IP conhecidos 

juntamente com perfis criados para este fim. Basta o administrador cadastrar a rede 

conhecida e arrastar para a posição Entidades de Origem, em seguida incluir na 

coluna Perfil o perfil ou perfis necessários na regra. 

A caixa Ativar controle de acesso por endereço IP origem deverá estar 

marcada para que o firewall use esta facilidade. 


Autenticação de Usuários 


24. Autenticação de Usuários 

Este capítulo mostrará o que é o Cliente de Autenticação Aker e para que serve 

essa ferramenta que propicia grande nível de segurança. 

24.1. Visualizando e Removendo Usuários Conectados no Firewall 

É possível visualizar a qualquer momento os usuários que possuem sessão 

estabelecida com o firewall, através do cliente de autenticação, e remover uma 

destas sessões. Isto é feito através da janela de usuários logados. 

Para ter acesso a janela de usuários logados deve-se: 

Figura 349. Janela de acesso - usuários conectados. 


Selecionar Usuários Conectados. 


A janela de Usuários Conectados 

Figura 350. Usuários conectados (máquina, nome, domínio, perfil, inicio, TPC e nº de usuários 

conectados.) 

Esta janela consiste de uma lista com uma entrada para cada usuário. Na parte 

inferior da janela é mostrada uma mensagem informando o número total de usuários 

com sessões estabelecidas um determinado instante. Para os usuários logados via 

Secure Roaming, serão mostrados também os dados da conexão (endereço IP e 

portas) junto com o estado de estabelecimento da mesma. 

O botão OK faz com que a janela de usuários seja fechada. 

O botão Cancelar fecha a janela. 

A caixa Itens selecionados no topo coloca os itens que foram selecionados 

para o topo da janela de usuários conectados. 

Barra de Ferramentas de Usuários Conectados: 

Figura 351. Barra de ferramentas: usuários conectados. 


O botão Atualiza faz com que as informações mostradas sejam atualizadas 

periodicamente de forma automática ou não. Clicando-se sobre ele, alterna-se 

entre os dois modos de operação. O intervalo de atualização pode ser 

configurado mudando-se o valor logo a direita deste campo. 

O botão Buscar, localizado na barra de ferramentas, permite remover uma 

sessão de usuário. Para tal deve-se primeiro clicar sobre a sessão que deseja 

remover e a seguir clicar neste botão (ele estará desabilitado enquanto não 

existir nenhuma sessão selecionada). 

O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes 

(DNS) para resolver os nomes das máquinas cujos endereços IPs aparecem 

listados. Cabem ser observados os seguintes pontos: 

1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, a 

tradução dos nomes é feita em segundo plano. 

2. Muitas vezes, devido a problemas de configuração do DNS reverso (que é 

o utilizado para resolver nomes a partir de endereços IP), não será 

possível a resolução de certos endereços. Neste caso, os endereços não 

resolvidos serão mantidos na forma original e será indicado ao seu lado 

que eles não possuem DNS reverso configurado. 

É possível ordenar a lista das sessões por qualquer um de seus campos, 

bastanto para isso clicar no título do campo. O primeiro click produzirá uma 

ordenação ascendente e o segundo uma ordenação descendente. 

Significado dos campos de uma sessão de usuário ativa 

Cada linha presente na lista de sessões de usuários representa uma sessão. O 

significado de seus campos é mostrado a seguir: 

Ícone: É mostrado a esquerda do nome de cada usuário e pode assumir três formas 

distintas: 

Cadeado: Este ícone indica que o usuário se logou através do cliente de criptografia 

apenas. 

Usuário: Este ícone indica que o usuário se logou através do cliente de 

autenticação apenas. 

Usuário dentro do cadeado: Este ícone indica que o usuário se logou através do 

cliente de autenticação e de criptografia. 

Máquina: Endereço IP ou nome (caso o DNS esteja ativo) da máquina na qual a 

sessão foi estabelecida. 

Nome: Nome do usuário que estabeleceu a sessão. 

Domínio: Nome do domínio, i.e. autenticador, no qual o usuário se autenticou. Caso 

o usuário não tenha especificado domínio ao se logar, este campo aparecerá em 

branco. 


Perfil: Qual o perfil de acesso correspondente a esta sessão. Se este campo está 

em branco, o usuário se autenticou antes de a tabela de perfis ser alterada, de 

forma que ele está utilizando um perfil que não existe mais. 

Início: Hora de abertura da sessão. 

24.2. Utilizando a Interface Texto 

A interface texto para acesso à lista de usuários logados possui as mesmas 

capacidades da interface gráfica e é simples de ser utilizado. Ele é o mesmo 

programa que produz a lista de conexões ativas TCP e UDP, mostrado 

anteriormente. 

Localização do programa: /aker/bin/firewall/fwlist 

Sintaxe: 







fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas 






mostra = lista as conexoes ou sessoes ativas 

remove = remove uma conexao ou sessao ativa 

Exemplo 1: (listando as sessões de usuários logados no firewall) 

#fwlist mostra sessoes 

Nome/Dominio Perfil IP origem Inicio 

------------------------------------------------------------------------------- 

administrador/BSB Admin 10.20.1.1 08:11:27 

jose.silva/GOA Padrao5 10.45.1.1 07:39:54 

joao.souza/POA Padrao3 10.57.1.1 07:58:10 

josemaria/GRU Padrao3 10.78.1.1 08:01:02 

angelam/BSB 1 Restrito 10.22.1.1 08:48:31 

marciam/POA Restrito 10.235.1.1 10:49:44 


antonioj/POA Especial 10.42.2.1 06:02:19 

operador/BSB Padrao 10.151.2.1 20:44:34 

Exemplo 2: (removendo a sessão do usuário logado a partir da máquina 10.19.1.1) 

#fwlist remove sessao 10.19.1.1 

A remoção da sessão foi solicitada ao servidor de usuários. 


Configurando o Proxy SMTP 


25. Configurando o Proxy SMTP 

Este capítulo mostrará quais as funções oferecidas pelo proxy SMTP e como 

realizar sua configuração. 

O que é o proxy SMTP? 

O proxy SMTP é um programa especializado do Aker Firewall feito para trabalhar 

com correio eletrônico (SMTP é um anagrama para Simple Mail Transfer Protocol, 

que é o nome completo do serviço de transferência de correio eletrônico na 

Internet). Este proxy possibilita que sejam realizadas filtragens de e-mails baseadas 

em seu conteúdo ou em qualquer campo de seu cabeçalho. Ele também atua como 

uma barreira protegendo o servidor SMTP contra diversos tipos de ataques. 

Ele é um proxy transparente (para maiores informações veja o capítulo intitulado 

Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de 

sua existência. 

Descrição de uma mensagem SMTP 

Para entender o funcionamento da filtragem de campos do proxy SMTP, é 

necessário algumas informações sobre as mensagens de correio eletrônico. 

Uma mensagem de e-mail é formada por três partes distintas: envelope, cabeçalho 

e corpo. Cada uma destas partes possui um papel específico: 

Envelope 

O envelope é chamado desta forma por ser análogo a um envelope de uma carta 

comum. Nele se encontram as informações do emissor e dos destinatários de 

uma mensagem. Para cada recipiente de um domínio diferente é gerado um 

novo envelope. Desta forma, um servidor SMTP recebe no envelope de uma 

mensagem o nome de todos os recipientes da mensagem que se encontram no 

seu domínio. 

O envelope não é visto pelos destinatários de uma mensagem. Ele somente é 

usado entre os servidores SMTP. 

Cabeçalho 

No cabeçalho da mensagem se encontram informações sobre a mensagem, 

como o assunto, data de emissão, nome do emissor, etc. O cabeçalho 

normalmente é mostrado ao destinatário da mensagem. 

Corpo 


O corpo é composto pela mensagem propriamente dita, da forma com que foi 

produzida pelo emissor. 

Ataques contra um servidor SMTP 

Existem diversos ataques passíveis de serem realizados contra um servidor SMTP. 

São eles: 

Ataques explorando bugs de um servidor 

Neste caso, o atacante procura utilizar um comando ou parâmetros de um 

comando que conhecidamente provocam falhas de segurança. 

O proxy SMTP do Aker Firewall impede estes ataques na medida em que só 

permite a utilização de comandos considerados seguros e validando os 

parâmetros de todos os comandos. 

Ataques explorando estouro de áreas de memória (buffer overflows) 

Estes ataques consistem em enviar linhas de comando muito grandes, fazendo 

com que um servidor que não tenha sido corretamente desenvolvido apresente 

falhas de segurança. 

O proxy SMTP do Aker Firewall impede estes ataques na medida em que limitam 

o tamanho máximo das linhas de comando que podem ser enviadas para o 

servidor. 

Ataques de relay 

Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar 

suas mensagens de correio eletrônico. Desta forma, utiliza-se os recursos 

computacionais que deveriam estar disponíveis para requisições válidas. 

O proxy SMTP do AkerFirewall impede ataques de relay desde que corretamente 

configurado. 

Utilizando o proxy SMTP 

Para se utilizar o proxy SMTP em uma comunicação, é necessário executar uma 


1. Criar um serviço que será desviado para o proxy SMTP e editar os 

parâmetros do contexto a ser usado por este serviço (para maiores 

informações, veja o capítulo intitulado Cadastrando Entidades). 

2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no 

passo 1, para as redes ou máquinas desejadas (para maiores informações, 

veja o capítulo intitulado O Filtro de Estados). 


25.1. Editando os parâmetros de um contexto SMTP 

A janela de propriedades de um contexto SMTP será mostrada quando a opção 

Proxy SMTP for selecionada. Através dela é possível definir o comportamento do 

proxy SMTP quando este for lidar com o serviço em questão. 

A janela de propriedades de um contexto SMTP. 

Figura 352. Serviço: relay. 


associado a um determinado serviço. Ela consiste de diversas pastas, cada uma 

responsável por uma das diferentes características de proteção. 


Aba Geral 

Figura 353. Serviço: geral. 

Tamanho máximo da mensagem: Este campo indica o tamanho máximo, em 

bytes ou kbytes, de uma mensagem para que ela possa ser aceita pelo proxy. Caso 

não queira definir um tamanho máximo, basta marcar a opção Sem Limite, 

localizada à direita deste campo. 

Registrar na lista de eventos: Este campo indica se as mensagens que não se 

enquadrarem em nenhuma regra SMTP deste contexto devem ser registradas na 

lista de eventos. 

Envia cópia de todas as mensagens: Independente de uma mensagem ter sido 

aceita ou rejeitada, é possível enviar uma cópia completa dela para um endereço de 

e-mail qualquer. Este campo indica se deve ou não ser enviada esta cópia. 

Checagem de DNS reverso habilitada: O firewall fará a checagem para determinar 

a existência do DNS reverso cadastrado para o servidor SMTP para aceitar a 

mensagem baseado nas regras da pasta DNS. 


E-mail padrão: Indica o endereço de e-mail padrão, para o qual serão enviadas as 

cópias das mensagens que não se enquadrarem em nenhuma regra SMTP deste 

contexto (se a opção Envia Cópia de todas as mensagens estiver marcada). Este e- 

mail também pode ser referenciado em qualquer regra de filtragem do contexto. 

Aba de Relay 

Figura 354. Serviço: relay. 

Esta pasta serve para especificar uma lista de domínios válidos para recebimento 

de e-mails. E-mails destinados a quaisquer domínios não listados serão rejeitados 

antes mesmo que se comece sua transmissão. 

Caso a lista de domínios esteja em branco o firewall não fará controle de relay, 

ou seja, aceitará e-mails destinados a quaisquer domínios. 

Diferentemente do controle de relay de servidores SMTP, o firewall apenas pode 

basear seu controle no destinatário dos e-mails, e não no remetente, uma vez que 

não possui a lista de usuários válidos do servidor SMTP protegido. 


Aba de Regras 

Figura 355. Serviço: regras. 

Nesta pasta são mostradas todas as regras de filtragem para o contexto. Estas 

regras possibilitam que o administrador configure filtros de e-mails baseados em seu 

conteúdo. 



acionado sempre que pressionar o botão direito, mesmo que não exista nenhuma 

regra selecionada. Neste caso, somente as opções Incluir e Colar estarão 

habilitadas). 

Figura 356. Menu (inserir, copiar, editar, excluir ou renomear). 









Editar: Abrir a janela de edição para a regra selecionada. 


Renomear: Renomear a regra selecionada da lista. 


ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a 

regra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada. 

A ordem das regras na lista de regras de filtragem SMTP é de fundamental 

importância. Ao receber uma mensagem, o firewall pesquisará a lista a partir do 

início procurando uma regra na qual a mensagem se enquadre. Tão logo uma seja 

encontrada, a ação associada a ela será executada. 

No caso de inclusão ou edição de regras, será mostrada a janela de edição, 

mostrada abaixo: 


A janela de edição de regras SMTP 

Figura 357. Edição de regra: SMTP. 

Nesta janela são configurados todos os parâmetros relativos a uma regra de 

filtragem para um contexto SMTP. Cada regra consiste basicamente de 3 condições 

independentes que podem ou não estar preenchidas (ou seja, é possível criar 

regras com apenas uma ou duas condições). 

Para criar uma regra, é necessário preencher os seguintes campos: 

Nome: Nome que define unicamente a regra dentro do contexto. Este nome será 

mostrado na lista de regras do contexto SMTP. Não podem existir duas regras com 

o mesmo nome. 


Campo: Definir o nome do campo dentro da mensagem SMTP onde será feita a 

pesquisa. Ele pode assumir um dos seguintes valores (alguns valores são 

mostrados em inglês devido ao fato de serem nomes de campos fixos de uma 

mensagem): 

NENHUM: Não será feita pesquisa. 

PARA (Todos): A pesquisa é feita no endereço de destino da mensagem (todos 

os recipientes devem se encaixar na regra). 

PARA (Qualquer): A pesquisa é feita no endereço de destino da mensagem 

(pelo menos um recipiente deve se encaixar na regra). 

DE: A pesquisa é feita no endereço de origem da mensagem. 

CC: A pesquisa é realizada sobre a lista de endereços que irão receber uma 

cópia da mensagem. 

REPLY-TO: A pesquisa é feita no campo REPLY-TO, que indica o endereço 

para o qual a mensagem deve ser respondida. 

ASSUNTO: A pesquisa é feita no campo que define o assunto da mensagem. 

CABEÇALHO: A pesquisa é realizada sobre todos os campos que compõem o 

cabeçalho da mensagem. 

CORPO: A pesquisa é feita no corpo da mensagem (onde existe efetivamente a 

mensagem). 

Os campos TO e CC são tratados de forma diferente pelo proxy SMTP: o campo 

TO é tratado com uma lista dos vários recipientes da mensagem, retirados do 

envelope da mensagem. O campo CC é tratado como um texto simples, retirado do 

cabeçalho da mensagem, e sua utilidade é bastante limitada. 

Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. São elas: 

CONTÉM: O campo a ser pesquisado deve conter o texto informado em 

qualquer posição. 

NÃO CONTÉM: O campo a ser pesquisado não pode conter o texto informado. 

É: O conteúdo do campo a ser pesquisado deve ser exatamente igual ao texto 

informado. 

NÃO É: O conteúdo do campo a ser pesquisado deve ser diferente do texto 

informado. 

COMEÇA COM: O conteúdo do campo a ser pesquisado deve começar com o 

texto informado. 

NÃO COMEÇA COM: O conteúdo do campo a ser pesquisado não pode 

começar com o texto informado. 

TERMINA COM: O conteúdo do campo a ser pesquisado deve terminar com o 

texto informado 

NÃO TERMINA COM: O conteúdo do campo a ser pesquisado não pode 

terminar com o texto informado. 

CONTÉM PALAVRAS: Neste tipo de pesquisa, o texto informado é considerado 

como formado por palavras individuais (separadas por espaços), ao invés de um 

texto contínuo. Para se enquadrar na pesquisa, o campo em questão deve 

conter todas as palavras informadas, independente de sua posição. 


Texto: Texto a ser pesquisado. Este campo é tratado como um texto contínuo que 

será comparado com o campo especificado, exceto no caso da pesquisa CONTÉM 

PALAVRAS, quando ele é tratado como diversas palavras separadas por espaços. 

Em ambos os casos, letras maiúsculas e minúsculas são consideradas como 

sendo iguais. 

Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma, é 

possível definir até 3 condições distintas que uma mensagem deve cumprir para que 

seja enquadrada pela regra. Caso não queira especificar três condições, basta 

deixar as demais com o valor NENHUM no parâmetro campo. 

Ativação dos filtros: Este campo só tem sentido quando especifica mais de uma 

condição. Ele indica que tipo de operação será usada para relacioná-las: 

Somente se todos são verdadeiros: Para que uma mensagem enquadre na 

regra, é necessário que ela satisfaça todas as condições. 

Se qualquer um for verdadeiro: Para que uma mensagem enquadre na regra, 

basta ela satisfazer uma das condições. 

Ação: Este campo indica se as mensagens que se enquadrarem na regra devem 

ser aceitas ou rejeitadas pelo proxy SMTP. 

Registrar na lista de eventos: Este campo indica se as mensagens que se 

enquadrarem na regra devem ou não ser registradas na lista de eventos. 

Enviar cópia: Para toda mensagem que se enquadrar na regra, 

independentemente de ter sido aceita ou rejeitada, é possível enviar uma cópia 

completa dela para um endereço de e-mail qualquer. Este campo indica se deve ou 

não ser enviada esta cópia. Caso ele esteja marcado, deve-se escolher uma das 

seguintes opções de envio: 

Padrão: A cópia da mensagem é enviada para o e-mail padrão. 

e-mail: A cópia da mensagem é enviada para o endereço especificado no campo 

à direita. 


Aba de DNS 

Figura 358. Serviço: DNS. 

Nesta pasta são mostradas todas as regras de filtragem de DNS para o contexto. 

Estas regras possibilitam que o administrador configure filtros de e-mails baseados 

no nome retornado pelo DNS reverso do servidor SMTP que estiver enviando a 

mensagem. 



acionado sempre que se pressionar o botão direito, mesmo que não exista nenhuma 


habilitadas). 


Figura 359. Menu (inserir, copiar, editar, excluir ou renomear).. 
















A janela de edição de regras DNS reverso 


Figura 360. Serviço: DNS. 

Para criar uma regra deve-se preencher os seguintes campos: 

Nome: Nome que define unicamente a regra dentro do contexto. Este nome será 

mostrado na lista de regras do contexto SMTP. Não podem existir duas regras com 

o mesmo nome. 

Operador de pesquisa: Os mesmos operadores utilizados nas regras de filtragem 

SMTP podem ser utilizados para a filtragem do DNS reverso. 

Texto: Definir o texto a ser pesquisado. 

Registrar na lista de eventos: Registrar no log de eventos do firewall caso a regra 

tenha sido executada. 

Verificar alias: Se esta opção estiver marcada, o firewall comparará todos os 

nomes retornados pelo DNS para verificar se algum deles se encaixa na regra. 

Ação: Ação a ser executada pelo firewall caso a regra seja atendida. Ela pode ser 

Aceita ou Rejeitada. 

Aba de Anexos 


Figura 361. Serviço: anexos. 

Nessa pasta são especificadas as regras de tratamento de arquivos anexados. 

Essas regras permitem que, caso uma mensagem tenha sido aceita, ela tenha seus 

arquivos anexados removidos ou checados contra vírus. Elas permitem também que 

se rejeite uma mensagem por completo, caso ela contenha um arquivo anexo 

inaceitável (com vírus, por exemplo). 

Agente de antivírus para checagem dos arquivos: Esse campo indica o agente 

antivírus que será utilizado para checar vírus dos arquivos anexados a mensagens 

de e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Para 

maiores informações veja o capítulo intitulado Cadastrando entidades. 

Permitir a passagem de anexos mal codificados: Se esta opção estiver marcada, 

anexos que apresentem erros de codificação serão aceitos pelo firewall, caso 

contrário a mensagem será recusada. 



acionado sempre que se pressionar o botão direito, mesmo que não exista nenhuma 


egra selecionada. Neste caso, somente as opções Incluir e Colar estarão 

habilitadas). 

Figura 362. Menu (inserir, copiar, editar, excluir ou renomear).. 














A ordem das regras na lista de regras de filtragem de arquivos anexados é de 

fundamental importância. Para cada arquivo anexado de uma mensagem, o firewall 

pesquisará a lista a partir do início procurando uma regra na qual ele se enquadre. 

Tão logo uma seja encontrada, a ação associada a ela será executada. 




A janela de edição de regras de anexos 

Figura 363. Regra: edição de regras e anexos. 


filtragem de arquivos para um contexto SMTP. Ela consiste dos seguintes campos: 

Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado na 

lista de regras de arquivos. Não podem existir duas regras com o mesmo nome. 

Filtrar por tipo MIME: Permitir a definição de uma regra de filtragem de arquivos 

baseando-se em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu 

subtipo. 


Filtrar por nome: Permitir a realização de filtragens a partir (de parte) do nome, do 

arquivo anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser 

efetuada e o texto a ser pesquisado. Estes campos são análogos aos campos de 

mesmo nome da regra de filtragem SMTP, descrita acima. 

Operador de pesquisa: Este campo é análogo ao campo de mesmo nome da regra 

de filtragem SMTP, descrita acima. 

Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo se 

enquadrar na regra. Ela consiste de três opções: 

Aceita o anexo: Se essa opção for selecionada o firewall irá manter o arquivo 

anexado na mensagem. 

Remove o anexo: Se essa opção for selecionada o firewall irá remover o arquivo 

anexado da mensagem. 

Descarta mensagem: Se essa opção for selecionada o firewall recusará a 

mensagem completa. 

Remove anexo infectado: Se essa opção for selecionada o firewall irá verificar 

o arquivo anexado da mensagem contra vírus. Caso exista vírus o firewall 

tomará uma das seguintes ações: se o arquivo puder ser desinfectado, o vírus 

será removido e o arquivo re-anexado à mensagem. Caso o arquivo não possa 

ser desinfectado, o firewall o removerá e acrescentará uma mensagem 

informando ao destinatário desse fato. 

Descarta mensagem infectada: Se essa opção for selecionada o firewall irá 

verificar o arquivo anexado da mensagem contra vírus. Caso exista vírus o 

firewall tomará uma das seguintes ações: se o arquivo puder ser desinfectado, o 

vírus será removido e o arquivo re-anexado à mensagem. Caso o arquivo não 

possa ser desinfectado, o firewall recusará a mensagem. 

Recomenda-se utilizar as ações que removem os arquivos anexados nos emails 

recebidos pela companhia e as que bloqueiam a mensagem por completo nas 

regras aplicadas aos emails que saem. 

Remove arquivos encriptados: Se essa opção estiver marcada, o firewall 

removerá os arquivos anexados que estejam cifrados, de forma que não possam ser 

checados quanto a presença de vírus. 

Remove arquivos corrompidos: Se essa opção estiver marcada, o firewall 

removerá os arquivos anexados que estejam corrompidos. 

Notifica emissor no caso de remoção do arquivo anexado: Se essa opção 

estiver marcada, o firewall enviará uma mensagem para o emissor de um e-mail 

todas as vezes que um ou mais de seus arquivos anexados for removido. 

Envia cópia para o administrador do arquivo anexado for removido: Se essa 

opção estiver marcada, o firewall enviará uma cópia de todos os arquivos removidos 


para o administrador. Caso ela esteja marcada, deve-se escolher uma das 



E-mail: A cópia da mensagem é enviada para o endereço especificado no 

campo à direita. 

Aba RBL (Real-time Black List) 

Figura 364. Serviço: RBL. 

Esta pasta contém opções de bloqueio de sites considerados fontes de SPAM. O 

bloqueio é feito em tempo real, mediante consulta a uma ou mais listas de bloqueio 

dinâmicas, mantidas por terceiros. Ela consiste das seguintes opções: 

Black list padrão: São cinco listas negras que contém vários relays acusados de 

fazer SPAM (envio de mensagem não desejada). Elas são gerenciadas por 

organizações e o firewall simplesmente consultam-nas, antes de aceitar os e-mails. 

Marque as opções correspondentes se desejar utilizar esta facilidade. 

SBL: Para saber mais acesse o endereço http://www.mail-abuse.org/rbl/ 


CBL: Para saber mais acesse o endereço http://www.orbs.org/ 

ORBL Brasil: Para saber mais acesse o endereço http://www.orbl.org/ 

DSBL: Para saber mais acesse o endereço http://www.ordb.org/ 

Black list do usuário: São listas negras configuráveis pelo administrador do 

firewall. Ela consiste de uma lista de listas negras, cada uma com os seguintes 

campos: 

Nome: Nome pelo qual deseja chamar a blacklist. 

URL: URL explicativa para ser mostrada para o usuário que tiver seus e-mails 

recusados. 

Zona de DNS: É a zona completa de DNS que deverá ser consultada pelo firewall. 

Caso um endereço IP esteja presente nessa zona, e-mails vindos dele serão 

recusados. 

Alguns serviços de black list costumam ter seu funcionamento interrompido 

temporariamente devido aos problemas de natureza judicial. Quando isto acontece, ou 

eles se tornam inefetivos ou bloqueiam mais e-mails do que deveriam. Por favor 

verifique o funcionamento correto da black-list desejada antes de colocá-la em uso. 


Aba de Spam Meter 

Figura 365. Serviço: Spam Meter. 

Esta aba contém as opções de configuração da comunicação do firewall com o 

Spam Meter, um produto criado pela Aker Security Solutions com o objetivo de 

atribuir notas a mensagens de e-mail, de acordo com a probabilidade destas serem 

ou não SPAM. Ela consiste das seguintes opções: 

Habilitar Spam Meter: Habilita o uso do Spam Meter pelo firewall. 

Agente de Spam Meter a usar: Esse campo indica o Spam Meter que será 

utilizado para se atribuir notas a mensagens de e-mail. Esse agente deve ter sido 

previamente cadastrado no firewall. Para maiores informações veja o capítulo 

intitulado Cadastrando entidades. 

Base a usar: O Spam Meter permite a utilização de diversas bases para realizar a 

classificação de mensagens. A idéia por trás disso é permitir que cada pessoa ou 

grupo de pessoas com características semelhantes possam ter suas mensagens 

classificadas por uma base que melhor reflita sua definição de SPAM. O Aker 

Firewall não permite a utilização de bases distintas por pessoas ou grupos, porém é 

possível utilizar uma base distinta para cada contexto SMTP. Este campo serve 

para especificar o nome da base que será utilizada por este contexto. 


Níveis de Spam: Este controle permite a definição de dois limites de notas (entre 0 

e 100) para a filtragem de mensagens: Limite 1 e Limite 2. 

Limite 1: Define o limite, faixa verde, até o qual as mensagens são consideradas 

como não SPAM. 

Limite 2: Define, junto com o Limite 1, as faixas amarelas e vermelhas. A faixa 

amarela indica e-mails que potencialmente são SPAM mas que o SPAM Meter não 

tem certeza suficiente. A faixa vermelha indica mensagens que foram consideradas 

SPAM. 

Detecção de SPAM aprimorada: Se esta opção estiver selecionada o Spam Meter 

tentará detectar a maior quantidade possível de mensagens SPAM, com o 

inconveniente de eventualmente poder gerar mais falsos positivos, ou seja, 

mensagens que seriam válidas classificadas como potenciais SPAM. 

Redução de Falso-positivo: Se esta opção estiver selecionada, o Spam Meter 

tentará reduzir ao máximo os falsos positivos, com o inconveniente de 

eventualmente classificar como inofensiva uma mensagem que seria SPAM. 

Ação: Este campo indica as ações que devem ser executadas pelas mensagens 

que se enquadrarem em cada uma das áreas definidas pelos limites 1 e 2. As 


Aceitar: As mensagens que se enquadrarem nesta faixa serão aceitas sem 

qualquer modificação. Normalmente esta ação é associada à faixa verde. 

Descartar: As mensagens que se enquadrarem nesta faixa serão descartadas pelo 

firewall, isto é, elas serão recebidas por ele e o servidor que as enviou será 

informado do sucesso no envio, no entanto elas nunca serão reenviadas aos 

usuários que as deveriam receber. Esta ação deve ser utilizada apenas na faixa 

vermelha e seu objetivo é impedir que potenciais emissores de SPAM saibam se 

conseguiram ou não enviar suas mensagens. 

Rejeitar: As mensagens que se enquadrarem nesta faixa serão rejeitadas pelo 

firewall, isto é, o servidor que as enviou será informado que elas foram recusadas e 

que ele não deve tentar enviá-las novamente. Esta ação deve ser utilizada apenas 

na faixa vermelha. 

Adicionar assunto: As mensagens que se enquadrarem nesta faixa serão aceitas 

porém terão seu assunto precedido de um texto qualquer definido pelo 

administrador. O campo à direita serve para o administrador definir o texto que será 

adicionado ao assunto. Esta ação normalmente é utilizada na faixa amarela, mas 

pode também ser utilizada na vermelha. A idéia é configurar um filtro, para o texto a 

ser adicionado, nos leitores de e-mail de modo a fazer com que as mensagens 

suspeitas ou consideradas SPAM sejam automaticamente separadas em uma outra 

caixa postal. 


Enviar cópia: Para toda mensagem, independentemente de ter sido aceita ou 

rejeitada, é possível enviar uma cópia completa dela para um endereço de e-mail 

qualquer. Este campo indica se deve ou não ser enviada esta cópia. Caso ele esteja 

marcado, deve-se escolher uma das seguintes opções de envio: 


E-mail: A cópia da mensagem é enviada para o endereço especificado no 

campo à direita. 

Modificar mensagem para treinamento: Uma das características fundamentais do 

Spam Meter é sua possibilidade de aprender novas características de SPAM, de 

modo a sempre oferecer um ótimo nível de acerto. Os campos contidos nesta opção 

indicam quais usuários podem realizar treinamento da base de dados do contexto e 

de que forma as mensagens devem ser modificadas para possibilitar este 

treinamento. As seguintes opções estão disponíveis: 

Usar plugin: Esse campo indica os destinatários que treinarão mensagens através 

do plugin de treinamento disponibilizado pela Aker (disponível inicialmente para 

Outlook e Thunderbird). Neste caso, as mensagens não serão modificadas em 

nenhuma forma, apenas alguns campos novos serão acrescentados no cabeçalho. 

Ele especifica uma entidade do tipo de e-mails que deve ter sido previamente 

cadastrada no firewall (para maiores informações veja o capítulo intitulado 


Usar sub-mensagens (.eml): Os destinatários que estiverem neste campo 

receberão suas mensagens originais encapsuladas em outra, que conterá botões 

que os possibilitará de realizar o treinamento (a mensagem inicial virá sem nenhuma 

modificação, porém em alguns leitores de e-mail será necessário clicar sobre ela 

para pode visualizá-la). Ele especifica uma entidade do tipo de e-mail que deve ter 

sido previamente cadastrada no firewall (para maiores informações veja o capítulo 

intitulado Cadastrando entidades). 

Usar layout HTML: Os destinatários que estiverem neste campo receberão suas 

mensagens originais acrescidas de um novo layout HTML, que conterá botões que 

os possibilitará de realizar o treinamento. Ele especifica uma entidade do tipo de e- 

mails que deve ter sido previamente cadastrada no firewall (para maiores 

informações veja o capítulo intitulado Cadastrando entidades). 

Ajustar mensagens: Se umas das opções Usar sub-mensagens ou Usar Layout 

HTML for selecionada, este botão será habilitado e permitirá a definição das 

mensagens que serão mostradas aos usuários para que eles possam realizar o 

treinamento. 

Endereço para treinamento: Este campo deve ser preenchido com o nome ou 

endereço IP da máquina na qual o firewall está rodando, de modo a que os leitores 

de e-mails dos clientes saibam para onde enviar o resultado do treinamento. 


As listas serão pesquisadas pelo firewall na ordem em que aparecem, isto é, se 

um destinatário estiver em duas ou mais listas, a mensagem será modificada de 

acordo com a lista superior. 

Caso um usuário não apareça em nenhuma lista ele não poderá realizar 

treinamento da base. 


Aba Avançado 

Figura 366. Serviço: Avançado. 

Esta pasta permite o acesso às opções de configuração avançadas do proxy SMTP. 

Elas permitem um ajuste fino do funcionamento do proxy. As opções são: 

Permite cabeçalho incompleto: Se esta opção estiver marcada como NÃO, não 

serão aceitas mensagens cujos cabeçalhos não contenham todos os campos 

obrigatórios de uma mensagem SMTP. 

Número de processos: Este campo indica o número máximo de cópias do proxy 

que poderão estar ativas em um determinado momento. Como cada processo trata 

uma conexão, este número também representa o número máximo de mensagens 

que podem ser enviadas simultaneamente para o contexto em questão. Caso o 

número de conexões ativas atinja este limite, os clientes que tentarem enviar novas 

mensagens serão informados que o servidor se encontra temporariamente 

impossibilitado de aceitar novas conexões e que devem tentar novamente mais 

tarde. 


É possível utilizar este número de processos como uma ferramenta para 

controlar o número máximo de mensagens simultâneas passando pelo link, de 

forma a não saturá-lo. 

Tempo limite de resposta do cliente: Este parâmetro indica o tempo máximo, em 

segundos, que o proxy espera entre cada comando do cliente que está enviando a 

mensagem SMTP. Caso este tempo seja atingido, sem receber nenhum comando 

do cliente, o proxy assume que este caiu e derruba a conexão. 

Tempo limite de resposta para servidor: Para cada um dos possíveis comandos 

válidos do protocolo SMTP, existe um tempo máximo de espera por uma resposta 

do servidor. Caso não receba nenhuma resposta dentro deste período, o proxy 

assume que o servidor caiu e derruba a conexão. Neste grupo é possível configurar 

o tempo máximo de espera, em segundos, para cada um destes comandos. 

Todos os demais parâmetros se referem aos tempos limites de resposta para cada 

comando SMTP e não devem ser modificados a não ser que haja uma razão 

específica para fazê-lo. 


Configurando o Proxy Telnet 


26. Configurando o Proxy Telnet 

Este capítulo mostrará como configurar o proxy telnet para realizar autenticação de 

usuários. 

O que é o proxy Telnet? 

O proxy Telnet é um programa especializado do Aker Firewall feito para trabalhar 

com o protocolo Telnet, que é o protocolo utilizado para emulação de terminais 

remotos. A sua função básica é possibilitar a realização de uma autenticação a nível 

de usuário para as sessões telnet a serem estabelecidas. Este tipo de autenticação 

permite uma grande flexibilidade e um elevado nível de segurança. 




Utilizando o proxy Telnet 

Para utilizar o proxy Telnet para realizar autenticações em uma comunicação, é 

necessário executar uma seqüência de 2 passos: 

1. Criar um serviço que será desviado para o proxy Telnet e editar os parâmetros 

do contexto a ser usado por este serviço (para maiores informações, veja o 

capítulo intitulado Cadastrando Entidades). 

2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 

1, para as redes ou máquinas desejadas (para maiores informações, veja o 

capítulo intitulado O Filtro de Estados). 

A partir deste momento, todas as vezes que uma sessão telnet enquadrar na regra 

criada que foi estabelecida, o firewall solicitará uma identificação do usuário e uma 

senha. Se a identificação e a senha forem válidas e o usuário em questão tiver 

permissão, a sessão será estabelecida. Caso contrário o usuário será informado do 

erro e a sessão cancelada. 

26.1. Editando os parâmetros de um contexto Telnet 

A janela de propriedades de um contexto Telnet será mostrada quando a opção 

Proxy Telnet for selecionada. Através dela é possível definir o comportamento do 

proxy Telnet quando este for lidar com o serviço em questão. 


A janela de propriedades de um contexto Telnet 

Figura 367. Serviço: propriedade de um contexto Telnet. 


associado a um determinado serviço. Ela consiste dos seguintes campos: 

Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionar 

essa opção, somente serão aceitas conexões de máquinas cujo DNS reverso esteja 

configurado e aponte para um nome válido. 

Permissão Padrão: Indicar a permissão que será aplicada a todos os usuários que 

não estiverem presentes e que não façam parte de nenhum grupo presente na lista 

de permissões. O valor aceita permite que a sessão de telnet seja estabelecida e o 

valor rejeita impede sua realização. 

Número máximo de sessões simultâneas: Definir o número máximo de sessões 

telnet que podem estar ativas simultaneamente neste contexto. Caso o número de 

sessões abertas atinja este limite, os usuários que tentarem estabelecer novas 

conexões serão informados que o limite foi atingido e que devem tentar novamente 

mais tarde. 


Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxy 

pode ficar sem receber dados da sessão Telnet e ainda considerá-la ativa. 

O valor deste campo deve ser menor ou igual ao valor configurado no campo 

Tempo limite TCP, nos parâmetros de configuração globais. (para maiores 

informações, veja o capítulo intitulado Configurando os parâmetros do sistema) 

Lista de permissões: Definir de forma individual, as permissões de acesso para 

usuários ou grupos. 

Para executar qualquer operação sobre um usuário ou grupo na lista de permissões, 

basta clicar com o botão direito do mouse sobre ele. Aparecerá o seguinte menu: 

(este menu será acionado sempre que se pressionar o botão direito, mesmo que 

não exista nenhum usuário/grupo selecionado. Neste caso, somente as opções 

Incluir e Colar estarão habilitadas). 

Figura 368. Menu (inserir). 

Inserir: Permitir a inclusão de um novo usuário/grupo na lista. Se algum 

usuário/grupo estiver selecionado, o novo será inserido na posição selecionada. 

Caso contrário, o novo usuário/grupo será incluído no final da lista. 

Editar: Permite alterar a permissão de acesso do usuário/grupo selecionado. 

Excluir: Remover da lista o usuário/grupo selecionado. 


ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se o 

usuário/grupo, clicando-o com o botão esquerdo, e em seguida clica-se na opção 

desejada. 

A ordem dos usuários e grupos na lista de permissões é de fundamental 

importância. Quando um usuário se autenticar, o firewall pesquisará a lista a partir 

do início procurando pelo nome desse usuário ou por um grupo de que ele faça 

parte. Tão logo um desses seja encontrado, a permissão associada ao mesmo será 

utilizada. 

Para alterar a posição de um usuário ou grupo dentro da lista, deve-se proceder da 

seguinte forma: 

1. Selecionar o usuário ou grupo a ser movido de posição. 


2. Clicar em um dos botões em formato de seta, localizados a direita da lista. O 

botão com o desenho da seta para cima fará com que o usuário/grupo 

selecionado seja movido uma posição para cima. O botão com a seta para baixo 

fará com que este seja movido uma posição para baixo. 

No caso de inclusão de usuários/grupos, será mostrada a seguinte janela: 

A janela de inclusão de usuários/grupos 

Figura 369. Janela de inclusão de usuários ou grupos. 

A janela de inclusão permite definir a permissão de acesso para um usuário ou um 

grupo de um determinado autenticador. Para fazê-lo, deve-se proceder da seguinte 

forma: 

Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos, 

clicando-se com o botão esquerdo sobre seu nome na lista superior da janela (se o 

autenticador desejado não aparecer na lista, é necessário acrescentá-lo na lista de 

autenticadores a serem pesquisados. Para maiores informações, veja o capítulo 

intitulado Configurando parâmetros de autenticação). 

1. Selecionar entre listagem de usuários ou grupos, clicando-se nos botões 

correspondentes localizados entre as duas listas. 

2. Clicar com o botão esquerdo sobre o nome do usuário ou grupo que queira 

incluir, na lista inferior da janela. 

3. Definir a permissão de acesso para o usuário ou grupo, escolhendo entre os 

valores aceita (que possibilitará o estabelecimento da sessão) ou rejeita (que 

impedirá seu estabelecimento). 


4. Clicar no botão OK, o que provocará o fechamento da janela e a inclusão do 

usuário ou grupo na lista de permissões da janela de propriedades do contexto. 


Configurando o Proxy FTP 


27. Configurando o Proxy FTP 

Este capítulo mostrará como configurar o proxy FTP, de forma a bloquear 

determinados comandos da transferência de arquivos. 

O que é o proxy FTP? 

O proxy FTP é um programa especializado do Aker Firewall feito para trabalhar com 

o protocolo FTP, que é o protocolo utilizado para a transferência de arquivos pela 

Internet. A sua função básica é possibilitar que o administrador defina os comandos 

que podem ser aceitos e impedir, por exemplo, a criação de novos arquivos ou de 

diretórios. 




Utilizando o proxy FTP 

Para utilizar o proxy FTP para realizar o controle de uma transferência de arquivos é 

necessário executar uma seqüência de 2 passos: 

1. Criar um serviço que será desviado para o proxy FTP e editar os parâmetros do 

contexto a ser usado por este serviço (para maiores informações, veja o capítulo 

intitulado Cadastrando Entidades). 

2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, 

para as redes ou máquinas desejadas (para maiores informações, veja o capítulo 


O proxy FTP não realiza autenticação de usuários. Para possibilitar que certos 

usuários tenham privilégios diferentes é necessário criar serviços do proxy FTP com 

contextos distintos e associar cada um destes serviços com um perfil de acesso. Para 

maiores informações sobre perfis de acesso, verifique o capítulo chamado Perfis de 

acesso de usuários. 

27.1. Editando os parâmetros de um contexto FTP 

A janela de propriedades de um contexto FTP será mostrada quando selecionar a 

opção Proxy FTP, na janela de edição de serviços. Através dela é possível definir o 

comportamento do proxy FTP quando este for lidar com o serviço em questão. 


A janela de propriedades de um contexto FTP 

Figura 370. Serviços: propriedades de um contexto SMTP. 



Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionar 

essa opção, somente serão aceitas conexões de máquinas cujo DNS reverso esteja 

configurado e aponte para um nome válido. 

Permitir que o servidor abra conexões em qualquer porta com o cliente: Esta 

opção permite que o servidor FTP comunique-se com o cliente por uma porta 

diferente da padrão que é TCP 20. 

Habilitar logs de downloads e uploads: Esta opção fará com que seja gerado um 

evento informando dados sobre os downloads e uploads realizados passando pelo 

proxy. 

Número máximo de conexões simultâneas: Definir o número máximo de sessões 

FTP que podem estar ativas simultaneamente neste contexto. Caso o número de 

sessões abertas atinja este limite, os usuários que tentarem estabelecer novas 


conexões serão informados que o limite foi atingido e que devem tentar novamente 

mais tarde. 

Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxy 

pode ficar sem receber dados da sessão FTP e ainda considerá-la ativa. 

