Download - Data - Aker Security Solutions
Download - Data - Aker Security Solutions
Download - Data - Aker Security Solutions
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Versão 20/12/2011
Índice<br />
Índice ........................................................................................................................ 2<br />
Índice de Figuras ..................................................................................................... 9<br />
1. Introdução ..................................................................................................... 23<br />
2. Instalando o <strong>Aker</strong> Firewall............................................................................ 27<br />
2.1. Requisitos de hardware e software .................................................................... 27<br />
2.2. Instalando o <strong>Aker</strong> Firewall .................................................................................. 28<br />
2.3. Instalando a interface remota ............................................................................. 32<br />
3. Utilizando o <strong>Aker</strong> Control Center ................................................................. 35<br />
3.1. Iniciando a interface remota ............................................................................... 36<br />
3.2. Finalizando a administração remota................................................................... 44<br />
3.3. Mudando sua senha de usuário ......................................................................... 45<br />
3.4. Visualizando informação de sessão ................................................................... 46<br />
3.5. Utilizando a ajuda on-line e a Ajuda-Rápida ...................................................... 48<br />
3.6. Utilizando as ferramentas da Interface Gráfica .................................................. 49<br />
3.7. Chaves de Ativação ........................................................................................... 49<br />
3.8. Salvar configurações (backup)........................................................................... 51<br />
3.9. Restaurar configurações .................................................................................... 53<br />
3.10. Reinicializar Firewall ....................................................................................... 57<br />
3.11. Atualizações .................................................................................................... 57<br />
3.12. Módulo de atualização automática – <strong>Aker</strong> Update System (AUS) .................. 62<br />
3.13. DNS Reverso .................................................................................................. 69<br />
3.14. Simulação de Regras de Filtragem ................................................................. 71<br />
3.15. Relatórios ........................................................................................................ 75<br />
3.16. Busca de Entidades ........................................................................................ 75<br />
3.17. Janela de Alarmes .......................................................................................... 80<br />
3.18. Visualizando a rede graficamente ................................................................... 81<br />
3.19. Visualizando estatísticas do sistema .............................................................. 84<br />
3.20. Utilizando a janela de Sniffer de Pacotes........................................................ 86<br />
3.21. Visualizando o Estado dos Agentes Externos................................................. 89<br />
3.22. Utilizando o verificador de configuração ......................................................... 91<br />
3.23. Ferramentas de Diagnóstico ........................................................................... 94<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 2
4. Administrando usuários do Firewall ........................................................... 96<br />
4.1. Utilizando a interface gráfica .............................................................................. 96<br />
4.2. Utilizando a interface texto ................................................................................106<br />
5. Configurando os parâmetros do sistema ..................................................116<br />
5.1. Utilizando a interface gráfica .............................................................................116<br />
5.2. Utilizando a interface texto ................................................................................129<br />
6. Cadastrando Entidades ...............................................................................133<br />
6.1. Planejando a instalação ....................................................................................133<br />
6.2. Cadastrando entidades utilizando a interface gráfica ........................................136<br />
6.3. Utilizando a interface texto ................................................................................172<br />
6.4. Utilizando o Assistente de Entidades ................................................................176<br />
7. O Filtro de Estado ........................................................................................184<br />
7.1. Planejando a instalação ....................................................................................184<br />
7.2. Editando uma lista de regras usando a interface gráfica...................................189<br />
7.3. Trabalhando com Políticas de Filtragem ...........................................................197<br />
7.4. Utilizando a interface texto ................................................................................201<br />
7.5. Utilizando o assistente de regras ......................................................................204<br />
7.6. Utilizando Regras de Pipes ...............................................................................217<br />
8. Configurando a conversão de endereços..................................................220<br />
8.1. Planejando a instalação ....................................................................................220<br />
8.2. Utilizando a interface texto ................................................................................243<br />
8.3. Redundância de Link Via Modem......................................................................247<br />
8.4. Utilizando o Assistente de Configuração NAT ...................................................248<br />
9. Criando canais de criptografia ...................................................................258<br />
9.1. Planejando a instalação. ...................................................................................258<br />
9.2. Utilizando a interface texto ................................................................................280<br />
10. Configurando criptografia Cliente-Firewall ...............................................288<br />
10.1. Planejando a instalação. ................................................................................288<br />
10.2. <strong>Aker</strong> Secure Roaming ....................................................................................289<br />
10.3. L2TP ..............................................................................................................295<br />
10.4. PPTP .............................................................................................................304<br />
10.5. IPSEC Client ..................................................................................................327<br />
10.6. VPN – SSL .....................................................................................................342<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 3
11. Configurando criptografia Cliente-Firewall ...............................................349<br />
11.1. Editando os parâmetros de um contexto SSL ................................................350<br />
11.2. Configurando regras de Proxy SSL ...............................................................354<br />
12. Integração dos Módulos do Firewall ..........................................................356<br />
12.1. O fluxo de pacotes no <strong>Aker</strong> Firewall ..............................................................356<br />
12.2. Integração do filtro com a conversão de endereços ......................................358<br />
12.3. Integração do filtro com a conversão e a criptografia ....................................359<br />
13. Configurando a Segurança .........................................................................361<br />
13.1. Proteção contra SYN Flood ...........................................................................361<br />
13.2. Utilizando a interface gráfica para Proteção contra SYN Flood .....................363<br />
13.3. Proteção de Flood ..........................................................................................365<br />
13.4. Utilizando a interface gráfica para Proteção de Flood ...................................366<br />
13.5. Proteção Anti Spoofing ..................................................................................368<br />
13.6. Utilizando a interface gráfica para Anti Spoofing ...........................................369<br />
13.7. Utilizando a interface texto - Syn Flood .........................................................371<br />
13.8. Utilizando a interface texto - Proteção de Flood ............................................372<br />
13.9. Utilizando a interface texto - Anti Spoofing ....................................................373<br />
13.10. Bloqueio por excesso de tentativas de login inválidas ................................374<br />
14. Configurando Ações de Sistema ................................................................376<br />
14.1. Utilizando a interface gráfica ..........................................................................376<br />
14.2. Utilizando a interface texto .............................................................................382<br />
15. Visualizando o log do Sistema ...................................................................388<br />
15.1. Utilizando a interface gráfica ..........................................................................389<br />
15.2. Formato e significado dos campos dos registros do log ................................398<br />
15.3. Utilizando a interface texto .............................................................................402<br />
16. Visualizando Eventos do Sistema ..............................................................405<br />
16.1. Utilizando a interface gráfica ..........................................................................405<br />
16.2. Formato e significado dos campos das mensagens de eventos ....................412<br />
16.3. Utilizando a interface texto .............................................................................412<br />
17. Visualizando Estatísticas ............................................................................416<br />
17.1. Utilizando a interface gráfica ..........................................................................417<br />
17.2. Utilizando a interface texto .............................................................................422<br />
18. Visualizando e Removendo conexões .......................................................426<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 4
18.1. Utilizando a interface gráfica ..........................................................................426<br />
18.2. Utilizando a interface texto .............................................................................432<br />
19. Utilizando o Gerador de Relatórios ............................................................435<br />
19.1. Acessando Relatórios ....................................................................................435<br />
19.2. Configurando os Relatórios............................................................................436<br />
19.3. Lista dos Relatórios disponíveis .....................................................................441<br />
20. Exportação Agendada de Logs e Eventos .................................................444<br />
20.1. Acessando a Exportação Agendada de Logs e Eventos ...............................444<br />
20.2. Configurando a Exportação Agendada de Logs e Eventos............................445<br />
21. Trabalhando com Proxies ...........................................................................450<br />
21.1. Planejando a instalação .................................................................................450<br />
21.2. Instalando o agente de autenticação em plataformas Unix ...........................455<br />
21.3. Instalando o agente de autenticação em Windows Server tm ..........................457<br />
21.4. Configuração do agente de autenticação para Windows Server tm .................458<br />
22. Configurando parâmetros de autenticação ...............................................464<br />
22.1. Utilizando a interface gráfica ..........................................................................464<br />
22.2. Utilizando a interface texto .............................................................................480<br />
23. Perfis de acesso de Usuários .....................................................................483<br />
23.1. Planejando a instalação .................................................................................483<br />
23.2. Cadastrando perfis de acesso .......................................................................483<br />
23.3. Regras ...........................................................................................................487<br />
23.4. Regras SOCKS ..............................................................................................488<br />
23.5. Geral ..............................................................................................................489<br />
23.6. FTP e GOPHER .............................................................................................490<br />
23.7. HTTP/HTTPS .................................................................................................493<br />
23.8. Secure Roaming ............................................................................................502<br />
23.9. VPN SSL (Proxy SSL) ...................................................................................505<br />
23.10. MSN Messenger .........................................................................................508<br />
23.11. Filtros de Aplicação ....................................................................................511<br />
23.12. Associando Usuários com Perfis de Acesso ..............................................513<br />
24. Autenticação de Usuários ...........................................................................519<br />
24.1. Visualizando e Removendo Usuários Conectados no Firewall ......................519<br />
24.2. Utilizando a Interface Texto ...........................................................................522<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 5
25. Configurando o Proxy SMTP ......................................................................525<br />
25.1. Editando os parâmetros de um contexto SMTP .............................................527<br />
26. Configurando o Proxy Telnet ......................................................................551<br />
26.1. Editando os parâmetros de um contexto Telnet.............................................551<br />
27. Configurando o Proxy FTP ..........................................................................557<br />
27.1. Editando os parâmetros de um contexto FTP ................................................557<br />
28. Configurando o Proxy POP3 .......................................................................562<br />
28.1. Editando os parâmetros de um contexto POP3 .............................................563<br />
29. Utilizando as Quotas....................................................................................570<br />
29.1. Editando os parâmetros do Uso de Quota .....................................................571<br />
30. Configurando o Filtro Web ..........................................................................576<br />
30.1. Planejando a instalação .................................................................................576<br />
30.2. Editando os parâmetros de Filtro Web ...........................................................578<br />
30.3. Editando os parâmetros de Sessões Web .....................................................618<br />
31. Configurando o Proxy Socks ......................................................................621<br />
31.1. Planejando a instalação .................................................................................621<br />
31.2. Editando os parâmetros do Proxy SOCKS ....................................................622<br />
32. Configurando o Proxy RPC e o proxy DCE-RPC .......................................626<br />
32.1. Editando os parâmetros de um contexto RPC ...............................................627<br />
Editando os parâmetros de um contexto DCE-RPC ...................................................629<br />
33. Configurando o Proxy MSN ........................................................................633<br />
33.1. Planejando a instalação .................................................................................633<br />
33.2. Editando os parâmetros do Proxy MSN .........................................................634<br />
34. Configurando a Filtragem de Aplicações ..................................................640<br />
34.1. Planejando a instalação .................................................................................640<br />
34.2. Criando Regras de Filtragem de Aplicações ..................................................640<br />
34.3. Criando Filtros de Aplicações ........................................................................644<br />
35. Configurando IDS/IPS ..................................................................................650<br />
35.1. Acessando IPS/IDS .......................................................................................650<br />
35.2. Visualizando os IPs bloqueados ....................................................................660<br />
35.3. Configurando a atualização de assinaturas ...................................................662<br />
35.4. Instalando o Plugin para IDS Externo no Windows ........................................664<br />
35.5. Utilizando a interface texto - Portscan ...........................................................669<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 6
35.6. Utilizando a interface texto - IDS Externo ......................................................671<br />
36. Configurações TCP/IP .................................................................................674<br />
36.1. Configuração TCP/IP .....................................................................................674<br />
36.2. DHCP .............................................................................................................675<br />
36.3. DNS ...............................................................................................................678<br />
36.3.1. Interfaces de Rede .....................................................................................679<br />
36.4. Roteamento ...................................................................................................683<br />
36.4.1. Geral ...........................................................................................................684<br />
36.4.2. Dinâmico .....................................................................................................686<br />
36.4.3. Avançado ....................................................................................................693<br />
36.5. Utilizando a interface texto nas Chaves de Ativação .....................................697<br />
36.6. Utilizando a interface texto na Configuração TCP/IP .....................................698<br />
36.7. Utilizando a interface texto na Configuração de Wireless ..............................705<br />
36.8. Utilizando a interface texto na Configuração de DDNS .................................708<br />
36.9. Configuração do Link 3G ...............................................................................710<br />
37. Configurando o firewall em Cluster ...........................................................715<br />
37.1. Planejando a Instalação .................................................................................715<br />
37.2. Configuração do Cluster ................................................................................717<br />
37.3. Estatística do Cluster .....................................................................................722<br />
37.4. Utilizando a interface texto .............................................................................724<br />
38. Arquivos do Sistema ...................................................................................728<br />
38.1. Arquivos do Sistema ......................................................................................728<br />
39. <strong>Aker</strong> Firewall Box .........................................................................................733<br />
40. Apêndice A – Mensagens do sistema ........................................................737<br />
40.1. Mensagens do log do Firewall .......................................................................737<br />
40.2. Mensagens dos eventos do Firewall ..............................................................743<br />
40.3. Formato de exportação de logs e eventos .....................................................784<br />
40.4. Eventos gerados pelo <strong>Aker</strong> Firewall ...............................................................784<br />
40.4.1. Eventos gerados pelo Filtro Web ................................................................784<br />
40.4.2. Eventos gerados pelo Proxy MSN ..............................................................787<br />
40.4.3. Eventos gerados pelo Proxy POP3 ............................................................792<br />
40.4.4. Eventos gerados pelo Proxy SMTP ............................................................793<br />
40.4.5. Eventos gerados pelo Módulo de IDS/IPS e filtro de aplicativos ................795<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 7
40.4.6. Eventos gerados pelo <strong>Aker</strong> Antivirus Module .............................................797<br />
40.4.7. Eventos gerados pelo <strong>Aker</strong> Web Content Analizer .....................................801<br />
40.4.8. Eventos gerados pelo <strong>Aker</strong> Spam Meter ....................................................805<br />
41. Apêndice B - Copyrights e Disclaimers .....................................................816<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 8
Índice de Figuras<br />
Figura 1. Termo de Licença. .................................................................................... 30<br />
Figura 2. Interface do <strong>Aker</strong> Control Center. ............................................................. 37<br />