O valor deste campo deve ser menor ou igual ao valor configurado no campo 

Tempo limite TCP, nos parâmetros de configuração globais. (para maiores 

informações, veja o capítulo intitulado Configurando os parâmetros do sistema. 

Esta janela permite a criação de uma lista de regras que poderão ser aceitas ou 

não, de acordo com ícone na coluna Ação que terão as opções Aceita ou Rejeita. 

Para poder inserir um comando na coluna FTP é necessário clicar com o botão 

direito dentro do componente e selecionar a opção inserir, assim depois de inserida 

a regra, deve-se clicar na coluna FTP e selecionar a opção desejada ou digitar outro 

comando. 

Figura 371. Janela de lista de regras (aceitas ou não).. 

Abaixo segue a descrição de todas as opções: 

mkd - Criar diretório: Ao selecionar essa opção, será possível a criação de 

diretórios através das conexões FTP que se encaixarem neste contexto. 

xmkd - Criar diretório Estendido: Ao selecionar essa opção, será possível a 

criação de diretórios estendidos por meio das conexões FTP que se encaixarem 

neste contexto. 

&rmd - Apagar diretório: Ao selecionar essa opção, será possível a remoção de 

diretórios através das conexões FTP que se encaixarem neste contexto. 

xrmd - Apaga um diretório estendido: Ao selecionar essa opção, será possível 

remover diretórios através das conexões FTP que se encaixarem neste contexto. 


list - Listar diretório: Ao selecionar essa opção será possível a visualização do 

conteúdo de diretórios (comandos DIR ou LS) através das conexões FTP que se 

encaixarem neste contexto. 

nlst - Listar nomes dos diretórios: Ao selecionar essa opção será possível a 

visualização dos nomes dos diretórios, através das conexões FTP que se 

encaixarem neste contexto. 

retr - Download de arquivos: Ao selecionar essa opção, será possível fazer 

download de arquivos através das conexões FTP que se encaixarem neste 

contexto. 

stor - Upload de arquivos: Ao selecionar essa opção, será possível fazer upload 

de arquivos através das conexões FTP que se encaixarem neste contexto. 

stou - Upload de arquivos: Ao selecionar essa opção, será possível fazer upload 

de um arquivo com o nome único no diretório corrente. 

appe - Concatenar Dados: Ao selecionar essa opção, será possível concatenar os 

dados no fim de um arquivo. Caso o arquivo não exista ele será criado. 

rest - Recomeçar download/upload: Ao selecionar essa opção, será possível 

recomeçar o download ou upload do ponto de onde foi interrompido. 

dele - Apagar arquivos: Ao desmarcar essa opção, não será possível remover 

arquivos através das conexões FTP que se encaixarem neste contexto. 

rnfr - Renomear arquivos: Se esta opção estiver desmarcada, não será possível 

renomear arquivos através das conexões FTP que se encaixarem neste contexto. 

As regras que não forem listadas obedecerão a "ação padrão". 


Configurando o Proxy POP3 


28. Configurando o Proxy POP3 

Este capítulo mostrará quais as funções oferecidas pelo proxy POP3 e como 

realizar a sua configuração. 

O que é o proxy POP3? 

O proxy POP3 é um programa especializado do Aker Firewall feito para trabalhar 

com correio eletrônico. Este proxy possibilita realizar filtragens de e-mails baseadas 

em seus arquivos anexos. Ele também atua como uma barreira protegendo o 

servidor POP3 contra diversos tipos de ataques. 




POP3 é um anagrama para Post Office Protocol, que é o nome completo do 

serviço de download de mensagens de correio eletrônico na Internet. 

Ataques contra um servidor POP3 

Existem diversos ataques passíveis de serem realizados contra um servidor POP3. 

São eles: 

Ataques explorando bugs de um servidor 

Neste caso, o atacante procura utilizar um comando ou parâmetros de um 

comando que conhecidamente provocam falhas de segurança. 

O proxy POP3 do Aker Firewall impede estes ataques na medida em que só 

permitem a utilização de comandos considerados seguros e validando os 

parâmetros de todos os comandos. 

Ataques explorando estouro de áreas de memória (buffer overflows) 

Estes ataques consistem em enviar linhas de comando muito grandes, fazendo 

com que um servidor que não tenha sido corretamente desenvolvido apresente 

falhas de segurança. 

O proxy POP3 do Aker Firewall impede estes ataques na medida em que limita o 

tamanho máximo das linhas de comando que podem ser enviadas para o 

servidor. 


Utilizando o proxy POP3 

Para utilizar o proxy POP3 em uma comunicação, é necessário executar uma 


1. Criar um serviço que será desviado para o proxy POP3 e editar os parâmetros 


capítulo intitulado Cadastrando Entidades). 

2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 

1, para as redes ou máquinas desejadas (para maiores informações, veja o 

capítulo intitulado O Filtro de Estados). 

28.1. Editando os parâmetros de um contexto POP3 

A janela de propriedades de um contexto POP3 será mostrada quando a opção 

Proxy POP3 for selecionada. Através dela é possível definir o comportamento do 

proxy POP3 quando este for lidar com o serviço em questão. 

A janela de propriedades de um contexto POP3 

Figura 372. Propriedades de um contexto POP3. 



associado a um determinado serviço. São eles: 

Configurações: É formado por diversos campos que indicam as ações a serem 

executadas pelo proxy POP3: 

Agente de antivírus: Indicar o agente antivírus que será utilizado para 

checar vírus dos arquivos anexados a mensagens de e-mail. Esse agente 

deve ter sido previamente cadastrado no firewall. Para maiores informações 

veja o capítulo intitulado Cadastrando entidades. 

E-mail padrão: Indicar o endereço de e-mail padrão, para o qual serão 

enviadas as cópias das mensagens que não se enquadrarem em nenhuma 

regra deste contexto (se a opção Envia Cópia estiver marcada). Este e-mail 

também pode ser referenciado em qualquer regra de filtragem do contexto. 

Número máximo de processos: Indicar o número máximo de cópias do 

proxy que poderão estar ativas em um determinado momento. Como cada 

processo trata uma conexão, este número também representa o número 

máximo de mensagens que podem ser transmitidas simultaneamente para o 

contexto em questão. Caso o número de conexões ativas atinja este limite, os 

clientes que tentarem enviar novas mensagens deverão repetir a tentativa 

posteriormente. 

Tempo limite de resposta: Indicar o tempo máximo, em segundos, que o 

proxy espera a conexão em inatividade. Caso este tempo seja atingido o 

proxy encerra a conexão. 

Permitir a passagem de anexos mal codificados: Permitir que anexos que 

estejam mal codificados passem pelo firewall e sejam entregues aos clientes 

de email. 

Lista de regras: Nessa lista são especificadas as regras de tratamento de arquivos 

anexados que permitem que uma mensagem tenha seus arquivos anexados 

removidos ou checados contra vírus. 

Para executar qualquer operação sobre uma determinada regra, deve-se clicar com 

o botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será 

acionado sempre que pressionar o botão direito, mesmo que não exista nenhuma 


habilitadas). 

Figura 373. Operações sobre determinada regra. 


Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra 

estiver selecionada, a nova será inserida na posição da regra selecionada. 

Caso contrário, a nova regra será incluída no final da lista. 



Renomear: Renomear a regra selecionada. 




A ordem das regras na lista de regras de filtragem de arquivos anexados é de 

fundamental importância. Para cada arquivo anexado de uma mensagem, o firewall 

pesquisará a lista a partir do início procurando uma regra na qual ele se enquadre. 

Tão logo uma seja encontrada, a ação associada a ela será executada. 




A janela de edição de regras de arquivos 

Figura 374. Edição de regras de arquivos. 


filtragem de arquivos para um contexto POP3. Ela consiste dos seguintes campos: 

Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado na 

lista de regras de arquivos. Não podem existir duas regras com o mesmo nome. 

Filtrar por tipo MIME: Permitir definir uma regra de filtragem de arquivos baseandose 

em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo. 


Filtrar por nome: Permitir realizar filtragens a partir (de parte) do nome, do arquivo 

anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o 

texto a ser pesquisado. As seguintes opções de pesquisa estão disponíveis: 

CONTÉM: O nome deve conter o texto informado em qualquer posição. 

NÃO CONTÉM: O nome não pode conter o texto informado. 

É: O conteúdo do nome deve ser exatamente igual ao texto informado. 

NÃO É: O conteúdo do nome deve ser diferente do texto informado. 

COMEÇA COM: O conteúdo do nome deve começar com o texto informado. 

NÃO COMEÇA COM: O conteúdo do nome não pode começar com o texto 

informado. 

TERMINA COM: O conteúdo do nome deve terminar com o texto informado. 

NÃO TERMINA COM: O conteúdo do nome não pode terminar com o texto 

informado. 

CONTÉM PALAVRAS: Neste tipo de pesquisa, o texto informado é considerado 

como formado por palavras individuais (separadas por espaços), ao invés de um 

texto contínuo. Para enquadrar na pesquisa, o nome deve conter todas as 

palavras informadas, independente de sua posição. 

Ativação do filtro: Caso tenha especificado filtragem por tipo MIME e por nome, 

esse campo permite especificar se a regra deve ser aplicada Somente se ambos 

são verdadeiros (valor E) ou Se qualquer um for verdadeiro (valor OU). 

Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo se 

enquadrar na regra. Ela consiste em três opções: 

Aceita o anexo: Ao selecionar essa opção o firewall irá manter o arquivo 

anexado na mensagem. 

Remove o anexo: Ao selecionar essa opção o firewall irá remover o arquivo 

anexado da mensagem. 

Remove anexo infectado: Ao selecionar essa opção o firewall irá verificar o 

arquivo anexado da mensagem contra vírus. Caso exista vírus o firewall tomará 

uma das seguintes ações: se o arquivo puder ser desinfectado, o vírus será 

removido e o arquivo re-anexado à mensagem. Caso o arquivo não possa ser 

desinfectado, o firewall o removerá e acrescentará uma mensagem informando o 

destinatário desse fato. 

Caso a caixa Registrar na lista de eventos estiver marcado, quando a regra for 

atendida a mesma será registrada no log de eventos. 

Remover arquivos encriptados: Ao selecionar essa opção, o firewall removerá os 

arquivos anexados que estejam compactados e cifrados, porque não poderá 

examiná-los para testar a presença de vírus. 

Remover arquivos corrompidos: Ao selecionar essa opção, o firewall removerá os 

arquivos anexados que estejam compactados, porém corrompidos, porque não 

poderá examiná-los para testar a presença de vírus. 


Notifica emissor no caso de remoção do arquivo anexado: Ao selecionar essa 

opção, o firewall enviará uma mensagem para o emissor de um e-mail todas as 

vezes que um ou mais de seus arquivos anexados for removido. 

Envia cópia para o administrador se o arquivo anexado for removido: Ao 

marcar essa opção, o firewall enviará uma cópia de todos os arquivos removidos 

para o administrador. Caso ela esteja marcada, deve-se escolher uma das 


E-mail Padrão: A cópia da mensagem é enviada para o e-mail padrão, definido 

na janela de propriedades do contexto. 

outro: A cópia da mensagem é enviada para o endereço especificado no campo 

à direita. 


Utilizando as Quotas 


29. Utilizando as Quotas 

Este capítulo mostrará como são utilizadas as quotas. 

O que são quotas? 

A produtividade dos funcionários é de fundamental importância para o 

desenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos de 

rede devem ser utilizados de forma racional. A partir dessa necessidade, o Aker 

Firewall tornou-se uma ferramenta indispensável para o controle de acesso às 

páginas web, que são visitadas pelos empregados de uma corporação. Com o uso 

desse produto, os usuários só terão acesso à sites dentro dos limites estabelecidos 

pelas quotas de acesso. As Quotas são utilizadas para controlar e racionalizar o 

tempo gasto pelos funcionários, com acesso à sites da WEB. Assim as quotas são 

os limites em termos de tempo de acesso e volume de dados, por usuário. Estes 

limites são definidos na seguinte forma: 

Quanto à periodicidade de acesso, pode ser definido diariamente, semanalmente 

e mensalmente; 

Quanto à quantidade de horas e de dias disponíveis; 

Quanto ao volume de dados de bytes trafegados. 

Observação 1: A contagem do tempo funciona da seguinte forma: quando o usuário 

acessa uma página, conta um relógio de 31 segundos, se o usuário acessar uma 

outra página, começa a contar do zero, mas não deixar de contar, por exemplo, os 

10 segundos que o usuário gastou ao acessar a página anterior. 

Observação 2: Para o consumo de quota, funciona da seguinte forma: no MSN, 

para cada janela de conversação, o tempo é contato separadamente, já na WEB ser 

tiver acessando 10 sites, será contato somente o tempo de um. 


29.1. Editando os parâmetros do Uso de Quota 

Figura 375. Janela de acesso - Uso de quotas. 

Clicar no menu Informação da janela do firewall. 

Selecionar o item Uso de Quotas. 


Visualização do Usuário 

Figura 376. Uso de quotas: viasualização do usuário. 

Esta janela permite mostrar todas as informações de quota de acesso, especificadas 

por usuário. 

Reiniciar o tempo do usuário: Ao clicar com o botão direito do mouse em cima do 

usuário e ao selecionar essa opção zera toda a quota de tempo de acesso para 

todas as quotas desse usuário. Caso clique em cima da quota, só será zerado 

aquela quota específica referente a esse usuário. 

Reiniciar o tráfego do usuário: Ao clicar com o botão direito do mouse em cima do 

usuário e ao selecionar essa opção opta em zerar todas as quotas de volume de 

dados desse usuário. Caso clique em cima da quota, só será zerado aquela quota 

específica referente a esse usuário. 

Reiniciar hora e tráfego do usuário: Ao clicar com o botão direito do mouse em 

cima do usuário e ao selecionar essa opção opta em zerar toda quota de tempo de 

acesso e a quota de volume, para esse usuário.Caso clique em cima da quota, só 

será zerado aquela quota específica referente a esse usuário. 

Usuário: Usuário para qual foi aplicado a quota. 


Quota: Nome da quota criada. 

Time: Tempo gasto da quota. 

Volume: Quantidade de bytes trafegados. 

Regularidade: Período que a quota vai ser aplicada se é diariamente, 

semanalmente ou mensalmente. 

Mostra valores relativos: Mostra os valores das quotas gastas em forma de 

porcentagem. 

Visualização da Quota 

Figura 377. Uso de quotas: viasualização da quota. 

Esta janela permite mostrar todas as informações de quota de acesso, especificados 

por quota. 

Reinicia o tempo do usuário: Ao clicar com o botão direito do mouse em cima do 

usuário e ao selecionar essa opção zera toda a quota de tempo de acesso para 

todas as quotas desse usuário. Caso clique em cima da quota, só será zerado 

aquela quota específica referente a esse usuário. 


Reinicia o tráfego do usuário: Ao clicar com o botão direito do mouse em cima do 

usuário e ao selecionar essa opção opta em zerar todas as quotas de volume de 

dados desse usuário. Caso clique em cima da quota, só será zerado aquela quota 

específica referente a esse usuário. 

Reinicia hora e tráfego do usuário: Ao clicar com o botão direito do mouse em 

cima do usuário e ao selecionar essa opção opta em zerar toda quota de tempo de 

acesso e a quota de volume, para esse usuário. Caso clique em cima da quota, só 

será zerado aquela quota específica referente a esse usuário. 

Mostra valores relativos: Mostra os valores das quotas em forma de porcentagem. 

Quota: Nome da quota criada. 

Usuário: Usuário para qual foi aplicado à quota. 

Tempo: Tempo gasto da quota. 

Volume: Quantidade de bytes trafegados. 

Regularidade: Período que a quota vai ser aplicada se é diariamente, 

semanalmente ou mensalmente. 


Configurando o Filtro Web 


30. Configurando o Filtro Web 

Este capítulo mostrará para que serve e como configurar o Filtro Web. 


O que é o Filtro Web do Aker Firewall? 

O filtro web é um programa especializado do Aker Firewall feito para trabalhar com 

os protocolos que compõem a chamada WWW (World Wide Web). Dentre entre 

estes protocolos, estão o HTTP, HTTPS, FTP e Gopher. 

Este produto possui como principal função controlar o acesso dos usuários internos 

à Internet, definindo quais páginas os usuários poderão acessar e se podem ou não 

transferir arquivos, por exemplo. Além disso, ele pode bloquear tecnologias 

consideradas perigosas para algumas instalações como o Active-X TM , scripts 

(JavaScript) e até applets Java TM . Mais ainda, ele possibilita a remoção dos banners 

das páginas, de forma a aumentar a sua velocidade de carga e reduzir a utilização 

do link. 

Ele é um proxy simultaneamente transparente (apenas para HTTP) e não 

transparente (para maiores informações, veja o capítulo intitulado Trabalhando 

com proxies), facilitando a instalação do sistema. 

Quando utilizado da forma transparente, o proxy é normalmente mais rápido do 

que quando utilizado como um proxy normal, além de não necessitar configuração 

extra nos clientes. Por outro lado, a capacidade de filtrar URLs para os protocolos 

HTTPS, FTP e GOPHER só existe no proxy normal. 

Para que o proxy não transparente tenha a mesma performance do transparente, 

é necessário que os browsers suportem o envio de requisições HTTP 1.1 via 

proxies. 

O que é um servidor de cache WWW? 

Um servidor de cache é um programa que visa aumentar a velocidade de acesso às 

páginas da Internet. Para conseguir isso, ele armazena internamente as páginas 

mais utilizadas pelas diversas máquinas clientes e todas as vezes que recebe uma 

nova solicitação, ele verifica se a página desejada já se encontra armazenada. Caso 

a página esteja disponível, ela é retornada imediatamente, sem a necessidade de 

consultar o servidor externo, caso contrário a página é carregada normalmente do 

servidor desejado e armazenada, fazendo com que as próximas requisições a esta 

página sejam atendidas rapidamente. 


O filtro web do Aker Firewall trabalhando com um servidor de cache 

O Aker Firewall implementa por si só um servidor de cache no seu Filtro Web, 

entretanto ele pode ser configurado para trabalhar com qualquer um que siga os 

padrões de mercado. Este servidor de cache pode estar rodando na própria 

máquina onde o firewall se encontra ou em uma máquina separada. 

Caso utilize-se de um servidor de cache em uma máquina separada (modo de 

instalação recomendado), esta máquina deve ficar em uma sub-rede diferente de 

onde estão as máquinas clientes, caso contrário, todo o controle de segurança pode 

ser facilmente ultrapassado. Este tipo de configuração pode ser visualizado na 

seguinte figura: 

Figura 378. Conexão (internet, rede interna, firewall e DMZ). 

Neste tipo de instalação, para assegurar uma total proteção, basta configurar o filtro 

de estados (para maiores informações, veja o capítulo intitulado O Filtro de 

Estados) de forma a permitir que a máquina com o cache seja a única que possa 

acessar os serviços ligados ao WWW, e que as máquinas clientes não possam abrir 

nenhuma conexão em direção à máquina onde se encontra o cache. Feito isso, 

configura-se todas as máquinas clientes para utilizarem o Filtro Web do firewall e 

configura-se o firewall para utilizar o cache na máquina desejada. 


Utilizando o Filtro Web 

Para se utilizar o filtro web do Aker Firewall no modo não transparente (normal), é 

necessária a seguinte seqüência de passos: 

1. Criar os perfis de acesso desejados e os associar com os usuários e grupos 

desejados. (Isso foi descrito no capítulo chamado Perfis de acesso de 

usuários); 

2. Editar os parâmetros de configuração do Filtro Web (isso será mostrado no 

tópico chamado Editando os parâmetros do filtro web); 

3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenham 

acesso ao proxy (para maiores informações, veja o capítulo intitulado O Filtro 

de Estados). 

O filtro web não transparente escuta conexões na porta 80, utilizando o protocolo 

TCP. Caso seja necessário, pode-se alterar este valor para qualquer porta, 

bastando para isso acrescentar o parâmetro -p porta, onde porta é o número da 

porta que queira que ele escute, na hora de iniciá-lo. Esta chamada se encontra no 

arquivo /aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall 

/fwhttppd para /aker/bin/firewall/fwhttppd -p 8080, por exemplo. 

Para utilizar o filtro web no modo transparente é necessário executar uma seqüência 

de 2 passos: 

1. Criar um serviço que será desviado para o Filtro Web transparente (HTTP 

e/ou HTTPS) e editar os parâmetros do contexto a ser usado por este serviço 

(para maiores informações, veja o capítulo intitulado Cadastrando 

Entidades). 

2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no 


veja o capítulo intitulado O Filtro de Estados). 

30.2. Editando os parâmetros de Filtro Web 

Para utilizar o filtro web, é necessária a definição de alguns parâmetros que 

determinarão características básicas de seu funcionamento. Esta definição é feita 

na janela de configuração do Filtro Web. Para acessá-la, deve-se: 


Figura 379. Janela de acesso - filtro web. 

Clicar no menu Aplicação da janela do firewall. 

Selecionar o item Filtro Web. 


A janela de configuração de parâmetros do Filtro Web 

Aba geral 

Figura 380. Configuração dos parâmetros do filtro web (geral). 

O botão OK fará com que a janela de configuração do Filtro Web seja fechada e 

as alterações salvas. 


manterá a janela aberta. 




O botão Retornar à Configuração Inicial - Desconsidera as configurações 

personalizadas e retorna ao padrão; é aplicável em todas as abas e encontra-se na 

barra de ferramentas do Firewall, bem como o botão Assistente. 

Cache 

Habilitar cache: Esta opção permite definir se o Filtro Web irá redirecionar suas 

requisições para um servidor de cache. Caso esta opção esteja habilitada, todas 

as requisições recebidas serão repassadas para o servidor de cache, no 

endereço IP e porta especificada. Caso contrário, o Filtro Web atenderá todas as 

requisições. 

IP: Este campo especifica o endereço IP do servidor de cache para onde as 

requisições serão redirecionadas, caso a opção habilita cache estiver ativa. 

Porta: Este campo especifica a porta na qual o servidor de cache espera receber 

conexões, caso a opção habilita cache estiver ativa. 

Parâmetros 

Esta pasta possibilita ajustar o funcionamento do Filtro Web para situações 

especiais. Ela consiste dos seguintes campos: 

Autentica usuários WWW: Este campo ativa ou não a autenticação de usuários 

do Filtro Web. Caso ele esteja marcado, será solicitada ao usuário uma 

identificação e uma senha todas as vezes que ele tentar iniciar uma sessão e 

esta somente será iniciado caso ele seja autenticado por algum dos 

autenticadores. 

Utiliza cliente de autenticação em Java: Esta opção instrui o proxy a utilizar o 

cliente de autenticação em Java, mesmo quando operando de modo não 

transparente. A vantagem deste cliente é permitir que a autenticação do usuário 

seja completa (como quando se usa o cliente de autenticação para Windows, e 

não apenas para o Filtro Web). 

Caso o usuário esteja utilizando o Cliente de Autenticação Aker para Windows 

e esteja com uma sessão estabelecida com o Firewall, então não será solicitado 

nome nem senha, ou seja, o proxy se comportará como se não estivesse 

realizando autenticação de usuários, mas ele está de fato fazendo-o. Se a 

sessão do Cliente de Autenticação for finalizada, então o proxy solicitará um 

nome de usuário e senha no próximo acesso. Para maiores informações sobre o 

Cliente de Autenticação Aker, leia o capítulo (Autenticação de usuários). 

Para o cliente de autenticação em Java funcionar em seu browser, ele deve 

ter o suporte o Java instalado e habilitado, além de permitir o uso do protocolo 

UDP para applets Java. 


Forçar autenticação: Se esta opção estiver marcada o proxy obrigará a 

autenticação do usuário, ou seja, somente permitirá acesso para usuários 

autenticados. Se ela estiver desmarcada e um usuário desejar se autenticar, ele 

poderá fazê-lo (para ganhar um perfil diferente do padrão), mas acessos não 

identificados serão permitidos. 

Tempos Limites 

Leitura: Definir o tempo máximo, em segundos, que o proxy aguarda por uma 

requisição do cliente, a partir do momento que uma nova conexão for 

estabelecida. Caso este tempo seja atingido sem que o cliente faça uma 

requisição, a conexão será cancelada. 

Resposta: Definir o tempo máximo, em segundos, que o proxy aguarda por uma 

resposta de uma requisição enviado para o servidor WWW remoto ou para o 

servidor de cache, caso a opção habilita cache esteja ativa. Caso este tempo 

seja atingido sem que o servidor comece a transmitir uma resposta, a conexão 

com o servidor será cancelada e o cliente receberá uma mensagem de erro. 

HTTPS: Definir o tempo máximo, em segundos, que o proxy pode ficar sem 

receber dados do cliente ou do servidor em uma conexão HTTPS, sem que ele 

considere a conexão inativa e a cancele. 

Manter ativo: Definir quanto tempo um usuário pode manter uma conexão keepalive 

(HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o 

processo para outro usuário. Recomenda-se manter este tempo bastante baixo, 

para evitar o uso desnecessário de todos os processos do sistema. 

Timeout das sessões web: Indica quanto tempo uma sessão web vai ficar 

sendo monitorada, permitindo ao administrador do firewall saber quais são as 

sessões web ativas do seu firewall. 

Exemplo: Se for marcado 30 segundos nesse campo, a janela de sessões web 

(Informação -> Sessões Web) só vai mostrar as sessões ativas dos últimos 30 

segundos. 

Performance 

Número de processos: Definir o número de processos do Filtro Web que vão 

permanecer ativos aguardando conexões. Como cada processo atende uma 

única conexão, este campo também define o número máximo de requisições que 

podem ser atendidas simultaneamente. 

Não permitir a transferência de arquivos comprimidos: Permite que o 

Firewall não aceite transferências do filtro Web que tenham dados compactados. 

Em uma requisição HTTP e ou HTTPS, pode ser especificado que os dados 

venham compactados. Caso os dados venham comprimidos e caso exista 

activex, java ou javascript compactados, o firewall precisa descompactá-los para 


fazer a análise dos dados, por isso que nesses casos, essa opção é bastante 

importante. O mais aconselhado é deixar esta opção desmarcada, pois é o 

padrão da janela. 

Logar toda URL aceita: Permite que o Firewall logue todas as URL que são 

realizadas um método (GET, POST e etc), sendo assim teremos um volume de 

logs muito maior para geração de relatórios e contabilização de Quotas. 

Exemplo: com esta opção desmarcado o acesso ao endereço 

http://www.terra.com.br será gerado apenas um log informando o acesso ao 

portal, já com a opção marcada será gerado logs para cada GET que o browser 

faz para receber todo o site. 

Por razões de performance, os processos do Filtro Web ficarão ativos sempre, 

independente de estarem ou não atendendo requisições. Isto é feito com o 

objetivo de aumentar a performance. 

Normalmente, deve-se trabalhar com valores entre 5 e 60 neste campo, 

dependendo do número de máquinas clientes que utilizarão o proxy (cabe 

ressaltar que uma única máquina costuma abrir até 4 conexões simultâneas ao 

acessar uma única página WWW). O valor 0 inviabiliza a utilização do proxy. 

Quotas 

Interromper a transferência quando a quota for excedida: Essa opção 

permite interromper a transferência dos arquivos caso a quota tenha excedido. 

Caso essa opção não esteja marcada o firewall vai verificar a quota do usuário 

antes dele começar a fazer o download. 

Exemplo: Se o usuário tiver 50 MB de quota, e quer fazer um download de um 

arquivo de 100 MB, com certeza ele não irá conseguir finalizar 

essa transferência. Todas às vezes que essa opção estiver marcada, e for mais 

de um download simultâneo ou um download que não foi informado o seu 

tamanho, o firewall permite o download, mas irá interromper antes do término. 

Contabilizar duração do download: Permite que o tempo da quota seja "gasto" 

enquanto durar o tempo do download, por exemplo, se o usuário quiser fazer o 

download de um arquivo de 100 MB e esse download levar 30 minutos, vão ser 

gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opção 

não esteja marcada, só vão ser gastos 100 MB, e não os 30 minutos. 


Normalmente o tempo de quota só é utilizado quando o usuário fica navegando, 

mandando mensagens pelo MSN e etc. Quando ele está fazendo o download de 

um arquivo grande, não é gasto o tempo de sua quota, somente o volume de 

bytes. 

Arquivos 

Permitir retomada de transferência: Está opção deverá ser selecionada caso o 

usuário queira permitir, que um download continue de onde havia parado. 

Aba Cliente de Autenticação 

Figura 381. Filtro Web: cliente de autenticação. 


Esta aba serve para compor o Layout da janela de autenticação do Aker Firewall. 

Crie um título para a janela de autenticação. 

Autenticação - Este campo é composto por duas opções que serão disponibilizadas 

para o usuário quando do logon no Firewall; e poderá se conectar habilitando: 

Mostrar botão S/Key - Esta opção permite que os usuários se autentiquem 

usando S/Key. 

Mostrar campo domínio - O usuário informará o domínio para logar-se no Filtro 

Web. 

Logotipo 

Usar logo personalizada. Neste caso ao marcar esta opção, será preciso indicar 

o caminho que se encontra a logotipo. 

E é possível acompanhar as mudanças na Visualização. 

Mostrar tela de splash antes da janela de autenticação: Esta opção exibe uma 

janela com a URL especificada antes de solicitar a autenticação do usuário através 

do cliente de autenticação em Java. 


Aba controle de conteúdo 

Figura 382. Filtro Web: controle de conteúdo. 

Analisador de URL: Especificar o agente analisador de URLs que será utilizado 

para categorizar as páginas da Internet. Esse agente deve ter sido previamente 

cadastrado no firewall. Para maiores informações veja o capítulo intitulado 

Cadastrando entidades. 

URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelo 

firewall quando um usuário tentar acessar uma URL não permitida. Ela consiste das 

seguintes: opções: 

Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o 

firewall mostrará uma mensagem de erro informando que a URL que se 




URL especificada pelo administrador. Nesse caso, deve-se especificar a URL 

para quais os acessos bloqueados serão redirecionados (sem o prefixo 

http://) no campo abaixo. 



quando a tentativa de acesso a uma URL for bloqueada. Então pode optar em 

mostrar a página padrão ou redirecionar para a página escolhida, que 

será personalizada de acordo com os chekboxs selecionados. Segue abaixo a 

descrição de cada opção e o detalhamento das variáveis criadas. 

Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado para 

identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi 

bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria 

que causou o bloqueio da página. 

Domínio: Ao selecionar essa opção será mostrado o domínio da URL. 



Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, 

PUT, POST. Ao selecionar o Método é criada a variável method. 

Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar 

essa opção é criada a variável perfil. 

IP do usuário: Endereço IP do usuário que tentou acessar a URL que foi 

bloqueada. Ao selecionar o Método é criada a variável IP. 

Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa 

opção será mostrada a razão do bloqueio do site. Por exemplo, temos as 

seguintes razões: 






"tipo de objeto não permitido", 

"tipo de arquivo não permitido globalmente", 

"tipo de arquivo não permitido no perfil", 

"connect para a porta especificada não permitida” 





Número da regra: Número da Regra de Filtragem que a URL se enquadrou. 

Ao selecionar o número da regra é criada a variável rule. 



No preview, aparece como será a URL e o que será enviado via método GET. 


Aba tipos de arquivos 

Figura 383. Filtro Web: tipo de arquivo. 

Arquivos Bloqueados 

Especificar os arquivos que serão bloqueados pelo Filtro Web. 


transferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um 



aqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo firewall. 







URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelo 

firewall quando um usuário tentar acessar uma URL não permitida. Ela consiste das 

seguintes: opções: 

Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, 

o firewall mostrará uma mensagem de erro informando que a URL que se 




URL especificada pelo administrador. Nesse caso, deve-se especificar a 

URL para quais os acessos bloqueados serão redirecionados (sem o 

prefixo http://) no campo abaixo. 


quando a tentativa de acesso a uma URL for bloqueada. Então pode optar em 

mostrar a página padrão ou redirecionar para a página escolhida, que 

será personalizada de acordo com os chekboxs selecionados. Segue abaixo a 

descrição de cada opção e o detalhamento das variáveis criadas. 

Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado para 

identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi 

bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria 

que causou o bloqueio da página. 

Domínio: Ao selecionar essa opção será mostrado o domínio da URL. 



Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, 

PUT, POST. Ao selecionar o Método é criada a variável method. 

Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao 

selecionar essa opção é criada a variável perfil. 

IP do usuário: Endereço IP do usuário que tentou acessar a URL que foi 

bloqueada. Ao selecionar o Método é criada a variável IP. 

Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar 

essa opção será mostrada a razão do bloqueio do site. Por exemplo, 

temos as seguintes razões: 






"tipo de objeto não permitido", 

"tipo de arquivo não permitido globalmente", 

"tipo de arquivo não permitido no perfil", 

"connect para a porta especificada não permitido" 






Número da regra: Número da Regra de Filtragem que a URL se 

enquadrou. Ao selecionar o número da regra é criada a variável rule. 



GET. 

No preview, aparece como será a URL e o que será enviado via método 

Downloads 

Especificar os arquivos que serão analisados contra vírus pelo Download manager 

do Aker Firewall, ou seja, para os quais o firewall mostrará ao usuário uma página 

web com o status do download do arquivo e realizará seu download em background. 

Esta opção é interessante para arquivos potencialmente grandes (arquivos 

compactados, por exemplo) ou para arquivos que normalmente não são 

visualizáveis de forma on-line pelo navegador. 


transferido deve ser analisado: a extensão do arquivo ou seu tipo MIME. Se um 



aqueles a serem analisados, então o arquivo deverá ser analisado pelo firewall. 






Sites Excluídos: 

Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se 

enquadrarem na lista de excluídos não serão analisados. 

As escolhas dos operadores podem ser vistas abaixo: 


Figura 384. Escolhas dos operadores. 

Configurações: 

Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo 

encriptado. 

Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo 

corrompido. 

Online 

Da mesma maneira que em downloads o administrador do firewall deve escolher os 

tipos MIME e as extensões. 


Aba Antivírus 

Figura 385. Filtro Web: antivírus. 

Habilitar antivírus: Ao selecionar essa caixa, permitirá que o firewall faça a 

verificação antivírus dos conteúdos que tiverem sendo baixados. 

O botão Retornar à configuração padrão restaura a configuração original do 

firewall para esta pasta. 

Agente antivírus utilizado: Permitir a escolha de um agente antivírus 

previamente cadastrado para realizar a verificação de vírus. Esse agente 

deve ter sido previamente cadastrado no firewall. Para maiores 

informações veja o capítulo intitulado Cadastrando entidades. 

Ignorar erros online do antivírus (podem permitir a passagem de 

anexos contaminados): Quando este campo estiver selecionado, se 

houver um erro de análise do antivírus no tráfego on-line, o mesmo não 


loqueará o conteúdo, permitindo a transferência dos dados. Caso o 

campo não esteja marcado, a transferência de dados será bloqueada. 

Ignorar erros de download do antivírus (pode permitir a passagem de 

anexos contaminados): Quando este campo estiver selecionado, se 

houver erro de análise do antivírus no tráfego on-line, o mesmo não 

bloqueará o download, permitindo a transferência dos dados. Caso o 

campo não esteja marcado, o download será bloqueado. 

Habilitar janela de progresso do antivírus: Esta opção permite 

desabilitar o Download manager do Aker Firewall. 

Intervalo de atualização do status: Esta opção determina o tempo em a 

página de download exibida pelo firewall deve ser atualizada. 

Número de tentativas: Número máximo de tentativas de download para 

cada arquivo, caso seja necessário tentar mais de uma vez. 

Número máximo de downloads simultâneos: Configura o número 

máximo de downloads simultâneos que o firewall irá permitir. 

Analise de Vírus: Opção para mostrar uma página caso seja encontrado um vírus 

durante a análise do antivírus. A página poderá ser a do próprio firewall ou 

personalizada pelo usuário. É possível personalizar a mensagem para cada tipo de 

vírus encontrado, bastando utilizar a string {VIR} que será substituída pelo nome do 

vírus. 

Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, 

o firewall mostrará uma mensagem de erro informando que a URL que se 




URL especificada pelo administrador. Nesse caso, deve-se especificar a 

URL para quais os acessos bloqueados serão redirecionados (sem o 

prefixo http://) no campo abaixo. 


O Aker Antivirus Module suporta diversas opções de varredura de vírus, worms, 

dialers, hoax, cavalo de troia e analise heurísticas, abaixo segue uma lista de 

opções suportadas: 

Opções de análise: Utilizado para selecionar quais os tipos de bloqueio que devem 

ser realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se será ou não 

utilizado um método de detecção heurístico (caso seja marcado, poderá ser utilizado 

às opções baixo, médio ou alto); 

Habilitar análise heurística: A Heurística é um conjunto de regras e 

métodos que podem levar o parceiro instalado a detectar um vírus sem a 

necessidade de uma base de assinaturas de vírus, ou seja, é um algoritmo 

capaz de detectar programas maliciosos baseando-se em seu 

comportamento; 

Detectar Malware: Habilita a analise de programas maliciosos e ferramentas 

hackers. 

Varredura de Arquivos: 

Habilitado: Permite habilitar a análise do conteúdo de arquivos 

compactados; 

Nível Máximo de profundidade: Define o nível máximo de recursão ao 

analisar um arquivo compactado; 

Tamanho máximo do Arquivo: Define o tamanho máximo permitido de um 

arquivo a ser analisado dentro de um arquivo compactado; 

Número Máximo de Arquivos: Define a quantidade máxima de arquivos a 

serem analisados dentro de um arquivo compactado. 

O Aker Antivirus Module suporta a analise de arquivos compactados das 

seguintes extensões: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR, 

BZIP2, UPX, AsPack, PEPack, Petite, Telock, FSG, Crunch, WWWPack32, DOC, 

PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO, Gzip, MS OLE2, MS Cabinet Files (+ 

SFX), MS SZDD compression format, BinHex, SIS (SymbianOS packages), AutoIt, 

NSIS, InstallShield. 

Aba SSL 

O proxy HTTPS é a parte do Filtro Web que trata as conexões TCP pela porta 443. 

O princípio de funcionamento é o de um ataque man-in-the-middle: as máquinas 

clientes que fazem o acesso através do Aker Firewall, e este com o servidor remoto, 

de forma transparente. 


Entendendo um pouco de certificados 

O que é um certificado digital? 

Certificado digital é um documento fornecido pela Entidade Certificadora para cada 

uma das entidades que irá realizar uma comunicação, de forma a garantir sua 

autenticidade. 

Para os certificados utilizados na comunicação HTTPS o padrão utilizado é o X.509. 

Este comumente utiliza-se das extensões “pem”, “cer” e “crt”. 

Formato PKCS#12 

O formato PKCS#12 foi criado pela “RSA Laboratories” para armazenamento do 

certificado X.509 acompanhado da chave privada. Esse arquivo geralmente tem a 

extensão “pfx” e “p12”. 

Comunicação HTTPS 

A comunicação HTTPS utiliza-se do sistema de certificação digital. 

Quando o cliente acessa um site com HTTPS o servidor envia ao cliente o 

certificado X.509 (que contém sua chave pública). 

De posse deste certificado o navegador (cliente) faz algumas validações: 

Validade do certificado; 

Se o CN (Common Name) do certificado é o host da url; 

Se a autoridade certificadora que assinou o certificado é uma autoridade 

confiável. 

Após a validação ocorrer com sucesso o cliente efetua o processo de comunicação 

de requisições e respostas HTTP. 

Vejam o diagrama abaixo: 


Figura 386. Diagrama de certificados envolvidos no acesso. 

O diagrama mostra os certificados envolvidos no acesso: 

Certificado do servidor remoto: certificado original de onde alguns 

dados como data de expiração e common name são copiados para os 

certificados gerados no firewall. 

Certificado do proxy: certificado criado a cada requisição, que contém 

cópia daqueles dados do certificado original que identificam o site. 

Assinado pela CA inserida pelo administrador. 

Os clientes precisam confiar nessa CA inserida no Aker Firewall para que seu 

browser não detecte o ataque. Logo, dois certificados são necessários, um para os 

clientes e outro para o Aker Firewall. 

Outros certificados que aparecem são os utilizados pelo Aker Firewall para validar 

os sites remotos. 

Gerando certificado para utilização do Firewall 

Para o firewall poder gerar certificados ele atua como uma Autoridade certificadora 

(CA), ou seja, ele gera os certificados para os sites no qual é acessado através do 

Proxy. Para poder realizar este processo alguns pré-requisitos são necessários: 

O firewall necessita de um certificado digital no formato PKCS#12, pois somente 

este tem a chave privada; 


O Certificado X.509 contido no PKCS#12 necessita ser um certificado com 

prerrogativas específicas para que este certificado possa assinar novos 

certificados, ou seja, atuar como uma CA. 

Para o processo de geração do certificado há várias possibilidades, neste FAQ 

serão explicadas duas delas. Para o correto funcionamento do firewall não é 

necessário realizar estas duas formas, portanto escolha uma delas e realize 

somente ela. 

1. Gerando um certificado auto-assinado com o OpenSSL; 

2. Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows. 

Ao final de qualquer um dos dois processos escolhidos haverá dois arquivos que 

serão utilizados no processo do Proxy HTTPS: 

1. Arquivo no formato X.509, com extensão .cer; 

2. Arquivo no formato PKCS#12, com extensão .pfx. 

O Arquivo PKCS#12 será utilizado na configuração do Proxy HTTPS. O arquivo 

X.509 precisa ser importado na seção de autoridades certificadoras raiz 

confiáveis dos navegadores conforme demonstrado posteriormente. 


Configuração 

Figura 387. Filtro web: configuração. 

O proxy HTTPS ativo é habilitado por padrão e tem como opção a filtragem do 

serviço para determinadas portas e entidades. 

Controle SSL (proxy Ativo): Permitir a definição das portas de conexão segura 

(HTTPS) que serão aceitas pelo firewall. Caso um cliente tente abrir uma conexão 

para uma porta não permitida, o firewall mostrará uma mensagem de erro e não 

possibilitará o acesso. 

Permite HTTPS apenas para a porta padrão (443): caso queira utilizar 

apenas a porta padrão (443), deve-se selecionar a primeira opção. Essa é 

a configuração a ser utilizada na grande maioria dos firewalls. 

Permite HTTPS para todas as portas: indica ao firewall que ele deve 

aceitar conexões HTTPS para quaisquer portas. Essa configuração não é 

recomendada para nenhum ambiente que necessite de um nível de 

segurança razoável, já que é possível para um usuário utilizar o proxy 

para acessar serviços não permitidos simulando uma conexão HTTPS. 