Figura 3. Caixa de descrição de entidade. ............................................................... 38<br />
Figura 4. Caixa de edição do dispositivo remoto. .................................................... 39<br />
Figura 5. Informações requeridas para editar o Dispositivo Remoto. ...................... 41<br />
Figura 6. Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo<br />
Remoto. ................................................................................................................... 42<br />
Figura 7. Interface conectada ao Firewall escolhido. ............................................... 43<br />
Figura 8. Finalizador de administração remota do <strong>Aker</strong> Firewall (Desconectar do<br />
dispositivo remoto). .................................................................................................. 44<br />
Figura 9. Dispositivos remotos (realizar mudança de senha). ................................. 45<br />
Figura 10. Mudar Senha (inserir senha antiga, a nova senha e confirmação da<br />
mesma). ................................................................................................................... 46<br />
Figura 11. Dispositivos remotos (visualizar informações da sessão). ...................... 47<br />
Figura 12. Informação da sessão (mostra dados do Firewall, Licença e Usuário). .. 48<br />
Figura 13. Apresentação da janela de ajuda. .......................................................... 49<br />
Figura 14. Informações sobre ativação de licenças. ................................................ 50<br />
Figura 15. Salvar um backup do item selecionado. ................................................. 51<br />
Figura 16. <strong>Download</strong> das configurações personalizadas e bases de treinamento... 51<br />
Figura 17. Backup Informações de log. ................................................................... 52<br />
Figura 18. Tela de escolha de arquivo para salvar configurações. .......................... 52<br />
Figura 19. Salvar o backup automaticamente. ......................................................... 53<br />
Figura 20. Botões para restauração de backup. ...................................................... 53<br />
Figura 21. Escolha de arquivo para carregar dados de configuração. ..................... 54<br />
Figura 22. Restauração do backup do Antivirus Module. ......................................... 55<br />
Figura 23. Restauração do backup do <strong>Aker</strong> Firewall. .............................................. 55<br />
Figura 24. Restauração do backup do Spam Meter................................................. 56<br />
Figura 25. Restauração do backup do Web Content Analyzer. ............................... 56<br />
Figura 26. Reiniciar o Firewall.................................................................................. 57<br />
Figura 27. Sistema de atualização de dados do Firewall. ........................................ 58<br />
Figura 28. Escolha do arquivo para atualização ou correção. ................................. 60<br />
Figura 29. Visualização de históricos de aplicação de patches e hotfixes. .............. 61<br />
Figura 30. Acessando o <strong>Aker</strong> Firewall. .................................................................... 62<br />
Figura 31. Notificação sobre atualizações disponíveis no <strong>Aker</strong> Update System. ..... 64<br />
Figura 32. Visualizando atualizações disponíveis através do <strong>Aker</strong> Update System. 65<br />
Figura 33. Acessando o <strong>Aker</strong> Firewall. .................................................................... 66<br />
Figura 34. Acessando as janelas do <strong>Aker</strong> Update System. ..................................... 67<br />
Figura 35. Acessando o <strong>Aker</strong> Firewall. .................................................................... 68<br />
Figura 36. Acessando as janelas do <strong>Aker</strong> Update System. ..................................... 69<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 9
Figura 37. Janela de DNS reverso. .......................................................................... 70<br />
Figura 38. DNS reverso. .......................................................................................... 71<br />
Figura 39. Janela de acesso a Simulação de Regras de Filtragem. ........................ 72<br />
Figura 40. Simulação de Regras de Filtragem (origem do pacote, destino, data, hora<br />
e máscaras). ............................................................................................................ 73<br />
Figura 41. Simulação de Regras de Filtragem (origem do pacote, destino, data, hora<br />
e entidade). .............................................................................................................. 74<br />
Figura 42. Relatório de configuração do firewall. ..................................................... 75<br />
Figura 43. Janela de acesso a Busca de Entidades. ............................................... 76<br />
Figura 44. Busca de Entidades (procura de entidade com IP ou nome e últimos<br />
resultados). .............................................................................................................. 77<br />
Figura 45. Busca de Entidades - serviços. ............................................................... 78<br />
Figura 46. Busca de Entidades - regras. .................................................................. 79<br />
Figura 47. Janela de acesso: Janela de Alarmes. ................................................... 80<br />
Figura 48. Janela de Alarmes - descrição. ............................................................... 81<br />
Figura 49. Janela de acesso - Mapa da Rede. ........................................................ 82<br />
Figura 50. Mapa da Rede. ....................................................................................... 83<br />
Figura 51. Janela de acesso - Estatísticas do Sistema. ........................................... 84<br />
Figura 52. Estatísticas do Sistema. .......................................................................... 85<br />
Figura 53. Acesso a janela: Sniffer de Pacotes. ...................................................... 86<br />
Figura 54. Sniffer de Pacotes – Sniffer 1. ................................................................ 87<br />
Figura 55. Janela de acesso: Agentes Externos. ..................................................... 89<br />
Figura 56. Agentes Externos (nome, tipo e status). ................................................. 90<br />
Figura 57. Janela de acesso: Verificador de Configuração. ..................................... 92<br />
Figura 58. Verificador de Configuração (Regras de Filtragem, Conversão de<br />
endereço de rede (NAT), Autenticação, Filtro web e Rede privada virtual (VPN). ... 93<br />
Figura 59. Janela de Diagnósticos. .......................................................................... 94<br />
Figura 60. Janela de acesso - Usuários Administrativos. ........................................ 96<br />
Figura 61. Janela de Usuários administrativos (Usuários internos). ........................ 97<br />
Figura 62. Usuários Administrativos (configuração dos agentes externos). ...........101<br />
Figura 63. Usuários Administrativos (método de autenticação com certificação digital<br />
X509). .....................................................................................................................103<br />
Figura 64. Execução do programa utilizando a interface texto. ..............................107<br />
Figura 65. Execução do programa para inclusão de usuários como administradores<br />
do <strong>Aker</strong> Firewall. .....................................................................................................108<br />
Figura 66. Execução do programa para a exclusão de usuários. ...........................109<br />
Figura 67. Execução do programa para a alteração de senha do usuário. .............110<br />
Figura 68. Execução do programa para exibir a listagem de usuários e permissões.<br />
................................................................................................................................111<br />
Figura 69. Execução do programa para exibir a compactação do arquivo de<br />
usuários. .................................................................................................................112<br />
Figura 70. Edição das configurações do <strong>Aker</strong> Configuration Manager. ..................113<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 10
Figura 71. Edição das configurações do <strong>Aker</strong> Configuration Manager (Firewall<br />
habilitado). ..............................................................................................................113<br />
Figura 72. Edição das configurações do <strong>Aker</strong> Configuration Manager (desabilita,<br />
modifica ou retorna). ...............................................................................................114<br />
Figura 73. Janela de acesso - dispositivos remotos (parametros de configuração).<br />
................................................................................................................................116<br />
Figura 74. Parametros de configuração do <strong>Aker</strong> Firewall (servidor, interface remota e<br />
endereços fixos de configuração remota). ..............................................................117<br />
Figura 75. Parametros de configuração de Log (local, remoto e opções gerais). ...119<br />
Figura 76. Parametros de configuração de segurança. ..........................................121<br />
Figura 77. Parametros de configuração via SNMP. ................................................124<br />
Figura 78. Parametros de configuração - Monitoramento. ......................................126<br />
Figura 79. Parametros de configuração – <strong>Data</strong> e hora. ..........................................128<br />
Figura 80. Janela de entidades (<strong>Aker</strong> Firewall). ......................................................137<br />
Figura 81. Entidades (Instância <strong>Aker</strong> Firewall)........................................................137<br />
Figura 82. Cadastro de entidade Tipo Máquina. .....................................................139<br />
Figura 83. Cadastro de entidade Tipo Máquina IPv6. .............................................140<br />
Figura 84. Inclusão e edição de redes. ...................................................................141<br />
Figura 85. Inclusão e edição de redes IPv6. ...........................................................142<br />
Figura 86. Inclusão e edição de conjuntos. .............................................................144<br />
Figura 87. Adição de entidades. .............................................................................145<br />
Figura 88. Edição de conjuntos IPv6. .....................................................................146<br />
Figura 89. Edição de conjuntos IPv6 (entidades a ser adicionada). .......................147<br />
Figura 90. Inclusão e edição das listas de categorias. ............................................148<br />
Figura 91. Inclusão e edição dos padrões de buscas. ............................................149<br />
Figura 92. Inclusão e edição de quotas. .................................................................150<br />
Figura 93. Inclusão e edição de agentes externos. .................................................151<br />
Figura 94. Cadastro de um agente externo tipo autenticador ou autenticador Token.<br />
................................................................................................................................153<br />
Figura 95. Cadastro de um agente externo tipo Autoridade Certificadora. .............154<br />
Figura 96. Definição de Pseudo-Grupos para usuários que se autenticarem por meio<br />
de autoridade certificadora. ....................................................................................156<br />
Figura 97. Cadastro de agente externo tipo Agente IDS. .......................................157<br />
Figura 98. Cadastro de agente externo tipo Analisador de texto. ...........................157<br />
Figura 99. Cadastro de agente externo tipo Módulo de Antivírus. ..........................158<br />
Figura 100. Cadastro de agente externo tipo Spam Meter. ....................................158<br />
Figura 101. Cadastro de agente externo Servidor Remoto. ....................................159<br />
Figura 102. Cadastro de agente externo Autenticador LDAP. ................................160<br />
Figura 103. Cadastro de agente externo Autenticador Radius. ..............................162<br />
Figura 104. Inclusão e edição de serviços. .............................................................163<br />
Figura 105. Inclusão e edição de interfaces. ..........................................................165<br />
Figura 106. Inclusão e edição de listas de e-mails. ................................................167<br />
Figura 107. Opção para realizar uma operação sobre um e-mail ou domínio. .......168<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 11
Figura 108. Lista dos tipos de arquivos. .................................................................168<br />
Figura 109. Opção para realizar uma operação (Entrada da lista). ........................169<br />
Figura 110. Acumuladores. .....................................................................................170<br />
Figura 111. Cadastro de entidade tipo Canal. ........................................................171<br />
Figura 112. Mensagem de entrada no Assistente de criação de entidades. ...........177<br />
Figura 113. Escolha do tipo de entidade. ................................................................178<br />
Figura 114. Inserção do endereço de IP da máquina. ............................................179<br />
Figura 115. Atribuição do nome da entidade. .........................................................180<br />
Figura 116. Escolha do ícone da entidade. .............................................................181<br />
Figura 117. Mensagem de finalização do cadastramento. ......................................182<br />
Figura 118. Dispositivos remotos (Acesso a janela de configuração das regras). ..190<br />
Figura 119. Janelas de regras de filtragem. ............................................................190<br />
Figura 120. Menu com opções de entidades referente ao campo. .........................191<br />
Figura 121. Menu ícone de verificação de regras. ..................................................195<br />
Figura 122. Verificador de regras............................................................................196<br />
Figura 123. Regras de filtragem (Exemplo de canal de 50KBits)............................196<br />
Figura 124. Ajustes de prioridade de canal. ............................................................197<br />
Figura 125. Exemplo de como trabalhar com políticas de filtragem. .......................198<br />
Figura 126. Exemplo de regras de filtragem. ..........................................................199<br />
Figura 127. Interface regras de filtragem. ...............................................................200<br />
Figura 128. Barra de ícones (Politíca). ...................................................................200<br />
Figura 129. Exibição das regras de filtragem. .........................................................201<br />
Figura 130. Assistente de regras filtragem (janela exibida quando um número<br />
pequeno de regras for detectado). ..........................................................................204<br />
Figura 131. Mensagem de boas vindas ao Assitente de regras filtragem. ..............205<br />
Figura 132. Escolha da rede interna e configuração inicial. ....................................206<br />
Figura 133. Tela de acesso para escolha de acesso restrito ou não à internet. .....207<br />
Figura 134. Escolha se possui ou não DMZ. ..........................................................208<br />
Figura 135. Escolha da entidade DMZ. ...................................................................209<br />
Figura 136. Máquinas DMZ (acesso restrito ou não a internet). .............................210<br />
Figura 137. Escolha dos serviços da internet e estações de trabalho que o DMZ terá<br />
acesso. ...................................................................................................................211<br />
Figura 138. Configuração do Firewall. ....................................................................212<br />
Figura 139. Registro de configuração do servidor. .................................................213<br />
Figura 140. Escolha da entidade do servidor. .........................................................214<br />
Figura 141. Selecionar o locar onde o servidor DMZ ficará disponível. ..................215<br />
Figura 142. Escolha para configurar outro servidor ou não. ...................................216<br />
Figura 143. Aviso de finalização de configuração das regras de filtragem. ............217<br />
Figura 144. Janela com as regras de Pipes. ...........................................................218<br />
Figura 145. Exemplo 1 - configuração do <strong>Aker</strong> Firewall (interligando departamentos).<br />
................................................................................................................................224<br />
Figura 146. Exemplo 2 - configuração do <strong>Aker</strong> Firewall (múltiplas ligações com a<br />
internet). ..................................................................................................................226<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 12
Figura 147. Exemplo 3 - configuração do <strong>Aker</strong> Firewall (montando regras de<br />
conversão de endereços). ......................................................................................227<br />
Figura 148. Janela de acesso - configuração da conversão de endereços. ...........229<br />
Figura 149. Janela de configuração da conversão de endereços (NAT). ...............229<br />
Figura 150. Janela de configuração de balanceamento de link. .............................231<br />
Figura 151. Janela de configuração para adicionar entidades. ...............................233<br />
Figura 152. Janela de inclusão de regras de NAT. .................................................234<br />
Figura 153. Janela de configuração para ações que deseja ser realizada. ............236<br />
Figura 154. Comparativo: máscaras de rede da entidade de origem e virtual. .......237<br />
Figura 155. Configuração dos parâmetros de monitoramento. ...............................237<br />
Figura 156. Exemplo 1 - conversão de endereços..................................................240<br />
Figura 157. Exemplo 2 - conversão de serviços. ....................................................241<br />
Figura 158. Balanceamento de link (primeira fase). ................................................242<br />
Figura 159. Montangem das regras do NAT (segunda fase). .................................243<br />
Figura 160. Mensagem de boas vindas ao Assistênte de configuração de NAT. ...249<br />
Figura 161. Seleção das redes que tem a necessidade de acessar a internet<br />
compartilhando um endereço IP. ............................................................................250<br />
Figura 162. Seleção do IP da máquina virtual para realizar a conversão de N-1. ..251<br />
Figura 163. Mensagem se deseja configurar os servidores acessíveis<br />
externamentes. .......................................................................................................252<br />
Figura 164. Escolha da entidade que deseja tornar acessível na internet. .............253<br />
Figura 165. Escolha do endereço IP utilizados por máquinas externas a ser utilizado<br />
no servidor. .............................................................................................................254<br />
Figura 166. Escolha para configurar mais servidores. ............................................255<br />
Figura 167. Finalização do assistentes de regras. ..................................................256<br />
Figura 168. Exemplo de configuração de um canal seguro firewall-firewall para uma<br />
sub-rede. .................................................................................................................267<br />
Figura 169. Canal seguro entre redes. ...................................................................269<br />
Figura 170. Janela de acesso - Certificados IPSEC). .............................................270<br />
Figura 171. Janela de Certificados IPSEC. .............................................................271<br />
Figura 172. Barra de ferramentas (Certificados IPSEC). ........................................271<br />
Figura 173. Janela de ação para Certificados IPSEC. ............................................272<br />
Figura 174. Janela de acesso - Firewall/Firewall. ...................................................274<br />
Figura 175. Janela de Criptografia Firewall/Firewall. ..............................................274<br />
Figura 176. Menu de inserção, copia ou exclusão para definição dos fluxos de<br />
criptografia. .............................................................................................................275<br />
Figura 177. Menu de inclusão ou alteração de fluxos. ............................................276<br />
Figura 178. Configuração de canais IPSEC. ..........................................................277<br />
Figura 179. Definição dos algoritmos de criptografia e autenticação permitidos pelo<br />
firewall durante negociação das chaves IKE. .........................................................278<br />
Figura 180. Visualização do tráfego IPSEC. ...........................................................279<br />
Figura 181. Gráfico de acompanhamento (Bytes de logs transferidos). .................280<br />
Figura 182. Janela de acesso – Clientes VPN. .......................................................289<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 13
Figura 183. Configuração geral do <strong>Security</strong> Roaming. ...........................................290<br />
Figura 184. Configuração do <strong>Security</strong> Roaming. ....................................................291<br />
Figura 185. Lista de controle de acesso do <strong>Security</strong> Roaming. ..............................292<br />
Figura 186. Menu com escolha das entidades a ser adicionadas. .........................293<br />
Figura 187. Conjuto de endereços do <strong>Security</strong> Roming. .........................................294<br />
Figura 188. Configuração da VPN L2TP. ................................................................296<br />
Figura 189. Lista de endereços que podem ser fornecidos a clientes conectados<br />
remotamente ao firewall. .........................................................................................296<br />
Figura 190. Menu com escolhas da entidade para adicionar. .................................297<br />
Figura 191. Configurando o cliente L2TP (Windows Vista/XP). ..............................299<br />
Figura 192. Configurando o cliente L2TP (utilizando VPN). ....................................299<br />