Permite HTTPS para as entidades abaixo: que possibilita ao 

administrador definir exatamente quais portas será permitido. Nesse caso 


devem ser cadastradas as entidades correspondentes aos serviços 

desejados. Para maiores informações, veja o capítulo intitulado 

Cadastrando Entidades. 

Para habilitar o proxy HTTPS transparente, crie uma regra de filtragem para o 

serviço HTTPS e habilite o proxy no combobox da entidade de serviço (da mesma 

forma como se faz para o proxy HTTP). Nesta janela, marque a caixa “Certificado 

local – proxy transparente”. 

Lista de exceção HTTPS: aqui vão entidades do novo tipo “Listas de 

Common Name SSL”, que ficam na aba listas no widget de entidades. 

Devem ser cadastrados os Common Names dos sites que não devem 

passar pelo proxy. 

A lista de Common Names não é tão simples. Por exemplo, “www.gmail.com” e 

“mail.google.com”, precisam estar na lista pra liberar o Gmail do proxy. Uma lista com 

“www.bb.com.br” também não é suficiente para proteger o Banco do Brasil, visto que já 

ao logar um novo certificado é apresentado, para “www2.bancobrasil.com.br”. 

Certificados utilizados para validação remota: como o proxy faz manin-the-middle, 

ele também precisa validar os certificados remotos como faz 

o browser, para detectar ataques de phishing, certificados expirados, etc. 

Neste campo devem ser inseridos certificados de CA (que não são 

entidades, por enquanto, para evitar lentidão). 

Utilizar um certificado customizado em caso de erro: caso o proxy 

detecte que o certificado da outra ponta não é válido, deve avisar o 

usuário, como faz o browser. Caso esta checkbox esteja marcada o Filtro 

Web assina o certificado da comunicação com uma CA de erro importada 

pelo administrador, para que seja possível adicionar exceções ao proxy 

em nível de usuário. Com a checkbox desmarcada o acesso é bloqueado, 

um evento é gerado e uma página de erro vai para o usuário. 


Figura 388. Certificado de errro do Firefox. 

Erro do Firefox ao detectar certificado assinado pela CA de erro. 


Certificado assinado pela CA de erro. 

Figura 389. Certificado assinado pela CA de erro. 

Figura 390. Erro de acesso. 


Sem a CA de erro o acesso é bloqueado. 

Certificado da CA do proxy: aqui é possível importar/exportar a CA utilizada para 

assinar os certificados gerados. Siga os passos abaixo para gerar este certificado 

corretamente: 

Utilizando Open SSL 

1. Efetue a instalação do OpenSSL; 

2. Crie um diretório para utilizações durante este processo; 

3. Crie um arquivo, dentro deste diretório, vazio, com o nome “database.txt”; 

4. Crie um arquivo, dentro deste diretório, vazio, com o nome “serial.txt”; 

5. Crie um arquivo nomeado “autoassinado.conf” e adicione o seguinte 

conteúdo: 

RANDFILE 

= .rnd 

[ ca ] 

default_ca = CA_default 

[ CA_default ] 

certs = certs 

crl_dir 

= crl 

database = database.txt 

new_certs_dir = certs 

certificate = cacert.pem 

serial 

= serial.txt 

crl 

= crl.pem 

private_key = private\cakey.pem 

RANDFILE = private\private.rnd 

default_days = 365 

default_crl_days= 3 

default_md = sha1 

preserve = no 

policy 

= policy_match 

[ policy_match ] 

commonName = supplied 

emailAddress 

= optional 

countryName = optional 

stateOrProvinceName = optional 

localityName 

= optional 

organizationName = optional 

organizationalUnitName = optional 

[ req ] 

default_bits = 1024 

default_keyfile = privkey.pem 

distinguished_name = req_distinguished_name 

[ req_distinguished_name ] 


commonName 

= Common Name (eg, your website's domain 

name) 

commonName_max = 64 

emailAddress 

= Email Address 

emailAddress_max = 40 

countryName 

= Country Name (2 letter code) 

countryName_min = 2 

countryName_max = 2 

countryName_default 

= BR 

stateOrProvinceName 

= State or Province Name (full name) 

localityName 

= Locality Name (eg, city) 

0.organizationName 

= Organization Name (eg, company) 

organizationalUnitName = Organizational Unit Name (eg, 

section) 

countryName_default 

= BR 

[ v3_ca ] 

certificatePolicies=2.5.29.32.0 

subjectKeyIdentifier=hash 

authorityKeyIdentifier=keyid:always,issuer 

basicConstraints=critical,CA:TRUE 

keyUsage = critical,cRLSign, keyCertSign, digitalSignature 

6. Crie a chave privada que será utilizada: 

openssl genrsa -des3 -out ca.key 1024 

Neste momento será solicitada a senha para armazenamento da chave, está 

senha será utilizada posteriormente para abertura da chave privada. 

Loading 'screen' into random state - done 

Generating RSA private key, 1024 bit long modulus 

..............++++++ 

...............++++++ 

e is 65537 (0x10001) 

Enter pass phrase for ca.key: 

7. Crie o certificado X.509. Este é o arquivo que será utilizado futuramente para 

instalação nos clientes: 

openssl req -extensions v3_ca -config autoassinado.conf -new -x509 - 

days 3650 -key ca.key -out firewall.cer 

Neste momento algumas informações serão solicitadas, a primeira delas é a 

senha da chave privada criada no passo anterior. 



Agora serão solicitados os dados do certificado, o único item obrigatório é o 

Common Name (CN), nele adicione o nome como deseja que a sua CA seja 

identificada. 

Após a finalização deste processo temos o nosso certificado conforme 

imagem abaixo: 

Figura 391. Certificado de informação. 

Porém temos dois arquivos, um para a chave privada e outro para o certificado, 

desta forma será necessário colocá-los em um único arquivo no formato PKCS#12, 

que é o formato reconhecido pelo firewall. 

8. Crie o arquivo PKCS#12 com a chave privada e o certificado 

openssl pkcs12 -export -out firewall.pfx -in firewall.cer -inkey 

ca.key 


Neste processo serão solicitadas duas senhas, a primeira para abertura da 

chave privada e a segunda para a exportação do arquivo PKCS#12. Esta 

segunda senha será utilizada no momento da importação do arquivo 

PKCS#12 no firewall. 


Enter Export Password: 

Verifying - Enter Export Password: 

Utilizando CA Microsoft: 

Este item não demonstra como efetuar a instalação de uma autoridade certificadora 

(CA) no Windows, e sim como utilizar uma já instalada, sendo a instalação desta um 

pré-requisito para continuidade deste processo. 

1. Abra a console de gerenciamento de autoridade certificadora em Start > 

Administrative Tools > Certification Authority (Iniciar > Ferramentas 

Administrativas > Autoridade de certificação) 

Figura 392. Certificado de informação – como utilizar autoridade certificadora já cadastrada. 


2. Selecione a sua CA 

Figura 393. Certificado CA – tela de acesso. 

3. Nestes próximos passos iremos exportar o certificado X.509 da CA. 

Clique com o botão direito do mouse e clique em Properties (Propriedades) 

Figura 394. Certificado CA – properties. 

4. Selecione o último certificado da CA e clique em View Certificate (Exibir 

certificado) 


Figura 395. Certificado CA – General. 

5. Na tela de visualização do certificado clique em Details (detalhes) e depois 

em Copy to file (Copiar para arquivo) 


Figura 396. Certificado CA – Details.. 

6. Selecione um local para salvar o arquivo. Este é o arquivo que será utilizado 

futuramente para instalação nos clientes. 

7. Nestes próximos passos iremos Exportar o arquivo no formato PKCS#12 

para a utilização no firewall. 

8. Volte para a tela principal da autoridade certificadora. Clique com o botão 

direito do mouse no nome da CA e clique em All Tasks (Todas as tarefas) e 

clique em Back up CA (Fazer Backup da autoridade de cert...) 


Figura 397. Certificado CA – All tasks / Back up Ca. 

9. Na próxima tela clique em Avançar. Na tela subseqüente selecione somente 

o item Private key and CA certificate (Chave particular e certificado de 

autoridade de certificação), indique o diretório onde será salvo o arquivo, 

clique em avançar. 

Figura 398. Certificado Authority Backup Wizard. 


10. Nesta tela (baixo) indique a senha de proteção do arquivo PKCS#12. Esta 

senha será utilizada no momento da importação do arquivo PKCS#12 no 

firewall. 

Figura 399. Certificado Authority Backup Wizard – senha e confirmação. 

Após este processo será gerado o arquivo PKCS#12 com a chave privada e o 

certificado desta CA. 

Usar um certificado de CA personalizado em caso de erro no proxy: aqui é 

possível importar/exportar CA utilizada quando há erro na validação do certificado 

remoto. Quando a opção de utilizar CA de erro é desmarcada, a opção de visualizar 

a CA de erro fica desabilitada. 

Importando certificado X.509 no Windows 

A importação deste certificado na base do Windows tem efeito em todos os 

aplicativos que consultam esta base como base dos certificados confiáveis desta 

forma os certificados gerados pelo Filtro Web serão validados nas estações de 

trabalho filtradas, sem apresentar as mensagens de segurança mostradas acima. 

Na lista destes aplicativos estão: 

Internet Explorer; 

Google Chrome; 

Windows live messager (MSN). 


1. Abra a Microsoft Managment Console. Acesse: Iniciar > Executar e digite 

mmc e clique em OK. 

Figura 400. Microsoft Management Console. 

2. Na tela do MMC clique em File (Arquivo) depois clique em Add/Remove 

snap-in... (Adicionar/remover snap-in...). 

3. Selecione a opção Certificates (Certificados) e clique em Add (Adicionar) 


Figura 401. Adicionar ou remover Snap-is. 

4. Selecione a opção Computer account (Conta de computador), selecione a 

opção Local Computer (Computador local). 


5. Na opção Certificates > Trusted Root Certification Authorities > 

Certificates (Certificados > Autoridade de certificação raiz confiáveis > 

Certificados) clique com o botão direito e clique em All tasks > Import 

(Todas as tarefas > Importar). 

Figura 402. Microsoft Management Console – certificates, all taks, import). 


6. Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer. 

Figura 403. Escolha do diretório onde deseja importar o relatório. 

Importando certificado X.509 no Mozilla Firefox 

1. Clique em Ferramentas > Opções 

Figura 404. Mozila Firefox (importar certificado). 


2. Selecione a opção Avançado > Criptografia 

Figura 405. Mozila Firefox (criptografia). 


3. Selecione a opção Certificados, na tela de certificados selecione a aba 

Autoridades e clique no botão Importar. 

Figura 406. Gerenciador de certificados – autoridades. 


Aba Avançado 

4. Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer. 

Figura 407. Filtro Web: avançado. 


30.3. Editando os parâmetros de Sessões Web 

Sessões Web 

Figura 408. Sessões Web. 

Esta janela permite ao administrador do Firewall, visualizar as sessões ativas, 

verificando o que foi acessado e por quem, no tempo definido na janela de Filtro 

Web, opção “Timeout das sessões web”. 

As informações serão visualizadas e distribuídas nos seguintes campos: 

Tempo: Indica o dia e horário e a URL que foi acessada. 

Host: Indica a máquina de onde foi acessada a URL. 

Usuário: Indica o usuário que acessou a URL. 

Perfil: Indica qual o perfil de acesso que o usuário caiu quando tentou acessar a 

URL. 


Regra: Indica qual a regra de acesso que a URL se enquadrou. 

Categoria: Indica qual a categoria que a URL se enquadrou. 

Ação: Indica se as sessões web que passaram pelo firewall foram aceitas ou 

rejeitadas. 


Configurando o Proxy Socks 


31. Configurando o Proxy Socks 

Este capítulo mostrará para que serve e como configurar o Proxy Socks. 


O que é o proxy SOCKS do Aker Firewall? 

O proxy SOCKS é um programa especializado do Aker Firewall feito para trabalhar 

com programas que suportem o protocolo SOCKS nas versões 4 ou 5. 

Este proxy possui como função principal prover uma melhor segurança para 

protocolos passarem através do firewall, principalmente protocolos complexos que 

utilizam mais de uma conexão. É possível através do uso do SOCKS 5 realizar 

autenticação de usuários para quaisquer serviços que passem pelo firewall, mesmo 

sem o uso do cliente de autenticação. 

Ele é um proxy não transparente (para maiores informações, veja o capítulo 

intitulado Trabalhando com proxies), desta forma, os clientes que forem utilizá-lo 

devem ter suporte para trabalhar com proxies e devem ser configurados para usá-lo. 

Utilizando o proxy SOCKS 

Para utilizar o proxy SOCKS do Aker Firewall, é necessário a seguinte seqüência de 

passos: 

1. Criar os perfis de acesso desejados e associá-los aos usuários e grupos 

desejados. (isso foi descrito no capítulo chamado Perfis de acesso de 

usuários); 

2. Editar os parâmetros de configuração do proxy SOCKS (isso será mostrado no 

tópico chamado Editando os parâmetros do proxy SOCKS); 

3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenham 

acesso ao proxy (para maiores informações, veja o capítulo intitulado O Filtro de 

Estados). 

O proxy SOCKS do Aker Firewall escuta conexões na porta 1080, utilizando o 

protocolo TCP. Caso seja necessário, pode-se alterar este valor para qualquer 

porta, bastando para isso acrescentar o parâmetro -p porta, onde porta é o número 

da porta que queira que ele escute, na hora de iniciá-lo. Esta chamada se encontra 

no arquivo /aker/bin/firewall/rc.aker, e deve ser alterada de 

/aker/bin/firewall/fwsocksd para /aker/bin/firewall/fwsocksd -p 8080, por 

exemplo. 


31.2. Editando os parâmetros do Proxy SOCKS 

Para utilizar o Proxy SOCKS, é necessário a definição de alguns parâmetros que 


na janela de configuração do proxy SOCKS. Para acessá-la, deve-se: 

Figura 409. Janela de acesso - Proxy Socks 

Clicar no menu Aplicação da janela de administração. 

Selecionar o item Proxy Socks. 


A janela de configuração de parâmetros do proxy SOCKS 

Figura 410. Autenticação dos usuários Socks. 

O botão OK fará com que a janela de configuração do proxy SOCKS seja 

fechada e as alterações salvas. 





Significado dos parâmetros: 

Autentica usuários SOCKS: Este campo ativa ou não a autenticação de usuários 

do proxy SOCKS. Caso ele esteja marcado, será solicitada ao usuário uma 

identificação e uma senha todas as vezes que ele tentar iniciar uma sessão e esta 

somente será iniciado caso ele seja autenticado por algum dos autenticadores. 

Caso o usuário esteja utilizando o Cliente de Autenticação Aker e esteja com uma 

sessão estabelecida com o Firewall, então não será solicitado nome nem senha, ou 

seja, o proxy se comportará como se não estivesse realizando autenticação de 

usuários, mas ele está de fato fazendo-o. Se a sessão do Cliente de Autenticação 

for finalizada, então o proxy solicitará um nome de usuário e senha no próximo 

acesso. Para maiores informações sobre o Cliente de Autenticação Aker, leia o 

capítulo Autenticação de Usuários). 

A versão 4 do protocolo SOCKS não permite realizar autenticação de usuários, 

dessa forma, a única maneira de autenticar clientes utilizando essa versão do 

protocolo é com o uso do cliente de autenticação. Caso essa opção esteja marcada, 

a versão suportada pelo cliente for a 4 e não existir uma sessão de perfil de acesso 

ativa, então o firewall não permitirá acessos para o cliente. 

Tempo limite de resposta: Este parâmetro define o tempo máximo, em segundos, 

que o proxy aguarda por dados do cliente, a partir do momento que uma nova 

conexão for estabelecida. Caso este tempo seja atingido sem que o cliente envie os 

dados necessários, a conexão será cancelada. 


Número máximo de processos: Este campo define o número máximo de 

processos do proxy SOCKS que poderão estar ativos simultaneamente. Como cada 

processo atende uma única conexão, este campo também define o número máximo 

de requisições que podem ser atendidas simultaneamente. 


Configurando o Proxy RPC e o 

Proxy DCE-RPC 


32. Configurando o Proxy RPC e o proxy DCE-RPC 

Este capítulo mostrará como configurar o proxy RPC e o proxy DCE-RPC. 

O que é o proxy RPC? 

O proxy RPC é um programa especializado do Aker Firewall feito para trabalhar com 

o protocolo RPC, mais especificamente, o SUN RPC, descrito na RFC1050. A sua 

função básica é fazer chamadas a funções remotas (Remote Procedure Call), ou 

seja, funções disponibilizadas por outras máquinas acessíveis através do firewall. 

Exemplos de protocolos que usam o RPC são os portmapper e o NFS. 

Quando um cliente deseja realizar uma chamada RPC para um determinado 

número de processo, o firewall verifica a ação relacionada àquele processo. Se 

permitir, o proxy insere as regras de liberação de portas direta e automaticamente 

no kernel. Caso contrário, o firewall bloqueia o processo como se ele estivesse 

indisponível. 


Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da 


Utilizando o proxy RPC 

Para utilizar o proxy RPC, é necessário executar uma seqüência de 2 passos: 

Criar um serviço que será desviado para o proxy RPC e editar os parâmetros 


capítulo intitulado Cadastrando Entidades); 

Acrescentar uma regra de filtragem permitindo o uso do serviço criado no 


veja o capítulo intitulado Filtro de Estados). 

O que é o proxy DCE-RPC? 

O proxy DCE-RPC é um programa especializado do Aker Firewall feito para 

trabalhar com o protocolo RPC, mais especificamente, o DCE- RPC. A sua função 

básica é fazer chamada às funções remotas (Remote Procedure Call), ou seja, 

funções disponibilizadas por outras máquinas acessíveis através do firewall. 

Exemplos de protocolos que usam o DCE- RPC são os Transmission Control 

Protocol (TCP) e o HTTP. 

Quando um cliente deseja realizar uma chamada DCE-RPC para um determinado 

número de processo, o firewall verifica a ação relacionada àquele processo. Se 

permitir, o proxy insere as regras de liberação de portas direta e automaticamente 


no kernel. Caso contrário, o firewall bloqueia o processo como se ele estivesse 



Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da 


Utilizando o proxy DCE-RPC 

Para utilizar o Proxy RPC, é necessário executar uma seqüência de 2 passos: 

Criar um serviço que será desviado para o proxy DCE-RPC e editar os parâmetros 

do contexto a ser usado por este serviço (para maiores informações, veja o capítulo 

intitulado Cadastrando Entidades). 

Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, 

para as redes ou máquinas desejadas (para maiores informações, veja o capítulo 


32.1. Editando os parâmetros de um contexto RPC 

A janela de propriedades de um contexto DCE-RPC será mostrada quando for 

selecionado o protocolo UDP e a opção Proxy RPC na janela de edição de 

serviços. Através dela é possível definir o comportamento do proxy RPC quando 

este for lidar com o serviço em questão. 


A janela de propriedades de um contexto RPC 

Figura 411. Propriedades de um contexto RCP. 



Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos que 

não estiverem presentes na lista de permissões. O valor aceita permite que o 

serviço seja utilizado e o valor rejeita impede sua utilização. 

Lista de permissões: Definir, de forma individual, as permissões de acesso aos 

serviços remotos. 

Para executar qualquer operação sobre um serviço na lista de permissões, basta 

clicar com o botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguinte 

menu (Caso não exista nenhum serviço selecionado, somente as opções Inserir e 

Apagar estarão presentes): 


Figura 412. Menu de execução da janela RPC. 

Inserir: Permitir a inclusão de um novo serviço na lista. Se algum serviço estiver 

selecionado, o novo será inserido na posição selecionada. Caso contrário, o novo 

serviço será incluído no final da lista. 

Excluir: Remover da lista o serviço selecionado. 

Lista de serviços: Contém uma lista pré-definida de serviços e seus respectivos 

números. É possível acrescentar serviços que não estejam presentes nessa lista. 

Para isso, basta clicar no campo logo abaixo da opção Apagar e digitar o código do 

novo serviço. 

Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito do 

mouse sobre ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita, 

que aparecerão no menu seguinte: 

Figura 413. Menu de execução da janela RPC (inseir, apagar, rejeitar ou aceitar). 

Editando os parâmetros de um contexto DCE-RPC 

A janela de propriedades de um contexto RPC será mostrada quando for selecionado o 

protocolo TCP e a opção Proxy DCE-RPC na janela de edição de serviços. Através 

dela é possível definir o comportamento do proxy DCE-RPC quando este for lidar com o 

serviço em questão. 


A janela de propriedades de um contexto DCE-RPC 

Figura 414. Propriedades de um contexto DCE-RPC. 



Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos que 

não estiverem presentes na lista de permissões. O valor aceita permite que o 

serviço seja utilizado e o valor rejeita impede sua utilização. 

Lista de permissões: Definir, de forma individual, as permissões de acesso aos 

serviços remotos. 

Para executar qualquer operação sobre um serviço na lista de permissões, basta 

clicar com o botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguinte 

menu (Caso não exista nenhum serviço selecionado, somente as opções Inserir e 

Apagar estarão presentes): 


Figura 415. Menu de execução da janela DCE-RPC. 

Inserir: Permitir a inclusão de um novo serviço na lista. Se algum serviço estiver 

selecionado, o novo será inserido na posição selecionada. Caso contrário, o novo 

serviço será incluído no final da lista. 

Excluir: Remover da lista o serviço selecionado. 

Lista de serviços: Contém uma lista pré-definida de serviços e seus respectivos 

números. É possível acrescentar serviços que não estejam presentes nessa lista. 

Para isso, basta clicar no campo logo abaixo da opção Apagar e digitar o código do 

novo serviço. 

Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito do 

mouse sobre ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita, 

que aparecerão no menu seguinte: 

Figura 416. Menu de execução da janela DCE-RPC (inseir, apagar, rejeitar ou aceitar). 


Configurando o Proxy MSN 


33. Configurando o Proxy MSN 

Este capítulo mostrará para que serve e como configurar o proxy MSN. 


O que é o MSN Messenger? 

MSN Messenger, ou apenas MSN, é um programa de mensagens instantâneas 

criado pela Microsoft Corporation. O programa permite que um usuário da Internet 

converse com outro que tenha o mesmo programa em tempo real por meio de 

conversas de texto, voz ou até com vídeo. Ele é uma ferramenta gratuita com um 

grande número de funcionalidades, algumas potencialmente prejudiciais ao 

ambiente coorporativo como a transferência de arquivos on-line, fazendo com que 

as empresas busquem soluções para melhor trabalhar com este serviço. 

O que é o proxy MSN - Messenger do Aker Firewall? 

Este proxy possui como função principal controlar um importante canal de trânsito 

de informações que é o MSN Messenger, possibilitando que não se abra mão de 

seu uso, ao mesmo tempo em que se evita a perda de produtividade. Integrado ao 

sistema de perfis de acesso, esse sistema se adaptará à realidade das corporações, 

onde cada usuário terá privilégios distintos. 

As funcionalidades do produto baseiam-se em: 

Estar integrado ao sistema de perfil de acesso (permitindo controle por usuários 

e grupos). 

Definir white-lists e black-lists, por perfil. 

Controlar o horário de uso. 

Controlar o tempo de uso por dia (configurado no perfil) para cada usuário. 

Controlar o envio/recebimento de arquivo (inclusive por tipo). 

Controlar convites para outros serviços (vídeo, áudio, games, etc..). 

Realizar um log de sessões. 

Utilizando o proxy MSN 

O MSN Messenger por padrão trabalha na porta TCP 1863, porém também pode se 

conectar aos servidores através do protocolo HTTP e SOCKS. O Proxy MSN da 

Aker controla os dados que trafegarão através de um proxy transparente (ver mais 

detalhes em Trabalhando com proxies). 

Para utilizar o proxy MSN do Aker Firewall é necessário a seguinte seqüência de 

passos: 


1. Definir os parâmetros genéricos do proxy MSN. 

2. Criar os perfis de acesso desejados e associá-los aos usuários e grupos 

desejados. (Isso foi descrito no capítulo chamado Perfis de acesso de 

usuários). 

3. Associar a uma regra de filtragem possibilitando que os usuários possam utilizar 

o serviço MSN (para maiores informações, veja o capítulo intitulado O Filtro de 

Estados). 

33.2. Editando os parâmetros do Proxy MSN 

Para utilizar o proxy MSN é necessário a definição de alguns parâmetros que 


na janela de configuração do proxy MSN. Para acessá-la, deve-se: 

Figura 417. Janela de acesso - Proxy Messenger. 

Clicar no menu Aplicação da janela de administração do Firewall 

Selecionar o item Proxy Messenger 


A janela de configuração de parâmetros do proxy MSN 

O botão OK fará com que a janela de configuração do proxy MSN seja fechada e 

as alterações salvas. 





Esta janela é composta por quatro abas: 

Aba Tipos de Serviços 

Figura 418. Proxy Messenger – Aba Tipo Serviço. 

Esta aba define os serviços adicionais que poderão ser utilizados através de uma 

conexão MSN. Estes serviços poderão posteriormente ser controlados a partir das 

regras dos perfis de cada usuário. 

Para inserir um novo tipo de serviço, deve-se clicar com o botão direito e selecionar 

a opção Novo. 

Para remover um tipo de serviço, deve-se clicar com o botão direito sobre o serviço 

a ser removido e escolher a opção Remover. 


Para editar qualquer um dos campos de um serviço, basta clicar com o botão direito 

sobre a coluna cujo valor se deseja alterar e modificar o dado diretamente no menu 

que irá aparecer. 

É possível adicionar automaticamente vários serviços pré-configurados, bastando 

para isso clicar no botão Adicionar Serviços Padrão, localizado na barra de 

tarefas. 

Aba Mensagens 

Figura 419. Proxy Messenger – Aba Mensagens. 

Esta aba permite configurar as mensagens que serão mostradas aos usuários 

internos e externos quando eles não tiverem permissão de executar uma 

determinada ação através do proxy messenger. 


Aba Controle de Acesso 

Figura 420. Proxy Messenger – Controle de acesso. 

Essa aba controla o acesso dos usuários, por meio da vinculação de um passport a 

um perfil. 

No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa 

entidade será associada a algum perfil definido no Firewall. 

Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usuários 

que tiverem o login no MSN terminando por @aker.com.br irá automaticamente cair 

no perfil teste. 


Aba Configurações 

Figura 421. Proxy Messenger – Configurações. 

Essa aba permite configurar a quantidade máxima de descritores (socket) e/ou 

arquivos que o processo do proxy MSN pode abrir. O valor padrão é de 1024, mas 

pode chegar a até 8192 no máximo. 

O Aker Firewall 6.1 conta com a análise de vírus para arquivos transferidos. Para 

ativar essa verificação marque a opção “Habilitar Antivírus no MSN” caso deseje 

que o firewall analise os arquivos. 

A opção “Permitir a passagem de arquivos se ocorrer erro no Antivírus” permite 

transferência de arquivos infectados, caso o servidor de antivírus estiver 


Marque "Usar Antivírus Local" para que o firewall utilize o antivírus já incluído nele, 

caso contrário, inclua a autenticação e o endereço de IP do seu servidor Antivírus. 


Configurando a Filtragem de 

Aplicações 


34. Configurando a Filtragem de Aplicações 

Este capítulo mostrará para que serve e como configurar a Filtragem de Aplicações. 


O que é a Filtragem de Aplicações? 

Esta filtragem baseia-se no controle dos dados que estão passando através do Aker 

Firewall. É possível analisar o conteúdo de protocolos e tipos reais de arquivos que 

estão trafegando, independentemente de que porta de comunicação esteja 

utilizando e automaticamente bloqueá-los ou colocá-los em uma prioridade de 

tráfego mais baixa, evitando o consumo de banda com recursos desnecessários. 

Esta filtragem pode ser realizada de forma global, tratando qualquer pacote que 

passe pelo firewall ou por perfis de acesso. Em especial, os seguintes tipos de 

tráfego podem ser identificados: 

Download de tipos de arquivos específicos via FTP, HTTP e aplicativos peer-topeer. 

Conexões de controle de aplicativos peer-to-peer (GNUTELLA, Napster, Kazaa, 

etc) e de comunicação (Messenger, ICQ, etc.) sobre qualquer mídia (TCP ou 

UDP direto e proxy HTTP). 

Utilizando as regras de Filtragem de Aplicação 

Para utilizar a Filtragem de Aplicação do Aker Firewall deve-se seguir a seguinte 

seqüência de passos: 

1. Criar os filtros desejados, o que está descrito no tópico Criando Filtros de 

Aplicações. 

2. Criar regras de filtragem de aplicações globais ou para os perfis de acesso 

desejados. 

34.2. Criando Regras de Filtragem de Aplicações 

Para acessar a janela de filtragem de aplicações deve-se: 


Figura 422. Janela de acesso - Filtragem de aplicações. 

Clicar no menu Aplicação da janela de administração do Firewall. 

Selecionar o item Filtragem de Aplicações. 


A janela de regras de Filtragem de Aplicações 

Figura 423. Filtragem de aplicações – Regras de filtragem de aplicações. 

Esta janela é composta por duas abas, uma com a definição das regras globais da 

filtragem de aplicações e outra que permite a criação dos filtros que serão utilizados 

nestas regras e nas regras de filtragem dos perfis de acesso. 






Regras de Filtragem de Aplicação 

Esta aba disponibiliza as regras de aplicação que serão utilizadas pelo firewall de 

forma global. É possível também criar regras específicas para os perfis de acesso 

(para maiores informações veja Cadastrando perfis de acesso). 

Estas regras permitem, por exemplo, que determinados tipos de arquivos sejam 

bloqueados de acordo com seu tipo real, independentemente de sua extensão ou 

protocolo que esteja sendo utilizado para enviá-los. É possível também ao invés de 

bloqueá-lo, simplesmente mudar a prioridade de um serviço ou tipo de arquivo 

sendo transmitido. 


Uma das grandes utilizações destes filtros é para otimização do acesso à Internet. É 

possível, por exemplo, que todos os usuários tenham um acesso rápido a Internet, 

porém quando estes tentarem baixar arquivos cujos tipos não sejam considerados 

importantes, i.e, mp3, vídeos, etc, a conexão sendo utilizada para transferir estes 

arquivos automaticamente fique com uma largura de banda bastante reduzida. 




Figura 424. Menu de operação sobre uma regra. 





Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo 

com seu estado atual. 


Origem: Especificar as origens da comunicação que o filtro estará inspecionando, 










Filtros de Aplicação: Indicar quais os filtros que estarão ativos para as conexões 

que forem em direção a um dos destinos especificados na regra e utilizando um dos 

serviços também especificados. A definição dos filtros é feita na janela de Filtragem 

de Aplicações. Para maiores informações veja o capítulo Configurando Filtragem 

de Aplicações. 

Ação: Indicar a ação que será tomada pelo firewall caso um dos filtros especificados 

seja aplicado. Ela consiste das seguintes opções: 

Aceita: Significa que a conexão será autorizada a passar através do firewall. 

Rejeita: Significa que a conexão não passará pelo firewall e será enviado um 

pacote de reset para a máquina originária da comunicação. 

Descarta: Significa que a conexão não passará pelo firewall, mas não será enviado 

nenhum pacote para a máquina de origem. 

Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridade 

diferente, que deverá ser especificada na coluna Canal. 

Bloqueia origem: Indica que a máquina que originou a conexão deverá ser 

bloqueada por algum tempo (isso significa que todas as conexões originadas nela 

serão recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto 

tempo a máquina permanecerá bloqueada. 

Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sido 

selecionada. Ela indica qual a nova prioridade que será atribuída à conexão. Devese 

inserir uma entidade do tipo canal (para maiores informações veja o capítulo 


Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueia 

origem tenha sido selecionada. Ela indica por quanto tempo a máquina origem será 

bloqueada. 

34.3. Criando Filtros de Aplicações 

Os filtros de aplicações informam ao firewall o que deve ser buscado em uma 

comunicação para possibilitar a identificação de um determinado protocolo ou tipo 

de arquivo. O produto já vem com vários filtros pré-configurados, porém é possível 

que o administrador configure novos filtros para atender às suas necessidades. 

Para acessar a janela de criação dos Filtros de Aplicações deve-se: 


Figura 425. Janela de acesso - Filtragem de aplicações. 

Clicar no menu Aplicação da janela de administração do Firewall. 

Selecionar o item Filtragem de Aplicações. 

Clicar na aba Filtros de Aplicações. 


A janela de criação de Filtros de Aplicações 

Figura 426. Filtragem de aplicações – Filtros de Aplicações. 

Esta janela está dividida em duas partes. Na parte superior aparece uma lista dos 

filtros atualmente criados. Ao selecionar um filtro, serão mostrados na parte inferior 

da janela as operações de pesquisa relacionadas a ele. 

Para executar qualquer operação sobre um filtro, basta clicar sobre ele com o botão 

direito e a seguir escolher a opção desejada no menu que irá aparecer. As 


Figura 427. Menu de operação sobre um filtro. 

Inserir: Permite a inclusão de um novo filtro na lista. 

Copiar: Copiar o filtro selecionado para uma área temporária. 

Colar: Copiar o filtro da área temporária para a lista. 

Excluir: Remover da lista o filtro selecionada. 


Para alterar o nome do filtro ou a forma de concatenação das operações do mesmo, 

basta clicar com o botão direito sobre a coluna correspondente. Para incluir, editar 

ou excluir operações de um determinado filtro, deve-se selecioná-lo na parte 

superior da janela e a seguir clicar com o botão direito sobre qualquer uma das 

operações. O seguinte menu aparecerá: 

Figura 428. Menu de operação para acessar o nome do filtro ou forma de concatenação. 

Inserir: Permite a inclusão de uma nova operação para o filtro selecionado. 

Editar: Abrir a janela de edição para modificar a operação selecionada. 

Remover: Remover da lista a operação selecionada. 

Ao editar uma operação, a seguinte janela será mostrada: 

Figura 429. Operações de filtragem. 

O que filtrar: Neste campo deve-se colocar a seqüência de bytes que deve ser 

pesquisada na conexão. 

Seqüência de bytes: Especificar se a procura deve ser a partir do início do arquivo 

ou da comunicação ou em um ponto qualquer do mesmo. 

Iniciar em: Caso se tenha escolhido que a pesquisa deve ser feita a partir do meio 

do arquivo ou comunicação, este campo serve para especificar em que posição 

deve-se começar a pesquisa. 


Profundidade da procura (bytes): Indicar a quantidade de bytes que será 

analisada a partir da posição de início de pesquisa. 

Direção: Direção em que os dados serão analisados para verificar a existência da 

seqüência definida em O que filtrar. 

Onde pesquisar: Definir a seqüência de dados que será pesquisada nos dados do 

arquivo/protocolo ou nos metadados (cabeçalho). 


Configurando IDS/IPS 


35. Configurando IDS/IPS 

Este capítulo mostrará as funções oferecidas pelo conjunto IPS/IDS e como realizar 

sua configuração. 

Sobre o módulo de IPS/IDS 

O módulo de IPS/IDS do Aker Firewall reúne diversas funções para identificação e 

bloqueio de ataques em tempo real. Este módulo trabalha de forma integrada com o 

firewall e consegue, com isso, oferecer um alto grau de proteção. O módulo interno 

vem com vários ataques pré-configurados, sendo possível sua atualização através 

da Internet. Além do módulo interno, é possível também utilizar um IDS externo, de 

forma a complementar ainda mais o nível de segurança da solução. 

35.1. Acessando IPS/IDS 

Para ter acesso a janela de configuração dos parâmetros de IPS/IDS, deve-se: 

Figura 430. Janela de acesso - IPS/IDS. 


Clicar no menu Segurança na janela do Firewall que queira administrar. 

Escolher o item IPS/IDS. 

A janela de configuração do IDS/IPS 

Esta janela é composta por quatro abas, cada uma responsável por um aspecto 

distinto da configuração do módulo de IDS. 






Regras IDS 

Figura 431. IPS/IDS – Regras IDS. 


Esta aba contém todas as regras de IDS definidas no Aker Firewall. Cada regra será 

mostrada em uma linha separada, composta de diversas células. Caso uma das 

regras esteja selecionada, ela será mostrada em uma cor diferente. 




Figura 432. Menu para execução de operação de regras.. 




Excluir : Remover da lista a regra selecionada. 

Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo com 

seu estado atual. 


Origem: Especificar as origens da comunicação que o filtro estará inspecionando, 









Filtros IDS: Nesta coluna deve-se inserir os filtros IDS que estarão ativos para esta 

comunicação. Deve-se escolher um dos grupos de filtros disponíveis e 


posteriormente, caso seja desejado, habilitar individualmente os filtros dentro de 

cada grupo. Os seguintes grupos estão disponíveis: 

FTP: É composto de filtros contra ataques que visam servidores FTP. 

HTTP: É composto de filtros contra ataques que visam servidores WEB. 

HTTP Client: É composto de filtros contra ataques que visam 

navegadores. 

POP3: É composto de filtros contra ataques que visam leitores de e-mail. 

IMAP: É composto de filtros contra ataques que visam leitores de e-mail. 

SMTP: É composto de filtros contra ataques que visam servidores de e- 

mail. 

TCP: É composto de filtros contra ataques genéricos utilizando o protocolo 

TCP. 

UDP: É composto de filtros contra ataques genéricos utilizando o 

protocolo UDP. 

Uma vez inseridos os filtros, é possível clicar sobre esta mesma coluna com o botão 

direito, escolher o nome do grupo de filtros desejado e indicar se os ataques 

pertencentes a este grupo devem ser selecionados automaticamente, opção 

Selecionar todo o grupo, ou manualmente através da opção Seleção manual. 

Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtros 

especificados seja aplicado. Ela consiste das seguintes opções: 

Ignora: Significa que o ataque será ignorado pelo firewall. 

Bloqueia: Indica que a máquina que originou a conexão deverá ser bloqueada por 

algum tempo (isso significa que todas as conexões originadas nela serão 

recusadas). 

Tempo de Bloqueio: Esta coluna indica por quanto tempo uma máquina atacante 

permanecerá bloqueada. 


Filtros IDS 

Figura 433. IPD/IDS – Filtros IDS. 

Esta janela serve para se ver os filtros de IDS que estão disponíveis no firewall bem 

como criar novos filtros. Ela consiste de uma lista com os filtros atualmente criados. 

É possível ver esta lista de três maneiras distintas: por grupo de filtros (conforme 

mostrado no tópico anterior), por classe de ameaça ou uma lista linear com todos os 

filtros. O campo Organizar por, localizado na parte superior da janela permite a 

escolha da forma de visualização mais adequada. 

Classes de ameaça: 

Ataque: ataques diretos que exploram bugs ou vulnerabilidades de 

aplicativos ou sistemas operacionais. 

Malware: ataques originados de vírus e cavalos-de-tróia. 

Sondagem: varredura de portas ou identificação de vulnerabilidades. 


Grupos dos filtros: 

FTP: É composto de filtros contra ataques que visam servidores FTP. 

HTTP: É composto de filtros contra ataques que visam servidores WEB. 

HTTP Client: É composto de filtros contra ataques que visam navegadores. 

POP3: É composto de filtros contra ataques que visam leitores de e-mail. 

SMTP: É composto de filtros contra ataques que visam servidores de e-mail. 

TCP: É composto de filtros contra ataques genéricos utilizando o protocolo 

TCP. 

UDP: É composto de filtros contra ataques genéricos utilizando o protocolo 

UDP. 

Ao selecionar um filtro é mostrada na parte inferior da janela uma URL de 

referência, que permite ao administrador obter maiores informações sobre o ataque. 

Para inserir um novo filtro, deve-se clicar com o botão direito sobre a lista de filtros e 

selecionar a opção Novo filtro. A seguinte janela será mostrada: 

A janela de criação/edição de filtros 

Figura 434. Filtros IDS – Configuração do filtro. 


O botão OK e novo fará com que a janela seja fechada, as alterações salvas 

porém a janela permaneça aberta. Isso é particularmente útil quando se deseja 

cadastrar vários ataques seguidamente. 

O botão Cancelar, fará com que todas as alterações feitas sejam desprezadas e 



Esta janela permite criar um novo filtro ou alterar os parâmetros de um filtro já 

existente. Ela consiste dos seguintes parâmetros: 

Nome do filtro: Nome pelo qual o filtro será referenciado no restante do firewall. 

Url de referência: URL que permite obter maiores informações sobre o ataque (este 

campo é puramente informativo). 

O que filtrar: Neste campo deve-se colocar a seqüência de bytes que identifica o 

ataque. 

Iniciar em: Este campo serve para especificar em que posição do fluxo de dados 

deve-se começar a pesquisa. 

Profundidade da procura (bytes): Este campo indica a quantidade de bytes que 

será analisada a partir da posição de início de pesquisa. 

Direção: Direção em que os dados serão analisados para verificar a existência da 

seqüência definida em O que filtrar. 

Protocolo: Indica em que protocolo o ataque será pesquisado. As seguintes opções 

estão disponíveis: 

UDP: Procura dados diretamente no protocolo UDP. 

TCP: Procura dados diretamente no protocolo TCP. 

Cabeçalho HTTP: Procura dados no cabeçalho do protocolo HTTP. 

URL HTTP: Procura dados em URLs do protocolo HTTP. 

Corpo do HTTP: Procura dados no corpo do protocolo HTTP. 

Comando SMTP: Procura dados em comandos do protocolo SMTP. 

Dados do SMTP: Procura dados no corpo do protocolo SMTP. 

Comando FTP: Procura dados em comandos do protocolo FTP. 

Dados do FTP: Procura dados no corpo do protocolo FTP. 

Comando POP3: Procura dados em comandos do protocolo POP3. 

Dados do POP3: Procura dados no corpo do protocolo POP3. 

Grupo: Este campo informa ao firewall em que grupo este ataque deve ser 

colocado. 

Classe de ameaça: Este campo informa ao firewall em que classe de ameaça este 

ataque deve ser colocada. 


Portscan 

Figura 435. IPD/IDS - Portscan. 

Esta aba serve para configurar a proteção contra ataques de varreduras de portas. 

Estes ataques consistem em tentar acessar todas ou várias portas de comunicação 

em uma ou mais máquinas de uma rede. Ele é normalmente o primeiro ataque feito 

por um hacker, já que objetiva determinar quais os serviços e máquinas que estão 

ativos em uma rede. 

Para configurar a proteção contra varredura de portas, os seguintes parâmetros 

devem ser preenchidos: 

Detecção de portscan ativada: Esta opção deve estar marcada para ativar o 

suporte detecção de varreduras de portas e desmarcada para desativá-lo. 

Número permitido de portas varridas: Este campo indica o número máximo de 

portas que podem ser acessadas em uma mesma máquina. Tentativas de acesso 

de um número maior de portas farão que a máquina origem seja bloqueada. 


Número permitido de máquinas x portas: Este campo indica o número máximo de 

portas que podem ser acessadas em uma ou mais máquinas. Para este parâmetro é 

a mesma coisa se um potencial atacante acessa duas portas em uma máquina ou 

uma porta em duas máquinas. Tentativas de acesso de um número maior de portas 

farão que a máquina origem seja bloqueada. 

Exemplo: Se o valor deste parâmetro for 12, uma pessoa qualquer poderia acessar 

as seguintes combinações sem ser considerado um ataque: 

12 portas por máquina em uma máquina 

6 portas por máquina em 2 máquinas 



1 porta por máquina em 12 máquinas 

Tempo limite de detecção: Este campo indica o tempo em que as informações de 

acesso serão mantidas pelo firewall. Valores muito baixos possibilitarão varreduras 

de portas muito lentas (por exemplo, 1 porta por hora). Valores muito altos ocuparão 

memória desnecessariamente. 

Bloquear a máquina do ataque por: No caso de detecção de um ataque de 

varredura de portas, esta coluna indica por quanto tempo a máquina atacante 

permanecerá bloqueado, sem poder iniciar nenhuma conexão através do firewall. 

Entidades protegidas: Esta lista indica as entidades (máquinas, redes ou 

conjuntos) que estarão protegidas contra ataques de varreduras de portas. 

Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes 

modos: 

Executar uma operação de drag-n-drop (arrastar e soltar) da janela de 

entidades diretamente para a lista. 

Abrir o menu de contexto na lista entidades protegidas com o botão direito do 

mouse ou com a tecla correspondente no teclado e selecionar Adicionar 

entidades , para então escolher aquelas que serão efetivamente incluídas na 

lista. 

Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete , 

ou escolher a opção correspondente no menu de contexto, acionado com o botão 

direito do mouse ou com a tecla correspondente: 

Entidades que podem fazer portscan: Esta lista indica as entidades (máquinas, 

redes ou conjuntos) que poderão executar ataques de varreduras de portas. Esta 

lista serve basicamente para liberar acesso a ferramentas de detecção de 

vulnerabilidades ou de monitoração. 

Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes 

modos: 


Executar uma operação de drag-n-drop (arrastar e soltar) da janela de 

entidades diretamente para a lista. 

Abrir o menu de contexto na lista entidades que podem fazer portscan com o 

botão direito do mouse ou com a tecla correspondente no teclado e 

selecionar Adicionar entidades , para então escolher aquelas que serão 

efetivamente incluídas na lista. 

Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete , 

ou escolher a opção correspondente no menu de contexto, acionado com o botão 

direito do mouse ou com a tecla correspondente: 

IDS Externo 

Figura 436. IPD/IDS – IDS Externo. 

Nessa aba são configurados todos os parâmetros que propiciam que agentes de 

IDS Externo acrescentem regras de bloqueio no Firewall. Os seguintes parâmetros 

estão disponíveis: 


Habilitar agente de IDS: Esta opção deve estar marcada para ativar o suporte a 

agentes IDS externos e desmarcada para desativá-lo. (ao se desabilitar o suporte a 

agentes IDS, as configurações antigas continuam armazenadas, mas não podem 

ser alteradas). 

Agente IDS a ser usado: Esse campo indica o agente IDS que estará habilitado a 

incluir regras de bloqueio no firewall. Esse agente deve ter sido previamente 

cadastrado no firewall. Para maiores informações veja o capítulo intitulado 

Cadastrando entidades. 

Status permite ao administrador verificar o status da conexão com o agente IDS. 

Um valor verde, com a palavra Conectados, indica que o firewall conseguiu 

autenticar-se e estabelecer com sucesso a comunicação com o agente. 

O botão Atualizar fará com que o status da conexão seja renovado. 

O botão Remover fará com que todas as regras cadastradas pelo agente IDS sejam 

excluídas do firewall. 

35.2. Visualizando os IPs bloqueados 

É possível a qualquer momento visualizar a lista de IPs que estão bloqueados no 

firewall, devido à inclusão de uma regra de bloqueio temporária do módulo de 

IDS/IPS. 

Para ter acesso a janela de IPs bloqueados, deve-se: 


Figura 437. Janela de acesso - IP’s bloquados. 

Clicar no menu Informação na janela do Firewall que queira administrar. 

Escolher o item IPs bloqueados. 


A janela de IPs bloqueados 

Figura 438. IPs bloquados. 

Esta janela consiste de uma lista onde cada IP bloqueado é mostrado em uma linha, 

com as seguintes informações: 

IP Bloqueado: Endereço IP de uma máquina que foi bloqueada; 

Inserido por: Módulo que inseriu a regra de bloqueio temporária; 

Data de expiração: Até quando este IP permanecerá bloqueado; 

Para remover um IP da lista, basta selecioná-lo e então clicar com o botão direito. 

Ao ser mostrado o menu pop-up , basta selecionar a opção Remover IP; 

Para atualizar a lista de IPs, basta clicar com o botão direito e selecionar a opção 

Atualizar no menu pop-up. 

35.3. Configurando a atualização de assinaturas 

É fundamental que qualquer IDS esteja sempre atualizado com as assinaturas dos 

ataques mais recentes, caso contrário, em pouco tempo ele se torna obsoleto. O 

Aker Firewall permite que configurar o seu IDS interno para automaticamente baixar 


as novas assinaturas que forem disponibilizadas pela Aker, diretamente de nosso 

site web. 

Para ter acesso a janela de atualização de assinaturas deve-se: 

Figura 439. Janela de Acesso – atualização de assinaturas. 

Clicar no menu Configurações do sistema na janela do Firewall que queira 

administrar. 

Escolher o item Atualização de assinaturas. 

A janela de configuração de atualização de assinaturas: 


Figura 440. Atualização de assinaturas. 

Esta janela consiste de duas partes: no lado esquerdo pode configurar os dias da 

semana em que o download de assinaturas será realizado e em que horário. No 

lado direito, pode visualizar informações sobre a última atualização de assinaturas 

realizada: seu horário, se foi bem sucedida ou não, entre outras informações. 






35.4. Instalando o Plugin para IDS Externo no Windows 

No caso de se desejar utilizar um IDS externo, além da configuração mostrada em 

IDS Externo, faz-se necessário a instalação do plugin para possibilitar a 

comunicação deste IDS externo com o firewall. A instalação do plugin para IDS é 

bastante simples. Efetue o download no site da Aker (http://www.aker.com.br), inicie 

o programa que acabou de efetuar o download. 

O programa inicialmente mostrará uma janela pedindo uma confirmação para 

prosseguir com a instalação. Deve-se clicar no botão Continuar para prosseguir 

com a instalação. A seguir será mostrada uma janela com a licença de uso do 

produto e pedindo uma confirmação para continuar. Deve-se clicar no botão Eu 

Concordo para continuar com a instalação. 


Configuração do plugin do Aker Firewall para IDS Externo 

Após realizada a instalação do plugin é necessário proceder com a sua 

configuração. Esta configuração permite fazer o cadastramento de todos os firewalls 

que serão notificados, bem como a definição de que regras serão acrescentadas. 

Para ter acesso ao programa de configuração deve-se clicar no menu Iniciar, e 

selecionar o grupo Aker Firewall. Dentro deste selecionar o grupo Detecção de 

Intrusão e então a opção Detecção de Intrusão. A seguinte janela será mostrada: 

Figura 441. Configuração IDS – configuração. 

Esta janela consiste de 4 pastas. Na primeira, que está sendo mostrada acima, é 

onde é feita a configuração do plugin. Ela consiste de uma lista com o nome das 

diversas configurações criadas pelo administrador e que depois serão mostradas 

como opção de ação no console de administração do Real Secure. Pode-se 


especificar o nome de uma das configurações quando na execução de um evento 

ou utilizar o botão Default para especificar uma configuração que será executada 

por padrão, isto é, quando não for especificada o nome de nenhuma configuração. 

Para criar uma nova configuração, basta clicar no botão Inserir , localizado na parte 

esquerda superior da janela. Fazendo isso, uma configuração em branco será 

criada. Para editar os parâmetros desta ou de qualquer outra configuração basta 

clicar sobre seu nome e a seguir modificar os parâmetros desejados. 

Significado dos parâmetros 

Nome da configuração: Este é o nome que será mostrado no console de 

administração do Real Secure, NFR, Dragon Enterasys e Snort. Quando 

selecionado, executará as ações definidas pelo administrador. 

Notificação: Este campo permite definir que ações serão executadas pelo firewall 

quando uma regra de bloqueio for acrescentada pela execução da configuração. 

Caso a opção Padrão seja selecionada, então as ações associadas à mensagem 

Regra de bloqueio IDS acrescentada serão executadas. Caso contrário pode-se 

especificar exatamente que ações devem ser tomadas. Para maiores informações 

sobre a configuração das ações, veja o capítulo Configurando as ações do 

sistema. 

Bloqueio: Este campo permite definir que tipo de bloqueio será realizado quando a 

configuração for executada. Existem três opções possíveis que podem ser 

selecionadas independentemente (quando mais de uma opção for selecionada, a 

regra bloqueará pacotes que se enquadrem em todas as opções marcadas e não 

em apenas algumas): 

Origem: Os pacotes que tiverem endereço origem igual ao da regra serão 

bloqueados. 

Destino: Os pacotes que tiverem endereço destino igual ao da regra serão 

bloqueados. 

Serviço: Os pacotes que utilizarem serviço igual ao da regra serão bloqueados. Se 

esta opção for marcada, deve-se selecionar quais protocolos estarão associados ao 

serviço através do campo Protocolo. Isto é necessário devido a uma limitação do 

Real Secure na medida em que não fornece o protocolo de um determinado serviço, 

apenas seu número. Como o NFR inspeciona apenas tráfego TCP, esse protocolo 

deve ser selecionado no caso desse IDS. 

Tempo de ativação da regra: Este campo permite definir por quanto tempo as 

regras acrescentadas por esta configuração ficarão ativas. Caso a opção Tempo de 

ativação esteja marcada, deve-se especificar o tempo, em segundos, que a regra 

ficará ativa. Caso esta opção não esteja marcada, a regra será mantida até a 

próxima reinicialização do firewall. 


Firewalls Usados: Este campo serve para definir em quais firewalls as regras 

temporárias serão acrescentadas. Para cada firewall deve-se configurar uma senha 

de acesso e seu endereço IP. A senha de acesso deve ser a mesma configurada na 

definição da entidade do agente IDS (para maiores informações veja o capítulo 

Cadastrando Entidades). Ao clicar no botão incluir ou editar, a seguinte janela será 

mostrada: 

Figura 442. Firewalls usados. 

Os firewalls definidos acima devem ser adicionados às configurações fazendo-se os 

seguintes passos: Selecione os firewalls requeridos; Pressione o botão de seta -> 

para que os firewall selecionados apareçam na lista da direita da janela. 

O botão de Flush é utilizado para apagar as regras dinâmicas adicionadas pelos 

IDS nos firewalls selecionados. 

Após realizar todas as modificações deve-se clicar no botão Aplicar. Caso esteja 

utilizando o Real Secure será então mostrada uma janela informando que os Global 

Responses do Real Secure serão alterados e pedindo uma confirmação para 

continuar. Deve-se clicar no botão Sim para salvar a nova configuração. 


Log 

Figura 443. Configuração de IDS – log. 

Todos os bloqueios enviados pelo IDS serão registrados nesta janela. 


Eventos 

Figura 444. Configuração de IDS – eventos. 

Esta pasta é muito útil para acompanhar o funcionamento do agente. Ela consiste 

de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada 

mensagem existe um ícone colorido, simbolizando sua prioridade. 

35.5. Utilizando a interface texto - Portscan 

A utilização da interface texto na configuração do suporte ao Portscan é bastante 

simples e possui todos os recursos da interface gráfica. 

Localização do programa: /aker/bin/firewall/fwportscan 


Sintaxe: 

fwportscan [ajuda | mostra | ativa | desativa] 

fwportscan [max_portas | max_acessos] 

fwportscan [tempo_deteccao | tempo_bloqueio] 

fwportscan [inclui | remove] protegida 

fwportscan [inclui | remove] autorizada 


fwportscan - Configura parametros da portscan 

Uso: fwportscan [ajuda | mostra | ativa | desativa] 

mostra = mostra a configuracao atual. 

ativa = ativa protecao contra portscan. 

desativa = desativa protecao contra portscan. 

max_portas = define o numero maximo de portas que podem ser acessadas por 

uma maquina em um mesmo servidor sem que isso seja considerado portscan. 

max_acessos = define o numero maximo de acessos distintos. 

(portas X No. de servidores) que podem ser acessadas por uma maquina, sem ser 

considerado portscan. 

tempo_deteccao = define o tempo, em segundos, que um acesso feito por uma 

maquina nao mais sera contabilizado em futuras deteccoes contra portscan 

tempo_bloqueio = define o tempo, em segundos, que uma maquina sera bloqueada 

apos se detectar um portscan. 

inclui = inclui uma nova entidade na lista especificada. 

remove = remove uma entidade da lista especificada. 

ajuda = mostra esta mensagem. 

Para inclui/remove temos: 

protegida = inclui/remove entidade da lista de entidades protegidas contra portscan. 

autorizada = inclui/remove entidade da lista de entidades que podem realizar 

portscan. 

Exemplo 1: (Ativando o suporte a detecção de portscan) 

#/aker/bin/firewall/fwportscan ativa 


Exemplo 2: (Mostrando a configuração atual da proteção contra portscan) 

#/aker/bin/firewall/fwportscan mostra 

35.6. Utilizando a interface texto - IDS Externo 

A utilização da interface texto na configuração do suporte ao IDS Externo é bastante 

simples e possui todos os recursos da interface gráfica. 

Localização do programa: /aker/bin/firewall/fwids 

Sintaxe: 

fwids [habilita | desabilita | mostra | limpa | ajuda] 

fwids agente 

fwids bloqueia [origem ] [destino ] 

[servico ] [tempo] 

Ajuda do programa : 

fwids - Configura parametros do agente IDS externo 

Uso: fwids [habilita | desabilita | mostra | limpa | ajuda] 

fwids agente 

fwids bloqueia [origem ] [destino ] 

[servico ] [tempo] 

habilita = habilita o funcionamento de agentes IDS externos 

desabilita = desabilita o funcionamento de agentes IDS externos 


bloqueia = inclui uma regra de bloqueio temporaria 

limpa = remove todas as regras de bloqueio temporarias 

agente = especifica nome da entidade com dados do agente 

ajuda = mostra esta mensagemPara bloqueia temos: 

origem = Especifica que deve-se bloquear conexoes originadas no 

endereco IP especificado 

destino = Especifica que deve-se bloquear conexoes destinadas ao 

endereco IP especificado 

servico 

tempo 

= Especifica que deve-se bloquear conexoes que utilizem o 

servico especificado. Neste caso, deve-se especificar o 

servico como a porta, para os protocolos TCP e UDP, o 

tipo de servico, para ICMP, ou o numero do protocolo, no 

caso de outros protocolos (ex: 23/tcp, 53/udp, 57/outro) 

= tempo, em segundos, no qual a regra permanecera ativa. No 

caso de nao ser especificado, a regra ficara ativa ate a 

proxima inicializacao do firewall 


Exemplo 1: (Habilitando o suporte a detecção de intrusão) 

#/aker/bin/firewall/fwids habilita 

Exemplo 2: (Definindo o agente IDS) 

#/aker/bin/firewall/fwids agente Agente_IDS 

A entidade Agente_IDS deve ter sido previamente cadastrada no sistema. Para 

maiores informações sobre como cadastrar entidades no Aker Firewall , veja o 

capítulo entitulado Cadastrando Entidades. 

Exemplo 3: (Mostrando a configuração atual) 

#/aker/bin /firewall/ fwids mostra 


--------------------------- 

Agente IDS externo: habilitado 

Agente: Agente_IDS 

Exemplo 4: (Acrescentando uma regra de bloqueio da máquina 192.168.0.25 para 

a máquina 10.0.0.38, no serviço WWW, porta 80 do protocolo TCP, por uma hora) 

#/aker/bin/firewall/ fwids bloqueia origem 192.168.0.25 destino 10.0.0.38 servico 80/ 

tcp 3600. 


Configurações TCP/IP 


36. Configurações TCP/IP 

Este capitulo mostrará para que serve e como configurar a rede no Aker Firewall. 

36.1. Configuração TCP/IP 

Esta opção permite configurar todos os parâmetros de TCP/IP do firewall através da 

interface gráfica. É possível configurar os endereços de interfaces de rede, DNS e 

roteamento básico e avançado, bem como as opções de PPPoE, 3G e 

Servidor/Relay DHCP. 

Para ter acesso à janela de configuração TCP/IP deve-se: 

Figura 445. Janela de acesso - TCP/IP. 

Clicar no menu Configurações do Sistema da janela de administração do firewall. 

Selecionar o item TCP/IP. 


36.2. DHCP 

Figura 446. Servidor DHCP. 

Nesta pasta são definidas as opções do firewall em relação ao serviço DHCP. Ela 

consiste das seguintes opções: 

Não usar DHCP: Ao selecionar essa opção, o firewall não atuará como servidor 

DHCP nem efetuará relay entre redes conectadas a ele. 

Relay DHCP entre redes: Permitir que se defina que o firewall realizará o relay de 

pacotes DHCP entre as redes selecionadas. Ela é utilizada quando se possui 

apenas um servidor DHCP e se deseja que ele forneça endereços para máquinas 

localizadas em sub-redes distintas, conectadas diretamente ao firewall. 


Figura 447. Relay DHCP entre redes. 

Ao selecioná-la, deve-se especificar em Interfaces de Escuta as interfaces nas 

quais o firewall escutará broadcasts DHCP e os encaminhará para os servidores, 

especificados em Servidores DHCP. No caso de haver mais de um servidor, o 

firewall encaminhará as requisições para todos e retornará ao cliente a primeira 

resposta recebida. 

Servidor DHCP Interno: Esta opção é designada para redes pequenas que não 

possuem um servidor DHCP ou que possuíam em um modem ADSL. Ela permite 

que o firewall atue como um servidor DHCP. 


Figura 448. Servidor DHCP interno. 

Ao selecioná-la, deve-se especificar um ou mais Escopos de endereços, i.e. a faixa 

de endereços, configurações DNS, Wins/NBT e WINS/NBT Node Type, exceções, 

Gateway padrão e reservas de endereços IP que serão atribuídos aos clientes. 

O firewall enviará aos clientes seu endereço como o servidor de DNS e seu 

domínio como nome do domínio para estes clientes. 


36.3. DNS 

Figura 449. TCP/IP - DNS 

Nesta pasta são configuradas todas as opções relacionadas com a resolução de nomes ou 

DNS. Ela consiste dos seguintes campos: 

Máquina: Nome da máquina na qual o firewall está rodando. 

Domínio: Nome do domínio no qual o firewall está rodando. 

DNS Ativo: Esta opção deve ser marcada para ativar a resolução de nomes via 

DNS e desmarcada para desativá-la. 

Servidor primário: Definir o servidor DNS primário que será consultado para se 

resolver um nome. Ele é obrigatório se a opção DNS ativo estiver marcada. 

Servidor secundário: Definir o servidor DNS secundário que será consultado se o 

primário estiver fora do ar. Ele é opcional. 

Servidor terciário: Definir o servidor DNS terciário que será consultado se o 

primário e o secundários estiverem fora do ar. Ele é opcional. 


36.3.1. Interfaces de Rede 

Figura 450. Janela de acesso: Interfaces de redes. 

Nesta pasta podem ser configurados os endereços IP atribuídos a todas as 

interfaces de rede reconhecidas pelo firewall. Ela consiste de uma lista onde são 

mostrados os nomes de todas as interfaces e os endereços IP e máscaras de cada 

uma (é possível configurar até 31 endereços distintos para cada interface). Caso 

uma interface não tenha um endereço IP configurado, os campos correspondentes 

ao endereço e à máscara serão mostrados em branco. Possui os seguintes campos: 

IPV 4 

IP: Endereço da rede. Não pode ser informado um endereço auto-configurado. 

Máscara de rede: Informa o endereço da máscara de rede. 

Ponto a ponto: Configuração ponto a ponto 

IPV6 

IP: Endereço da rede. Não pode ser informado um endereço auto-configurado. 

Prefixo: Informam quantos bits a rede é composta. 

Alias 

Para configurar ou modificar o endereço IP ou máscara de uma interface e até 

mesmo atribuir um alias para a interface, deve-se clicar sobre a entrada do 

dispositivo correspondente e usar o menu suspenso que irá surgir: 


Figura 451. Menu: configuração ou modificação de endereço IP. 

VLAN 

Para criar uma VLAN associada a uma interface, deve-se clicar na interface 

desejada no lado esquerdo da janela. Aparecerá o seguinte menu suspenso: 

Figura 452. Menu de criação: VLAN. 

Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma 

conexão somente o switch tenha acesso a todas as suas VLANs, inclusive 

controlando o acesso entre elas. Para cada uma, uma interface virtual será criada 

dentro do Firewall. 

Nesse menu também permite habilitar o monitoramento e escolher a opção Habiltar 

monitoramento, possibilita monitorar todas as interfaces de rede do cluster e 

detalhes de replicação de sessão, identificando possíveis falhas, caso uma interface 

de algum nodo cluster falhe "falta de conectividade ou falha de rota, ou etc" o nodo 

do cluster irá desativar todas as outras interfaces e fazer com que outro nó assuma, 

permitindo assim uma maior disponibilidade dos links. 

PPPoE 

A opção Usar PPPoE permite definir que esta interface trabalhe com PPPoE (usado 

basicamente para a conexão com modems ADSL). Ao ser selecionada, a seguinte 

janela será mostrada: 


Figura 453. Configuração PPPoE. 

Nome do dispositivo: Este campo indica o nome do dispositivo interno que será 

utilizado na comunicação PPPoE. É importante que no caso de que haja mais de 

uma interface trabalhando em PPPoE, que eles sejam distintos. 

Usar a configuração de DNS do servidor: Se esta opção estiver marcada, o 

firewall utilizará como servidor de DNS o valor recebido através do PPPoE. 

Usar a rota padrão do servidor: Se esta opção estiver marcada, o firewall utilizará 

como rota padrão o valor recebido através do PPPoE. 

Serviço PPPoE ativado sob demanda: Se esta opção estiver marcada, o firewall 

ativará o serviço PPPoE apenas quando houver tráfico de rede direcionado através 

desta interface de rede. 

Nome do Usuário: Nome do usuário que será utilizado na autenticação durante o 

estabelecimento da sessão PPPoE. 

Senha: Senha que será utilizada na autenticação durante o estabelecimento da 

sessão PPPoE. 

Confirmação: Confirmação da senha que será utilizada na autenticação durante o 

estabelecimento da sessão PPPoE. 

Provedor: É o provedor do serviço de PPPoE. 

Só é possível configurar endereços IP de interfaces de rede reconhecidas pelo 

sistema operacional no qual o firewall está rodando. Caso tenha acrescentado uma 


nova interface de rede e seu nome não apareça na lista de interfaces, é necessário 

configurar o sistema operacional de forma a reconhecer esta nova interface antes 

de tentar configurá-la nesta pasta. 

O IP e o prefixo têm que ser informados juntos. 

Não deverá ser possível ao usuário remover ou editar os endereços autoconfigurados 

(que são derivados dos endereços MAC). 

As interfaces que estiverem em vermelho, indicam que não estão presentes em 

todos os nodos do cluster. 

Nesta pasta podem ser configurados os endereços IP atribuídos a todas as 

interfaces de rede reconhecidas pelo firewall. Ela consiste de uma lista onde são 

mostrados os nomes de todas as interfaces e os endereços IP e máscaras de cada 

uma (é possível configurar até 31 endereços distintos para cada interface). Caso 

uma interface não tenha um endereço IP configurado, os campos correspondentes 

ao endereço e à máscara serão mostrados em branco. 


36.4. Roteamento 

Figura 454. Janela de Roteamento. 


36.4.1. Geral 

Figura 455. Roteamento - Geral. 

Esta janela possibilita configurar rotas IPv4 e Ipv6 no firewall. Se divide em duas 

partes: 

A primeira parte se refere à configuração do endereçamento IPv4 e consiste dos 


Rede: Configuração dos endereços IP 

Máscara de rede: Informa o endereço da máscara de rede 

Gateway: Nesse campo deve ser informado o endereço IP do roteador. 

Métrica: É o valor de distância da rede. A distância pode ser medida, por número de 

dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por 

um valor associado a velocidade do link. 

Rota Padrão: Pode-se especificar o roteador padrão e de uma lista com as diversas 

rotas configuradas no firewall. 


Para a inclusão de uma nova rota, basta clicar no botão direito do mouse e irá 

aparecer o menu . 

Para remover ou editar uma rota, basta clicar com o botão direito sobre ela. 

A segunda parte se refere à configuração do endereçamento IPv6 e consiste dos 


Habilita Roteamento IPV6: Essa opção permite ativar ou desativar o roteamento de 

pacotes IPv6 

Dispositivos: Considera-se também a interface na criação da rota 

Rede: Configuração dos endereços IP 

Prefixo: Informa quantos bits a rede é composta. Valor entre 0 e 128 que define 

quantos bits do endereço serão usados no roteamento 

Gateway: Nesse campo deve ser informado o endereço IP do roteador. 

Métrica: É o valor de distância da rede. A distância pode ser medida, por número de 

dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por 

um valor associado a velocidade do link. 

Gateway padrão: Nesse campo deve ser informado o endereço IP da rota padrão. 

A validação normal dos endereços IPv6 se aplica também a este campo. 

Dispositivos de Gateway Padrão: Pode deixar em branco, não será opcional se o 

default gateway for auto-configurado. Placa relacionada, interface de redes. 

Rotas com escopo de link são as que começam pelo prefixo fe80:: definido na 

macro FWTCPIP_IPV6_AUTOCONF_PREFIX. 

Devido a uma limitação do Linux, não é possível remover o módulo de IPv6 uma 

vez que ele tenha sido instalado. Também, se o módulo não estava instalado no 

kernel, os daemons todos do firewall estavam escutando um socket IPv4. Sendo 

assim, ao modificar o valor desta opção, a GUI deverá mostrar um aviso ao 

administrador dizendo: “This setting will be fully functional only after the next firewall 

reboot”. 


36.4.2. Dinâmico 

Figura 456. Roteamento dinâmico. 

O Roteamento Estático é normalmente configurado manualmente, a tabela de 

roteamento é estática, as rotas não se alteram dinamicamente de acordo com as 

alterações da topologia da rede, o custo de manutenção cresce de acordo com a 

complexidade e tamanho da rede e está sujeito à falhas de configuração. 

O Roteamento Dinâmico é a divulgação e alteração das tabelas de roteamento de 

forma dinâmica, não tem a intervenção constante do administrador, as tabelas são 

alteradas dinamicamente de acordo com as mudanças na topologia da rede, ou 

seja, o processo é adaptativo e melhora o tempo de manutenção em redes grandes, 

estando também sujeito à falhas. 

Nesta pasta são definidas as configurações de Roteamento Dinâmico. Ela consiste 

nas seguintes opções: 

Interface: O enlace utilizado para alcançar o próximo roteador da rota de destino. 

Protocolos: Pode-se optar entre o protocolo RIP e o OSPF. 

RIP: O protocolo RIP (Routing Information Protocol) foi o primeiro protocolo de 

roteamento padrão desenvolvido para ambientes TCP/IP. O RIP é um protocolo de 


oteamento dinâmico que implementa o algoritmo vetor de distância e se caracteriza 

pela simplicidade e facilidade de solução de problemas. Em seu método, os 

equipamentos são classificados em ativos e passivos. Roteadores ativos informam 

suas rotas para outros e passivos apenas escutam e atualizam suas rotas baseadas 

nas informações recebidas, mas não informam. Normalmente, os roteadores usam 

RIP em modo ativo e as estações (hosts) em modo passivo. O RIP transmite sua 

tabela de roteamento a cada 30 segundos. O RIP permite 15 rotas por pacote; 

assim, em redes grandes, são exigidos vários pacotes para enviar a tabela de 

roteamento inteira. A distância ao destino é medido pelos roteadores que se passa 

até chegar ao destino. 

Vantagens: Em redes pequenas não despende muita largura de banda e tempo de 

configuração e gerenciamento e de fácil implementação; 

Desvantagens: Convergência lenta para redes de tamanho médio ou maior; 

Existência de loops e contagem ao infinito; Limitações do número saltos por 

caminho (15) e Limitação de métrica. 

OSPF: O protocolo OSPF - Open Shortest Path First é a alternativa para redes de 

grande porte, onde o protocolo RIP não pode ser utilizado, devido às suas 

características e limitações. 

O OSPF permite a divisão de uma rede em áreas e torna possível o roteamento 

dentro de cada área e através das áreas, usando os chamados roteadores de borda. 

Com isso, usando o OSPF, é possível criar redes hierárquicas de grande porte, sem 

que seja necessário que cada roteador tenha uma tabela de roteamento gigantesca, 

com rotas para todas as redes, como seria necessário no caso do RIP. O OSPF é 

projetado para intercambiar informações de roteamento em uma interconexão de 

rede de tamanho grande ou muito grande, como por exemplo, a Internet. 

O OSPF é eficiente em vários pontos, requer pouquíssima sobrecarga de rede 

mesmo em interconexões de redes muito grandes, pois os roteadores que usam 

OSPF trocam informações somente sobre as rotas que sofreram alterações e não 

toda a tabela de roteamento, como é feito com o uso do RIP. Sua maior 

desvantagem é a complexidade, pois, requer planejamento adequado e é mais difícil 

de configurar e administrar do que o protocolo RIP. 

A suas vantagens são: Maior velocidade de convergência suporte a várias 

métricas, caminhos múltiplos, sem loop nem contagem ao infinito e sincronismo 

entre os bancos. 

As suas desvantagens são: Complexidade no gerenciamento e implementação. 

Custo OSPF: O custo OSPF também é chamado de métrica, ou seja, a métrica é 

expressa como um valor de “custo”. O melhor caminho possui o custo mais baixo, 

sendo tipicamente o de maior largura de banda. É o custo da rota para se chegar 

em um determinado lugar. 

Velocidade OSPF: É a velocidade do link, ou seja, é a velocidade da conexão entre 

dois roteadores que é informada em kbits/seg. 


Área OSPF: Área é a designação atribuída a um subconjunto dos roteadores e 

redes que constituem o sistema autônomo e que participam numa instância do 

protocolo OSPF, isto é, as rotas de uma área não se propagam para as demais e 

vice versa. Verifica cada área e rota de modo a privilegiar as rotas de menor custo e 

com o mesmo destino. 

Logar rotas adicionadas e removidas: Ao selecionar essa opção as rotas 

adicionadas e removidas serão exibidas na lista de eventos. 

Redistribuir: nessa opção são escolhidas as rotas que serão informadas para os 

outros 

roteadores. 

Rotas Locais: São Rotas localmente conectadas, correspondem às sub redes 

configuradas nas interfaces de redes. 

Rotas de Outros Protocolos: Ao selecionar essa opção as rotas redistribuídas 

serão aquelas determinadas pelos protocolos RIP e o OSPF. Haverá uma troca de 

informações na comunicação entre eles, ou seja, o que foi aprendido por um 

protocolo será informado pelo outro e vice versa. 

Rotas Estáticas: As rotas estáticas são explicitamente configuradas pelo 

administrador, ou seja, rotas fixas pelos quais os dados serão transmitidos na aba 

Rotas dessa mesma janela. 

Filtrar redes distribuídas e recebidas 

Ativando esta opção devem-se selecionar quais as redes e hosts deseja-se receber 

e distribuir novas rotas através dos protocolos RIP e/ou OSPF. Através deste filtro 

desconsideram-se as informações que não são necessárias para nosso ambiente e 

também assim não é informado aos outros roteadores rotas de redes que não são 

utilizadas pela Aker. 


RIP 

Autenticação e versão RIP 

Figura 457. Roteamentoavançado (RIP). 

Essa opção permite escolher a forma de autenticação do protocolo. Recomenda-se 

a escolha do RIPv2 com MD5, pois é a forma mais segura de autenticação. O 

protocolo enviará todo o seu tráfego com segurança após a autenticação. 

Caso essa opção não seja escolhida existe, um grande risco do canal de 

comunicação ser interceptado ou violado, ou seja, não é garantido que a 

autenticidade ou a integridade sejam mantidas. 

RIPv1: Sem autenticação. São enviados apenas os dados. 

RIPv2: Sem autenticação. São enviados apenas os dados. 

RIPv2 com senha: Tem autenticação com senha. São enviados os dados e o 

segredo. 


RIPv2 com MD5: Autenticação com MD5. São enviados os dados juntamente com 

uma assinatura digital que contêm dados mais o segredo. 

Senha RIP: Nesse campo será informada a senha relacionada com a autenticação 

do protocolo. 

Confirmação: Deve ser informada a senha, para que seja confirmada a senha rip. 

Na opção Vizinhos RIP 

Nesta opção são definidos quais roteadores e quais os protocolos que irão 

comunicar-se entre si. É apenas necessário preencher esse campo em caso de 

operação em modo passivo. 

Desabilitar Separação Horizontal: Ao selecionar essa opção, desativa a omissão 

do envio de rotas que passam pelo nó que receberá a mensagem, ou seja, não vai 

evitar que um roteador RIP propague rotas para a mesma interface que ele 

"aprendeu" e nem o loop entre estes nós. 

Métrica RIP: É o valor de distância da rede. A distância pode ser medida, por 

número de dispositivos que o pacote deve cruzar, tempo que leva da origem ao 

destino ou por um valor associado a velocidade do link. Normalmente RIPD 

incrementa a métrica quando a informação da rede é recebida. A métrica das rotas 

distribuídas é configurada em 1. 

Atualizar o temporizador: O tempo de atualização padrão é de 30 segundos. Cada 

vez que ele expira, o processo RIP é acordado para enviar uma mensagem não 

solicitada, contendo a tabela de roteamento completa para todos os roteadores RIP 

vizinhos. 

Temporizador de timeout: Após a expiração do timeout, o roteador é considerado 

fora de funcionamento; entretanto, é mantida por um breve período a informação 

desse roteador na tabela de roteamento, para que os vizinhos possam ser 

notificados que ele foi removido. O tempo de timeout padrão é de 180 segundos. 

Temporizador do coletor de lixo: É o tempo que o firewall leva para considerar 

uma rota expirada. Se passar esse tempo sem que o outro roteador informe 

novamente a rota, ela é removida automaticamente. 


OSPF 

Métodos de autenticação OSPF 

Figura 458. Roteamento avançado (OSPF). 

Essa opção permite selecionar uma forma de autenticação mais segura na troca de 

informações entre roteadores, evitando ataques a esses roteadores. Recomenda-se 

a escolha do MD5, pois é a forma mais segura de autenticação. O protocolo enviará 

todo o seu tráfego com segurança após a autenticação. 

Caso essa opção não seja escolhida existe, um grande risco do canal de 

comunicação ser interceptado ou violado, ou seja, não é garantido que a 

autenticidade ou a integridade sejam mantidas. 

Nenhum: Não tem autenticação. 

Simples: Chave em claro. 

MD5: Hash da chave e dos dados. 

Chave: É o segredo que será utilizada na autenticação OSPF. 

Id da chave: Identifica qual a chave que está usando. 


Definição ABR 

Ao selecionar alguma das opções abaixo, opta-se em definir como o protocolo 

OSPF distribuirá as rotas entre os roteadores. 

Padrão 

CISCO 

IBM 

Ativar compatibilidade com RFC 1583: Ao selecionar essa opção opta em se 

utilizar um padrão mais antigo. 

A RFC2328 é a sucessora da RFC1583, e sugere que, de acordo com a seção 

G.2 na seção 16.4 mudanças no caminho no algoritmo de preferência que previnem 

possíveis loops de roteamento que poderiam acontecer ao utilizar a versão antiga 

de OSPFv2. Mais especificamente ela demanda que as rotas da inter-área e os da 

intra-área são de iguais preferências, embora ambos prefiram rotas externas. 

ID da Roteador: Endereço ID que identifica o roteador no processo OSPF, ou seja, 

contém a identificação numérica do roteador que originou o pacote. 

Intervalo morto: Período máximo em segundos desde o último recebimento de um 

pacote hello, antes de o roteador considerar o seu "vizinho" como não acessível. O 

valor padrão é de 40 segundos. 

Intervalo do "Hello": O intervalo em segundos entre as transmissões do pacote 

hello. Configurando este valor, os pacotes hello serão enviados periodicamente de 

acordo com o tempo especificado na interface. Este valor deve ser o mesmo para 

todos os roteadores existentes na rede. O valor padrão é dez segundos. 

Intervalo de retransmissão: Este valor é usado quando, a base de dados de 

descrição e os pacotes de requisição de estado de link são retransmitidos. O valor 

padrão é de 5 segundos. 

Prioridade: Ao configurar um valor de prioridade mais alto, o roteador terá maiores 

chances de se tornar o roteador designado, ou seja, é o roteador que será 

considerado vizinho de todos os demais roteadores da rede. Configurando o valor 

para 0, o roteador não será mais a rota preferível. O valor padrão é 1. 


36.4.3. Avançado 

Figura 459. Roteamento avançado. 

Esta configuração permite a utilização de rotas por origem e o balancemanto de link 

por rotas, onde é possível direcionar o tráfego de rede para um determinado 

gateway a partir de sua origem e ainda balancear este tráfego em até 3 links 

diferentes. Não é possível configurar rotas por origem pela tabela de roteamento 

Geral, por esse motivo as regras criadas aqui têm maior prioridade. 

Para realizar com sucesso esta configuração, é necessário cadastrar as entidades 

de origem, destino e serviço antes do início do processo. Este cadastramento pode 

ser feito tanto na interface gráfica do Aker Control Center como no modo texto 

utilizando o comando “fwent” no console do Aker Firewall. 

Abaixo segue alguns exemplos de configurações: 

Teste da funcionalidade balanceamento de link por rota: 


Laboratório 

Figura 460. Exemplo de laboratório de teste – balaceamento de rotas. 

Testes e configurações 

Configurações do FW A: 

Figura 461. Teste e configurações – NAT – exemplo A. 


Via linha de comando: 

Figura 462. Teste e configurações – Balanceamento de link – exemplo B. 

fwadvroute inclui 1 -src 192.168.0.0/255.255.255.0 -dst 172.16.21.0/255.255.255.0 - 

bal 1 2 3 

Configurações do FW B: 

Figura 463. Teste e configurações – NAT exemplo B. 

Figura 464. Teste e configurações – Balanceamento de link – exemplo B. 


Figura 465. Roteamento. 

Via linha de comando: 

fwadvroute inclui 1 -src 172.16.21.0/255.255.255.0 -dst 192.168.0.0/255.255.255.0 - 

bal 1 2 3 

Esta configuração faz com que todo o tráfego entre as redes 192.168.0.0/24 e 

172.16.21.0/24 seja balanceado pelos 3 links. 

Utilizando a interface Shell: 

Localização do programa: /aker/bin/firewall # fwadvroute ajuda 


Uso: fwadvroute ajuda 

fwadvroute mostra 

fwadvroute inclui -src -dst [-svc ] 

{ -gw | [-P] -bal ... } 

fwadvroute remove 

fwadvroute < habilita | desabilita > 

fwadvroute refresh 

Os parâmetros são: 

pos: posição da regra na tabela (a partir de 1); 

src_ents : Entidades origem (rede/maquina/conjunto); 

dst_ents : Entidades destino (rede/maquina/conjunto); 

svc_ents : Entidades serviço (servico); 

gw_ent : Entidade gateway (maquina); 

linkN : Nomes dos links para balanceamento (veja 'fwblink mostra'); 


-P : Persistência de conexão. 

A seguir, serão demonstrados alguns exemplos práticos das sintaxes utilizadas 

nesta configuração: 

Obs: Os nomes das entidades utilizadas nos exemplos são apenas nomes de 

demonstração para facilitar a compreensão. 

Sintaxe: fwadvroute inclui -src -dst [-svc 

] -gw 

Cria e/ou define uma rota especificando a posição, origem, serviço (caso haja), 

destino e o gateway desejado. 

Exemplo: fwadvroute inclui 1 -src "rede interna" -dst host1 -gw server1 

Note que para indicar a entidade "rede interna" foi utilizada aspas, pois, nomes 

de entidades que contenham mais de uma palavra devem estar sempre entre 

aspas. 

Caso o espaço para indicar o serviço a ser utilizado estiver vazio, serão 

considerados todos os serviços para esse roteamento. 

Sintaxe: fwadvroute remove 

Remove uma rota já criada indicando a posição da mesma. 

Exemplo: fwadvroute remove 1 

Sintaxe: fwadvroute < habilita | desabilita > 

Habilita ou desabilita uma rota indicando a posição da mesma. 

Exemplo: fwadvroute habilita 1 

Não é possível configurar as rotas por origem pelo Control Center, esta 

configuração é feita apenas pelo console do Aker Firewall. 

36.5. Utilizando a interface texto nas Chaves de Ativação 

É possível configurar as Chaves de Ativação pela interface texto. 

Localização do programa: /aker/bin/firewall/fwkey path 

Path: Caminho completo do arquivo com a chave de ativação a ser substituída. 


36.6. Utilizando a interface texto na Configuração TCP/IP 

É possível configurar os parâmetros do TCP/IP pela interface texto. 

Localização do programa:/aker/bin/firewall/fwinterface 

O programa é interativo e as opções de configuração são as descritas abaixo: 

Figura 466. Modo de configuração para interfaces de rede. 

Analogamente a configuração da interface gráfica, a interface texto possui 6 opções 

conforme visualizado na figura acima. 

Na janela abaixo é possível visualizar, configurar e desconfigurar uma interface de 

rede 


Figura 467. Configuração de Interfaces. 

Na tela abaixo é apresentada a opção de listar interfaces 


Figura 468. Lista da interfaces de rede. 

Para configurar uma interface deve-se digitar o nome da mesma. A tecla 

retorna ao menu anterior 


Figura 469. Módulo de configuração para interfaces de rede. 

Nesta tela é apresentada a opção de cadastrar VLAN 

Figura 470. Cadastro de Vlan. 