Figura 193. Configurando o cliente L2TP (escolha do IP e nome da conexão). .....300<br />
Figura 194. Configurando o cliente L2TP (nome do usuário e senha utilizados para<br />
autenticar o cliente de VPN no <strong>Aker</strong> Firewall). ........................................................300<br />
Figura 195. Configuração da VPN L2TP concluída. ...............................................301<br />
Figura 196. Network conections (edição das propriedades de conexão). ...............302<br />
Figura 197. Network conections (janela de configurações avançadas). .................303<br />
Figura 198. Diálogo de propriedades (configuração). .............................................304<br />
Figura 199. Configurando a VPN PP TP. ................................................................305<br />
Figura 200. Menu com escolhas da entidades para adicionar. ...............................306<br />
Figura 201. Configurando o Cliente PPTP para autenticação com PAP (Windows<br />
Vista/XP). ................................................................................................................308<br />
Figura 202. Janela de configuração da VPN no Microsoft Windows®. ...................309<br />
Figura 203. Janela de configuração de rede da VPN no Microsoft Windows®. ......310<br />
Figura 204. Janela de configuração de usuário e senha da VPN no Microsoft<br />
Windows®. ..............................................................................................................311<br />
Figura 205. Configuração da VPN no Microsoft Windows® concluída. ..................312<br />
Figura 206. Janela de configurações avançadas da VPN no Microsoft Windows®.<br />
................................................................................................................................313<br />
Figura 207. Janela de configurações dos parâmentros de autenticação da VPN no<br />
Microsoft Windows®. ..............................................................................................314<br />
Figura 208. Janela de configurações dos parâmentros de rede da VPN no Microsoft<br />
Windows®. ..............................................................................................................315<br />
Figura 209. Configurações do Servidor de autenticação Radius do Microosft<br />
Windows Server®. ..................................................................................................316<br />
Figura 210. Configurações do Shared secret do servidor de autenticação Radius do<br />
Microosft Windows Server®. ...................................................................................317<br />
Figura 211. Definição das regras de acesso remoto do servidor de autenticação<br />
Radius do Microosft Windows Server®. ..................................................................318<br />
Figura 212. Especificação das condições de conexão do servidor de autenticação<br />
Radius do Microosft Windows Server®. ..................................................................319<br />
Figura 213. Especificação das condiçõs de conexão - Edição. ..............................320<br />
Figura 214. Especificação das condiçõs de conexão – IP. .....................................321<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 14
Figura 215. Especificação das condiçõs de conexão – Multilink.............................322<br />
Figura 216. Especificação das condiçõs de conexão – Authentication. ..................323<br />
Figura 217. Especificação das condiçõs de conexão – Encryption.........................324<br />
Figura 218. Especificação das condiçõs de conexão – Advanced..........................325<br />
Figura 219. Informações dos usuários que podem efetuar autenticações. .............326<br />
Figura 220. Propriedades dos usuários podem efetuar autenticações. ..................327<br />
Figura 221. Clientes VPN - IPSEC. .........................................................................329<br />
Figura 222. Lista de endereços que podem ser atribuídos aos clientes. ................330<br />
Figura 223. Lista de endereços que são redes protegidas. ....................................331<br />
Figura 224. Configurações recomendadas para clientes de criptografia – Shared<br />
Secret. ....................................................................................................................334<br />
Figura 225. Configurações recomendadas para clientes de criptografia – X.509. ..334<br />
Figura 226. Configuração da VPN – General. ........................................................335<br />
Figura 227. Configuração da VPN – Authentication. ...............................................335<br />
Figura 228. Configuração da VPN – Phase 1. ........................................................336<br />
Figura 229. Configuração da VPN – Phase 2. ........................................................336<br />
Figura 230. Configuração da VPN – Connect. ........................................................337<br />
Figura 231. Configuração I-Phone – certificado. .....................................................338<br />
Figura 232. Configuração I-Phone – estabelecendo VPN. .....................................339<br />
Figura 233. Configuração VPN com certificado. .....................................................340<br />
Figura 234. Configuração VPN - Authentication – Local Identity. ..........................340<br />
Figura 235. Configuração VPN - Authentication – Remote Identily. .......................341<br />
Figura 236. Configuração VPN - Authentication – Authentication Method. ............341<br />
Figura 237. Janela de acesso – VPN SSL. .............................................................342<br />
Figura 238. VPN SSL - Portais. ..............................................................................343<br />
Figura 239. VPN SSL - Applet. ...............................................................................345<br />
Figura 240. Perfil de acesso – Permissão VPN. .....................................................346<br />
Figura 241. VPN SSL – Instruções gerais. .............................................................347<br />
Figura 242. Utilização do Proxy SSL. .....................................................................350<br />
Figura 243. Edição dos paramentros de um contexto SSL. ....................................351<br />
Figura 244. Exibição do certificado do proprietário – X.509. ...................................353<br />
Figura 245. Fluxo do pacote da rede interna ao atingir o firewall............................356<br />
Figura 246. Fluxo do pacote da rede externa em direção a rede interna. ...............357<br />
Figura 247. Janela de acesso - SYN Flood. ...........................................................363<br />
Figura 248. SYN Flood – Ativação de proteção SYN Flood. ...................................364<br />
Figura 249. Janela de acesso - Proteção de Flood. ................................................366<br />
Figura 250. Proteção de Flood - Configuração. ......................................................367<br />
Figura 251. Janela de acesso - Anti Spoofing. .......................................................369<br />
Figura 252. Anti Spoofing – Ativação do controle. ..................................................370<br />
Figura 253. Bloqueio de excesso de tentativas de login inválidas - Eventos. .........374<br />
Figura 254. Janela de acesso - Ações. ...................................................................377<br />
Figura 255. Ações – Mensagens de logs. ...............................................................378<br />
Figura 256. Ações a serem executadas para mensagens exibidas. .......................378<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 15
Figura 257. Ações: Parametros. .............................................................................380<br />
Figura 258. Janela de acesso - Log. .......................................................................389<br />
Figura 259. Barra de ferramentas de log. ...............................................................389<br />
Figura 260. Filtro de log. .........................................................................................391<br />
Figura 261. Filtro de log. .........................................................................................393<br />
Figura 262. Lista com várias entradas de log. ........................................................396<br />
Figura 263. Exportador de log.................................................................................397<br />
Figura 264. Barra de exportação de log – porcentagem realizada. ........................397<br />
Figura 265. Janela de acesso - Eventos. ................................................................406<br />
Figura 266. Barra de ferramentas: Eventos. ...........................................................406<br />
Figura 267. Filtro de eventos. .................................................................................407<br />
Figura 268. Descrição dos Eventos. .......................................................................410<br />
Figura 269. Exportar log de eventos. ......................................................................411<br />
Figura 270. Janelas de eventos - Estatística. .........................................................417<br />
Figura 271. Regras de estatística. ..........................................................................418<br />
Figura 272. Barra de ferramentas - Regras de estatística. .....................................419<br />
Figura 273. Visualizar estatísticas. .........................................................................420<br />
Figura 274. Visualizar estatísticas – Gráfico. ..........................................................421<br />
Figura 275. Exportar estatística. .............................................................................422<br />
Figura 276. Barra de ferramentas: visualização das estatísticas. ...........................422<br />
Figura 277. Janela de acesso - Conexões TCP......................................................427<br />
Figura 278. Conexões TCP – Conexões IPv4. .......................................................428<br />
Figura 279. Conexões TCP – Conexões IPv6. .......................................................429<br />
Figura 280. Barra de ferramentas: conexões TCP..................................................430<br />
Figura 281. Conexões TCP – Gráfico de conexões IPv4. .......................................431<br />
Figura 282. Janela de acesso - Relatório. ..............................................................435<br />
Figura 283. Configurando relatório - Diário. ............................................................436<br />
Figura 284. Configuração do relatório - geral. ........................................................437<br />
Figura 285. Configuração do relatório – sub-relatório. ............................................438<br />
Figura 286. Configuração do relatório – método de publicação. .............................439<br />
Figura 287. Configuração do relatório – método de SMTP. ....................................440<br />
Figura 288. Janela de acesso - Exportação Agendada de Logs e Eventos.. ..........444<br />
Figura 289. Exportação Agendada de Logs e Eventos - diário. ..............................445<br />
Figura 290. Configuração da Exportação Agendada de Logs e Eventos - geral. ...446<br />
Figura 291. Configuração da Exportação Agendada de Logs e Eventos – método de<br />
publicação. ..............................................................................................................447<br />
Figura 292. Configuração da Exportação Agendada de Logs e Eventos – tipo de<br />