Após a digitação dos valores de configuração é perguntado se deseja configurar 

álias para a interface. 

Figura 471. Configuração de interfaces. 

Após a digitação da Opção 2 da tela principal, é possível realizar a configuração de 

rotas estáticas. 


Figura 472. Configuração de rotas estáticas. 

Após as informações terem sido digitadas é perguntado se deseja gravar as novas 

configurações. 

Figura 473. Configuração de rotas estáticas – entrada de dados. 


Após a digitação da Opção 3 da tela principal, é possível realizar a configuração dos 

Servidores DNS. 

Figura 474. Configuração de DNS. 

Após a digitação da Opção 4 da tela principal, é possível realizar a configuração da 

rota padrão. 

A opção 5 da tela principal salva as novas configurações. 


Figura 475. Módulo de configuração para interfaces de rede. 

36.7. Utilizando a interface texto na Configuração de Wireless 

Esta opção é configurada apenas pelo console do Aker Firewall e está disponível 

somente no Aker Firewall Box com suporte para conexão Wireless. 

A seguir, serão demonstrados seus comandos e alguns exemplos de configuração: 

Localização do programa: /aker/bin/firewall/akwireless 

Figura 476. Interface de texto na configuração Wireless. 

Logo após um comando, é obrigatório inserir os dados necessários quando o 

espaço para inserí-los estiver entre os sinais "< e >" (menor que, e maior que). Caso 


este espaço estiver entre os sinais "[ e ]" (colchetes), será facultativo a inserção dos 

mesmos. 

Vários desses comandos são auto-explicativos, por este motivo será enfatizada às 

particularidades dos comandos mais importantes: 

akwireless cria_interface 

= cria uma interface. 

Sintaxe: wireless cria_interface ath0 ap g 

Dentre os modos existentes, o mais utilizado é o "AP" (Modo Master), que permite 

outras máquinas se conectarem nele. 

Existem vários protocolos como A, B, G, N, porém, apenas os protocolos B e G são 

suportados pela Aker. 

As interfaces wireless são definidas por "ath", logo, caso existam 3 interfaces 

listadas,estas serão definidas por: ath0, ath1 e ath2. 

akwireless destroi_interface = destroi uma interface. 

Sintaxe: wireless destroi_interface ath0 

akwireless muda_protocolo = altera o protocolo a ser utilizado. 

Sintaxe: wireless muda_protocolo ath0 g 

Cabe ressaltar que a placa wireless suporta apenas um protocolo para todas as 

interfaces. 

akwireless lista_interface [interface] = mostra todas as interfaces listadas. 

Sintaxe: wireless lista_interface 

Caso queira listar uma determinada interface, basta definí-la na frente do comando. 

akwireless muda_modo = 

altera o modo a ser utilizado. 

Sintaxe: wireless muda_modo ath0 ap 

akwireless muda_SSID = criar/alterar nome da rede wireless. 

Sintaxe: wireless muda_SSID ath0 rede1 


akwireless wep_chave = habilitar autenticação WEP 

com índice e chave indicados. 

Sintaxe: wireless wep_chave ath0 1 12345 

akwireless wep_chave_indice = altera o indice corrente. 

Sintaxe: wireless wep_chave_indice ath0 1 

Pode-se criar até 4 chaves em índices diferentes. 

akwireless wpa1_chave = habilita autenticação WPA1 

com a chave e o arquivo de configuração indicados. 

Sintaxe: wireless wpa1_chave ath0 123456789 wpa1.conf 

Pode-se obter configurações avançadas modificando o arquivo de configuração 

citado acima. 

akwireless wpa2_chave = habilita autenticação WPA2 

com a chave e o arquivo de configuração indicados. 

Sintaxe: wireless wpa2_chave ath0 123456789 wpa2.conf 

Pode-se obter configurações avançadas modificando o arquivo de configuração 

citado acima. 

akwireless sem_chave = desabilitar autenticação. 

Sintaxe: wireless sem_chave ath0 

akwireless escolhe_lista_mac black : white = habilitar a 

filtragem de Mac. 

Sintaxe: wireless escolhe_lista_mac ath0 white white.conf 

Black: lista de macs que não poderão se conectar no Firewall. 

White: lista dos únicos macs que poderão se conectar ao Firewall. 

akwireless add_mac = adicionar um Mac na lista. 

Sintaxe: wireless add_mac ath0 00:13:20:3A:11:5B 

akwireless del_mac = deletar um Mac da lista. 

Sintaxe: wireless del_mac ath0 00:13:20:3A:11:5B 


akwireless lista_mac = listar os Mac adicionados. 

Sintaxe: wireless lista_mac ath0 

akwireless limpa_lista = deleta todos os Macs listados. 

Sintaxe: wireless limpa_lista ath0 

akwireless lista_autenticacao |interface| = listar os tipos de autenticação de cada 

interface. 

Sintaxe: wireless lista_autenticacao ath0 

akwireless muda_canal |channel| = alterar o canal da interface. 

Sintaxe: wireless muda_canal ath0 3 

Para mostrar os canais disponíveis, basta utilizar este comando sem indicar o canal. 

akwireless lista_usuarios_conectados = Mostra os usuários que 

estão conectados. 

Sintaxe: wireless lista_usuarios_conectados ath0 

Esta configuração é feita apenas pelo modo texto, no console do Aker Firewall e 

está disponível somente no Aker Firewall Box com suporte para conexão wireless. 

36.8. Utilizando a interface texto na Configuração de DDNS 

Esta opção é configurada apenas pelo console do Aker Firewall e está disponível 

somente no Aker Firewall Box com suporte para conexão Wireless. 

A seguir, serão demonstrados seus comandos e alguns exemplos de configuração: 

Localização do programa: /aker/bin/firewall/akddns 


Figura 477. Exemplo de interface de texto na configuração DNS. 

Logo após um comando, é obrigatório inserir os dados necessários quando o 

espaço para inserí-los estiver entre os sinais “< e >” (menor que, e maior que). Caso 

esse espaço estiver entre os sinais “[ e ]” (colchetes), será facultativo a inserção dos 

mesmos. 

Vários desses comandos são auto-explicativos, por este motivo será enfatizada às 

particularidades dos comandos mais importantes: 

ddns server [login_server] [pwd_server] 

= configura o servidor DDNS a ser utilizado pelo produto. 

Sintaxe: ddns server members.dyndns.org dyndns2 meuhost.dyndns.org usuário 

senha no comando, especifica-se o hostname do servidor onde se fará a 

atualização, o protocolo a ser utilizado para isso (ex. dyndns2), o hostname a ser 

atualizado, o login e a senha de atualização. 

ddns interface = monitora o IP de uma interface. 

Sintaxe: ddns interface eth0Com esse comando, o IP dinâmico a ser atualizado no 

servidor será o existente na interface fornecida (ex. eth0). 

ddns gateway [login_gateway] 

[pwd_gateway] = monitora o IP de um gateway da rede 

Sintaxe: ddns gateway linksys 10.0.0.1 80 usuario senha com esse comando, o IP 

dinâmico a ser atualizado no servidor será o de um gateway (ex. modem) da rede. 

Normalmente, seria o IP externo da rede. Para uma lista com os tipos de gateway 

suportados, execute o comando “ddns lista”. 


ddns web [token] = monitora o IP fornecido em uma URL. 

Sintaxe: ddns web meuip.meudominio.com.br "IP:" 

Com esse comando, o IP dinâmico a ser atualizado no servidor será obtido a partir 

de uma página web localizada na URL fornecida, após o token configurado. 

ddns ip = especifica um IP fixo a ser fornecido ao servidor DDNS 

Sintaxe: ddns ip 200.140.230.137 

Define um IP fixo para o seu hostname cadastrado no servidor DDNS. 

36.9. Configuração do Link 3G 

O Aker Firewall traz para seus usuários duas novas funcionalidades no acesso à 

Internet. A partir de agora, a solução UTM da Aker suporta conexão pelos modems 

3G e redes wireless. 

Essas funcionalidades foram desenvolvidas com o objetivo de possibilitar uma maior 

mobilidade e facilidade no acesso à Internet. 

Conexão via modem 3G 

O Aker Firewall permite que você conecte um modem 3G em sua porta USB e essa 

conexão passa a ser utilizada como um link de dados para acesso à Internet. O 3G 

pode ser de qualquer. 

E possível assim, proporcionar maior economia, alto desempenho e facilidade na 

instalação para os usuários do Aker Firewall, pois os links 3G, além de mais baratos 

e rápidos, são fácies de se instalar, não necessitando de nenhum equipamento nem 

cabos de rede. 

Configurando o modem 3G 

O procedimento de configuração é dividido em duas partes: 

1. Configuração dos drivers do modem; 

2. Configuração do modem 3G no Aker Firewall. 

Configuração dos drivers do modem: 

Procedimento manual: 

Execute o comando "config3g.sh". Serão listados todos os dispositivos USB 

conectados ao firewall. Ao identificar o modem na lista de dispositivos USB que lhe 


foi listado, os campos "product id" e "vendor id" devem ser preenchidos. Após esse 

preenchimento, o script irá configurar os drivers do modem corretamente. 

Procedimento automático: 

Figura 478. Configuração de link 3G. 

Execute o comando "config3gauto.sh". Automaticamente será identificado o modem 

da lista de dispositivos USB conectados. 

Configuração do modem 3G no Aker Firewall 

Neste passo, a configuração ocorre através da interface gráfica na janela 

"Configurações do Sistema → TCP/IP". 

Na janela irá aparecer uma nova interface chamada 3G. Essa é apenas uma 

interface virtual que significa que existe um modem 3G configurado. Para configurar 

uma interface real, clique com o botão direito na interface virtual 3G e opte pela 

opção "Usar 3G". 


Figura 479. Configuração 3G no Aker Firewall. 

Ao realizar o procedimento acima irá abrir uma janela de configuração com os 


"Nome do dispositivo"; 

"Ativar no boot": Efetuar a conexão automaticamente, após ligar o Aker Firewall 

BOX; 

"Usar configuração DNS do servidor": Utilizar as configurações de DNS, 

fornecidas pela operadora do 3G; 

"Usar rota Padrão do Servidor": Utilizar como rota padrão o link 3G (apenas no 

caso da rota padrão não ter sido configurada previamente); 

"Serviço 3G ativado sob demanda": Utilizar o link 3G apenas quando a rede 

tiver necessidade de conexão com à Internet. Quando não houver dados para 

serem transmitidos ou recebidos a conexão do link 3G será desativada; 

"ID do produto:" Já estará preenchido, deve mudar apenas se mudou o 

modem; 

"ID do vendedor:" Já estará preenchido, deve mudar apenas se mudou o 

modem; 

"Caminho do arquivo de configuração do modem": 

Existem três opções já criadas: 

TIM; 

CLARO; 

VIVO. 


"Usar outro caminho:" 

É possível usar um arquivo de configuração, criado pelo administrador do Aker 

Firewall. Para utilizá-lo, basta especificar o caminho onde este arquivo está salvo. 

Essa opção é utilizada para o Aker Firewall suportar outros modelos de modems 

e/ou outras operadoras, dando assim maior flexibilidade à solução. 

Testando a conexão 

Após configurar a interface 3G, o Aker Firewall vai tentar discar para a operadora. 

Esse procedimento pode não funcionar por problemas na operadora. 

Para verificar se conexão foi efetuada com sucesso, observe a cor da interface 

criada. Se tiver com uma cor clara quer dizer que o modem conectou normalmente, 

se a cor for escura significa que houve algum problema. Repita o procedimento e, 

se o problema continuar, contate o departamento de suporte da Aker Security 

Solutions. 


Configurando o Firewall em 

Cluster 


37. Configurando o firewall em Cluster 

Este capítulo mostrará como configurar a tolerância a falhas e o cluster cooperativo do 


37.1. Planejando a Instalação 

O que é um sistema de tolerância às falhas? 

Quanto mais os computadores ganham espaço nas empresas, nos escritórios e na 

vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um 

simples e bom motivo: nenhum usuário quer que a sua máquina pare de funcionar 

ou que os recursos de rede não possam mais ser acessados. É justamente a alta 

disponibilidade que vai garantir a continuidade de operação do sistema na prestação 

de serviços de rede, armazenamento ou processamento, mesmo se houver falhas 

em um ou mais de seus elementos. 

Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vez 

maior de usuários. Tornou-se um requisito fundamental para os sistemas que ficam 

no ar 24 horas por dia, sete dias por semana, ou que não possam ficar fora do ar 

por até mesmo alguns minutos. Afinal, paradas não planejadas podem 

comprometer, no mínimo, a qualidade do serviço, sem contar os prejuízos 

financeiros. 

Tolerância às falhas nada mais é que um agrupamento de recursos que fornece ao 

sistema a ilusão de um recurso único. A maioria dos seus componentes, encontramse 

duplicados, desta forma, mesmo que um componente individual apresente falhas 

o serviço não é comprometido. Para possibilitar a redundância de recursos é 

necessário um mecanismo de gerência, de forma a tornar seu funcionamento 

transparente. 

O que é um sistema Cooperativo? 

No sistema de tolerância às falhas foi falado a respeito de alta disponibilidade e de 

agrupamento de recursos, mas no sistema cooperativo além da alta disponibilidade 

ocorre o balanceamento de carga entre os sistemas. No sistema cooperativo todos 

os sistemas ficam ativos e se o peso entre eles for igual tratarão de forma 

balanceada as conexões e todos os processos entre eles. 

Como trabalha a Tolerância às Falhas do Aker Firewall? 

A tolerância às falhas do Aker Firewall é composta por dois sistemas idênticos, ou 

seja, duas máquinas com o mesmo Sistema Operacional, mesmas placas de rede e 

com a mesma versão do Firewall, conectadas entre si. A exigência de se usar o 


mesmo sistema operacional se dá pelo fato de poder aplicar correções através da 

interface gráfica e essas correções serem replicadas automaticamente de uma 

máquina para a outra. 

Além de estarem conectadas entre si, o que deve ser feito por uma interface de 

rede, é necessário que todas as placas de rede correspondentes das duas 

máquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos 

os firewalls tenham acesso às mesmas máquinas e roteadores. 

Como trabalha o sistema Cooperativo do Aker Firewall? 

Antes de tudo a diferença básica da configuração do cluster cooperativo e do 

failover está vinculada à licença. A licença do cluster cooperativo faz com que a 

convergência de dois firewalls com pesos iguais seja de 50% para cada um, já a 

licença do failover faz com que ocorra convergência em apenas um dos firewalls. 

O que são modos UNICAST e MULTICAST do sistema Cooperativo do Aker 

Firewall? 

No Aker Firewall em modo cooperativo, mais de um host - os nodos do cluster - 

precisam receber os mesmos pacotes, para posteriormente cada um deles decidir 

se é de sua responsabilidade ou não. Como os switches não estão preparados 

nativamente para isso, uma de duas técnicas precisa ser empregada. 

A primeira, chamada do modo unicast, implica em reconfigurar o switch para que ele 

saiba que um determinado endereço ethernet (MAC) está em duas ou mais portas 

simultaneamente, significando que ele deve copiar o pacote com esse endereço 

destino em todas elas, e jamais aprendê-lo como estando em uma porta apenas. 

Nesse modo, todos os firewalls do cluster usam o mesmo endereço MAC. O único 

inconveniente desse modo é que são raros os switches que o suportam. 

A segunda, modo multicast, faz com que os firewalls de um cluster registrem um 

endereço ethernet multicast em suas interfaces e respondam as chamadas de ARP 

para o IP virtual com esse endereço. Se o switch não for configurado para limitar o 

espalhamento de pacotes multicast, todos os pacotes destinados ao firewall serão 

redistribuídos em todas as portas, como se fossem pacotes broadcast. Para fazer 

essa configuração, existem duas opções: ou o faz manualmente no switch, ou então 

utiliza o protocolo IGMP, onde cada firewall anuncia ao switch que é membro do 

grupo multicast correspondente ao endereço escolhido. Seu switch deve suportar 

uma dessas duas opções. Além disso, existem alguns roteadores que não 

aprendem o endereço multicast ethernet da resposta ARP enviada pelo firewall. 

Nesses casos, as entradas para o firewall devem ser adicionadas manualmente em 

suas tabelas. 

Existem implicações sérias de performance (flooding, por exemplo) e segurança 

(requisição de associação IGMP por qualquer host da rede) no caso de cluster no 

modo multicast. Todos os problemas podem ser evitados com corretas 


configurações nos switches. Tenha certeza que você entende o funcionamento 

desse modo antes de colocá-lo em funcionamento. 

Quando o cluster estiver no ar, qualquer alteração feita nas configurações de um 

firewall através da interface gráfica será replicada automaticamente para o outro 

firewall. 

37.2. Configuração do Cluster 

Para que possa ser iniciada a configuração do Cluster, é necessário que 

previamente exista uma licença de cluster e que já tenha sido aplicada no Firewall. 

Para se ter acesso a janela de Configuração do Cluster deve-se: 

Figura 480. Janela de acesso – configuração do cluster. 


Clicar no menu Configuração do Sistema na janela de Administração do Firewall. 

Clicar no item Configuração do Cluster. 

Caso o usuário opte em configurar, deverá clicar no botão "sim", e automaticamente 

aparecerá a seguinte tela: 

Figura 481. Criar cluster. 

Essa janela permite a criação de um novo cluster. O usuário deverá preencher os 


Nome: Nesse campo deve ser informado o nome do Firewall no cluster. 

Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá 

escolher o valor mais apropriado. 

Interface: Esse campo permite a escolha de uma entidade que representa uma 

interface de controle do firewall. Essa entidade será usada pelo firewall para 

controle do cluster. 

Botão Ok: Ao término da escolha das opções, deve-se clicar no botão Ok. Se a 

licença tiver sido aplicada anteriormente, o cluster será habilitado, caso tenha algum 

problema, aparecerá uma mensagem informando que não foi possível habilitá-lo. 

Se a criação do cluster tiver sido feita com sucesso a interface gráfica será 

desconectada para garantir que toda a configuração do firewall seja recarregada, 

assim o usuário deverá conectar novamente. 


Caso o usuário deseje fazer alguma alteração nas configurações do cluster criado, 

deverá acessar a Janela de Configuração de Cluster. Abaixo seguem as descrições 

dos campos: 

Informações Gerais 

Figura 482. Configuração do cluster – configurações gerais. 

Nessa parte da janela são mostradas informações gerais do cluster criado. 

Tipo de Cluster: Esta opção permite selecionar o tipo de cluster desejado ou 

desabilitá-lo. 

Interface de Controle: Essa informação é definida na hora da habilitação do 

cluster, não podendo ser alterada posteriormente. Todos os seus outros membros 

utilizarão essa mesma entidade. 

Informações dos Membros 

Nessa parte da Janela mostra todas as informações sobre os membros do cluster. 


Identificação: Esse campo informa o ID do Cluster. É gerado aleatoriamente, não 

podendo ser alterado. 

Nome: Indica o nome do firewall do cluster. 



Estado: Permite visualizar o status do cluster, se está ativado ou desativado 

Interfaces 

Nessa parte da janela permite a visualização das características de configuração 

das interfaces de rede dos membros do cluster. Essas características pertencem a 

todos os membros, incluindo os ativados, desativados e os que vierem a ser 

incluídos. 

Interface: Nesse componente permite adicionar uma nova interface. 

Virtual IP: É o IP virtual que representa as máquinas do cluster para a rede atual. 

Deverá ser definido apenas nos casos de cluster cooperativos. 

Modo: Esse campo informa o modo como os pacotes são redistribuídos dentro de 

um grupo de máquinas. O modo UNICAST é o padrão, mas pode ser alterado para 

o modo Multicast ou Multicast com IGMP. 

IP Multicast : As informações contidas nesse campo, são alteradas de acordo com 

o modo indicado/escolhido, mas só poderá ser editado quando for escolhido o modo 

multicast IGMP. 

Mac: Esse campo indica o endereço físico da placa de rede. Pode ser informado 

quando o modo escolhido for o Multicast. Caso não seja especificado o cluster, 

vai ser utilizado o endereço que consta na placa, se for escolhido o modo Multicast 

IGMP o MAC não será configurado, ou seja, não poderá ser editado. 

A opção de adicionar um IP virtual só é válida quando se tratar de cluster 

cooperativo. 

Observação: Deve haver no mínimo um membro ativo. 

Nessa janela pode-se incluir um novo membro do cluster. Para incluí-lo, clique com 

o botão direito do mouse no componente que mostra as informações dos membros. 

Clique no 

, aparecerá a seguinte janela: 


Figura 483. Configuração do cluster – adicionar membro. 

Nessa janela preenche todas as informação do firewall que será adicionado ao 

cluster. Abaixo segue a descrição dos campos: 

Informação da conexão 

IP: É o endereço IP do firewall a ser adicionado ao cluster. 

Usuário: Usuário de administração do firewall. 

Senha: Senha do usuário administrador do firewall. 

Informação do Firewall 

Nome: Nome do Firewall no cluster 



Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum. 

Podendo ser definido previamente qual status funcione (mestre ou escavo) ou 

selelcionado a opção nenhum (para ser escolhido automaticamente). 


O membro do cluster, também pode ser incluído por meio do ícone 

na barra de ferramentas. 

presente 

37.3. Estatística do Cluster 

A janela de estatística do Cluster permite a visualização das informações de cada 

nó do cluster. 

Para se ter acesso a janela de Estatística do Cluster deve-se: 

Figura 484. Janela de acesso – Estatísticas do cluster. 

Clicar no menu Informação na janela de Administração do Firewall. 

Clicar no item Estatística do Cluster. 

Aba Firewall 1 

A janela possui dois tipos de informações: as informações estáticas se referem ao 

nome do nodo, o identificador e o peso. As outras informações que constam na 


janela são estatísticas do tráfego de redes que permite, por exemplo, a visualização 

da quantidade de pacotes trafegados na rede. 

Os valores são acumulativos, a cada segundo os dados são somados ao valor 

anterior. 

Aba Gráfico 

Figura 485. Estatísticas do cluster – Firewall 1. 

Esta janela permite a visualização gráfica das informações referentes ao tratamento 

dado, aos pacotes dos nodos, pelo Firewall. Esse gráfico permite a visualização de 

até 8 nodos. 

As informações do tráfego de cada nodo são mostradas em porcentagem. Esta aba 

possui vários tipos de filtros, permitindo ao usuário, para uma eventual comparação 

de dados, filtrar informações em percentual, das atividades de cada firewall. 


Figura 486. Estatísticas do cluster – Gráfico. 


A utilização da interface texto na configuração da tolerância às falhas é bastante 

simples. 

Localização do programa: /aker/bin/firewall/fwcluster 

Sintaxe: 

fwcluster [ajuda | mostra] 

fwcluster interface_controle 

fwcluster peso 

fwcluster 

fwcluster [maquina | -f] 

fwcluster [multicast [igmp ] [mac ] | unicast] 




Uso: fwcluster [ajuda | mostra] 

fwcluster interface_controle 

fwcluster peso 

fwcluster 

fwcluster [maquina | -f] 

fwcluster [multicast [igmp ] [mac ] | unicast] (!) onde: 

if : entidade interface 

peso : peso deste firewall no cluster 

maquina : endereco IP virtual a remover ou incluir (entidade maquina) 

Exemplo 1: (mostrando a configuração) 

Como efeito didático será explanada a topologia de uma rede com três firewalls em 

cluster e duas redes (rede 192 e rede 10). 

Figura 487. Interface texto – exemplo 1: mostrando a configuração da interface. 

Antes que se inicie a montagem do cluster, primeiramente devem ser cadastradas 

todas as interfaces, lembrando que diferente do cluster no firewall 4.5, aqui todos os 

firewalls possuem endereços ip diferentes. 


Exemplos: Firewall A - rl0 - if_externa - 10.0.0.1 Firewall B - rl0 - if_externa - 10.0.0.2 

rl1 - if_interna - 192.168.1.1 rl1 - if_interna - 192.168.1.2 

rl2 - if_controle - 172.16.0.1 rl2 - if_controle - 172.16.0.2 

Firewall C – rl0 - if_externa - 10.0.0.3 

rl1 - if_interna - 192.168.1.3 

rl2 - if_controle - 172.16.0.3 

Em seguida crie uma entidade vitual para cada uma das placas, exceto para a 

interface de controle, essas entidades terão valor igual para todos os firewalls do 

cluster. 

Exemplos: Firewall A - externa_firewall (ip 10.0.0.4) Firewall B - externa_firewall (ip 

10.0.0.4) 

interna_firewall (ip 192.168.1.4) interna_firewall (ip 192.168.1.4) 

Firewall C - externa_firewall (ip 10.0.0.4) 

interna_firewall (ip 192.168.1.4) 

Para iniciar a configuração do cluster, crie primeiro a interface de controle: 

/aker/bin/firewall/fwcluster interface_controle interface_cadastrada 

Depois inicie o cadastro de cada uma das interfaces participantes do firewall: 

/aker/bin/firewall/fwcluster inclui interface_cadastrada maquina_virtual_cadastrada 

Defina o peso de cada Firewall, se não for definido, por padrão será aplicado peso 1 

para todos: 

/aker/bin/firewall/fwcluster peso numero_do_peso 

Após aplicar todas essas configurações em todos os firewalls participantes, habilite 

o cluster em cada um deles: 

/aker/bin/firewall/fwcluster habilita 

As máquinas do cluster não precisam ser iguais, mas as placas de rede sim. 

Para o cluster failover utilize apenas 2 firewalls, já que apenas um responderá por 

todo o tráfego. 


Arquivos do Sistema 


38. Arquivos do Sistema 

Este capítulo mostrará onde estão localizados e para que são usados os arquivos 

que fazem parte da versão 6.1 do Aker Firewall. 

38.1. Arquivos do Sistema 

Neste tópico serão mostrados quais são e onde se localizam os arquivos do 

sistema. Isto é muito importante na hora de fazer os backups ou para diagnosticar 

possíveis problemas de funcionamento. 

Árvore de diretórios 

/aker/bin/firewall - contém programas executáveis e sub-diretórios 

/aker/bin/firewall/x509 - contém os arquivos correspondentes aos certificados 

X.509 

/aker/bin/firewall/httppd - contém a raiz do sistema de arquivos do servidor 

local HTTP do Filtro Web. Não remova os arquivos já presentes neste diretório. 

/aker/config/firewall - contém os arquivos de configuração do firewall 

/aker/bin/firewall/snmpd - contém o agente SNMP 

/var/log - contém os arquivos de log e eventos do Aker Firewall 

/var/spool/firewall - usado pelos proxies SMTP e POP3 para armazenar as 

mensagens a serem enviadas 

Programas executáveis 

Programas que podem ser executados pelos administradores do Aker Firewall 

/aker/bin/firewall/fwadmin - Interface texto para administração de usuários 

/aker/bin/firewall/fwaction - Interface texto para configuração das ações do 

sistema 

/aker/bin/firewall/fwblink - Interface texto para configuração do balanceamento 

de links 

/aker/bin/firewall/fwkey - Interface texto para configurar chave de ativação do 

sistema 

/aker/bin/firewall/fwclient - Interface texto para a configuração do acesso dos 

clientes de criptografia 

/aker/bin/firewall/fwcluster - Interface texto para a configuração da tolerância a 

falhas 

/aker/bin/firewall/fwcripto - Interface texto para configuração da criptografia e 

autenticação 

/aker/bin/firewall/fwedpwd - Interface texto para configuração das bases de 

dados para autenticação local 

/aker/bin/firewall/fwent - Interface texto para a criação de entidades 


aker/bin/firewall/fwflood - Interface texto para configuração da proteção contra 

SYN flood 

/aker/bin/firewall/fwids - Interface texto para a configuração do suporte a 

agentes de detecção de intrusão 

/aker/bin/firewall/fwaccess - Interface texto para a configuração das 

associações de perfis de acesso 

/aker/bin/firewall/fwlist - Interface texto para acesso às conexões e sessões de 

usuários ativas 

/aker/bin/firewall/fwlog - Interface texto para acesso ao log e aos eventos do 

firewall 

/aker/bin/firewall/fwmaxconn - Interface texto para configuração do controle de 

flood 

/aker/bin/firewall/fwnat - Interface texto para a configuração da conversão de 

endereços (NAT) 

/aker/bin/firewall/fwpar - Interface texto para configuração dos parâmetros 

gerais 

/aker/bin/firewall/fwrule - Interface texto para configuração do filtro de pacotes 

inteligente 

/aker/bin/firewall/fwipseccert - Interface texto para a gerência dos certificados 

X.509 necessários à criptografia IPSEC. 

/aker/bin/firewall/fwstat - Interface texto para a configuração e visualização das 

estatísticas do Firewall. 

/aker/bin/common/akinterface - Interface texto para a configuração das 

interfaces de rede do Firewall. 

/aker/bin/firewall/fwauth - Interface texto para a configuração dos parâmetros 

globais de autenticação do Firewall. 

/aker/bin/firewall/akddns – Interface texto para configuração do cliente DDNS. 

/aker/bin/firewall/fwadvroute – Interface texto para configuração de roteamento 

avançado. 

/aker/bin/firewall/fwedpwd - Interface texto para configura usuarios do 

autenticador local do firewall. 

/aker/bin/firewall/akhwsig – Imprime na tela a chave de hardware do BOX. 

/aker/bin/firewall/fwl2tp – Interface texto para configurar a vpn L2TP; 

/aker/bin/firewall/fwpptpsrv - Interface texto para configurar a vpn PPTP; 

/aker/bin/firewall/fwlic – Imprime na tela informações sobre a utilização de 

licença limitada por ip. 

/aker/bin/firewall/fwpacket – Interface texto para coleta de dumps no Aker 

firewall. 

/aker/bin/firewall/fwportscan – Interface texto para configurar o filtro de 

detecção de portscan. 

/aker/bin/firewall/fwver – Imprime a versão e a data de compilação dos arquivos 

do Firewall. 

Programas que NÃO devem ser executados diretamente pelo administrador 

/aker/bin/firewall/2.6.x/aker_firewall_mod-xxxx.o - Módulo carregável do 

kernel com o firewall (apenas no Linux) 

/aker/bin/firewall/fwauthd - Servidor de autenticação de usuários 


aker/bin/firewall/fwcardd - Módulo de validação de certificados X509 para 

smart cards 

/aker/bin/firewall/fwconfd - Servidor de comunicação para a interface remota 

/aker/bin/firewall/fwcrld - Módulo de download de CRLs das autoridades 

certificadoras ativas 

/aker/bin/firewall/fwcryptd - Servidor de criptografia para clientes 

/aker/bin/firewall/fwdnsd - Servidor de resolução de nomes (DNS) para a 

interface remota 

/aker/bin/firewall/fwidsd - Programa de comunicação com agentes de detecção 

de intrusão 

/aker/bin/firewall/fwinit - Programa de inicialização do Aker Firewall 

/aker/bin/firewall/fwftppd - Proxy FTP transparente 

/aker/bin/firewall/fwgkeyd - Servidor de geração de chaves de criptografia 

/aker/bin/firewall/fwhttppd - Proxy HTTP transparente e Filtro Web não 

transparente 

/aker/bin/firewall/fwheartd - Serviço de controle do cluster 

/aker/bin/firewall/fwhconfd - Serviço de configuração distribuída do cluster 

/aker/bin/firewall/fwgenericstd - Serviço de coleta de informação distribuída do 

cluster 

/aker/bin/firewall/fwstconnd - Serviço de replicação de conexões do cluster 

/aker/bin/firewall/fwlinkmond - Serviço de monitoramento de links 

/aker/bin/firewall/fwdlavd - Serviço de anti-vírus web 

/aker/bin/firewall/fwmachined - Serviço de coleta de informações de 

performance 

/aker/bin/firewall/fwpmapd - Proxy RPC transparente 

/aker/bin/firewall/fwlkeyd - Servidor de certificados de criptografia 

/aker/bin/firewall/fwmond - Módulo de monitoramento e reinicialização dos 

processos do firewall 

/aker/bin/firewall/fwnatmond - Módulo de monitoramento de máquinas para o 

balanceamento de carga 

/aker/bin/firewall/fwprofd - Servidor de login de usuários 

/aker/bin/firewall/fwrapd - Proxy Real Player transparente 

/aker/bin/firewall/fwrtspd - Real Time Streaming Protocol proxy 

/aker/bin/firewall/fwsocksd - Proxy SOCKS não transparente 

/aker/bin/firewall/fwsmtppd - Proxy SMTP transparente 

/aker/bin/firewall/fwpop3pd - Proxy POP3 transparente 

/aker/bin/firewall/fwlogd - Servidor de log, eventos e estatísticas 

/aker/bin/firewall/fwscanlogd - Servidor de pesquisa de log, eventos e 

estatísticas 

/aker/bin/firewall/fwsyncd - Processo de geração de sementes de criptografia e 

sincronia 

/aker/bin/firewall/fwtelnetd - Proxy telnet transparente 

/aker/bin/firewall/fwtrap - Módulo de envio de traps SNMP 

/aker/bin/firewall/fwurld - Módulo de análise e checagem de permissão de 

acesso a URLs 

/aker/bin/firewall/fwiked - Módulo de negociação de chaves para criptografia 

IPSEC (protocolo IKE) 

/aker/bin/firewall/fwtunneld - Secure Roaming Server para Firewall 

/aker/bin/firewall/libaker.so - Biblioteca genérica do firewall 


aker/bin/firewall/libconfd.so - Biblioteca de configuração do firewall 

/aker/bin/firewall/snmpd/snmpd - Agente SNMP 

/aker/bin/firewall/corr.fw - Contém o nível de correção aplicado 

/aker/bin/firewall/fwadmkeys - Gerador de chaves RSA. 

/aker/bin/firewall/fwapply - Auxila aplicação de patches. 

/aker/bin/firewall/fwarpd - Resposta de solicitações arp. 

/aker/bin/firewall/fwdcerpcd – Proxy DCE-RPC. 

/aker/bin/firewall/fwdeepd – Módulo de IPS/IDS e filtro de aplicativos; 

/aker/bin/firewall/fwh2250pd - Proxy H.323. 

/aker/bin/firewall/fwh245pd - Proxy H.323. 

/aker/bin/firewall/fwhwid - Processo que cria o identificador unico da maquina. 

/aker/bin/firewall/fwmsnd – Proxy MSN. 

/aker/bin/firewall/fwpptpd – Módulo que permite as conexões PPTP passem 

por conversãod e endereço. 

/aker/bin/firewall/fwpptpradiusd – Módulo de autenticação da VPn LPPTP 

/aker/bin/firewall/fwpscand – Módulo de detecção de portscan. 

/aker/bin/firewall/fwquotad – Módulo de controle das Quotas. 

/aker/bin/firewall/fwreportd – Módulo gerador de relatórios. 

/aker/bin/firewall/fwrollback – Auxilia no rollback de patches. 

/aker/bin/firewall/fwsipd – Proxy SIP. 

/aker/bin/firewall/fwsslpd – Módulo da VPN SSL e Proxy SSL. 

/aker/bin/firewall/fwtraind – Módulo para treinamento de e-mails do Aker Spam 

Meter. 

/aker/bin/firewall/fwtunneldpt.qm - Arquivo de tradução 

/aker/bin/firewall/fwupdatepatchhis - Auxila gestão de patches. 

/aker/bin/firewall/fwzebrad – Módulo de roteamento avançado, OSPF e RIP. 

/aker/bin/firewall/fwvlan – Módulo de criação de VLAN 802.1q. 

/aker/bin/firewall/hostapd_run.sh - Inicia o comando hostapd. 

/aker/bin/firewall/l2tpns – Módulo da VPN L2TP; 

/aker/bin/firewall/libh323.so.1.0.0 - Biblioteca de suporte ao proxy H.323. 

/aker/bin/firewall/nsctl - auxilia o l2tpns. 

/aker/bin/firewall/rc.aker - Iniciador padrão do Firewall. 

/aker/bin/firewall/rpt_files - Arquivos de relatorio 

/aker/bin/firewall/squid - Arquivos de cache 

/aker/bin/firewall/strings - Auxilia fwver. 

Arquivos de Log, Eventos e Estatísticas 

/var/log/fw-650-AAAAMMDD.fwlg - Armazena os logs do firewall do dia 

DD/MM/YYYY 

/var/log/fw-650-AAAAMMDD.fwev - Armazena os eventos do firewall do dia 

DD/MM/YYYY 

/var/log/stat-650-AAAAMMDD.fws - Armazena as estatísticas do firewall do dia 

DD/MM/YYYY 


Aker Firewall BOX 


39. Aker Firewall Box 

Este capítulo mostrará os comandos que podem ser utilizados no shell do Aker 

Firewall Box. 

O Aker Firewall Box 

O Aker Firewall Box é composto por um sistema integrado de hardware e software. 

A grande vantagem dessa plataforma é que ela dispensa maiores conhecimentos de 

sistemas operacionais. Além disso, por não possuir disco rígido e por ser formada 

por um hardware industrial, a plataforma apresenta potencialmente maior resistência 

contra danos, especialmente picos de energia, o que acaba por possibilitar um 

funcionamento ainda mais estável. 

O Firewall BOX está disponível em diversos modelos, que visam atender as 

necessidades de pequenas, médias e grandes empresas. 

A lista completa dos modelos disponíveis é freqüentemente atualizada e está 

disponível em: 

http://www.aker.com.br 

Como funciona o shell do Aker Firewall Box? 

Ao conectar-se um terminal serial comum configurado a 9600 bps à porta serial 

correspondente no Aker Firewall Box, será possível utilizar a interface de linha de 

comando do mesmo, isto é, seu shell. 

Ao se realizar esse procedimento, primeiro será necessário apertar a tecla Enter até 

que apareça o pedido de senha, que inicialmente é '123456'. Entrando-se 

corretamente a senha, o prompt seguinte aparecerá: 

Aker > 

Caso tenha perdido a senha de acesso local ao Aker Firewall Box, deve-se 

entrar em contato com o suporte técnico, para realizar o procedimento de reset da 

mesma. 

No prompt do shell, podem ser digitados todos os comandos normais do Aker 

Firewall, conforme documentados nos tópicos relativos à interface texto de cada 

capítulo. Além desses, existem comandos específicos ao firewall box que estão 

documentados abaixo. 

É possível digitar os comandos do firewall no shell sem o prefixo fw, isto é, ent 

ao invés de fwent. 


Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmente 

apertar as teclas Ctrl + D. 

Comandos específicos do Aker Firewall Box 

Comando 

Descrição 

quit 

exit 

Encerram a sessão de administração no shell 

Comando 

Descrição 

help 

? 

Mostram uma tela com a lista de comandos válidos 

Comando 

Descrição 

shutdown 

Paralisa o firewall, para que ele possa ser desligado 

Comando 

Descrição 

reboot 

Reinicia o firewall 

Comando 

Descrição 

ping [-c n_pkt] [-i interv] ip_destino 

Envia pacotes ping para e espera a resposta do hosts 

ip_destino 

A opção -c especifica o número de pacotes a serem enviados 

A opção -i especifica o intervalo de transmissão entre os 

pacotes em milisegundos (ms) 

Comando 

Descrição 

password 

Troca a senha de acesso ao console do firewall 


Comando 

Descrição 

date | 

Com o parâmetro mostra , informa a data do sistema. 

Senão, acerta a data para a informada. 

Comando 

Descrição 

time | 

Com o parâmetro mostra , informa a hora do sistema. 

Senão, acerta o relógio para o horário informado. 


Apêndice A – Mensagens do 

Sistema 


40. Apêndice A – Mensagens do sistema 

Neste apêndice estão listadas as mensagens do sistema. 

40.1. Mensagens do log do Firewall 

Todas as mensagens abaixo podem aparecer no log do firewall. Sempre que 

ocorrerem, elas estarão precedendo um registro que contém as informações sobre o 

pacote que as produziu. Na coluna "N." que fica ao lado esquerdo da tela está 

sendo mostrado o número correspondente a cada uma das mensagens. 


Não possui mensagem associada. 

001 - Possível ataque de fragmentação 

Esta mensagem indica que o filtro de pacotes recebeu um pacote TCP fragmentado 

no header TCP, possivelmente originado de uma tentativa de um ataque de 

fragmentação como Teardrop ou Ping da Morte (PoD). Para maiores informações 

veja RFC 1858. 


Esta mensagem indica que filtro de pacotes recebeu um pacote IP com uma das 

seguintes opções: Record Route, Loose Routing ou Strict Routing e ele foi 

configurado de modo a não aceitar pacotes IP direcionados. Para maiores 

informações veja RFC 791. 


Um ataque de land consiste em simular uma conexão de uma porta com ela 

mesma. Isto provoca o travamento da máquina atacada em boa parte das 

implementações TCP/IP. 

Esta mensagem indica que o filtro de pacotes recebeu um pacote cujo endereço de 

origem é igual ao endereço destino e cuja porta de origem é igual à porta destino, 

caracterizando um ataque deste tipo. 

004 - Conexão não consta na tabela dinâmica 

Esta mensagem indica que o firewall recebeu um pacote TCP que não era de 

abertura de conexão e estava endereçado para uma conexão não aberta. Isto pode 

ser causado por um ataque ou simplesmente por uma conexão que ficou inativa por 

um tempo superior ao tempo limite para conexões TCP. 


005 - Pacote proveniente de interface inválida 

Esta mensagem indica que o filtro de pacotes recebeu um pacote IP proveniente de 

uma interface diferente da especificada na regra de filtragem na qual ele se 

encaixou. Isto pode ser causado por um ataque de falsificação de endereços IP (IP 

spoofing) ou por uma configuração errada de uma regra de filtragem. 

006 - Pacote proveniente de interface não determinada 

Esta mensagem indica que o filtro de pacotes recebeu um pacote, mas não 

conseguiu determinar a interface de origem do mesmo. Como na regra de filtragem 

correspondente, está especificada uma interface, o pacote foi rejeitado. Esta 

mensagem provavelmente nunca será mostrada. 

007 - Conexão de controle não está aberta 

Esta mensagem indica que o firewall recebeu um pacote de uma conexão de dados 

(de algum protocolo que utilize mais de uma conexão, como por exemplo, o FTP e o 

Real Áudio/Real Vídeo) e a conexão de controle correspondente não estava aberta. 

008 - Flags TCP do pacote são inválidos 

Esta mensagem indica que o Firewall recebeu um pacote TCP cujos flags estavam 

inválidos ou contraditórios (por exemplo, SYN e FIN no mesmo pacote). Isto pode 

caracterizar um ataque ou uma implementação de TCP/IP defeituosa. 

009 - Número de seqüência do pacote TCP inválido 

Esta mensagem indica que o Firewall recebeu um pacote TCP cujo número de 

seqüência estava fora dos valores esperados. Isto pode caracterizar um ataque. 

010 - Possível ataque de SYN Flood 

Esta mensagem é gerada pelo Firewall todas as vezes que uma conexão é iniciada 

para um dos endereços protegidos contra SYN flood e a conexão não foi realizada 

dentro do prazo máximo estabelecido pelo administrador. Se esta mensagem 

ocorrer isoladamente, ou com pouca incidência, então provavelmente o intervalo de 

tempo configurado na proteção contra SYN flood (ver o capítulo de Proteção contra 

SYN Flood) está muito pequeno. Caso ela apareça várias vezes seguidamente, 

provavelmente um ataque de SYN flood foi repelido pelo Firewall. 

011 - Pacote sem informação de autenticação 

Esta mensagem indica que o pacote em questão veio sem header de autenticação e 

a configuração do fluxo seguro correspondente indica que ele só deveria ser aceito 

autenticado (ver o capítulo intitulado Criando Canais de Criptografia). Isto pode 

ser causado por uma configuração errada nos fluxos de autenticação 

(possivelmente só configurando em um dos lados da comunicação) ou por uma 


tentativa de ataque de falsificação de endereços IP (IP spoofing). Para maiores 

informações consultar às RFC's 1825 e 1827. 

012 - Pacote não passou pela autenticação 

Esta mensagem indica que o pacote em questão não foi validado com sucesso pelo 

módulo de autenticação do Firewall. Isto pode ser causado por uma configuração de 

chaves de autenticação inválida, por uma alteração indevida no conteúdo do pacote 

durante o seu trânsito ou por uma tentativa de ataque de falsificação de endereços 

IP (IP spoofing). Para maiores informações veja as RFCs 1825 e 1827. 

013 - Pacote sem informação de criptografia 

Esta mensagem indica que pacote em questão não veio criptografado e a 

configuração do fluxo seguro correspondente indica que ele deveria vir (ver o 

capítulo intitulado Criando Canais de Criptografia). Isto pode ser causado por uma 

configuração errada nos fluxos de criptografia (possivelmente só configurando em 

um dos lados da comunicação) ou por uma tentativa de ataque de falsificação de 

endereços IP (IP spoofing). Para maiores informações consultar às RFC's 1825 e 

1827. 

014 - Tamanho do pacote a ser decriptado inválido 

Esta mensagem indica que o módulo de criptografia detectou um tamanho do 

pacote a ser decriptado incompatível com o algoritmo de criptografia 

correspondente. Isto provavelmente é causado por uma configuração errada nos 

fluxos de criptografia. 

015 - Decriptação do pacote apresentou erro 

Esta mensagem indica que o módulo de criptografia, após decriptar o pacote e 

realizar os testes de consistência no mesmo, detectou que o mesmo é inválido. Isto 

provavelmente é causado por uma configuração errada da tabela de criptografia ou 

por um possível ataque de falsificação de endereços IP (IP spoofing). 

016 - Tipo de encapsulamento do pacote inválido 

Esta mensagem indica que o módulo de criptografia não reconheceu o tipo de 

encapsulamento usado neste pacote. Isto pode ser causado por uma falha na 

decriptação do pacote (devido a senhas erradas) ou por ter sido usado um tipo de 

encapsulamento não suportado. O Aker Firewall trabalha exclusivamente com 

encapsulamento em modo de túnel, não aceitando outros modos, por exemplo, 

modo de transporte. 

017 - Pacote sem informações de SKIP 

Esta mensagem indica que o pacote em questão não veio com um header SKIP e a 

configuração do fluxo seguro correspondente indica que ele deveria vir. Isto 

provavelmente é causado por uma configuração errada na tabela de criptografia 


onde um dos lados está configurado para usar SKIP ou Aker-CDP e o outro não (ver 

o capítulo intitulado Criando Canais de Criptografia). 

018 - SA para o pacote não contém informações SKIP 

Esta mensagem indica que o módulo de criptografia recebeu um pacote com um 

header SKIP e a associação de segurança (SA) correspondente não possui 

informações sobre SKIP (ver o capítulo intitulado Criando Canais de Criptografia). 

Isto provavelmente é causado por uma configuração errada na tabela de criptografia 

onde possivelmente um dos lados está configurado para usar SKIP ou Aker-CDP e 

o outro não. 

019 - Versão do protocolo SKIP inválida 

Esta mensagem indica que a versão do protocolo SKIP indicada no pacote em 

questão é diferente da versão suportada. O Aker Firewall implementa a versão 1 do 

protocolo SKIP. 

020 - Valor do contador do protocolo SKIP inválido 

O protocolo SKIP envia em cada pacote um contador, que é incrementado de hora 

em hora, com o objetivo de evitar ataques de repetição de seqüência. Esta 

mensagem indica que o contador recebido no pacote em questão é inválido. Isto 

pode ter duas causas distintas: ou relógio interno dos dois firewalls se comunicando 

está defasado em mais de uma hora ou ocorreu uma tentativa de ataque de 

repetição de seqüência. 

021 - SPI inválido para autenticação com SKIP 

Esta mensagem indica que foi recebido um pacote SKIP cujo número de SPI 

especificado no cabeçalho de autenticação era inválido (o protocolo SKIP exige que 

o número do SPI utilizado seja 1). 

022 - Próximo protocolo do cabeçalho SKIP inválido 

Esta mensagem indica que o protocolo seguinte ao cabeçalho SKIP do pacote em 

questão não é suportado (o Aker Firewall exige que após o cabeçalho SKIP venha o 

cabeçalho de autenticação). 

023 - Algoritmo de autenticação do SKIP inválido 

Esta mensagem indica que o algoritmo de autenticação especificado no cabeçalho 

SKIP não é suportado (o Aker Firewall somente suporta os algoritmos de 

autenticação MD5 e SHA-1). 

024 - Algoritmo de criptografia do SKIP inválido 


Esta mensagem indica que o algoritmo de criptografia especificado no cabeçalho 

SKIP não é suportado (o Aker Firewall somente suporta os algoritmos de criptografia 

DES, Triplo DES e Blowfish, com 128 e 256 bits de chaves). 

025 - Algoritmo de criptografia de chave SKIP inválido 

Esta mensagem indica que o algoritmo de criptografia e separação de chaves 

especificado no cabeçalho SKIP não é suportado (o Aker Firewall somente suporta 

os algoritmos DES, com MD5 como separador de chaves, Triplo DES, com MD5 

como separador de chaves e Blowfish, com MD5 como separador de chaves). 

026 - Algoritmo de compressão de dados não suportado 

Esta mensagem indica que o algoritmo de compressão de dados especificado no 

cabeçalho SKIP não é suportado (o Aker Firewall não suporta nenhum algoritmo de 

compressão de dados, uma vez que estes ainda não estão padronizados). 

027 - Identificador de espaço de nome de origem inválido 

O protocolo SKIP permite que sejam utilizados outros espaços de nomes, que não 

endereços IP, para selecionar a associação de segurança correspondente (SA). O 

espaço de nome pode ser especificado para a origem e/ou para o destino. Esta 

mensagem indica que o espaço de nome de origem não é suportado (o Aker 

Firewall somente suporta endereços IP como espaço de nome). 

028 - Identificador de espaço de nome de destino inválido 

O protocolo SKIP permite que sejam utilizados outros espaços de nomes, que não 

endereços IP, para selecionar a associação de segurança correspondente (SA). O 

espaço de nome pode ser especificado para a origem e/ou para o destino. Esta 

mensagem indica que o espaço de nome de destino não é suportado (o Aker 

Firewall somente suporta endereços IP como espaço de nome). 

029 - Versão do protocolo Aker-CDP inválida 

Esta mensagem indica que o Firewall recebeu um pacote do protocolo Aker-CDP 

com versão inválida. 

030 - Tamanho do pacote para protocolo Aker-CDP inválido 

Esta mensagem indica que o Firewall recebeu um pacote do protocolo Aker-CDP 

com tamanho inválido. 

031 - Autenticação de pacote de controle Aker-CDP inválida 

Esta mensagem indica que o Firewall recebeu um pacote de controle do protocolo 

Aker-CDP com autenticação inválida. A causa provável é uma modificação do 

pacote durante o trânsito ou uma possível tentativa de ataque. 


032 - Número de licenças do firewall atingido 

O Aker Firewall é vendido em diferentes faixas de licenças, de acordo com o 

número de máquinas da(s) rede(s) interna(s) a serem protegidas. Esta mensagem 

indica que o firewall detectou um número de máquinas internas maior que o número 

de licenças adquiridas e devido a isso impediu que as máquinas excedentes 

abrissem conexões através dele. 

Solução: Contate a Aker Security Solutions ou seu representante autorizado e 

solicite a aquisição de um maior número de licenças. 

033 - Pacote descartado por uma regra de bloqueio IDS 

Esta mensagem indica que o Firewall recebeu um pacote que se enquadrou em 

uma regra temporária acrescentada pelo agente de detecção de intrusão e devido a 

isso, foi descartado (para maiores informações veja o capítulo intitulado 

Configurando o IPS/IDS). 

034 - Header AH com formato incorreto (campo: length) 

Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia 

IPSEC que tem informações de autenticação no protocolo AH com tamanho 

incorreto. Veja a RFC 2402. 

035 - Tunelamento AH e ESP simultâneos não permitido 


IPSEC duplamente tunelado (via ESP e AH). Isto não é permitido. 

036 - SA para este pacote não foi negociada 


IPSEC para um canal não negociado. 

037 - Padding exigido muito grande 

Esta mensagem indica que o Firewall calculou um tamanho de preenchimento para 

o protocolo ESP maior que o permitido. Provavelmente o tamanho de bloco do 

algoritmo de criptografia é demasiado grande. 

038 - Tamanho de padding decifrado incorreto 

Esta mensagem indica que o firewall decifrou um pacote que dizia ser maior do que 

efetivamente é, via criptografia IPSEC. Provavelmente o pacote está corrompido ou 

houve erros na troca de chaves. 

039 - Erro iniciando autenticação para o algoritmo especificado 


Esta mensagem indica que o Firewall não conseguiu autenticar o pacote com o 

algoritmo HMAC. Provavelmente o algoritmo de autenticação está com defeito. 

040 - Erro finalizando autenticação com o algoritmo escolhido 

Esta mensagem indica que o Firewall não conseguiu autenticar o pacote com o 

algoritmo HMAC. Provavelmente o algoritmo de autenticação está com defeito. 

041 - Final de conexão 

Esta mensagem é apenas um registro de final de conexão e não deve aparecer 

normalmente no log do firewall. 

042 - Limite configurado de conexões a partir do endereço IP excedido 

Esta mensagem ocorre quando o limite máximo de conexões configurado pelo 

módulo de proteção contra flood tiver sido atingido. Para verificar a configuração 

deste módulo consulte a Proteção de Flood. 

043 - Tempo limite de conexão atingido 

Esta mensagem ocorre durante a filtragem dos pacotes, informa que uma conexão 

foi retirada da tabela de conexões, pois o seu tempo limite de ociosidade foi 

atingido. 

40.2. Mensagens dos eventos do Firewall 

055 - Firewall Aker v6.1 - Inicialização completa 

Esta mensagem tem caráter puramente informativo, servindo para determinar os 

horários que o Firewall entrou em funcionamento. Ela será produzida a cada 

reinicialização da máquina. 

056 - Erro de alocação de memória 

Esta mensagem indica que algum módulo do Firewall tentou alocar memória e não 

conseguiu. Esta mensagem pode ocorrer em sistemas com pouca memória RAM 

utilizando conversão de endereços com um grande número de conexões 

simultâneas ou com um grande número de conexões ativas passando pelos proxies 

do firewall. 

Solução: Adquira mais memória RAM ou aumente as partições de swap. 

057- Tabela de conversão TCP cheia 


A tabela de conversão de endereços TCP encheu. A única solução para esse 

problema é diminuir o Tempo limite TCP nos parâmetros de configuração. Para 

maiores informações veja o capítulo Configurando os parâmetros do sistema. 

058 - Tabela de conversão UDP cheia 

A tabela de conversão de endereços UDP encheu. A única solução para esse 

problema é diminuir o Tempo limite UDP nos parâmetros de configuração. Para 

maiores informações veja o capítulo Configurando os parâmetros do sistema. 

059 - Tabela de conexões de TCP cheia 

O módulo de criptografia detectou um algoritmo de autenticação inválido na 

associação de segurança quando realizava a criptografia de um pacote. 

060- Algoritmo de autenticação inválido 

O módulo de criptografia detectou um algoritmo de autenticação inválido na 


Solução: Contate o suporte técnico 

061 - Algoritmo de criptografia inválido 

O módulo de criptografia detectou um algoritmo de criptografia inválido na 



062 - Dados inválidos recebidos pela carga do Firewall 

Esta mensagem indica que foram enviados dados inválidos para os módulos do 

Firewall que rodam dentro do kernel do Linux. Os dados inválidos devem 

necessariamente ter sido produzidos por um programa rodando na máquina do 

firewall. 

Solução: Procure verificar qual programa produz esta mensagem ao ser executado 

e não execute-o mais. 

063- Erro ao ler o arquivo de parâmetros 

Esta mensagem é produzida por qualquer um dos módulos externos ao tentar ler o 

arquivo de parâmetros do sistema e constatar que este não existe ou não pode ser 

lido. 

Solução: Reinicialize a máquina, que o programa de inicialização irá recriar o 

arquivo de parâmetros. Se isso não funcionar, contate o suporte técnico. 

064- Erro ao carregar perfis de acesso 


Esta mensagem indica que o servidor de autenticação ou o servidor de login de 

usuários não conseguiu carregar a lista de perfis de acesso cadastrados no sistema. 

Solução: Contate o suporte técnico. 

065 - Erro ao carregar entidades 

Esta mensagem indica que algum processo servidor do firewall não conseguiu 

carregar a lista de entidades cadastradas no sistema. 


066- Nome de perfil de acesso inválido 

Esta mensagem indica que o servidor de autenticação ao procurar o perfil de acesso 

de um usuário constatou que o mesmo não se encontra cadastrado no sistema. 


067 - Erro ao criar socket de conexão 

Esta mensagem indica que algum dos módulos externos tentou criar um socket e 

não conseguiu. 

Solução: Verifique o número de arquivos que podem ser abertos por um processo e 

o número total para o sistema. Se necessário aumente estes valores. Para maiores 

informações de como fazer isso, contate o suporte técnico. 

068 - Tamanho da linha excessivo 

Esta mensagem indica que algum proxy do Aker Firewall recebeu uma linha com um 

número excessivo de caracteres e devido a isso, derrubou a conexão. A informação 

complementar entre parênteses indica o endereço IP da máquina que causou o 

problema. 

Solução: Esta mensagem é causada por um servidor ou cliente fora dos padrões 

das RFCs. A única solução possível para o problema é contatar o administrador da 

máquina causadora da mensagem. 

069 - Erro ao carregar contexto 

Esta mensagem indica que um dos proxies transparentes não conseguiu carregar o 

contexto especificado. 


070 - Erro ao carregar tabela de criptografia 


Esta mensagem indica que um dos servidores do firewall não conseguiu carregar a 

tabela de criptografia. 


071 - DNS reverso não configurado 

Esta mensagem é produzida por algum dos proxies se ele tiver sido configurado 

para somente receber conexões a partir de máquinas com DNS reverso válido e não 

tiver conseguido resolver o nome para o endereço IP de origem de uma conexão. A 

mensagem complementar indica o endereço IP de origem da conexão. 

072 - DNS direto e reverso conflitantes 

Quando um proxy do Firewall é configurado para somente aceitar conexões a partir 

de máquinas com DNS reverso válido, ele utiliza uma técnica que consiste em tentar 

resolver o nome para o endereço IP de origem da conexão. Caso ele não consiga, 

ele indica erro mostrando a mensagem anterior e não permite a realização da 

conexão. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir do 

nome retornado, buscando seu endereço IP. Se ele não conseguir realizar esta 

segunda pesquisa ou se o endereço IP retornado for diferente do endereço de 

origem, a conexão é abortada e esta mensagem é produzida. 

073 - Possível ataque de simulação de protocolo 

Esta mensagem indica que o firewall durante o monitoramento de uma sessão de 

algum protocolo com várias conexões (por exemplo, FTP e Real Áudio / Real Vídeo) 

detectou uma tentativa de abertura de conexão para uma porta menor que 1024 ou 

para um endereço diferente do esperado. Isso provavelmente é causado por um 

ataque ou por uma implementação defeituosa do protocolo. 

A mensagem complementar indica os endereços de origem e destino da conexão. 

074 - Comando inválido 

Esta mensagem indica que um dos proxies recebeu um comando considerado 

inválido da máquina cliente e devido a isso não o repassou para o servidor. As 

mensagens complementares indicam qual o comando que tentou ser executado e 

quais as máquinas de origem e destino (no caso de proxy transparente) da conexão. 

075 - Mensagem SMTP aceita 

Esta mensagem indica que o proxy SMTP transparente aceitou uma mensagem e a 

enviou para o servidor. A mensagem complementar indica quais as máquinas de 

origem e destino da conexão e quem são o remetente e o destinatário, da 

mensagem. 

Formato do evento para exportação: 


DD/MM/AAAA HH:MM:SS Mensagem SMTP 

aceita 

 

076 - Mensagem SMTP rejeitada 

Esta mensagem indica que o proxy SMTP transparente rejeitou uma mensagem 

recebida. Isto foi causado por ter a mensagem, se encaixado em algum filtro que 

indicava que ela deveria ser rejeitada ou por ter um tamanho maior que o tamanho 

máximo permitido. 


DD/MM/AAAA HH:MM:SS Mensagem SMTP 

rejeitada 

 

077 - Conexão SMTP bloqueada por regra de DNS 

Esta mensagem indica que o proxy SMTP bloqueou uma conexão devido a uma 

regra do DNS. Para mais informações leia o capitulo intitulado Configurando o 

proxy SMTP. 

078 - Conexão SMTP bloqueada por RBL 

Esta mensagem indica que o proxy SMTP bloqueou uma conexão devido ao 

servidor SMTP de origem estar inscrito em uma lista negra de spammers. 

079 - Conexão SMTP recusada pelo servidor ou servidor fora do ar 

Esta mensagem indica que o proxy SMTP tentou uma conexão com o servidor 

SMTP de destino, porém o mesmo pode ter recusado ou esta fora do ar. Verifique 

se o servidor destino esta no ar realizando um telnet na porta 25 do mesmo. 

080 - Cliente SMTP enviou linha de tamanho excessivo 

O cliente SMTP enviou uma linha de tamanho muito grande que não pode ser 

tratada pelo proxy SMTP. Verifique se o cliente segue a padronização da RFC ou 

ajuste o mesmo para tal. 

081 - Cliente SMTP fechou conexão 

O cliente SMTP fechou inesperadamente a conexão. Isto pode ter acontecido por 

intervenção do próprio usuário ou por problemas do cliente. Normalmente as 

conexões são restabelecidas automaticamente. 

082 - Servidor SMTP enviou linha de tamanho excessivo 


O servidor SMTP enviou uma linha de tamanho muito grande que não pode ser 

tratada pelo proxy SMTP. Verifique se o servidor segue a padronização da RFC ou 

ajuste o mesmo para tal. 

083 - Servidor SMTP fechou conexão 

O servidor SMTP fechou inesperadamente a conexão. Isto pode ter acontecido por 

problemas de trafego excessivo ou erro no próprio servidor. Normalmente as 

conexões são restabelecidas automaticamente. Se o problema esta ocorrendo com 

freqüência tente aumentar os tempos de negociação do protocolo SMTP no proxy. 

084 - Servidor SMTP acusou erro 

Esta mensagem indica que o servidor SMTP considerou uma das transações SMTP 

errada. 

085 - Endereço de e-mail inválido enviado pelo cliente SMTP 

Esta mensagem indica que o cliente SMTP não forneceu um endereço de e-mail em 

formato válido. 

086 - Tentativa de relay não permitido bloqueada 

Esta mensagem indica que uma tentativa de relay foi bloqueada pelo firewall. 

Verifique o capítulo Editando os parâmetros de um contexto SMTP para liberar 

domínios permitidos para relay. 

087 - Falta de espaço (disco cheio) para analisar mensagem 

Esta mensagem indica que o disco rígido do firewall está cheio. Tente esvaziar os 

arquivos de logs ou aumentar a capacidade do disco para o firewall poder analisar a 

mensagem. 

088 - Mensagem estourou tamanho máximo permitido 

Esta mensagem indica que a mensagem SMTP ultrapassou o tamanho máximo 

permitido. Verifique o capítulo Editando os parâmetros de um contexto SMTP 

para aumentar o tamanho de recebimento da mensagem. 

089 - Mensagem com erro de sintaxe 

Esta mensagem indica que a mensagem SMTP estava com erro de sintaxe dos 

comandos SMTP. Geralmente programas de spammers fazem com que este erro 

aconteça. 

090 - Anexo com vírus removido 


Esta mensagem indica que um anexo da mensagem continha vírus e foi removido. 

O complemento da mensagem indica quem é o remetente e o destinatário da 

mensagem, assim como o nome do vírus encontrado. 

091 - Anexo removido 

Esta mensagem indica que um anexo da mensagem foi removido. O complemento 

da mensagem indica quem são o remetente e o destinatário da mensagem. 

092 - Mensagem descartada por causa de seu anexo 

Esta mensagem indica que uma mensagem tinha um anexo inaceitável (veja suas 

regras) e foi bloqueada pelo proxy SMTP do Firewall. O complemento da mensagem 

indica quem são o remetente e o destinatário da mensagem. 

093 - Anexo continha vírus e foi desinfectado 

Esta mensagem indica que um anexo da mensagem continha vírus e foi 

desinfectado. O complemento da mensagem indica quem são o remetente e o 

destinatário da mensagem, assim como o nome do vírus encontrado. 

094 - Anexo incorretamente codificado (mensagem defeituosa) 

Esta mensagem indica que um anexo de mensagem está incorretamente codificado, 

ou seja, apresenta erro na codificação do tipo MIME. Normalmente este arquivo 

pode ser descartado pelo firewall caso o administrador configure a opção desejada. 

Para mais informações leia o capítulo intitulado Configurando o proxy SMTP. 

095 - URL aceita 

Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL feito por 

um usuário. A mensagem complementar entre parênteses indica o nome do usuário 

que fez a requisição. A linha de mensagem seguinte indica o endereço IP da 

máquina da qual a requisição se originou e a terceira linha indica qual URL foi 

acessada. 

Esta mensagem somente será produzida para URLs do protocolo HTTP quando 

elas resultarem em código HTML. Para os protocolos FTP e Gopher, ela será 

gerada para cada requisição aceita, independente do seu tipo. 


DD/MM/AAAA HH:MM:SS URL Aceita 

 

096 - Download de arquivo local aceito 

Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL feito por 




máquina da qual a requisição se originou e a terceira linha indica qual URL foi 

acessada. 

Esta mensagem se refere a um arquivo armazenado localmente no firewall, que foi 

requisitado utilizando-se o Filtro Web como um servidor WEB. 

097 - URL rejeitada 

Esta mensagem indica que o Filtro Web rejeitou um pedido de uma URL feito por 



máquina da qual a requisição se originou e a terceira linha indica qual URL que o 

usuário tentou acessar. 


DD/MM/AAAA HH:MM:SS URL Aceita 

 

098 - Banner removido 

Esta mensagem indica que o Filtro Web substitui uma requisição por uma imagem 

em branco, visto que a URL se encaixou nas regras de filtragem de banners. A 

mensagem complementar entre parênteses indica o nome do usuário que fez a 

requisição. A linha de mensagem seguinte indica o endereço IP da máquina da qual 

a requisição se originou e a terceira linha indica qual URL que o usuário tentou 

acessar. 

099 - Java Removido 

O Proxy HTTP encontrou uma linha de código Java e foi removida. 

100 - Javascritp Removido 

O Proxy HTTP encontrou uma linha de código Javascript e foi removida. 

101 - ActiveX Removido 

O Proxy HTTP encontrou um objeto ActiveX que foi removido. 

102 - Pacote fora das regras do proxy SOCKS 

Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de abertura de 

conexão TCP ou de envio de pacote UDP e a mesma não se encaixou em nenhuma 

regra de filtragem do perfil de acesso correspondente. Devido a isso a solicitação foi 

recusada. 


As mensagens complementares indicam o nome do usuário que enviou a requisição 

(se a autenticação de usuários estiver habilitada), o endereço do cliente, o endereço 

destino da requisição e seu protocolo. 

103 - Pacote UDP aceito pelo proxy SOCKS 

Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de envio de 

um pacote UDP e o mesmo foi enviado, devido a existência de uma regra no perfil 

de acesso correspondente indicando que o proxy poderia fazê-lo. 

As mensagens complementares indicam o nome do usuário que enviou o pacote (se 

a autenticação de usuários estiver habilitada), o endereço do cliente e o endereço 

destino. 

104 - Pacote UDP recusado pelo proxy SOCKS 

Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de envio de 

um pacote UDP e o mesmo foi recusado, devido a existência de uma regra no perfil 

de acesso correspondente indicando que o proxy não deveria aceitar tal requisição. 

As mensagens complementares indicam o nome do usuário que tentou enviar o 

pacote (se a autenticação de usuários estiver habilitada), o endereço do cliente e o 

endereço destino. 

105 - Conexão TCP estabelecida através do proxy SOCKS 

Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de 

estabelecimento de uma conexão TCP e a mesmo foi estabelecida, devido a 

existência de uma regra no perfil de acesso correspondente indicando que o proxy 

poderia fazê-lo. 

As mensagens complementares indicam o nome do usuário que estabeleceu a 

conexão (se a autenticação de usuários estiver habilitada), o endereço do cliente e o 

endereço para o qual a conexão foi estabelecida. 

106 - Conexão TCP finalizada através do proxy SOCKS 

Essa mensagem é gerada todas as vezes que uma conexão TCP é finalizada 

através do proxy SOCKS. 

As mensagens complementares indicam o nome do usuário que havia estabelecido 

a conexão (se a autenticação de usuários estiver habilitada), o endereço do cliente e 

o endereço para o qual a conexão foi estabelecida. 

107 - Conexão TCP recusada pelo proxy SOCKS 

Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de 

estabelecimento de uma conexão TCP e a mesmo foi recusada, devido a existência 


de uma regra no perfil de acesso correspondente indicando que o proxy não deveria 

aceitar tal conexão. 

As mensagens complementares indicam o nome do usuário que solicitou a conexão 

(se a autenticação de usuários estiver habilitada), o endereço do cliente e o 

endereço de destino. 

108 - Dados incorretos recebidos pelo proxy SOCKS 

Essa mensagem é gerada quando o proxy SOCKS recebe dados do cliente em 

desacordo com a especificação do protocolo SOCKS. Exemplos de dados inválidos 

podem ser uma versão do protocolo diferente de 4 ou 5, um endereço destino em 

branco, entre outros. 

109 - Erro ao comunicar com servidor de autenticação 

Esta mensagem indica que um dos proxies não conseguiu se comunicar com o 

servidor de autenticação quando tentou realizar a autenticação de um usuário. 

Devido a isso, o usuário não foi autorizado a continuar e a sua conexão foi 

recusada. 

Solução: Verifique se o processo do servidor de autenticação está ativo no firewall. 

Para fazer isso, execute o comando 

#ps -ax | grep fwauthd | grep -v grep. Caso o processo não apareça, execute-o 

com o comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este 

problema voltar a ocorrer, contate o suporte técnico. 

110 - Erro ao conectar com agente de autenticação 

Esta mensagem indica que o servidor de autenticação não conseguiu se conectar 

ao agente de autenticação que estaria rodando em uma determinada máquina. A 

mensagem complementar indica o nome do agente de autenticação que não pode 

ser conectado e o endereço IP que ele supostamente estaria rodando. 

Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está 

correto na definição do autenticador (para maiores informações, veja o capítulo 

intitulado Cadastrando Entidades) e que o agente está realmente sendo executado 

na máquina em questão. 

111 - Erro de comunicação com agente de autenticação 

Esta mensagem indica que o servidor de autenticação conseguiu se conectar ao 

agente de autenticação, porém não conseguiu estabelecer uma comunicação. A 

mensagem complementar indica o nome do agente de autenticação que provocou o 

problema. 


Solução: Verifique se a senha de acesso na definição do autenticador está igual à 

senha colocada na configuração do agente de autenticação. Para maiores 

informações, veja o capítulo intitulado Cadastrando Entidades. 

112 - Erro ao conectar com agente IDS 

Esta mensagem indica que o firewall não conseguiu se conectar ao agente IDS que 

estaria rodando em uma determinada máquina. A mensagem complementar indica o 

nome do agente IDS que não pode ser conectado e o endereço IP que ele 

supostamente estaria rodando. 


correto na definição da entidade (para maiores informações, veja o capítulo 



113 - Erro de comunicação com agente IDS 

Esta mensagem indica que o firewall conseguiu se conectar ao agente IDS, porém 

não conseguiu estabelecer uma comunicação. A mensagem complementar indica o 

nome do agente IDS que provocou o problema e o endereço IP da máquina onde 

ele está rodando. 

Solução: Verifique se a senha de acesso na definição da entidade está igual à 

senha colocada na configuração do agente IDS. Para maiores informações, veja o 

capítulo intitulado Cadastrando Entidades. 

114 - Regra de bloqueio temporária acrescentada 

Esta mensagem indica que uma regra de bloqueio temporária foi inserida no firewall. 

Como dados complementares são mostrados o módulo que inseriu a regra 

temporária (IDS, Portscan, etc) e no caso do IDS interno, a razão pela qual a 

máquina foi bloqueada. 

115 - Erro de conexão com o servidor Spam Meter 

Esta mensagem indica que o firewall não conseguiu se conectar ao Spam Meter que 

estaria rodando em uma determinada máquina. A mensagem complementar indica o 

nome do servidor que não pode ser conectado e o endereço IP que ele 

supostamente estaria rodando. 



intitulado Cadastrando Entidades) e que o Spam Meter está realmente sendo 

executado na máquina em questão. 

116 - Erro de comunicação com o servidor Spam Meter 


Esta mensagem indica que o firewall conseguiu se conectar ao Spam Meter, porém 

não conseguiu estabelecer uma comunicação. A mensagem complementar indica o 

nome do agente Spam Meter que provocou o problema e o endereço IP da máquina 

onde ele está rodando. 

Solução: Verifique se a senha de acesso na definição da entidade está igual a 

senha colocada na configuração do agente Spam Meter. Para maiores informações, 

veja o capítulo intitulado Cadastrando Entidades. 

117 - Erro ao conectar com servidor de antivírus 

Esta mensagem indica que o firewall não conseguiu se conectar ao servidor de 

antivírus que estaria rodando em uma determinada máquina. A mensagem 

complementar indica o nome do servidor que não pode ser conectado e o endereço 

IP que ele supostamente estaria rodando. 





118 - Erro de comunicação com servidor de antivírus 

Esta mensagem indica que o firewall conseguiu se conectar ao servidor de antivírus, 

porém não conseguiu estabelecer uma comunicação. A mensagem complementar 

indica o nome do agente antivírus que provocou o problema e o endereço IP da 

máquina onde ele está rodando. 


senha colocada na configuração do agente antivírus. Para maiores informações, 

veja o capítulo intitulado Cadastrando Entidades. 

119 - Erro ao conectar com Web Content Analyzer 

Esta mensagem indica que o firewall não conseguiu se conectar ao Web Content 

Analyzer que estaria rodando em uma determinada máquina. A mensagem 

complementar indica o nome do analisador que não pode ser conectado e o 

endereço IP que ele supostamente estaria rodando. 

Solução: Verifique se o endereço IP da máquina onde o analisador estaria rodando 

está correto na definição da entidade (para maiores informações, veja o capítulo 

intitulado Cadastrando Entidades) e que ele está realmente sendo executado na 

máquina em questão. 

120 - Erro de comunicação com Web Content Analyzer 

Esta mensagem indica que o firewall conseguiu se conectar ao Web Content 

Analyzer, porém não conseguiu estabelecer uma comunicação. A mensagem 


complementar indica o nome do analisador que provocou o problema e o endereço 

IP da máquina onde ele está rodando. 


senha colocada na configuração do Web Content Analyzer. Para maiores 

informações, veja o capítulo intitulado Cadastrando Entidades. 

121 - Nova máquina detectada no cluster 

Esta mensagem indica que uma nova máquina foi anexada ao sistema de cluster do 

firewall. 

122 - Máquina participante do cluster fora do ar 

Esta mensagem indica que uma das máquinas participantes do cluster esta fora do 

ar. Verifique a situação da máquina de modo a solucionar o problema da mesma. 

123 - Pacote de heartbeat inválido 

Esta mensagem indica que um pacote de verificação do cluster foi recebido 

incorretamente. Verifique se o segmento de comunicação dos firewall esta 

funcionando corretamente. 

124 - Convergência do cluster completada com sucesso 

Esta mensagem indica que todos os firewalls do cluster estão funcionando 

corretamente. 

125 - Chave de ativação do firewall repetida 

Esta mensagem indica que dois firewalls possuem a mesma licença instalada. Para 

o trabalho dos firewalls cooperativos e necessário que cada um dos firewalls possua 

a sua própria licença 

126 - Falha de autenticação para proxy 

Esta mensagem indica que um usuário informou uma senha inválida ao tentar 

autenticar-se em um determinado proxy. As mensagens complementares indicam o 

nome do usuário e as máquinas de origem e destino (no caso de proxy 

transparente) da conexão. 

127 - Usuário não cadastrado para proxy 

Esta mensagem indica que um usuário não cadastrado tentou se autenticar em um 

determinado proxy. A mensagem complementar indica as máquinas de origem e 

destino (no caso de proxy transparente) da conexão. 

128 - Usuário sem permissão para telnet 


Esta mensagem indica que um usuário se autenticou corretamente no proxy telnet 

porém não tinha permissão de efetuar a conexão desejada. As mensagens 

complementares indicam o nome do usuário e as máquinas de origem e destino da 

conexão. 

129 - Sessão telnet estabelecida 

Esta mensagem indica que um usuário se autenticou corretamente no proxy telnet e 

tinha permissão para efetuar a conexão desejada. Devido a isso, a conexão foi 

estabelecida. As mensagens complementares indicam o nome do usuário e as 

máquinas de origem e destino da conexão. 

130 - Sessão telnet finalizada 

Esta mensagem indica que um usuário se desconectou de uma sessão telnet. As 

mensagens complementares indicam o nome do usuário e as máquinas de origem e 

destino da conexão. 

131 - Erro ao enviar dados para o kernel do Firewall 

Esta mensagem indica que algum dos módulos externos tentou enviar informações 

para os módulos do firewall que rodam dentro do kernel e não conseguiu. Se existir 

uma mensagem complementar entre parênteses, esta indicará quais informações 

estavam sendo enviadas. 

Solução: No Linux o comando é lsmod. Deverá aparecer um módulo com o nome 

aker_firewall_mod. 

132 - Erro ao salvar certificados 

Esta mensagem indica que o firewall não conseguiu salvar alguma lista de 

certificados de criptografia no disco. 

Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto pode 

ser feito através do comando "$df -k". Se este comando mostrar o diretório '/' com 

100% de espaço utilizado, então é isto a causa do problema. Caso exista espaço 

disponível e ainda assim este erro apareça, consulte o suporte técnico. 

133 - Erro ao carregar certificados 

Esta mensagem indica que o firewall não conseguiu carregar alguma lista de 

certificados de criptografia. 


134 - Certificado inválido recebido 

Esta mensagem indica que o servidor de certificados do firewall recebeu um 

certificado inválido. Isso pode ter uma das seguintes causas: 


Assinatura do certificado inválida 

Entidade certificadora desconhecida 

Certificado expirado 

As mensagens complementares indicam qual destes possíveis erros ocorreu e qual firewall 

emitiu o certificado inválido. 

135 - Certificado recebido e validado corretamente 

Esta mensagem indica que o servidor de certificados do firewall recebeu um 

certificado de negociação ou revogação válido. As mensagens complementares 

indicam que tipo de certificado foi recebido e qual firewall o emitiu. 

136 - Requisição de cliente de criptografia inválida 

Esta mensagem indica que o servidor de certificados recebeu uma requisição de um 

cliente de criptografia e esta requisição foi considerada inválida. Isso pode ter uma 

das seguintes causas: 

O certificado do firewall foi atualizado e o cliente continua utilizando o certificado 

antigo. 

A requisição partiu de uma máquina não autorizada a estabelecer sessão de 

criptografia com o firewall. 

As mensagens complementares indicam qual a causa do problema e os endereços 

da máquina de origem e destino (o destino é o endereço da máquina atrás do 

firewall com a qual o cliente tentou se comunicar). 

137 - Falha de autenticação para criptografia 

Esta mensagem só é mostrada quando a autenticação de usuários para clientes de 

criptografia está ativa e indica que um usuário cadastrado em algum autenticador 

tentou estabelecer uma sessão de criptografia com o firewall, porém sua senha 

estava incorreta. As mensagens complementares mostram o nome do usuário em 

questão e os endereços da máquina de origem e destino (o destino é o endereço da 

máquina atrás do firewall com a qual o cliente tentou se comunicar). 

138 - Usuário não cadastrado para criptografia 

Esta mensagem só é mostrada quando a autenticação de usuários para clientes de 

criptografia está ativa e indica que um usuário não cadastrado em nenhum 

autenticador tentou estabelecer uma sessão de criptografia com o firewall. A 

mensagem complementar mostra os endereços da máquina de origem e destino (o 

destino é o endereço da máquina atrás do firewall com a qual o cliente tentou se 

comunicar). 

139 - Sessão de criptografia com cliente estabelecida 


Esta mensagem é gerada pelo servidor de certificados quando um usuário 

consegue se autenticar corretamente em um cliente de criptografia e iniciar uma 

sessão. Nas mensagens complementares é mostrado o login do usuário que 

estabeleceu a sessão e os endereços da máquina de origem e destino (o destino é 

o endereço da máquina atrás do firewall com a qual o cliente se comunicou 

inicialmente). 

140 - Sessão de criptografia com cliente finalizada 

Esta mensagem indica que um cliente finalizou uma sessão criptografada. A 

mensagem complementar indica a máquina de origem da conexão. 

141 - Erro de comunicação com cliente de criptografia 

Esta mensagem, que pode ter várias causas, indica que o servidor de criptografia 

para clientes recebeu um pacote criptografado inválido de um Cliente de Criptografia 

Aker. 

As mensagens complementares indicam qual a causa do problema e os endereços 

da máquina de origem e destino (o destino é o endereço da máquina atrás do 

firewall com a qual o cliente tentou se comunicar). 

142- Erro ao carregar algoritmo de criptografia 

O Aker Firewall pode trabalhar com algoritmos de criptografia desenvolvidos por 

terceiros, chamados de algoritmos externos. Esta mensagem indica que o servidor 

de criptografia para clientes não conseguiu carregar um destes algoritmos de 

criptografia externos. Isto é causado por uma falha de implementação do algoritmo. 

As mensagens complementares mostram o nome da biblioteca a partir da qual o 

firewall tentou carregar o algoritmo e o erro que causou o problema. 

Solução: Contate o desenvolvedor do algoritmo e repasse a mensagem completa 

para ele. 

143 - Falha de autenticação para perfil de acesso 

Esta mensagem indica que um usuário informou uma senha inválida ao tentar se 

logar no firewall utilizando o Cliente de Autenticação Aker. As mensagens 

complementares indicam o nome do usuário e a máquina de origem da requisição. 

144 - Usuário não cadastrado para perfil de acesso 

Esta mensagem indica que um usuário não cadastrado tentou se logar no firewall 

utilizando o Cliente de Autenticação Aker. A mensagem complementar indica a 

máquina de origem da requisição. 

145 - Sessão de perfil de acesso estabelecida 


Esta mensagem indica que um usuário se logou corretamente no firewall utilizando 

o Cliente de Autenticação Aker. As mensagens complementares indicam o nome do 

usuário que estabeleceu a sessão e a máquina a partir da qual a sessão foi 

estabelecida. 

146 - Sessão de perfil de acesso finalizada 

Esta mensagem indica que um usuário finalizou uma sessão no firewall estabelecida 

através do Cliente de Autenticação Aker. As mensagens complementares indicam o 

nome do usuário que finalizou a sessão e a máquina a partir da qual a sessão foi 

finalizada. 

147 - Requisição de perfil de acesso inválida 

Esta mensagem, que pode ter várias causas, indica que o servidor de login de 

usuários recebeu uma requisição inválida de um Cliente de Autenticação Aker. 

As mensagens complementares indicam qual a causa do problema e o endereço da 

máquina de origem da requisição. 

148 - Conflito de versão de cliente de autenticação 

Durante a autenticação, foi encontrada uma versão de um cliente de autenticação 

que não permite que outros usuários se autentiquem. 

149 - Erro ao carregar pseudo-grupos 

Esta mensagem indica que o firewall não conseguiu carregar a lista de pseudogrupos 

das autoridades certificadoras. 


150 - Erro ao baixar CRL 

Essa mensagem indica que o firewall não conseguiu baixar a lista de certificados 

revogados (CRL) de uma autoridade certificadora. As mensagens complementares 

mostram a razão pela qual não foi possível baixar a lista e a URL da qual se tentou 

baixá-la. 

Solução: Verifique que a URL informada na definição da entidade do tipo autoridade 

certificadora está correta e que o serviço está no ar. É possível fazer isso digitandose 

a URL em um browser e verificando se é possível se receber o arquivo. 

151 - Número de processos excessivo no sistema 

Esta mensagem indica que algum dos módulos externos do firewall, ao tentar criar 

uma nova instância de si próprio para tratar uma conexão, detectou que o número 

de processos executando no sistema está próximo do limite máximo permitido. 


Diante disso, a criação do novo processo foi cancelada e a conexão que deveria ser 

tratada pelo novo processo foi abortada. 

Solução: Aumente o número máximo de processos no sistema. Para maiores 

informações, consulte o Apêndice B - Perguntas e respostas. 

152 - Máquina de conversão 1-N fora do ar 

Essa mensagem indica que uma das máquinas participantes de uma conversão 1-N 

(balanceamento de canal) se encontra fora do ar. A mensagem complementar 

mostra o endereço IP da máquina em questão. 