publicação. ..............................................................................................................448<br />
Figura 293. Funcionamento básico de um Proxy tradicional. .................................451<br />
Figura 294. Funcionamento básico de um Proxy trasparênte. ................................452<br />
Figura 295. Proxie transparentes e contextos. .......................................................453<br />
Figura 296. Instalação do agente de autenticação do Windows Server – pasta de<br />
destino. ...................................................................................................................457<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 16
Figura 297. Agente de autenticação - <strong>Aker</strong>. ............................................................459<br />
Figura 298. Agente de autenticação – Firewall <strong>Aker</strong>...............................................460<br />
Figura 299. Agente de autenticação - Log. .............................................................461<br />
Figura 300. Agente de autenticação - Sobre. .........................................................462<br />
Figura 301. Janela de acesso - Autenticação. ........................................................464<br />
Figura 302. Autenticação de acesso: Controle de acesso. .....................................465<br />
Figura 303. Autenticação de acesso: Listagem de grupos ou usuários. .................467<br />
Figura 304. Autenticação de acesso: Escolha do perfil desejado. ..........................467<br />
Figura 305. Autenticação de acesso: Métodos. ......................................................468<br />
Figura 306. Autenticação de acesso: Adicionar entidades. ....................................470<br />
Figura 307. Autenticação de acesso: Remover entidades. .....................................470<br />
Figura 308. Autenticação de acesso: Métodos. ......................................................471<br />
Figura 309. Autenticação de acesso: Métodos (habilitar autenticação do Token). .472<br />
Figura 310. Autenticação de acesso: Autenticação para proxies............................473<br />
Figura 311. Autenticação de acesso: Autenticação local. .......................................474<br />
Figura 312. Aba para inclusão de usuário. .............................................................474<br />
Figura 313. Autenticação – Autenticação local. ......................................................475<br />
Figura 314. Autenticação – alteração de senha ou grupo. ......................................475<br />
Figura 315. Autenticação local – criar ou remover grupos. .....................................476<br />
Figura 316. Controle de acesso por IP. ..................................................................477<br />
Figura 317. Configuração NTLM. ............................................................................478<br />
Figura 318. Segurança do Window – solicitação de usuário e senha. ....................479<br />
Figura 319. Janela de acesso - Perfis. ....................................................................484<br />
Figura 320. Perfis – <strong>Aker</strong> Firewall. ..........................................................................485<br />
Figura 321. Janela de configuração de perfil (inserir e excluir). ..............................485<br />
Figura 322. Regras: regras de filtragem para o perfil de acesso. ...........................487<br />
Figura 323. Perfis: Socks. .......................................................................................488<br />
Figura 324. Perfis: Geral. ........................................................................................489<br />
Figura 325. Perfis: FTP e Gopher. ..........................................................................490<br />
Figura 326. Janela de acesso - perfis (inseir e desabilitar). ....................................491<br />
Figura 327. Geral: HTTP e HTTPS. ........................................................................493<br />
Figura 328. Janela de acesso - Bloqueio de Banners.............................................494<br />
Figura 329. Bloqueio de Banners (URL de banners). .............................................495<br />
Figura 330. Perfis: bloqueio de URL. ......................................................................496<br />
Figura 331. Barra de ferramentas (inserir ou desabilitar). .......................................496<br />
Figura 332. Perfis: Arquivos bloqueados. ...............................................................498<br />
Figura 333. Escolhas de operadores. .....................................................................499<br />
Figura 334. Perfis: <strong>Security</strong> Roaming. ....................................................................502<br />
Figura 335. Perfis: <strong>Security</strong> Roaming (conjunto de endereços). .............................504<br />
Figura 336. Perfis: VPN-SSL (Proxy SSL). .............................................................505<br />
Figura 337. Conexão Direta: Proxy Reverso SSL. ..................................................506<br />
Figura 338. Conexão Via Apllet. .............................................................................506<br />
Figura 339. Conexão Cliente Applet / SSL / Normal. ..............................................506<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 17
Figura 340. Perfis – MSN Messenger. ....................................................................508<br />
Figura 341. Menu (inserir/desabilitar) para executar qualquer operação sobre a<br />
regra. ......................................................................................................................509<br />
Figura 342. Perfis: Filtragem de aplicação. .............................................................511<br />
Figura 343. Menu (inserir/desabilitar) para executar qualquer operação sobre a<br />
regra. ......................................................................................................................511<br />
Figura 344. Janela de acesso - Autenticação. ........................................................513<br />
Figura 345. Autenticação: Controle de acesso. ......................................................514<br />
Figura 346. Menu de escolha do usuário. ...............................................................515<br />
Figura 347. Menu de escolha do perfil. ...................................................................515<br />
Figura 348. Controle de acesso por IP. ..................................................................516<br />
Figura 349. Janela de acesso - usuários conectados. ............................................519<br />
Figura 350. Usuários conectados (máquina, nome, domínio, perfil, inicio, TPC e nº<br />
de usuários conectados.) ........................................................................................520<br />
Figura 351. Barra de ferramentas: usuários conectados. .......................................520<br />
Figura 352. Serviço: relay. ......................................................................................527<br />
Figura 353. Serviço: geral. ......................................................................................528<br />
Figura 354. Serviço: relay. ......................................................................................529<br />
Figura 355. Serviço: regras. ....................................................................................530<br />
Figura 356. Menu (inserir, copiar, editar, excluir ou renomear). .............................530<br />
Figura 357. Edição de regra: SMTP. .......................................................................532<br />
Figura 358. Serviço: DNS. ......................................................................................535<br />
Figura 359. Menu (inserir, copiar, editar, excluir ou renomear).. ............................536<br />
Figura 360. Serviço: DNS. ......................................................................................537<br />
Figura 361. Serviço: anexos. ..................................................................................538<br />
Figura 362. Menu (inserir, copiar, editar, excluir ou renomear).. ............................539<br />
Figura 363. Regra: edição de regras e anexos. ......................................................540<br />
Figura 364. Serviço: RBL. .......................................................................................542<br />
Figura 365. Serviço: Spam Meter. ..........................................................................544<br />
Figura 366. Serviço: Avançado. ..............................................................................548<br />
Figura 367. Serviço: propriedade de um contexto Telnet. ......................................552<br />
Figura 368. Menu (inserir). ......................................................................................553<br />
Figura 369. Janela de inclusão de usuários ou grupos. ..........................................554<br />
Figura 370. Serviços: propriedades de um contexto SMTP. ...................................558<br />
Figura 371. Janela de lista de regras (aceitas ou não).. .........................................559<br />
Figura 372. Propriedades de um contexto POP3....................................................563<br />
Figura 373. Operações sobre determinada regra. ..................................................564<br />
Figura 374. Edição de regras de arquivos. .............................................................566<br />
Figura 375. Janela de acesso - Uso de quotas. ......................................................571<br />
Figura 376. Uso de quotas: viasualização do usuário. ............................................572<br />
Figura 377. Uso de quotas: viasualização da quota. ..............................................573<br />
Figura 378. Conexão (internet, rede interna, firewall e DMZ). ................................577<br />
Figura 379. Janela de acesso - filtro web. ..............................................................579<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 18
Figura 380. Configuração dos parâmetros do filtro web (geral). .............................580<br />
Figura 381. Filtro Web: cliente de autenticação. .....................................................584<br />
Figura 382. Filtro Web: controle de conteúdo. ........................................................586<br />
Figura 383. Filtro Web: tipo de arquivo. ..................................................................588<br />
Figura 384. Escolhas dos operadores. ...................................................................591<br />
Figura 385. Filtro Web: antivírus. ............................................................................592<br />
Figura 386. Diagrama de certificados envolvidos no acesso. .................................596<br />
Figura 387. Filtro web: configuração. ......................................................................598<br />
Figura 388. Certificado de errro do Firefox. ............................................................600<br />
Figura 389. Certificado assinado pela CA de erro. ................................................601<br />
Figura 390. Erro de acesso. ....................................................................................601<br />
Figura 391. Certificado de informação. ...................................................................604<br />
Figura 392. Certificado de informação – como utilizar autoridade certificadora já<br />
cadastrada. .............................................................................................................605<br />