153 - Máquina de conversão 1-N operacional 

Essa mensagem indica que uma das máquinas participantes de uma conversão 1-N 

(balanceamento de canal) que se encontrava fora do ar voltou a funcionar 

normalmente. A mensagem complementar mostra o endereço IP da máquina em 

questão. 

154 - Pedido de conexão de administração 

Esta mensagem é gerada pelo módulo de administração remota do Aker Firewall 

todas as vezes que este recebe um pedido de abertura de conexão. Na mensagem 

complementar é mostrado o endereço IP da máquina que solicitou a abertura de 

conexão. 

155 - Sessão de administração estabelecida 

Esta mensagem é gerada pelo módulo de administração remota do Aker Firewall 

quando um usuário consegue se autenticar corretamente e iniciar uma sessão de 

administração. Na mensagem complementar é mostrado o login do usuário que 

estabeleceu a sessão e os seus direitos. 

Os direitos do usuário são representados através de três siglas independentes. 

Caso o usuário possua um determinado direito será mostrada a sigla 

correspondente a ele, caso contrário será mostrado o valor "--". As siglas e seus 

significados são os seguintes: 

CF - Configura Firewall 

CL - Configura Log 

GU - Gerencia usuários 

156 - Sessão de administração finalizada 

Esta mensagem indica que a sessão de administração estabelecida anteriormente 

foi terminada a pedido do cliente. 

157 - Usuário não cadastrado para administração 


Esta mensagem indica que um usuário não cadastrado no sistema tentou 

estabelecer uma sessão de administração. 

158 - Erro de confirmação de sessão de administração 

Esta mensagem indica que um usuário cadastrado no sistema tentou estabelecer 

uma sessão de administração remota, porém sua senha estava incorreta. A 

mensagem complementar mostra o nome do usuário em questão. 

159 - Firewall sendo administrado por outro usuário 

Esta mensagem indica que um usuário conseguiu se autenticar corretamente para 

estabelecer uma sessão de administração remota, porém já existia um outro usuário 

com uma sessão aberta para a mesma máquina e por isso a conexão foi recusada. 

A mensagem complementar indica qual o usuário que teve sua sessão recusada. 

160 - Alteração de parâmetro 

Esta mensagem indica que o administrador que estava com a sessão de 

administração aberta alterou algum parâmetro de configuração do sistema. A 

mensagem complementar indica o nome do parâmetro que foi alterado. 

161 - Alteração das regras de filtragem 


administração aberta alterou a tabela de regras de filtragem do firewall. 

162 - Alteração da conversão 


administração aberta alterou algum parâmetro da conversão de endereços ou a 

tabela de conversão de servidores. A mensagem complementar indica exatamente o 

que foi alterado. 

163 - Alteração da tabela de criptografia 


administração aberta alterou a tabela de criptografia do firewall. 

164 - Alteração na configuração de SYN Flood 


administração aberta alterou algum parâmetro da proteção contra SYN Flood. A 

mensagem complementar indica exatamente o que foi alterado. 

165 - Alteração de contextos 


administração aberta alterou contextos de um dos proxies transparentes do Firewall. 


A mensagem complementar indica qual o proxy que teve seus contextos 

modificados. 

166 - Alteração da configuração de SNMP 


administração aberta alterou os parâmetros de configuração do agente SNMP. 

167 - Alteração dos perfis de acesso 


administração aberta alterou a lista de perfis de acesso. 

168 - Alteração da lista de controle de acesso 


administração aberta alterou a lista de controles de acesso. 

169 - Alteração de parâmetros de autenticação 


administração aberta alterou os parâmetros globais de autenticação. 

170 - Alteração de entidades 


administração aberta alterou a lista de entidades do sistema. 

171 - Alteração de parâmetros WWW 


administração aberta alterou os parâmetros WWW. 

172 - Alteração da configuração do proxy SOCKS 


administração aberta alterou algum dos parâmetros de configuração do proxy 

SOCKS. 

173 - Remoção de conexão ativa 


administração aberta removeu uma das conexões ativas. A mensagem 

complementar indica se a conexão removida era TCP ou UDP. 

174 - Remoção de sessão de usuário ativa 



administração aberta removeu uma das sessões de usuários que estavam logados 

no firewall através do Cliente de Autenticação Aker. 

175 - Operação sobre o arquivo de log 


administração aberta realizou uma operação sobre o arquivo de log. As operações 

possíveis são Compactar e Apagar. A mensagem complementar indica qual destas 

operações foi executada. 

176 - Operação sobre o arquivo de eventos 


administração aberta realizou uma operação sobre o arquivo de eventos. As 

operações possíveis são Compactar e Apagar. A mensagem complementar indica 

qual destas operações foi executada. 

177 - Operação sobre o arquivo de usuários 


administração aberta realizou uma operação sobre o arquivo de usuários. As 

operações possíveis são Incluir, Excluir e Alterar. A mensagem complementar indica 

qual destas operações foi executada e sobre qual usuário. 

178 - Alteração na data/hora do firewall 


administração aberta alterou a data e/ou à hora do firewall. 

179 - Carga do certificado de negociação local 


administração aberta carregou ou alterou o certificado de negociação local do 

firewall. 

180 - Alteração nos certificados 


administração aberta alterou a lista de certificados das entidades certificadoras ou 

de revogação do firewall. 

181 - Alteração da configuração de TCP/IP 


administração aberta alterou a configuração de TCP/IP do firewall (hostname, 

configuração de DNS, configuração de interfaces ou rotas). 

182 - Alteração nas licenças de ativação 


Um novo arquivo de licenças foi adicionado no Firewall. 

183 - Alteração na configuração do cluster 

Novas configurações de cluster foram adicionadas no Firewall. 

184 - Queda de sessão de administração por erro 

Esta mensagem indica que a sessão de administração que estava ativa foi 

interrompida devido a um erro de protocolo de comunicação. 

Solução: Experimente estabelecer a conexão novamente. Se o problema voltar a 

ocorrer, consulte o suporte técnico. 

185 - Queda de sessão de administração por inatividade 

Quando uma interface remota estabelece uma conexão de administração, ela passa 

a enviar periodicamente pacotes para o firewall indicando que ela continua ativa. 

Estes pacotes são enviados mesmo que usuário não execute nenhuma operação. 

Esta mensagem indica que a sessão de administração que estava ativa foi 

interrompida devido a um tempo limite ter sido atingido, sem o servidor ter recebido 

nenhum pacote da interface remota. A sua causa mais provável é uma queda na 

máquina que rodava a interface gráfica ou uma queda na rede. 

186 - Erro na operação anterior 

Esta mensagem indica que a última operação executada pelo servidor de 

comunicação remota não foi executada com sucesso. 

Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto pode 

ser feito através do comando "$df -k". Se este comando mostrar o diretório '/' com 

100% de espaço utilizado, então é isto a causa do problema. Caso exista espaço 

disponível e ainda assim este erro apareça, consulte o suporte técnico. 

187 - Usuário sem direito de acesso 

Esta mensagem indica que o usuário tentou realizar uma operação que não lhe era 

permitida. 

Solução: Esta mensagem não deve ser mostrada em condições normais de 

funcionamento do Aker Firewall. Se ela aparecer, contate o suporte técnico. 

188 - Pacote não reconhecido 

Esta mensagem indica que o servidor de comunicação do firewall recebeu uma 

requisição de serviço desconhecida. 



189 - Muitas negociações pendentes 

Esta mensagem indica que o kernel não está conseguindo pedir que o daemon de 

negociações de chave estabeleça um canal. Esta situação é anômala e não deve 

acontecer. Contate o suporte técnico se o Firewall gerar esta mensagem. 

190 - SA não tem tipo IPSEC 

Esta mensagem indica que foi tentada a configuração de um canal não IPSEC pelo 

módulo IPSEC. Esta situação é anômala e não deve acontecer. Por favor contate o 

suporte técnico se o Firewall gerar esta mensagem. 

191 - Algoritmo de criptografia especificado não implementado 

Esta mensagem indica que foi negociado um canal de criptografia com um algoritmo 

não implementado. Escolha outros algoritmos (veja seção Configurando canais 

Firewall-Firewall). 

192 - Falhou a expansão da chave criptográfica 

Esta mensagem indica que o módulo IPSEC teve dificuldades em tratar a chave 

negociada para um canal criptográfico. Esta situação é anômala e não deve 

acontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem. 

193 - Kernel repassou pacote inválido 

Esta mensagem indica que o sistema operacional passou um pacote incorreto para 

o Firewall. Ela ocorre apenas no sistema operacional Linux. 

194 - Falhou ao inserir SA no kernel 

Esta mensagem indica que foi negociado um canal que já não existe mais. Para 

solucionar o problema, recrie o canal, ou aguarde até que todos os módulos do 

Firewall saibam da não existência deste canal. 

195 - Estabelecendo VPN IPSEC para o tráfego 

Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) 

iniciou o estabelecimento de um canal, por necessidade imediata de seu uso. 

196 - fwiked falhou ao iniciar 

Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) não 

conseguiu ler suas configurações. Recrie as configurações de criptografia para 

solucionar o problema (veja seção Configurando canais Firewall-Firewall). 

197 - Erro processando configuração 


Esta mensagem indica que ocorreu um erro interno grave no daemon de 

negociação de chaves IPSEC (fwiked). Esta situação é anômala e não deve 

acontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem. 

198 - Erro comunicando com o kernel 


está conseguindo se comunicar com os módulos do Firewall que executam dentro 

do kernel do sistema operacional. 

199 - Kernel enviou requisição incorreta 


recebeu uma solicitação para negociar um canal de criptografia que não mais existe 

na configuração do Firewall. Espere alguns instantes até que todos os módulos do 

Firewall se sincronizem. 

200 - Tentou instalar uma SA não negociada 


encontrou um erro grave de consistência interna. Esta situação é anômala e não 

deve acontecer. Por favor contate o suporte técnico se o Firewall gerar esta 

mensagem. 

201 - Algoritmo criptográfico não suportado 

Esta mensagem indica que um outro Firewall (ou qualquer equipamento que suporte 

IPSEC) tentou estabelecer um canal criptográfico com um algoritmo de cifração não 

suportado pelo Aker Firewall. Escolha outros algoritmos (veja seção Configurando 

canais Firewall-Firewall). 

202 - Erro enviando regra de ike ao filtro de pacotes 


está conseguindo se comunicar com os módulos do Firewall que executam dentro 

do kernel do sistema operacional para inserir uma regra de liberação da 

comunicação com seus pares. 

203 - Sucesso ativando a SA negociada 


estabeleceu e instalou nos demais módulos do Firewall um canal de criptografia 

IPSEC corretamente. 

204 - Negociação de IKE falhou (olhar mensagens complementares) 

Esta mensagem indica que houve um problema durante a negociação de chaves 

IPSEC. Verifique as mensagens complementares para obter mais detalhes. 


Geralmente uma pequena mudança de configuração resolve rapidamente o 

problema. 

205 - Erro lendo mudança de estado do cluster 

Esta mensagem indica que houve um erro quando da leitura do estado do cluster 

dentro do trabalho cooperativo. Verifique o segmento de rede onde estão instalados 

os firewalls. 

206 - Erro enviando mudança de estado ao cluster 

Esta mensagem indica que houve um erro quando enviando mudança do estado do 

cluster dentro do trabalho cooperativo. Verifique o segmento de rede onde estão 

instalados os firewalls. 

207- Notificação do fwiked (olhar mensagens complementares) 

Esta mensagem é genérica de notificação do daemon de negociação de chaves 

IPSEC. Verifique as mensagens complementares para obter mais detalhes. 

208 - Aviso do fwiked (olhar mensagens complementares) 

Esta mensagem é uma mensagem genérica de aviso do daemon de negociação de 

chaves IPSEC. Verifique as mensagens complementares para obter mais detalhes. 

209 - Recebendo número do pipe do kernel 

Esta mensagem indica que um proxy não conseguiu descobrir quais eram o pipe e o 

acumulador para uma conexão, visto que tiveram problemas de comunicação com o 

Kernel. 

210 - Erro lendo arquivo de configuração de estatísticas 

Esta mensagem indica que houve um problema ao ler o arquivo de configuração de 

estatísticas. A solução é restaurá-lo ou removê-lo e criar as configurações 

novamente. Veja a seção Arquivos do Sistema. 

211 - Erro lendo tabela de entidades 

Esta mensagem indica que o módulo gerador de estatísticas do Firewall não 

conseguiu ler a tabela de entidades do sistema. 

212 - Não encontrou entidade acumulador 

Esta mensagem indica que o módulo gerador de estatísticas do Firewall encontrou 

uma inconsistência em sua configuração, isto é, uma estatística que referencia um 

acumulador inexistente. A mensagem complementar entre parênteses indica qual a 

entidade em questão. 


213 - Daemon suspenso por configuração incorreta 

Esta mensagem indica que o módulo gerador de estatísticas do Firewall encontrou 

uma inconsistência em sua configuração e ficará com suas atividades suspensas 

até que ela esteja correta. 

214 - Erro recebendo estatísticas do kernel 

Esta mensagem indica que o módulo gerador de estatísticas do Firewall teve 

problemas ao ler os dados necessários ao seu cálculo dos módulos que executam 

dentro do kernel do sistema operacional. 

215 - Erro salvando estatísticas 

Esta mensagem indica que o módulo gerador de estatísticas do Firewall teve 

problemas ao armazenar os dados coletados (ou enviá-los ao servidor de log 

remoto). Se o log for local, verifique a possibilidade de o disco estar cheio. Se for 

remoto, verifique a correta conexão com o servidor de log remoto. 

216 - Erro recebendo período máximo de permanência das estatísticas 

Esta mensagem indica que o módulo gerador de estatísticas do Firewall não 

conseguiu ler o período máximo pelo qual deve manter as estatísticas no Firewall 

(apenas para log local). 

217 - Pedido de fluxo inexistente 

Esta mensagem indica que uma inconsistência interna ocorreu, de forma que um 

fluxo de dados para controle de banda (QoS), não foi encontrado. 

218 - Pedido de pipe inexistente 

Esta mensagem indica que uma inconsistência interna ocorreu, de forma que um 

pipe para controle de banda (QoS), não foi encontrado. 

219 - Apagando registros do sistema de log 

Esta mensagem indica que os registros do sistema de log foram apagados. A 

mensagem complementar entre parênteses informa se foram apagados logs, 

estatísticas ou eventos. 

220 - Erro executando shell 

Esta mensagem informa que um erro grave de configuração foi encontrado que 

impede o login no console do Firewall Box. Contate o suporte técnico de seu 

revendedor. 

221 - Erro lendo licença 


Esta mensagem indica que as informações de licença do Firewall estão com algum 

problema sério que impedem sua leitura. Reinsira a chave de ativação no Firewall. 

222 - Tentativa de login (console) frustrada por senha incorreta 

Esta mensagem indica que alguém tentou efetuar login no console do Firewall Box, 

mas não tinha a senha correta. 

223 - Sistema com defeito irremediável. Contate o revendedor 

Esta mensagem informa que um erro grave de configuração foi encontrado que 

impede o login no console do Firewall Box. Contate o suporte técnico de seu 

revendedor. 

224 - Login no console efetuado 

Esta mensagem registra o fato de algum operador ter efetuado login no console do 

Firewall Box. 

225 - Linha de resposta muito grande 

Esta mensagem indica que o proxy POP3 transparente recebeu uma linha de 

resposta demasiado grande. Veja a RFC 1939 para maiores informações. 

226 - Erro recebendo dados do servidor POP3 

Esta mensagem indica que o proxy POP3 transparente encontrou um erro de 

conexão ao receber dados do servidor. As mensagens complementares informam 

qual a conexão em questão. 

227 - Erro recebendo dados do cliente POP3 


conexão ao receber dados do cliente. As mensagens complementares informam 


228 - Erro enviando dados ao cliente POP3 


conexão ao enviar dados para o cliente. As mensagens complementares informam 


229 - Erro enviando dados ao servidor POP3 


conexão ao enviar dados ao servidor. As mensagens complementares informam 


230 - Resposta inválida do servidor POP3 


Esta mensagem indica que o proxy POP3 transparente recebeu uma resposta 

incorreta do servidor. As mensagens complementares informam que resposta foi 

esta 

231 - Erro conectando-se ao servidor POP3 

Esta mensagem indica que o proxy POP3 transparente não consegui estabelecer a 

conexão com o servidor. Provavelmente o endereço está errado ou o servidor está 

fora do ar. 

232 - Servidor POP3 recusou a conexão 

Esta mensagem indica que o proxy POP3 transparente conectou-se ao servidor e 

este informou estar fora do ar. 

233 - Comando POP3 inválido ou erro de sintaxe 

Esta mensagem indica que o proxy POP3 transparente leu um comando incorreto 

do cliente e fechou a conexão sem repassá-lo ao servidor. O comando em questão 

encontra-se nas mensagens complementares. 

234 - Erro abrindo arquivo para spool 

Esta mensagem indica que o proxy POP3 transparente não conseguiu abrir o 

arquivo temporário para salvar a mensagem. 

235 - Erro gravando dados no arquivo 

Esta mensagem indica que o proxy POP3 transparente encontrou um erro ao gravar 

a mensagem em espaço de armazenamento temporário. 

236 - Falta de espaço gravando arquivo 

Esta mensagem indica que faltou espaço em disco para o proxy POP3 transparente 

gravar as mensagens recebidas. 

237 - Erro de sintaxe no email POP3 (erro de parser) 

Esta mensagem indica que o proxy POP3 transparente recebeu uma mensagem 

incorretamente formatada e a descartou por não poder analisá-la. 

238 - Entrando em modo STLS - nenhuma análise possível 

Esta mensagem indica que o firewall entrou em modo STLS. Entre em contato com 

o suporte técnico para a solução. 

239 - Erro recebendo dados do firewall servidor 


Esta mensagem indica que o firewall servidor do cluster não esta recebendo os 

dados corretamente. Verifique o segmento de rede de troca informação dos firewalls 

cooperativos. 

240 - Erro enviando dados do firewall servidor 

Esta mensagem indica que o firewall servidor do cluster não está enviando os dados 

corretamente. Verifique o segmento de rede de troca informação dos firewalls 

cooperativos. 

241 - Erro de processamento no firewall servidor 

Esta mensagem indica que o firewall servidor do cluster não esta processando os 

dados corretamente. Verifique o firewall servidor quanto a espaço em disco e 

processador. 

242 - Erro alterando a configuração do firewall 

Esta mensagem indica que o firewall servidor do cluster não esta conseguindo 

alterar as configurações dos outros firewalls. Verifique o segmento de rede de troca 

informação dos firewalls cooperativos. 

243 - Erro ao replicar estado do cluster 


replicar o estado do cluster para os outros firewalls. Verifique o segmento de rede 

de troca informação dos firewalls cooperativos. 

244 - Erro ao enviar arquivo ao cluster 


enviar arquivo ao cluster. Verifique o segmento de rede de troca informação dos 

firewalls cooperativos. 

245 - Erro ao agrupar dados do cluster 

Esta mensagem indica que o firewall servidor do cluster não está conseguindo 

agrupar os dados do cluster. Verifique o segmento de rede de troca informação dos 

firewalls cooperativos. 

246 - Arquivo com vírus desinfectado 

Esta mensagem indica que um arquivo analisado pelo firewall estava com vírus mas 

foi desinfectado. 

247 - Arquivo com vírus bloqueado 

Esta mensagem indica que um arquivo estava com vírus e não pode ser removido, 

por isso o arquivo foi bloqueado. 


248 - Arquivo não pode ser analisado pois estava corrompido 

Esta mensagem indica que o antivírus do firewall não pode analisar o arquivo pois o 

mesmo estava corrompido. 

249 - Arquivo não pode ser analisado pois estava cifrado 

Esta mensagem indica que o antivírus do firewall não pode analisar o arquivo pois o 

mesmo estava cifrado. 

250 - Host respondeu e foi marcado como ativo 

Esta mensagem indica que a máquina de teste do balanceamento de link está no ar. 

Para maiores informações consulte o capitulo intitulado Configurando a 

Conversão de Endereços. 

251 - Host não respondeu e foi marcado como inativo 

Esta mensagem indica que a máquina de teste do balanceamento de link está fora 

ar ou não foi possível a sua verificação. Para maiores informações consulte o 

capítulo intitulado Configurando a Conversão de Endereços. 

252 - Link foi marcado como ativo 

Esta mensagem indica que o balanceamento de link esta no ar. Para maiores 

informações consulte o capitulo intitulado Configurando a Conversão de 

Endereços. 

253 - Link foi marcado como inativo 

Esta mensagem indica que o balanceamento de link esta fora do ar. Para maiores 

informações consulte o capitulo intitulado Configurando a Conversão de 

Endereços. 

254 - Mensagem de debug do Secure Roaming 

Esta é uma mensagem com prioridade depuração gerada pelo Secure Roaming. 

Verifique os complementos para maiores informações. 

255 - Informação do Secure Roaming 

Esta é uma mensagem com prioridade informação gerada pelo Secure Roaming. 


256 - Aviso importante do Secure Roaming 

Esta é uma mensagem com prioridade aviso gerada pelo Secure Roaming. Verifique 

os complementos para maiores informações. 



Esta é uma mensagem com prioridade erro gerada pelo Secure Roaming. Verifique 



Esta é uma mensagem com prioridade erro fatal gerada pelo Secure Roaming. 


259 - Usuários responsáveis do Configuration Manager 

Esta mensagem é gerada quando o Configuration Manager efetua uma modificação 

da configuração de um determinado firewall e serve para informar qual o usuário 

responsável por tais modificações (o usuário que estava utilizando o Configuration 

Manager). 

260 - Mensagem do sistema operacional 

Esta mensagem é utilizada para reportar mensagens produzidas pelo kernel do 

sistema operacional, que normalmente seriam mostradas no console. 

261 - Erro ao criar processo 

Esta mensagem indica que o firewall tentou criar um novo processo para cuidar de 

uma determinada tarefa e não conseguiu. Possíveis causas de erro são memória 

insuficiente no firewall ou número de processos ativos excessivamente alto. 

262 - Processo recriado 

Esta mensagem indica que o processo de monitoramento do firewall recriou um 

processo crítico do sistema que não estava mais rodando. Se esta mensagem 

aparecer frequentemente, é necessário contatar o suporte técnico para determinar a 

causa do problema. 

263 - Processo foi interrompido 

Esta mensagem indica que o processo de monitoramento do firewall detectou que 

um processo crítico do sistema não estava mais rodando. Se esta mensagem 

aparecer frequentemente, é necessário contatar o suporte técnico para determinar a 

causa do problema. 

264 - Conexão teve canal alterado 

Esta mensagem indica que uma conexão teve à sua definição de canal alterada 

devido a aplicação de uma regra de filtragem de aplicativos. 

265 - Conexão encerrada pela filtragem de aplicativos 


Esta mensagem indica que uma conexão foi encerrada devido à aplicação de uma 

regra de filtragem de aplicativos. 

266 - Erro recebendo pacote do kernel 

Esta mensagem é gerada quando o módulo de filtragem de aplicativos não 

conseguir ler os pacotes enviados pelo kernel do firewall. Ela não deve ocorrer 

nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico. 

267 - Pacotes perdidos na análise - sistema possivelmente lento 

Esta mensagem indica que o módulo de análise de aplicativos não conseguiu tratar 

em tempo hábil todos os pacotes que deveria a fim de verificar todas as regras de 

filtragem de aplicativos configuradas no firewall. Possíveis ações que podem ser 

realizadas pelo administrador são: 

Verificar se algum dos filtros está com profundidade de pesquisa muito grande. Se 

tiver, tentar diminuir ao máximo este valor; 

Não usar regras do tipo: procurar MP3 em todos os serviços. Utilizar somente nos 

serviços nos quais este tipo de arquivo possa trafegar nos protocólos: FTP, HTTP, 

SMTP, etc. 

Não colocar regras Internet - Internet. Sempre que possível utilizar regras do tipo 

origem Rede Interna, destino Internet ou vice-versa. 

Não verificar arquivos e protocolos da Rede Interna para a DMZ. 

268 - Pacote truncado recebido do kernel 

Esta mensagem é gerada quando o módulo de filtragem de aplicativos leu um 

pacote de tamanho inválido enviado pelo kernel do firewall. Ela não deve ocorrer 

nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico. 

269 - Erro expandindo regras de filtragem de aplicativos 

Esta mensagem indica que o firewall detectou um erro ao expandir as regras de 

filtragem de aplicativos. Ela não deve ocorrer nunca em condições normais. Caso 

ocorra, deve-se contatar o suporte técnico. 

270 - Erro carregando regras globais de filtragem de aplicativos 

Esta mensagem indica que o firewall detectou um erro ao carregar as regras globais 

de filtragem de aplicativos. Ela não deve ocorrer nunca em condições normais. Caso 

ocorra, deve-se contatar o suporte técnico. 

271 - Erro expandindo regras de IDS/IPS 

Esta mensagem indica que o firewall detectou um erro ao expandir as regras de 

IDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se 

contatar o suporte técnico. 


272 - Erro carregando regras de IDS/IPS 

Esta mensagem indica que o firewall detectou um erro ao carregar as regras de 

IDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se 

contatar o suporte técnico. 

273 - Erro de rede 

Esta é uma mensagem genérica para erros de rede. Favor verificar os 

complementos para maiores informações sobre sua causa. 

274 - Conexão fora das regras de perfil do proxy SSL 

Esta mensagem indica que um usuário tentou acessar o proxy SSL mas não havia 

nenhuma regra autorizando seu acesso. 

275 - Conexão TCP aceita pelo proxy SSL 

Esta mensagem indica que o firewall recebeu uma conexão de Proxy SSL e a 

aceitou. 

276 - Conexão TCP recusada pelo proxy SSL 

Esta mensagem indica que o firewall recebeu uma conexão de Proxy SSL e a 

recusou. 

277 - Conversação do MSN Messenger iniciada 

Esta mensagem é gerada quando um usuário abre a janela de conversação no MSN 

Messenger, passando através do firewall. 

278 - Conversação do MSN Messenger bloqueada 

Conversa entre dois usuários foi bloqueada pelas configurações no proxy MSN. 

279 - Conversação do MSN Messenger finalizada 

Esta mensagem é gerada quando um usuário fecha a janela de conversação no 

MSN Messenger, passando através do firewall. 

280 - Tempo diário de uso de MSN Messenger excedido 

Esta mensagem indica que o tempo diário de conversa através do MSN Messenger 

para o usuário em questão foi exercido. Este usuário não mais poderá acessar o 

Messenger no dia corrente. 

281 - Notificação do Hotmail bloqueada 

Proxy MSN não permitiu a notificação do Hotmail. 


282 - Convite para transferência de arquivo via MSN Messenger permitido 

Esta mensagem é gerada quando um pedido de transferência de arquivo através do 

Messenger foi recebido e aceito pelo firewall. 

283 - Transferência de arquivo via MSN Messenger bloqueada 

Esta mensagem é gerada quando um pedido de transferência de arquivo através do 

Messenger foi recebido e rejeitado pelo firewall. 

284 - Convite para uso de aplicativo via MSN Messenger permitido 

Esta mensagem é gerada quando um pedido de uso de aplicativo (jogos, vídeo, etc) 

através do Messenger foi recebido e aceito pelo firewall. 

285 - Uso de aplicativo via MSN Messenger não permitido 

Esta mensagem é gerada quando um pedido de uso de aplicativo (jogos, video, etc) 

através do Messenger foi recebido e rejeitado pelo firewall. 

286 - Conexão encerrada por timeout 

Esta mensagem indica que uma conexão com um servidor do serviço MSN 

Messenger foi encerrada por timeout. Verifique se o acesso à Internet está 

funcionando corretamente. 

287 - Erro analisando a mensagem 

Esta mensagem indica que o firewall detectou um erro de parser em uma 

mensagem do MSN Messenger. Caso esta mensagem apareça, favor contatar o 

suporte técnico. 

288 - Servidor MSN Messenger não responde 

Esta mensagem indica que os servidores do serviço MSN Messenger não estão 

respondendo. Verifique se a conexão com a Internet está funcionando corretamente. 

289 - Usuário entrou no MSN Messenger 

Esta mensagem é gerada todas as vezes que um usuário se autentica no serviço 

MSN Messenger através do Firewall 

290 - Usuário saiu do MSN Messenger 

Esta mensagem é gerada todas as vezes que um usuário sai do serviço MSN 

Messenger, passando através do Firewall 

291 - Usuário sem permissão tentou entrar no MSN Messenger 


Esta mensagem é gerada todas as vezes que um usuário sem permissão tenta 

acessar o serviço MSN Messenger passando através do Firewall. 

292 - Ligação Iniciada 

Proxy SIP detectou o inicio de uma ligação. 

293 - Ligação Finalizada 

Proxy SIP detectou o fim de uma ligação. 

294 - Erro obtendo data de expiração do IDS 

Não foi possível ler a data de expiração de uma base IDS em disco. Provável base 

corrompida. 

295 - Erro fazendo download das atualizações dos filtros 

Esta mensagem indica que ocorreu um erro quando o firewall tentou fazer o 

download das novas assinaturas de IDS e/ou da Filtragem de aplicativos.Verifique o 

complemento para maiores informações. 

296 - Download das atualizações dos filtros completo 

Esta mensagem indica que o firewall conseguiu baixar uma nova atualização das 

assinaturas de IDS ou da Filtragem de Aplicativos. 

297 - Mensagem descartada por configuração do Spam Meter 

Esta mensagem é gerada quando uma mensagem de e-mail é descartada pelo 

proxy SMTP devido a ter recebido uma nota do Spam Meter cuja configuração do 

proxy indicou ao firewall para descartá-la. 

298 - Mensagem rejeitada por configuração do Spam Meter 

Esta mensagem é gerada quando uma mensagem de e-mail é rejeitada pelo proxy 

SMTP devido a ter recebido uma nota do Spam Meter cuja configuração do proxy 

indicou ao firewall para rejeitá-la. 

299 - Mensagem aceita pela configuração do Spam Meter 

Esta mensagem é gerada quando uma mensagem de e-mail é aceita pelo proxy 

SMTP devido ter recebido uma nota do Spam Meter cuja configuração do proxy 

indicou ao firewall para aceitá-la. 

300 - Mensagem modificada para treinamento pelo Spam Meter 


Esta mensagem é gerada quando uma mensagem de e-mail é modificada pelo 

proxy SMTP para possibilitar seu treinamento pelo destinatário a fim de melhorar a 

classificação de futuras mensagens do Spam Meter. 

301 - Mensagem de debug do Antivírus 

Esta é uma mensagem com prioridade de depuração gerada pelo antivírus. 


302 - Informação do Antivírus 

Esta é uma mensagem com prioridade de informação gerada pelo antivírus. 


303 - Aviso importante do Antivírus 

Esta é uma mensagem com prioridade de aviso gerada pelo antivírus. Verifique os 

complementos para maiores informações. 

304 - Mensagem de alerta do Antivírus 

Esta é uma mensagem com prioridade de alerta gerada pelo antivírus. Verifique os 


305 - O Antivírus encontrou um erro 

Esta é uma mensagem com prioridade de erro gerada pelo antivírus. Verifique os 


306 - Mensagem de debug do Spam Meter 

Esta é uma mensagem com prioridade de depuração gerada pelo Spam Meter. 


307 - Informação do Spam Meter 

Esta é uma mensagem com prioridade de informação gerada pelo Spam Meter. 


308 - Aviso importante do Spam Meter 

Esta é uma mensagem com prioridade de aviso gerada pelo Spam Meter. Verifique 


309 - Mensagem de alerta do Spam Meter 

Esta é uma mensagem com prioridade de alerta gerada pelo Spam Meter. Verifique 



310 - O Spam Meter encontrou um erro 

Esta é uma mensagem com prioridade de erro gerada pelo Spam Meter. Verifique 


311 - Mensagem de debug do Web Content Analyzer 

Esta é uma mensagem com prioridade de depuração gerada pelo Aker Web Content 

Analyzer. Verifique os complementos para maiores informações. 

312 - Informação do Web Content Analyzer 

Esta é uma mensagem com prioridade de informação gerada pelo Aker Web 

Content Analyzer. Verifique os complementos para maiores informações. 

313 - Aviso importante do Web Content Analyzer 

Esta é uma mensagem com prioridade de aviso gerada pelo Aker Web Content 


314 - Mensagem de alerta do Web Content Analyzer 

Esta é uma mensagem com prioridade de alerta gerada pelo Aker Web Content 


315 - O Web Content Analyzer encontrou um erro 

Esta é uma mensagem com prioridade de erro gerada pelo Aker Web Content 


316 - Conexão TCP em segundo endereço IP recusada pelo proxy SSL 

Esta mensagem indica que um mesmo usuário tentou se conectar ao mesmo tempo 

na Proxy SSL a partir de duas máquinas distintas e o firewall estava configurado 

para não permitir tal acesso. 

317 - Relatório gerado e publicado com sucesso 

Esta mensagem indica que um relatório que estava agendado foi gerado e 

publicado com sucesso pelo firewall. 

318 - Erro conectando ao serviço de quotas 

Algum proxy não conseguiu comunicar-se com o processo responsável pelas 

quotas. Verifique se o fwquotad está executando e/ou reinicie o seu equipamento. 

319 - Erro de parse do corpo SDP 


Mensagem inválida no proxy SIP, os complementos dessa mensagem informam o 

erro específico. 

320 - Finalização de treinamento de mensagem 

Treinamento de mensagem SMTP finalizada com sucesso. O complemento da 

mensagem mostra o tipo classificado e a nota obtida. 

321 - Erro ao conectar no servidor Spam Meter 

Erro ao se comunicar com o processo responsável por treinar mensagens SMTP. 

Verifique suas configurações de Spam Meter e tente novamente. 

322 - Erro ao carregar contextos SMTP 

Não é mais utilizado. 

323 - Erro carregando listas de categorias 

Não foi possível carregar a lista de categorias. Verifique suas configurações de 

analisador de contexto e tente novamente. 

324 - Erro de comunicação com o servidor de quotas 

Erro ao se comunicar com o servidor de quotas. O complemento da mensagem 

mostra detalhes sobre o erro. 

325 -Quota de bytes expirada 

Quota de bytes foi consumida pelo usuário. 

326 -Quota de bytes insuficiente para a operação 

Não existem bytes suficientes para finalizar uma requisição ainda não iniciada. O 

início da transferência não foi permitido. 

327 -Quota de tempo expirada 

Informação sobre uma quota de tempo que foi expirada. 

328 -Resposta para request nunca visto ou já expirado 

O proxy SIP encontrou uma resposta inesperada. 

329 -Interface de rede desconectada 

Interface do heart beat ficou inativa. O complemento é a interface. 

330 -Interface de rede conectada 


Interface do heart beat ficou ativa. O complemento é a interface. 

331 -Rota adicionada 

O Zebrad adicionou uma rota no firewall. 

332 -Rota removida 

O Zebrad removeu uma rota no firewall. 

333 -Erro de comunicação com o servidor de rotas 

Ocorreu um erro de comunicação do firewall com o processo Zebrad. Verifique o 

status do processo e tente novamente. 

334 -Erro de comunicação DCE-RPC 

Ocorreu uma falha irrecuperável durante a conexão do proxy DCE-RPC. Os 

complementos da mensagem mostram detalhes do erro de conexão. 

335 -Servidor DCE-RPC aceito 

Conexão do proxy DCE-RPC foi aceita pelas regras do proxy, o complemento 

mostra os IPs conectados e o a UUID aceita. 

336 -Servidor DCE-RPC bloqueado 

Conexão do proxy DCE-RPC foi rejeitada pelas configurações. O complemento 

mostra os IPs conectados e as UUID rejeitada. 

337 -Erro conectando ao servidor 

O Proxy transparente DCE-RPC não conseguiu se conectar ao servidor. O 

complemento mostra o erro ocorrido. 

338 -Erro na conexão SIP sobre TCP 

Proxy SIP encontrou um erro durante a conexão. O primeiro complemento detalha 

os erros que ocorreram. 

339 -Consumo de quota 

Quota consumida por um usuário. O primeiro complemento é o usuário que 

consumiu, o segundo é o tempo ou bytes consumidos. 

340 -Contabilidade de tráfego HTTP (WWW) 

Evento de contabilização HTTP, utilizado normalmente para a geração de relatórios, 

por padrão vem desabilitado. 


341 -Contabilidade de tráfego HTTP (downloads) 

Evento de contabilização de downloads HTTP, utilizado normalmente para a 

geração de relatórios, por padrão vem desabilitado. 

342 -Contabilidade de tráfego FTP (downloads) 

Dados de download foram enviados através do proxy FTP. 

343 -Contabilidade de tráfego FTP (uploads) 

Dados de uploads foram enviados através do proxy FTP. 

344 -Versão não suportada do Web Content Analyzer 

Não é mais utilizado. 

345 - Pacote de transferência de arquivos não consta na lista de transferência 

ativas 

Um cliente tentou transferir um arquivo, mas os dados relativos à informação de 

transferência de arquivos não foram enviados. Por favor, utilize um cliente 

Messenger válido. 

346 - Erro interno no Proxy messenger 

Erro grave envolvendo o proxy MSN ocorreu, por favor contate o suporte Aker. 

347 - Proxy messenger não pode salvar o arquivo em disco 

Não foi possível salvar o arquivo temporariamente em disco. Verifique se o firewall 

possui espaço em disco suficiente para operar e tente novamente. 

348 - Arquivo infectado foi bloqueado 

Arquivo transferido através do proxy MSN foi analisado e possui vírus. Arquivo 

bloqueado. O complemento dessa mensagem é o nome do arquivo. 

349 - Arquivo não tem vírus 

Arquivo transferido através do proxy MSN foi analisado, não possui vírus e o arquivo 

aceito. O complemento dessa mensagem descreve o nome do arquivo. 

350 - Erro no Antivírus 

O módulo de integração antivírus e proxy MSN apresentou um erro durante a 

comunicação com o servidor de antivírus. Verifique as configurações do servidor, 

regras de filtragem do firewall e tente novamente. O complemento da mensagem 

descreve a etapa de comunicação que falhou. 


351 - Excesso de tentativas inválidas, IP bloqueado 

Por padrão, o firewall bloqueia durante cinco minutos todas tentativas de conexão 

de um determinado IP caso ele possua três tentativas consecutivas inválidas. O 

complemento dessa mensagem é o IP que foi bloqueado. 

352 - Exportação de log realizada com sucesso 

Gerado ao final da exportação de log e nenhum erro foi detectado. O título do 

relatório e o ip da máquina/diretório estão no complemento. 

353 - Exportação de evento realizada com sucesso 

Gerado ao final da exportação de eventos e nenhum erro foi detectado. O título do 

relatório e o ip da máquina/diretório estão no complemento. 

354 - Falha ao conectar no servidor FTP para exportar logs ou eventos 

Não foi possível conectar-se no servidor FTP para exportar logs ou ventos. O título e 

o motivo da falha estão no complemento. 

355 - Falha para copiar log ou evento para pasta local 

Não foi possível copiar os relatórios na máquina local. Verifique a permissão do 

diretório de destino e espaço em disco. O título do relatório está no complemento. 

356 - Erro criando arquivo local para ser exportado 

Não foi possível criar arquivos para exportá-los. Verifique a permissão do diretório 

temporário e o espaço em disco. O título do relatório está no complemento. 

357 - Limite configurado de conexões a partir do endereço IP excedido 

Por padrão, o firewall bloqueia durante cinco minutos todas tentativas de conexão 

de um determinado IP caso ele possua três tentativas consecutivas inválidas. O 

complemento dessa mensagem é o IP que foi bloqueado. 

358 – Versão do MSN Bloqueada para utilização 

Evento informa que uma versão não permitida do cliente MSN foi bloqueada. 

359 – Logando a conversação do MSN Messenger 

Evento loga dados do chat entre os usuários do Proxy MSN. 

360 – Autenticação para conexão PPTP Aceita 

Evento gerado quando uma conexão PPTP foi realizada com sucesso. 


361 - Autenticação para conexão PPTP rejeitada 

Evento gerado quando uma conexão PPTP foi rejeitada por falha no logon. 

362 – Conexão PPTP estabelecida. 

Evento gerado quando uma conexão PPTP foi realizada com sucesso. 

363 - Conexão PPTP encerrada 

Evento gerado quando uma conexão PPTP foi finalizada. 

364 – Excesso de tentativas de logon incorreto 

Evento é gerado quando um usuário através do Aker Client ou Cliente Java erra o 

usuário ou a senha 5 vezes. Seu Ip é bloqueado por 49 minutos. 