Figura 393. Certificado CA – tela de acesso. ..........................................................606<br />
Figura 394. Certificado CA – properties. .................................................................606<br />
Figura 395. Certificado CA – General. ....................................................................607<br />
Figura 396. Certificado CA – Details.. .....................................................................608<br />
Figura 397. Certificado CA – All tasks / Back up Ca. ..............................................609<br />
Figura 398. Certificado Authority Backup Wizard....................................................609<br />
Figura 399. Certificado Authority Backup Wizard – senha e confirmação. .............610<br />
Figura 400. Microsoft Management Console. .........................................................611<br />
Figura 401. Adicionar ou remover Snap-is. .............................................................612<br />
Figura 402. Microsoft Management Console – certificates, all taks, import). ..........613<br />
Figura 403. Escolha do diretório onde deseja importar o relatório. .........................614<br />
Figura 404. Mozila Firefox (importar certificado). ....................................................614<br />
Figura 405. Mozila Firefox (criptografia). ................................................................615<br />
Figura 406. Gerenciador de certificados – autoridades. .........................................616<br />
Figura 407. Filtro Web: avançado. ..........................................................................617<br />
Figura 408. Sessões Web. ......................................................................................618<br />
Figura 409. Janela de acesso - Proxy Socks ..........................................................622<br />
Figura 410. Autenticação dos usuários Socks. .......................................................623<br />
Figura 411. Propriedades de um contexto RCP......................................................628<br />
Figura 412. Menu de execução da janela RPC.......................................................629<br />
Figura 413. Menu de execução da janela RPC (inseir, apagar, rejeitar ou aceitar).<br />
................................................................................................................................629<br />
Figura 414. Propriedades de um contexto DCE-RPC. ............................................630<br />
Figura 415. Menu de execução da janela DCE-RPC. .............................................631<br />
Figura 416. Menu de execução da janela DCE-RPC (inseir, apagar, rejeitar ou<br />
aceitar). ...................................................................................................................631<br />
Figura 417. Janela de acesso - Proxy Messenger. .................................................634<br />
Figura 418. Proxy Messenger – Aba Tipo Serviço. .................................................635<br />
Figura 419. Proxy Messenger – Aba Mensagens. ..................................................636<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 19
Figura 420. Proxy Messenger – Controle de acesso. .............................................637<br />
Figura 421. Proxy Messenger – Configurações. .....................................................638<br />
Figura 422. Janela de acesso - Filtragem de aplicações. .......................................641<br />
Figura 423. Filtragem de aplicações – Regras de filtragem de aplicações. ............642<br />
Figura 424. Menu de operação sobre uma regra. ...................................................643<br />
Figura 425. Janela de acesso - Filtragem de aplicações. .......................................645<br />
Figura 426. Filtragem de aplicações – Filtros de Aplicações. .................................646<br />
Figura 427. Menu de operação sobre um filtro. ......................................................646<br />
Figura 428. Menu de operação para acessar o nome do filtro ou forma de<br />
concatenação..........................................................................................................647<br />
Figura 429. Operações de filtragem. .......................................................................647<br />
Figura 430. Janela de acesso - IPS/IDS. ................................................................650<br />
Figura 431. IPS/IDS – Regras IDS. .........................................................................651<br />
Figura 432. Menu para execução de operação de regras.. ....................................652<br />
Figura 433. IPD/IDS – Filtros IDS. ..........................................................................654<br />
Figura 434. Filtros IDS – Configuração do filtro. .....................................................655<br />
Figura 435. IPD/IDS - Portscan...............................................................................657<br />
Figura 436. IPD/IDS – IDS Externo. ........................................................................659<br />
Figura 437. Janela de acesso - IP’s bloquados. .....................................................661<br />
Figura 438. IPs bloquados. .....................................................................................662<br />
Figura 439. Janela de Acesso – atualização de assinaturas. .................................663<br />
Figura 440. Atualização de assinaturas. .................................................................664<br />
Figura 441. Configuração IDS – configuração. .......................................................665<br />
Figura 442. Firewalls usados. .................................................................................667<br />
Figura 443. Configuração de IDS – log. ..................................................................668<br />
Figura 444. Configuração de IDS – eventos. ..........................................................669<br />
Figura 445. Janela de acesso - TCP/IP. .................................................................674<br />
Figura 446. Servidor DHCP. ...................................................................................675<br />
Figura 447. Relay DHCP entre redes. ....................................................................676<br />
Figura 448. Servidor DHCP interno. .......................................................................677<br />
Figura 449. TCP/IP - DNS ......................................................................................678<br />
Figura 450. Janela de acesso: Interfaces de redes. ...............................................679<br />
Figura 451. Menu: configuração ou modificação de endereço IP. ..........................680<br />
Figura 452. Menu de criação: VLAN. ......................................................................680<br />
Figura 453. Configuração PPPoE. ..........................................................................681<br />
Figura 454. Janela de Roteamento. ........................................................................683<br />
Figura 455. Roteamento - Geral. ............................................................................684<br />
Figura 456. Roteamento dinâmico. .........................................................................686<br />
Figura 457. Roteamentoavançado (RIP). ...............................................................689<br />
Figura 458. Roteamento avançado (OSPF). ...........................................................691<br />
Figura 459. Roteamento avançado. ........................................................................693<br />
Figura 460. Exemplo de laboratório de teste – balaceamento de rotas. .................694<br />
Figura 461. Teste e configurações – NAT – exemplo A. .........................................694<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 20
Figura 462. Teste e configurações – Balanceamento de link – exemplo B. ............695<br />
Figura 463. Teste e configurações – NAT exemplo B. ............................................695<br />
Figura 464. Teste e configurações – Balanceamento de link – exemplo B. ............695<br />
Figura 465. Roteamento. ........................................................................................696<br />
Figura 466. Modo de configuração para interfaces de rede. ...................................698<br />
Figura 467. Configuração de Interfaces. .................................................................699<br />
Figura 468. Lista da interfaces de rede. ..................................................................700<br />
Figura 469. Módulo de configuração para interfaces de rede. ................................701<br />
Figura 470. Cadastro de Vlan. ................................................................................701<br />
Figura 471. Configuração de interfaces. .................................................................702<br />
Figura 472. Configuração de rotas estáticas. .........................................................703<br />
Figura 473. Configuração de rotas estáticas – entrada de dados. ..........................703<br />
Figura 474. Configuração de DNS. .........................................................................704<br />
Figura 475. Módulo de configuração para interfaces de rede. ................................705<br />
Figura 476. Interface de texto na configuração Wireless. .......................................705<br />
Figura 477. Exemplo de interface de texto na configuração DNS. .........................709<br />
Figura 478. Configuração de link 3G. .....................................................................711<br />
Figura 479. Configuração 3G no <strong>Aker</strong> Firewall. ......................................................712<br />
Figura 480. Janela de acesso – configuração do cluster. .......................................717<br />
Figura 481. Criar cluster. ........................................................................................718<br />
Figura 482. Configuração do cluster – configurações gerais. .................................719<br />
Figura 483. Configuração do cluster – adicionar membro. .....................................721<br />
Figura 484. Janela de acesso – Estatísticas do cluster. .........................................722<br />
Figura 485. Estatísticas do cluster – Firewall 1. ......................................................723<br />
Figura 486. Estatísticas do cluster – Gráfico. .........................................................724<br />
Figura 487. Interface texto – exemplo 1: mostrando a configuração da interface. ..725<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 21
Introdução<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 22
1. Introdução<br />
Este é o manual do usuário do <strong>Aker</strong> Firewall 6.5. Nos próximos capítulos você<br />
aprenderá como configurar esta poderosa ferramenta de proteção às redes. Esta<br />
introdução tem como objetivo descrever a organização deste manual e tentar tornar<br />
sua leitura o mais simples e agradável possível.<br />
Como está disposto este manual.<br />
Este manual está organizado em vários capítulos. Cada capítulo mostrará um<br />
aspecto da configuração do produto e todas as informações relevantes ao aspecto<br />
tratado.<br />
Todos os capítulos começam com uma introdução teórica sobre o tema a ser<br />
tratado seguido dos aspectos específicos de configuração do <strong>Aker</strong> Firewall.<br />
Juntamente com esta introdução teórica, alguns módulos possuem exemplos<br />
práticos do uso do serviço a ser configurado, em situações hipotéticas, porém<br />
bastante próximas da realidade. Buscamos com isso tornar o entendimento das<br />