40.3. Formato de exportação de logs e eventos 

O formato dos dados exportados segue esta sequência: 

 

Exemplo de um evento gerado pelo Filtro Web: 

URL_ACEITA Usuario/Autenticado, Perfil ip Origem,host 

19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD 

,Suporte Técnico,10.2.0.243,http://189.22.237.40/ 

40.4. Eventos gerados pelo Aker Firewall 

40.4.1. Eventos gerados pelo Filtro Web 

TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO 

DA MENSAGEM, MSG1, MSG2 


ERRO_AUTH_PROXY Usuario/Autenticado ip Origem 

16/01/2010,15:28:51,Info,340, Proxy HTTP, Falha de autenticacao para proxy 

,rodrigo.aranha/AD,source: 10.4.0.186 

NAO_CADASTRADO_PROXY NULL ORIGEM 16/01/2010,15:28:51,Info,340, 

Proxy HTTP, Usuario nao cadastrado para proxy, , source: 10.4.0.186 

HTTP_VIRUS_CLEANED NOME DO VIRUS URL do virus 

20/01/2010,10:43:17,Warning,246,Proxy HTTP,Arquivo com virus 

desinfectado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip 

HTTP_VIRUS_BLOCKED NOME DO VIRUS URL do virus 

20/01/2010,10:43:17,Warning,247,Proxy HTTP,Arquivo com virus 

bloqueado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip 

HTTP_VIRUS_NS_CORRUPT NULL URL do Virus 

20/01/2010,10:43:17,Warning,248,Proxy HTTP,Arquivo nao pode ser 

analisado pois estava corrompido,,http://www.eicar.org/download/eicarcom2.zip 

HTTP_VIRUS_NS_CRYPT NULL URL do Virus 

20/01/2010,10:43:17,Warning,249,Proxy HTTP,Arquivo nao pode ser 

analisado pois estava cifrado,,http://www.eicar.org/download/eicarcom2.zip 

HTTP_DOWNLOAD_ACCOUNTING Usuario/Autenticado - Perfil Origem IP - 

Destino IP e URL 19/01/2010,08:41:05,Info,341, Proxy HTTP,Contabilidade de 

trafego HTTP (downloads),recepcao/AD - 0.102 s,Up 175 B - Dw 285 B URL: 

http://www.google.com/ 

HTTP_WWW_ACCOUNTING Usuario/Autenticado - Perfil Origem IP - 

Destino IP e URL 16/01/2010,15:28:51,Info,340, Proxy HTTP, Contabilidade de 

trafego HTTP (WWW),rodrigo.aranha/AD - 0.933 s,Up 424 B - Dw 562 B URL: 

http://www.google.com/ 


QUOTA_EXPIRED_BYTES Usuario/Autenticado - Perfil Origem IP - 

Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes 

expirado,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 

URL: http://www.google.com 

QUOTA_EXPIRED_TIME Usuario/Autenticado - Perfil Origem IP - Destino IP e 

URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de tempo 

expirada,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 

URL: http://www.google.com 

QUOTA_INSUFFICIENT_BYTES Usuario/Autenticado - Perfil Origem IP - 

Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes 

insuficiente para a operacao,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 

Destino: 74.125.45.86 URL: http://www.google.com 

URL_ACEITA Usuario/Autenticado, Perfil ip Origem,host 

19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD 

,Suporte Técnico,10.2.0.243,http://189.22.237.40/ 

URL_REJEITADA Usuario/Autenticado, Perfil ip Origem,host 

19/01/2010,13:43:34,Notice,097 Proxy HTTP,URL rejeitada,lidia.silva/AD 

,Adminsitrativo,10.0.0.229,http://www.google.com 

URL_BANNER Usuário/Autenticaçao - Perfil Origem: IP Destino: IP URL: 

URL 19/01/2010,08:49:19,Notice,098, Proxy HTTP,Banner 

removido,apoio.administrativo/AD - Adminsitrativo,Origem: 10.0.0.234 Destino: 

64.233.163.149 URL: 

http://ad.doubleclick.net/adi/gna.br/homepage;tile=4;sz=234x100;ord=196681?area 

ERRO_CON_ANALISADOR IP do analizador NULL 

27/01/2010,19:38:24,Error,119, Proxy HTTP,Erro ao conectar com Web 

Content Analyzer,127.0.0.1, 


QUOTA_COMM_ERR quota read: retorno e erro NULL 

19/01/2010,18:42:01,Warning,324,Proxy HTTP,Erro de comunicacao com o 

servico de quotas,quota read: -3 25, 

NAO_LEU_ACL NULL NULL 19/01/2010,18:42:01,Error,64,Proxy HTTP,Erro ao 

carregar perfis de acesso,, 

NAO_LEU_CATLIST Retorno da função e errno NULL 

19/01/2010,18:16:01,Error,323,Erro carregando lista de categorias, -2 34 

QUOTA_INIT_ERR socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN 

Messenger,Erro conectando ao servico de quotas, 7 13, 

ERRO_SERV_AUTH connect (errno) NULL 

20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao comunicar 

com servidor de autenticacao,connect(10), 

v_auth NULL 20/01/2010,11:28:56,Error,109,Proxy MSN 

Messenger,Erro ao comunicar com servidor de autenticacao,v_auth, 

40.4.2. Eventos gerados pelo Proxy MSN 

MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA 

MENSAGEM, MSG1, MSG2 

IP – Profiçao Passaportes Usuario->com quem [Tempo de conversa ]\nNome do 

Usuario\Autenticação 27/01/2010,19:03:34,Info,279, Proxy MSN 

Messenger,Conversacao do MSN Messenger finalizada,IP: 192.168.222.254 - Prof: 

Suporte Técnico,Passports: diogo.falcomer@gmail.com -> 

pablo_viana@hotmail.com [ 00:01:15 ] Username: diogo.falcomer/AD 

IP – Profiçao Passaporte [Tempo de conversa] \nNome do Usuario\Autenticação 

27/01/2010,19:23:24,Info,290, Proxy MSN Messenger,Usuario saiu do MSN 


Messenger,IP: 10.3.0.6 - Prof: Suporte Técnico,Passport: 

edilson.moura@aker.com.br [ 00:07:53 ] Username: edilson.moura/AD 

Cant connect Server : IP 27/01/2010,19:23:30,Warning,350,Proxy MSN 

Messenger,Erro no antivirus,Cant Connect, Server:xxx.xxx.xxx.xxx 

av_auth Unable to auth 27/01/2010,19:23:30,Warning,350,Proxy MSN 

Messenger,Erro no antivirus,av_auth,Unable to auth 

av_greeting_h Can't receive server greeting header 

27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no 

antivirus,av_greeting_h,Can't receive server greeting headert 

av_greeting_b Can't receive server greeting body 


antivirus,av_greeting_b,Can't receive server greeting body 

av_send_file Can't send file to AV 27/01/2010,19:23:30,Warning,350,Proxy 

MSN Messenger,Erro no antivirus,av_send_file,Can't send file to AV 

av_get_answer Can't get answer from AV 


antivirus,av_get_answer, Can't get answer from AV 

av_get_answer Error on answer received 

27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus, 

Error on answer received 

IP: - TimeOut: Passaporte: \nNome do Usuario\Autenticação 

27/01/2010,18:18:30,Notice,286, Proxy MSN Messenger,Conexao encerrada 

por timeout,IP: 10.2.0.217 - Timeout: 600 s,Passport: edilson.moura@aker.com.br 

Username: edilson.moura/AD 

sendto Error: inteiro Errno: inteiro 20/01/2010,12:38:49,Warning,109, Proxy 

MSN Messenger,Erro ao comunicar com servidor de autenticacao,sendto,error: -3 

errno: 11 

find Prof: nome da profiçao 20/01/2010,12:38:49,Warning,109, Proxy MSN 

Messenger,Erro ao comunicar com servidor de autenticacao,find,Suporte Técnico 


IP – Profiçao Passaporte: \nNome do Usuario\Autenticação 

20/01/2010,12:36:44,Info,289,Proxy MSN Messenger,Usuario entrou no MSN 

Messenger,IP: 10.0.0.232 - Prof: Adminsitrativo,Passport: 

diego.fernandes@aker.com.br Username: recepcao/AD 

From Cliente ou Servidor , Ret: erro Mensagem 

15/01/2010,17:39:57,Error,287,Proxy MSN Messenger,Erro analisando a 

mensagem,from server, ret = -43,MSG madanovavida2009@hotmail.com 

[i][b]Mada..."HOJE%20tudo%20SERÃÂ%20para%20SEMPRE..."[/b][/i] 

248^M 

File infected FILENAME 20/01/2010,12:36:44,Warning,348,Proxy 

Messenger,Arquivo infectado foi bloqueado,File Infected,trojan.exe 

MSN 

File clean FILENAME 20/01/2010,16:16:58,Info,349,Proxy MSN 

Messenger,Arquivo nao tem virus,File clean,chines.TXT 

session id: SESSION ID 25/01/2010,19:34:35,Warning,345,Proxy MSN 

Messenger,Pacote de transferencia de arquivo nao consta na lista de transferencias 

ativas,session id:,2628610983 

nome da função Empty File! Sess_d: ID 20/01/2010,16:16:59,Error,346,Proxy 

MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Empty 

file! Sess_id: 26192345 

nome da função Out of order packet! Current: pkg, Expected: pkg 

20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy 

messenger,msn_get_msnp2p_data,Out of order packet! Current:current_pkg 

Expected: Expected_ 

nome da função "Error on fork! Numero da Linha 

20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy 

messenger,msn_get_msnp2p_data,Error on fork! Line: 2736 


unable to write on disk! errno: INTEIRO 20/01/2010,16:16:59,Error,347,Proxy 

MSN Messenger,Proxy messenger nao pode salvar o arquivo em disco,unable to 

write on disk, errno: 34 

Nome do arquivo (tamanho) – Prof: profissao. Passaportes Usuario->com quem 

\nNome do Usuario\Autenticação 20/01/2010,11:43:39,Info,282,Proxy MSN 

Messenger,Convite para transferencia de arquivo via MSN Messenger 

permitido,'messages_20jan10.RAR' (87976 bytes) - Prof: Suporte Té,Passports: 

victor.aker@hotmail.com -> thiago.divino@gmail.com Username: victor.rossi/AD 

Nome do arquivo (tamanho) – Prof: profissao. Passaportes Usuario->com quem 

\nNome do Usuario\Autenticação 20/01/2010,15:45:42,Notice,283,Proxy MSN 

Messenger,Transferencia de arquivo via MSN Messenger bloqueada,'VPNs.DOC' 

(569856 bytes) - Prof: Suporte Técnico,Passports: edilson.moura@aker.com.br -> 

lucas.pereira@aker.com.br Username: edilson.moura/AD 

id de um serviço do msn – Prof: Profição Passaportes Usuario->com quem 

\nNome do Usuario\Autenticação 20/01/2010,15:45:42,Info,283,Convite para uso de 

aplicativo via MSN Messenger permitido,transferencia de arquivo - Prof: Suporte 

Técnico,Passports: edilson.moura@aker.com.br -> lucas.pereira@aker.com.br 

Username: edilson.moura/AD 

id de um serviço do msn – Prof: Profição Passaportes Usuario->com quem 

\nNome do Usuario\Autenticação 20/01/2010,15:45:42,Notice,284,Uso de aplicativo 

via MSN Messenger nao permitido, jogo - Prof: Suporte Técnico,Passports: 

edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username: 

edilson.moura/ADse 

IP – Profiçao Passaportes Usuario->com quem \nNome do Usuario\Autenticação 

20/01/2010,11:28:56,Notice,278,Proxy MSN Messenger,Conversacao do 

MSN Messenger bloqueada,IP: 10.0.0.234 - Prof: Adminsitrativo,Passports: 

josimar_hip@yahoo.com -> recepcao@aker.com.br Username: 

apoio.administrativo/AD 


IP – Profiçao Passaportes Usuario->com quem \nNome do Usuario\Autenticação 

20/01/2010,11:27:44,Info,277,Proxy MSN Messenger,Conversacao do MSN 

Messenger iniciada,IP: 10.2.0.204 - Prof: Suporte Técnico,Passports: 

victor.aker@hotmail.com -> vlandemir@msn.com Username: victor.rossi/AD 

IP – Profiçao Passaporte do Usuario \nNome do Usuario\Autenticação 

20/01/2010,11:27:44,Notice,291,Proxy MSN Messenger,Usuario sem 

permissao tentou entrar no MSN Messenger,10.4.0.19 – Prof: Estagiário, 

bruno.lobo@aker.com.br bruno.lobo/AD 

IP – Profiçao Passaporte do Usuario \nNome do Usuario\Autenticação 

20/01/2010,11:27:44,Notice,281,Proxy MSN Messenger,Notificacao do 

Hotmail bloqueada,10.4.0.19 – Prof: Estagiário, bruno.lobo@aker.com.br 

bruno.lobo/AD 

NULL IP do servidor : porta do servidor 19/01/2010,18:42:01,Warning,288,Proxy 

MSN Messenger,Servidor MSN Messenger nao responde, ,65.54.52.254:1863 

clfwquota_test_and_consume(): retorno e erro NULL 

19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro de 

comunicacao com o servico de quotas,clfwquota_test_and_consume(): -3 25, 

clfwquota_read(): NULL 19/01/2010,18:42:01,Warning,324,Proxy MSN 

Messenger,Erro de comunicacao com o servico de quotas,clfwquota_read(): -3 25, 

NULL NULL 20/01/2010,11:28:56,Notice,314,Proxy MSN Messenger,Quota de 

bytes expirada,, 

NULL NULL 20/01/2010,11:28:56,Notice,316,Proxy MSN Messenger,Quota de 

tempo expirada,, 

socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN Messenger,Erro 

conectando ao servico de quotas, 7 13, 


40.4.3. Eventos gerados pelo Proxy POP3 

TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO 

DA MENSAGEM, MSG1, MSG2 

POP3_SRV_RCV Sourec (IP) -> Destino(IP:Porta) CMD: 

recv 

27/01/2010,19:23:30,Warning,226,Proxy POP3,Erro recebendo dados do 

servidor POP3,10.4.0.19 -> 10.4.0.186:1080,CMD: recv 

CMD: fcntl 

POP3_LINE_TOO_LONG Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo 

cliente de POP3 

POP3_CLI_RCV 

Sourec (IP) -> Destino(IP:Porta) CMD: fcntl 

CMD: recv 

POP3_CLI_SND 

Sourec (IP) -> Destino(IP:Porta) NULL 

POP3_SRV_SND Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo cliente de 

POP3 

POP3_SRV_INVALID_ANSWER Sourec (IP) -> Destino(IP:Porta) Texto 

pelo cliente de POP3 

digitado 

POP3_SRV_CONNECT Sourec (IP) -> Destino(IP:Porta) NULL 

POP3_SRV_NOT_AVAIL Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo 



POP3_INVALID_CMD Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo 


POP3_OPEN_FILE Sourec (IP) -> Destino(IP:Porta) (erro) nome do arquivo 

POP3_WRITE_FILE 

Sourec (IP) -> Destino(IP:Porta) nome do arquivo 

POP3_OUT_OF_SPACE Sourec (IP) -> Destino(IP:Porta) nome do arquivo 

POP3_MIME_ERROR 

Sourec (IP) -> Destino(IP:Porta) errno 

POP3_STLS_MODE 

Sourec (IP) -> Destino(IP:Porta) NULL 

40.4.4. Eventos gerados pelo Proxy SMTP 

MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA 


Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL 

27/01/2010,19:23:30,Warning,226,Proxy SMTP,Mensagem SMTP 

aceita,Mensagem enviada,Source 10.4.0.19 – Destination: 10.4.0.18\nFrom bruno.l 

bruno.lobo2@aker.com.brobo@aker.com.br - To: 


Source: IP – Destination:IP 


Source: IP – Destination:IP 


Source: IP - Destination:IP 











Regra: Nome da regra 

Regra: Nome da regra 



Source: IP – Destination:IP- Size: Tamanho\nFrom: EMAIL – To: EMAIL 

Source: IP – Destination:IP- Size: Tamanho\nFrom: EMAIL – To: EMAIL 

40.4.5. Eventos gerados pelo Módulo de IDS/IPS e filtro de aplicativos 

MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA 


op = INT, errno = INT NULL 27/01/2010,19:23:30,Warning,Analise profunda e 

IDS interno,Erro ao enviar dados para o kernel do Firewall,op = 1, errno = 34, 

“IDS rule” 

NULL 

“Commit” 

st: INT num: INT errno: INT 

origem:IP ORIGEM, temp: EM HORA “Modulo de IDS/IPS”\nRaso(STRING) 

origem:IP ORIGEM, temp: EM HORA “Modulo de filtragem de 

aplicativos”\nRaso(STRING) 

Pipe Name(STRING), PESO(STRING) (IP:PORTA) -> (IP:PORTA) 

(IP:PORTA) -> (IP:PORTA) 

NULL 

Retorno da função(INT), ERRNO(INT) NULL 

NULL (INT) Pacotes perdidos em (INT) segundos 


NULL (INT)TAMANHO DO PACOTE < (INT) TAMANHO DO PACOTE IP 

NULL NULL 

Err: Retorno(INT) Errno(INT) 

NULL 

Aonde ocorreu o erro(STRING) Motivo (STRING) 

Aonde ocorreu o erro(STRING) Motivo (STRING) 

“Filters applied successfully” 

NULL 

"avisando" 

NULL 

“not start slave” 

NULL 

“Download started (master)” 

NULL 

"Filters applied successfully (slave)" 

NULL 

Nome do arquivo (STRING) 

“updates" 

“updates" 

sk: (INT), st: (INT), err: (INT), errno: (INT)" 

“errno: ” (INT) 

NULL 

"expiration" sk: (INT), st: (INT), err: (INT), errno: (INT)" 



Regras do perfil: Nome(STRING) 

Err: Retorno(INT) 

NULL Motivo (STRING) 


40.4.6. Eventos gerados pelo Aker Antivirus Module 

Tipo de mensagem Complemento 1 Complemento 2 

Information 

License expiration date updated successfully NULL 

02/04/2010,17:24:03,Informação do Antivírus,License expiration date updated 

successfully, 

Engine successfully loaded Engine(PANDA OU AVG) 

02/04/2010,17:24:03,Informação do Antivírus,Engine successfully 

loaded,AVG 

Update installed successfully Nome do arquivo 

02/04/2010,17:24:03,Informação do Antivírus,Update installed 

successfully,update.tar 

License applied successfully NULL 

02/04/2010,17:24:03,Informação do Antivírus,License applied successfully, 

Configuration applied NULL 02/04/2010,17:24:03,Informação do 

Antivírus,Configuration,applied 

Patch/hotfix applied successfully Hora de aplicação 

02/04/2010,17:24:03,Informação do Antivírus,Patch/hotfix applied 

successfully,Wed Feb 3 14:24:04 2010 

Patch/hotfix rollback applied successfully Hora de aplicação 

02/04/2010,17:24:03,Informação do Antivírus,Patch/hotfix rollback applied 

successfully,Wed Feb 3 14:24:04 2010 

User authenticated PID do processo que esta logando 

02/04/2010,17:24:03,Informação do Antivírus,User authenticated,1964 


Signatures database backup loaded NULL 

02/04/2010,17:24:03,Informação do Antivírus,Signatures database backup 

loaded, 

Manual update started Hora de aplicação 

02/04/2010,17:24:03,Informação do Antivírus,Manual update started,Wed Feb 

3 14:24:04 2010 

Signatures database already updated Hora de aplicação 

02/04/2010,17:24:03,Informação do Antivírus,Signatures database already 

updated,Wed Feb 3 14:24:04 2010 

Automatic update started Hora de aplicação 

02/04/2010,17:24:03,Informação do Antivírus,Automatic update started,Wed 

Feb 3 14:24:04 2010 

Update file downloaded successfully Download file Name(STRING) 

02/04/2010,17:24:03,Informação do Antivírus,Update file downloaded 

successfully,Download.tar.bz2 

Notice 

License not found NULL 02/03/2010,15:34:19,Aviso importante do 

Antivírus,License not found, 

File is corrupted PID do processo que esta logando 

02/03/2010,15:34:19,Aviso importante do Antivírus,File is corrupted,123456 

File is encrypted PID do processo que esta logando 

02/03/2010,15:34:19,Aviso importante do Antivírus,File is encrypted,123456 

Virus found Nome do virus(STRING) PID do processo que esta logando 

02/03/2010,15:34:19,Aviso importante do Antivírus,Virus found,virus.txt 

123465 

Configuration file not found, default loaded NULL 

02/03/2010,15:34:19,Aviso importante do Antivírus,Configuration file not 

found, default loaded, 

Update already in progress NULL 02/03/2010,15:34:19,Aviso 

importante do Antivírus,Update already in progress, 

Update canceled NULL 02/03/2010,15:34:19,Aviso importante do 

Antivírus,Update canceled, 


Error 

Scan error PID do processo que esta logando 

02/03/2010,15:34:19,O Antivírus encontrou um erro,Scan error,123465 

Error changing license expiration date NULL 02/03/2010,15:34:19,O 

Antivírus encontrou um erro,Error changing license expiration date, 

No engine loaded NULL 

um erro,No engine loaded, 

02/03/2010,15:34:19,O Antivírus encontrou 

Error applying license NULL 02/03/2010,15:34:19,O Antivírus 

encontrou um erro,Error applying license, 

Connection lost with daemon “Engined” 02/03/2010,15:34:19,O 

Antivírus encontrou um erro,Connection lost with daemon,Engined 

Connection lost with daemon “Service” 02/03/2010,15:34:19,O 

Antivírus encontrou um erro,Connection lost with daemon, Service 

Warning 

Error loading engine Engine(PANDA OU AVG) 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error loading 

engine,Panda 

Error installing update Nome do arquivo 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error installing 

update,update.db 

Error applying configuration NULL 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error applying 

configuration, 

Error applying patch/hotfix Hora de aplicação 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error applying 

patch/hotfix,Wed Feb 3 14:24:04 2010 

Error trying patch/hotfix rollback Hora de aplicação 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error trying 

patch/hotfix rollback,Wed Feb 3 14:24:04 2010 


Error getting system information NULL 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error getting system 

information, 

Error getting patch/hotfix history NULL 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error getting 

patch/hotfix history, 

Error authenticating user PID do processo que esta logando 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error authenticating 

user,123456 

Signatures database corrupted NULL 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Signatures database 

corrupted, 

Error loading signatures database backup NULL 


signatures database backup, 

Error communicating with client IP 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error communicating 

with client,10.4.0.19 

Error loading signatures database backup NULL 


signatures database backup, 

Update not allowed: Invalid license NULL 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update not allowed: 

Invalid license, 

Update error: error writing to disk NULL 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error: error 

writing to disk, 

Update error: memory allocation error NULL 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error: memory 

allocation error, 

Update file download failed Host do download 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update file 

download,failedavg.download.atualizacao/atualizacao.atz 

Update error: no file downloaded NULL 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error: no file 

downloaded, 


Update error: corrupted file Download file Name(STRING) 

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error: 

corrupted file,FileCorrupt.tar 

40.4.7. Eventos gerados pelo Aker Web Content Analizer 

Mensagem Complemento Date, Time, Tipo do evento, Message, 

Complement 

nome da categoria URLs database replacement failed 

02/05/2010,20:03:49,Informação do Web Content Analyzer,Informática URL 

Category found,http://www1.aker.com.br/sites/icones/sis-pixel1.gif 

upload: errno 

be sent 

upload: errno 

upload: errno 

upload: errno 

sent 

Error when mapping the compressed file containing the urls to 

Error when mapping the undefined urls files 

Error when opening the undefined urls files 

Error when opening the compressed file containing the urls to be 

NULL Error when opening the undefined urls files 

NULL Error when saving the file containing the urls to be uploaded 

NULL Error when compressing file to upload 

NULL There is no urls to be sent 

Urls: NUMERO DE URLS URLs successfully uploaded to Aker 

upload: errno 

Socket creation error 

NULL Server returned error message after uploading 

Communication error 

Error when sending message to daemon 

(INT) Socket creation error 

erro(INT) 

CF: erro 

Error when reopening the undefined urls files 



Upload: (URL do servidor de download) NULL 

URL do servidor de Proxy NULL 

IP 

NULL 

Upload: (URL do servidor de download) Invalid URL 

URL do servidor de download 

Invalid URL 

FileName 

File not avaialable for download 

AKER header: Size File not avaialable for download 

no 'Content-length' nor 'chunked' nor 'close' 


cat_list.xml - no 'Last-Modified' 

Header do arquivo(STRING) 



FileName 

Error while opening update file 

makeindex Error while opening update file 

recv==0 header 

Error while downloading URLs update file 

FileName 


AKER header chuncked: ChunckedData 

file 

comp_regs_len chuncked ChunckedData 

file 

Error while downloading URLs update 

Error while downloading URLs update 

uncompress buffer Error while downloading URLs update file 

Md5 buffer 


regs num: numero de regras 


No modified file of categories signature found! NULL 

Error code retuned from web server is not 200(OK)! NULL 

Nome do arquivo 

Error while writing URLs update file" 

Erro de comunicacao com processo pai Data send error 


decompress_file: erro 

URLs database replacement failed 

Erro de comunicacao com processo pai URLs database replacement failed 

mmap: erro URLs database replacement failed 

“decompress_buffer: NULL” 

URLs database replacement failed 

DATA CORRENTE Updating daily URLs databasepdating daily URLs database 

CreateFile: erro 


Erro de comunicacao com processo pai NULL 

FileName 

Invalid URL update file 

“Replication of undefined URL failed erro = errno” 

NULL 

/usr/local/akerurl/db/base.udx 

URLs database corrupt 

"cluster_read_st = AKERURL_REPL_URL_BASE" NULL 

Erro ao replicar URL indefinida NULL 

cluster_read_st = AKERURL_REPL_UNDEFS_URLS 

NULL 

URLs file replication failed 

URLs file replication failed (time index snd=erro) 

NULL 

URLs file replication failed (commit_st index = erro) NULL 

URLs file replication failed (send_file index = erro) 

NULL 

NULL URLs database replacement failed 

Fazendo o merge ou replace da base NULL 

nome do arquivo 

Error while opening update file 



Error while creating URLs update file 

Error while writing URLs update file 

NULL URls database replacement successfull 

x URLs Inseridas, x URLs, removidas, x URLs modificadas URls 

replacement successfull 

database 

FileName 

Error while reading URLs update file 

Erro de parser no arquivo xml de configuracao /usr/local/akerurl/aker_users.cfg 


Erro de parser no arquivo xml de configuracao nome do arquivo 

Erro de parser no arquivo xml de configuracao file = Nome do arquivo - lang = Idioma 

empacota_user_cat_list fail 

NULL 

xmlNewDoc fail 

NULL 

Categories list was successfully updated! 

NULL 

Erro ao replicar o time index da base 

NULL 


(URL do servidor de Proxy) connect: errno 

NULL 

(URL do servidor de Proxy) send: errno NULL 


(URL do servidor de Proxy) connect: errno 

(URL do servidor de Proxy) send: errno 

NULL 

NULL 

Upload 

NULL 

NULL NULL 

Header len: NULL 

Ip 

NULL 

Upload 

Data receive error 

Header len: Data receive error 

select: erro Data receive error 

pkt: errno 

Data receive error 

Ip 

Firewall closed the connection 


NULL Error while opening categories list 

envia_pacote: errno 

Data send error 

sendto client: erro Data send error 

NULL NULL 

FileMapping: erro(INT) 

MappingView: erro(INT) 

NULL 

NULL 

decompress_buffer: NULL NULL 

Ip 

NULL 

NULL URL 

NULL Activation key not found 

NULL Activation key expired. It will be no longer possible to update database. 

NULL Update license expired. It will be no longer possible to update database. 

lic_resp.erro = errno 

NULL 

Activation key will expire in few days 

Update key will expire in few days 

X remaining days 

X remaining days 

Ip 

NULL 

NULL NULL 

40.4.8. Eventos gerados pelo Aker Spam Meter 


Mensagem Texto da Mensagem Complemento DATA, HORA, TIPO, 

COMPLEMENTO, TEXTO DA MENSAGEM 

LOG_BAYES_RECALC_START Iniciando recalculo de base NOME DA BASE 

02/06/2010,02:12:12 AM,Informação do Spam Mete,Base do 

sistema,Iniciando recÃ¡lculo da base (Inactive Node) 

LOG_BAYES_AUTH_ERR 

Erro de autenticacao 

Header 

Data 

LOG_BAYES_SEND_ERR Erro ao enviar dados NULL 

LOG_BAYES_RECV_ERR Erro ao receber dados NULL 

LOG_BAYES_NEW_CONNECTION Nova conexao recebida NULL 

LOG_BAYES_TIMEOUT Timeout na conexao 

NULL 

LOG_BAYES_INVALID_DATA Dados invalidos recebidos 

Packet Size 

Invalid Greeting Operation OP 

Greeting Size 

Context Number 

New classification data length 

New classification base name 

Message end length 

New training data length 


New training base name 

ID training data length 

ID training base name 

Database recalculation data length 

Database recalculation base name 

Database deletion base name 

LOG_BAYES_CONNECTION_OK 

Conexao autenticada OK 

Connection at port PORTA 

Connection protocl PROTOCOLO 

LOG_BAYES_MEM_ERR Erro de alocacao de memoria 

New context 

NULL 

Message list 

Adding recalculation - Base NOME_DA_BASE 

LOG_BAYES_ENGINE_ERR 

Erro retornado pelo engine 

Erasing system database – ERRO 

Changing database cache timeout – ERRO 


Erasing database DATABASE NAME – ERRO 

New context - ERRO 

Classification new – training into the system database is not allowed 

Classification new - ERRO: NOME DA BASE" 

Op: OPERAÇÂO – ERRO 


Classification end – ERRO 

Training new – ERRO 

Training end – ERRO 

ID training – ERRO 

Base delete – ERRO 


Getting system update time – ERRO 

Database merging – ERRO 

Getting system update time – ERRO 

LOG_BAYES_CONN_REFUSED Conexao recusada ao cliente Op 

OPERATION - State ESTADO 

LOG_BAYES_INVALID_STATE Estado invalido Op OPERATION - State 

ESTADO 

LOG_BAYES_INVALID_OP Operacao invalida Operation code OP_CODE 

unrecognized 

LOG_BAYES_CREATE_FILE_ERR 

ERRNO 

HAM and SPAM info file - Error 

HAM index file – Error ERRNO 

SPAM index file - Error ERRNO 

Users trainings file – Error ERRNO 

Temporary download file - Error ERRNO 

LOG_BAYES_DOWNLOAD_ERR Erro ao baixar nova base Error converting 

proxy data to base64 


Error receiving header 

Bad header error 

Write file error 

Invalid data size error 

Uncompress error – ERRNO 

Bad hash error 

ERRNO 

Server replied HTTP status code ERRNO 

LOG_BAYES_PROXY_AUTH_ERR Erro ao autenticar no proxy Error 

converting proxy data to base64 

NOME DO PROXY 

LOG_BAYES_DOWNLOAD_START Iniciando download da base Base of 

DATA 

Complete base 

LOG_BAYES_DOWNLOAD_SUCCESSFULL Download completado OK 

NULL 

LOG_BAYES_RECALC_OK Recalculo completo OK NOME DA BASE 

Base: NOME DA BASE - %ERRNO 

LOG_BAYES_RECALC_ERR Erro ao recalcular base Base: NOME DA BASE - 

%ERRNO 


LOG_BAYES_UPLOAD_START iniciando upload da base NULL 

LOG_BAYES_UPLOAD_SUCCESSFULL upload completado OK NULL 

LOG_BAYES_UPLOAD_ERR Erro ao enviar base Error resolving host 

END_PROXY 

Error creating connection socket 

Error ERRNO when opening update file FILENAME 

Erro converting string containing an Ipv4 into a proper address 

Error converting proxy data to base64 

Error %1 while connecting to proxy 

Error while sending HTTP request to proxy 

Error while sending HTTP request to server 

Error when reading header from file FILENAME 

Error while sending header to proxy 

Error while sending header to server 

Disk error when reading training file FILENAME 

Compress error – ERRNO 

Error sending compressed registers to proxy 

Error sending compressed registers to server 

Error sending trailer to proxy 

Error sending trailer to server 

Error receiving response header 

Transference was cancelled 

Proxy authentication required 

Server replied an error message 

Error opening Index Database 


Error opening Index Database 

Users trainings file - Error ERRNO 

Empty Index Database 

Corrupted Index Database 

LOG_BAYES_LICENSE_EXPIRED Licenca expirou License expired DATA 

LOG_BAYES_ACCUMULATE_ERR erro ao acumular base NULL 

LOG_BAYES_PATCH_ERR 

Error validating the patch: ERRNO 

Error getting id in patch:- ERRNO 

Error getting history dir:- ERRNO 

Error applying the patch:- ERRNO 

Error getting history dir for get patch history:- ERRNO 

Error getting patch history:- ERRNO 

Error getting id for System info:- ERRNO 

Error getting history dir for System info:- ERRNO 

Error packing Cluster info:- ERRNO 

LOG_BAYES_PATCH_SUCCESSFULL aplicacao do patch ok NULL 

LOG_BAYES_BASE_BACKUP_ERR erro ao tentar fazer backup de bases de 

treinamentos de usuarios receiving database list 

generating backup file 

Opening File 

Reading File 


error mapping file 

LOG_BAYES_BASE_BACKUP_SUCCESSFULL 

usuario completado com sucesso NULL 

backup de treinamentos de 

LOG_BAYES_BASE_RESTORE_ERR erro ao tentar restaurar backup das bases 

de treinamentos dos usuarios opening file 

temporary file is closed 

writing restore data 

error mapping file 

transfer error 

local user ID is different from the restore file ID 

transfer error 

unpacking data 

LOG_BAYES_BASE_RESTORE_SUCCESSFULL restauracao do backup das 

bases de treinamentos dos usuarios completado com sucesso NULL 

LOG_BAYES_MSG_CLASSIFY_SUCCESSFUL sucesso na classificacao de 

uma mensagem da interface Score: SCORE Id: ID 

Score: SCORE Base: NOME DA BASE 

Delta: (DELTA, DELTA_INTERNO) 

Cache rate: RATE 

LOG_BAYES_LOG_CONFIG_ERROR erro no processo de configuracao do 

servidor de log Error starting communication with Aker Log Server 

Error releasing log configuration 


LOG_BAYES_SMALL_CACHE performance degradada por cache ser muito 

pequeno Erasing system database 

Database listing 

Erasing database DATABASE NAME 

Classification new 

Training new 

ID training 

Base delete 

Erasing system database 

Recalc base – BASENAME 

Getting system update time 

Merging system base 

Getting system update time 

Gerenate probability base – BASENAME 

LOG_BAYES_MSG_TRAIN_SUCCESSFULL sucesso na classificacao de uma 

mensagem da interface Trained as TIPO - Base: BASENAME 

LOG_BAYES_CONNECTION_CLOSED 

conexao fechada MOTIVO 

LOG_BAYES_HOST_DL_ERR 

erro no download do arquivo de hosts 

ERRO 

Error creating file 

Error requesting data: ERRO 

Host list is empty 

Error packing data 

download already in progress 


LOG_BAYES_WRITE_FILE_ERR Erro ao escrever em arquivo File 

FILENAME – Error ERRNO 

LOG_BAYES_HOST_DL_START iniciando download do arquivo de hosts 

NULL 02/02/2010,11:24:14,Informação do Spam Meter,,Iniciando download 

da lista de hosts (Active Node) 

LOG_BAYES_HOST_DL_SUCCESSFULL download do arquivo de hosts 

finalizado NULL 02/02/2010,11:24:14,Informação do Spam Meter,,Download da 

lista de hosts realizado com sucesso (Active Node) 

LOG_BAYES_BASE_DELETED base apagada BayesLog System database 

LOG_BAYES_DOWNLOAD_INFO informacao sobre download Invalid 

License 

Download already in progress 

Database already updated 

LOG_BAYES_ROLLBACK_ERR erro ao aplicar o rollback de um patch Error 

getting rollback info – ERRNO 

Error getting history dir for rollback – ERRNO 

Error rollbacking patch – ERRNO 

LOG_BAYES_ROLLBACK_SUCCESSFULL 

NULL 

aplicacao do rollback de um patch ok 


Apêndice B - Copyrights e 

Disclaimers 


41. Apêndice B - Copyrights e Disclaimers 

Neste apêndice estão listados os disclaimers das bibliotecas e códigos fontes de 

terceiros utilizadas no Aker Firewall. Estes disclaimers se aplicam apenas às partes 

explicitamente citadas e não ao Aker Firewall como um todo. Eles estão citados aqui 

devido a exigências das entidades desenvolvedoras: 

Biblioteca DES 

Copyright (C) 1995 Eric Young (eay@mincom.oz.au) 

All rights reserved. 

This library and applications are 

FREE FOR COMMERCIAL AND NON-COMMERCIAL USE 

as long as the following conditions are aheared to. 

Copyright remains Eric Young's, and as such any Copyright notices in 

the code are not to be removed. If this code is used in a product, 

Eric Young should be given attribution as the author of the parts used. 

This can be in the form of a textual message at program startup or 

in documentation (online or textual) provided with the package. 

Redistribution and use in source and binary forms, with or without 

modification, are permitted provided that the following conditions 

are met: 

1. Redistributions of source code must retain the copyright 

notice, this list of conditions and the following disclaimer. 

2. Redistributions in binary form must reproduce the above copyright 

notice, this list of conditions and the following disclaimer in the 

documentation and/or other materials provided with the distribution. 

3. All advertising materials mentioning features or use of this software 

must display the following acknowledgement: 

This product includes software developed by Eric Young (eay@mincom.oz.au) 

THIS SOFTWARE IS PROVIDED BY ERIC YOUNG `ÀS IS'' AND ANY EXPRESS 

OR 

IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED 

WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 

PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR 

CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, 

SPECIAL, 

EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED 

TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, 

DATA, 

OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON 

ANY 

THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT 

(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF 


THE 

USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH 

DAMAGE. 

The licence and distribution terms for any publically available version or 

derivative of this code cannot be changed. i.e. this code cannot simply be 

copied and put under another distribution licence 

[including the GNU Public Licence.] 

Biblioteca de criptografia libcrypto 

Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com) 

All rights reserved. 

This package is an SSL implementation written 

by Eric Young (eay@cryptsoft.com). 

The implementation was written so as to conform with Netscapes SSL. 

This library is free for commercial and non-commercial use as long as 

the following conditions are aheared to. The following conditions 

apply to all code found in this distribution, be it the RC4, RSA, 

lhash, DES, etc., code; not just the SSL code. The SSL documentation 

included with this distribution is covered by the same copyright terms 

except that the holder is Tim Hudson (tjh@cryptsoft.com). 

Copyright remains Eric Young's, and as such any Copyright notices in 

the code are not to be removed. 

If this package is used in a product, Eric Young should be given attribution 

as the author of the parts of the library used. 

This can be in the form of a textual message at program startup or 

in documentation (online or textual) provided with the package. 


modification, are permitted provided that the following conditions 

are met: 

1. Redistributions of source code must retain the copyright 

notice, this list of conditions and the following disclaimer. 

2. Redistributions in binary form must reproduce the above copyright 

notice, this list of conditions and the following disclaimer in the 

documentation and/or other materials provided with the distribution. 

3. All advertising materials mentioning features or use of this software 

must display the following acknowledgement: 

"This product includes cryptographic software written by 

Eric Young (eay@cryptsoft.com)" 

The word 'cryptographic' can be left out if the rouines from the library 

being used are not cryptographic related :-). 

4. If you include any Windows specific code (or a derivative thereof) from 

the apps directory (application code) you must include an acknowledgement: 

"This product includes software written by Tim Hudson (tjh@cryptsoft.com)" 


THIS SOFTWARE IS PROVIDED BY ERIC YOUNG `ÀS IS'' AND 

ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, 

THE 

IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A 

PARTICULAR PURPOSE 

ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE 

LIABLE 

FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR 

CONSEQUENTIAL 

DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF 

SUBSTITUTE GOODS 

OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS 

INTERRUPTION) 

HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN 

CONTRACT, STRICT 

LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN 

ANY WAY 

OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE 

POSSIBILITY OF 

SUCH DAMAGE. 

The licence and distribution terms for any publically available version or 

derivative of this code cannot be changed. i.e. this code cannot simply be 

copied and put under another distribution licence 

[including the GNU Public Licence.] 

Biblioteca SNMP 

Copyright 1997 by Carnegie Mellon University 

All Rights Reserved 

Permission to use, copy, modify, and distribute this software and its 

documentation for any purpose and without fee is hereby granted, 

provided that the above copyright notice appear in all copies and that 

both that copyright notice and this permission notice appear in 

supporting documentation, and that the name of CMU not be 

used in advertising or publicity pertaining to distribution of the 

software without specific, written prior permission. 

CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE, 

INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, 

IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR 

CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING 

FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF 

CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF 

OR IN 

CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE. 


Códigos do FreeBSD 

Copyright (c) 1982, 1986, 1993 

The Regents of the University of California. All rights reserved. 


modification, are permitted provided that the following conditions are met: 

1. Redistributions of source code must retain the above copyright notice, this list of 

conditions 

and the following disclaimer. 

2. Redistributions in binary form must reproduce the above copyright notice, this list 

of conditions 

and the following disclaimer in the documentation and/or other materials provided 

with the 

distribution. 

3. All advertising materials mentioning features or use of this software must display 

the following 

acknowledgement: This product includes software developed by the University of 

California, Berkeley and its contributors. 

4. Neither the name of the University nor the names of its contributors may be used 

to endorse or 

promote products derived from this software without specific prior written permission. 

THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS `ÀS 

IS'' 

AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT 

LIMITED 

TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A 

PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE 

REGENTS OR 

CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, 

SPECIAL, 

EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED 

TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, 

DATA, 

OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON 

ANY 

THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT 

(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF 

THE 

USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH 

DAMAGE. 

Algoritmo MD5 

Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved. 

License to copy and use this software is granted provided that it is identified as the 

"RSA Data 


Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or 

referencing this 

software or this function. 

License is also granted to make and use derivative works provided that such works 

are identified 

as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all 

material 

mentioning or referencing the derived work. 

RSA Data Security, Inc. makes no representations concerning either the 

merchantability of this 

software or the suitability of this software for any particular purpose. It is provided "as 

is" without 

express or implied warranty of any kind. 

These notices must be retained in any copies of any part of this documentation 

and/or software. 

Agente SNMP 

Copyright (c) 1996,1997 Wes Hardaker and the University of California at Davis 

COPYRIGHT 

Many portions of the code in this package were distributed by Carnegie Mellon 

University. 

All other code and changes to the original code written by Wes Hardaker at the 

University of 

California at Davis is copyrighted under the following copyright: 

Permission is granted to use, copy, modify and distribute this software and 

documentation. This 

software is distributed freely and usage of it is not subject to fees of any kind. It may 

be included in 

a software compact disk set provided that the author is contacted and made aware 

of its 

distribution. 

Biblioteca de números extendidos LInteger 

LInteger Version 0.2 Source Code and Documentation 

Copyright (C) 1996 by Leonard Janke 

This source code and documentation may be used without charge for both 

commercial and non-commercial use. Modification of the source code or 

documentation is allowed provided any derivate work is clearly indentified as such 

and all copyright notices are retained unmodified. Redistribution of the source code 


or documentation is unlimited, except by the limits already mentioned, provided that 

the redistribution is not for profit. Those wishing to redistribute this source code or 

documentation or any work derived from either for profit must contact Leonard Janke 

(janke@unixg.ubc.ca) to work out an acceptable arrangement. 

Anyone who wishes to distribute a program statically linked against the functions 

provided may do so providing that he or she includes a copy of this note with the 

program. 

Distribution of libraries compiled from this source code is unlimited if the distribution 

is not for profit and this copyright notice is included. Those wishing to distribute 

libraries compiled from this source code or any work derived from it for profit must 

contact Leonard Janke (janke@unixg.ubc.ca) to work out an acceptable 

arrangement. 

Anyone using this source code or documentation or any work derived from it, 

including, but not limited to, libraries and statically linked executables, must do so at 

his or her own risk, and with understanding that Leonard Janke will not be held 

responsible for any damages or losses that may result.

Download - Data - Aker Security Solutions

Create successful ePaper yourself

Delete template?

Save as template?