diversas variáveis de configuração o mais simples possível.<br />
Recomendamos que este manual seja lido pelo menos uma vez por inteiro, na<br />
ordem apresentada. Posteriormente, se for necessário, pode-se usá-lo como fonte<br />
de referência (para facilitar seu uso como referência, os capítulos estão divididos em<br />
tópicos, com acesso imediato pelo índice principal. Desta forma, pode-se achar<br />
facilmente a informação desejada).<br />
Em vários locais deste manual, aparecerá o símbolo seguido de uma frase<br />
escrita em letras vermelhas. Isto significa que a frase em questão é uma observação<br />
muito importante e deve ser totalmente entendida antes de prosseguir com a leitura<br />
do capítulo.<br />
Interface texto vs. Interface Gráfica<br />
O <strong>Aker</strong> Firewall possui duas interfaces distintas para sua configuração: uma<br />
interface gráfica remota e uma interface texto local.<br />
A interface gráfica<br />
A interface gráfica é chamada de remota porque através dela é possível<br />
administrar remotamente, via Internet, um <strong>Aker</strong> Firewall localizado em qualquer<br />
parte do mundo. Esta administração é feita através de um canal seguro entre a<br />
interface e o firewall, com um forte esquema de autenticação e criptografia, de<br />
modo a torná-la totalmente segura.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 23
A interface gráfica é de uso bastante intuitivo e está disponível para plataformas<br />
Windows e Linux.<br />
A interface texto<br />
A interface texto é uma interface totalmente orientada à linha de comando que<br />
roda na máquina onde o firewall está instalado. O seu objetivo básico é<br />
possibilitar a automação de tarefas da administração do <strong>Aker</strong> Firewall (através da<br />
criação de scripts) e possibilitar uma interação de qualquer script escrito pelo<br />
administrador com o Firewall.<br />
Praticamente todas as variáveis que podem ser configuradas pela interface<br />
gráfica poderão ser configuradas também pela interface texto.<br />
Como as duas interfaces tratam das mesmas variáveis, a funcionalidade, os<br />
valores e os comentários destas têm validade tanto para interface gráfica quanto<br />
para a interface texto. Devido a isso, os tópicos referentes à interface texto<br />
normalmente serão curtos e se limitarão a mostrar seu funcionamento. Caso<br />
tenha dúvida sobre algum parâmetro, deve-se recorrer à explicação do mesmo<br />
no tópico relativo à interface gráfica.<br />
Não é possível o uso simultâneo de várias interfaces gráficas para um mesmo<br />
Firewall, nem o uso da interface texto enquanto existir uma interface gráfica aberta.<br />
O Firewall<br />
Com a evolução da Internet, o ambiente das aplicações em nível de routers, tornouse<br />
um ambiente dinâmico que constantemente oferece novos protocolos, serviços e<br />
aplicações. Os routers e proxies não são suficientes e não conseguem garantir a<br />
segurança às diversas aplicações da Internet ou cumprir as novas necessidades<br />
empresariais, alto bandwidth e a exigências de segurança de redes. Diante da<br />
necessidade das organizações em proteger suas redes, a <strong>Aker</strong> desenvolveu o <strong>Aker</strong><br />
Firewall.<br />
A segurança que envolve a rede é construída por um conjunto de programas e<br />
técnicas que tem por finalidade liberar ou bloquear serviços dentro de uma rede<br />
interligada à Internet de forma controlada. Sendo o Firewall a parte mais importante<br />
em um programa de segurança, não se deve esquecer a importância de utilizar<br />
ferramentas que auxiliam na detecção de brechas e vulnerabilidades dos sistemas<br />
operacionais que estão em uso na rede, bem como, o uso de programas que<br />
detectam intrusos ou ataques. É importante também, saber qual ação a ser tomada<br />
quando uma violação ou um serviço importante parar.<br />
Copyrights do Sistema<br />
Copyright (c) 1997-2003 <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong>;<br />
Utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright ©<br />
1995 Eric Young;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 24
Utiliza o algoritmo AES implementação do Dr. B. R. Gladman<br />
(brg@gladman.uk.net);<br />
Utiliza o algoritmo MD5 retirado da RFC 1321. Copyright © 1991-2 RSA <strong>Data</strong><br />
<strong>Security</strong>, Inc;<br />
Utiliza a biblioteca CMU SNMP. Copyright© 1997 Carnegie Mellon University;<br />
Utiliza a biblioteca de compressão Zlib. Copyright © 1995-1998 Jean-loup Gailly and<br />
Mark Adler;<br />
Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright © 1997;<br />
Inclui software desenvolvido pela Universidade da California, Berkeley e seus<br />
colaboradores;<br />
Inclui software desenvolvido por Luigi Rizzo, Universita` di Pisa Portions Copyright<br />
2000 Akamba Corp;<br />
Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan<br />
Olsson;<br />
Inclui software desenvolvido por Ericsson Radio Systems.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 25
Instalando o <strong>Aker</strong> Firewall<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 26
2. Instalando o <strong>Aker</strong> Firewall<br />
Este capítulo mostrará como se realiza a instalação do <strong>Aker</strong> Firewall, os requisitos<br />
de hardware, software e instalação do Firewall e interface remota.<br />
2.1. Requisitos de hardware e software<br />
Para o firewall<br />
O <strong>Aker</strong> Firewall 6.5 roda sobre o sistema operacional proprietário, em plataformas<br />
Intel ou compatíveis.<br />
Para que o <strong>Aker</strong> Firewall execute de maneira satisfatória todos os componentes de<br />
hardware é necessário possuir as seguintes configurações:<br />
Computador Intel ou compatível 1.0 Ghz ou superior;<br />
Para utilizar um link com alta taxa de transferência ou utilizar criptografia em um<br />
link com velocidade relativamente alta, recomenda-se o uso de um computador<br />
mais potente.<br />
512 Mbytes de memória RAM;<br />
Para fazer um grande uso dos serviços de proxy e de criptografia, provavelmente<br />
será necessário utilizar memória maior ou igual a 512 Mbytes.<br />
20 Gbytes de espaço em disco;<br />
Para armazenar os logs do sistema por um grande espaço de tempo recomendase<br />
o uso de um disco maior.<br />
Leitor de CD-ROMou pen-driver USB, monitor, mouse e teclado;<br />
Isso só é necessário durante a instalação ou caso se pretenda utilizar a interface<br />
texto a partir do console, entretanto é altamente recomendado em todos os<br />
casos.<br />
Placa(s) de rede.<br />
Não existe um número máximo de placas de rede que podem ser colocadas no<br />
Firewall. A única limitação existente é a limitação do próprio hardware. Caso<br />
necessite de um grande número de interfaces de rede, pode-se optar por placas<br />
com mais de uma saída na mesma interface.<br />
Para a interface gráfica<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 27
A interface gráfica de administração do <strong>Aker</strong> Firewall roda em plataformas Windows,<br />
Linux, em plataformas Intel ou compatíveis.<br />
Para que a interface gráfica execute de maneira satisfatória os componentes de<br />
hardware devem-se possuir as seguintes configurações:<br />
Computador Intel ou compatível 1.3Mhz ou superior;<br />
256 Mbytes de memória RAM;<br />
2 Gbytes de espaço livre em disco;<br />
Monitor;<br />
Mouse;<br />
Teclado;<br />
Placa de rede.<br />
Todos os componentes do hardware devem ser suportados pelo sistema operacional<br />
na qual a interface será instalada, em alguma das versões aceitas pelo produto.<br />
2.2. Instalando o <strong>Aker</strong> Firewall<br />
O <strong>Aker</strong> Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box. Sendo<br />
comprado desta forma, o produto já vem instalado e pré-configurado. Caso tenha<br />
optado por comprar apenas o software (versão IS), a instalação deverá ser feita na<br />
máquina escolhida, o que será explicado neste tópico.<br />
Para instalá-lo deve-se iniciar a máquina com o CD-ROM de instalação ou com o<br />
PEN-DRIVER que podem ser efetuado o download no site da <strong>Aker</strong>.<br />
Para gravar o PEN-DRIVER, siga os passos abaixo:<br />
1. Efetue o download do arquivo no site da <strong>Aker</strong>;<br />
2. Verifique se o pen drive no Linux está com sdb, digite o comando como root.<br />
“#dmesg | grep sd” ou “#fdisk –l” serão mostradas as informações de disco da<br />
máquina e encontre o pen-drive.<br />
3. Após identificar em qual device o Linux montou o pen-drive, digite o comando<br />
“dd if= | gunzip | dd of=/dev/”.<br />
Exemplo:<br />
“dd if=
2. Selecione qual produto deseja instalar: <strong>Aker</strong> Firewall, <strong>Aker</strong> Secure Mail<br />
Gateway ou <strong>Aker</strong> Web Gateway;<br />
3. Podem-se instalar os Produtos em HD ou flash, ou ainda, instalar em HD e<br />
deixar a flash zerado. Para o caso de falha utilizá-la. Estas opções irão variar<br />
de acordo com o modelo de BOX. OBS: Todos os dados do HD ou flash<br />
serão requisitados ao efetuar este processo;<br />
4. Ao iniciar o instalador será exibido um Menu, onde podem ser instalado em<br />
uma flash, ou em um HD;<br />
5. Instalando em flash. Esse modo deve ser utilizado em caso de problemas no<br />
HD. Caso você possua um Agente (Antivírus, AWCA, Spam Meter), ele será<br />
desativado<br />
6. Instalando o Firewall em um HD. Modo recomendado. Os funcionaram com<br />
todas as suas funcionalidades.<br />
Após reiniciar a máquina o programa fwinst é o responsável por efetuar a instalação<br />
e a configuração do sistema para a execução do <strong>Aker</strong> Firewall. Ao ser executado,<br />
ele mostrará a seguinte tela:<br />
Firewall <strong>Aker</strong> v6.5 - Programa de Instalação<br />
Este programa realiza a Instalação do Firewall <strong>Aker</strong> 6.5 e da interface texto de<br />
configuracao local.<br />
Deseja prosseguir com a Instalação do firewall (S/N) ?<br />
Após responder Sim, o programa de instalação mostrará a licença de uso do <strong>Aker</strong><br />
Firewall . Para prosseguir, é necessário aceitar todos os termos e condições<br />
contidas na licença. Caso sejam aceitos, o programa prosseguirá com a instalação<br />
mostrando seu progresso através de uma série de mensagens auto-explicativas.<br />
Após terminar de copiar os arquivos, o programa de instalação fará algumas<br />
perguntas de modo a realizar a configuração específica para cada sistema.<br />
Será mostrada a seguinte tela:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 29
Figura 1. Termo de Licença.<br />
Após responder Sim, será instalado todas as dependências necessárias para que o<br />
<strong>Aker</strong> Firewall funcione.<br />
A próxima janela<br />
Firewall <strong>Aker</strong> v6.5 - Programa de Instalação<br />
Configuração do sistema completada. E necessário agora ativar a cópia instalada<br />
através da digitação da chave de ativação que foi entregue ao se adquirir o produto.<br />
A chave de ativacao, o nome da empresa e o endereco IP da interface externa<br />
deverao ser digitados exatamente como constam no documento entregue pela <strong>Aker</strong><br />
Consultoria e Informatica ou seu representante.<br />
Pressione enter para continuar<br />
Após digitar enter, o programa mostrará uma tela solicitando o caminho onde o<br />
arquivo da chave de ativação está salvo.<br />
Caso a chave seja válida, o programa prosseguirá com a instalação.<br />
Firewall <strong>Aker</strong> v6.5 - Programa de Instalação<br />
É necessario se definir o nome da interface de rede externa do firewall Os<br />
enderecos IP que se originarem desta interface nao serao contabilizados no numero<br />
maximo de licencas do produto.<br />
A interface externa deve assumir um dos seguintes valores:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 30
eth0<br />
eth1<br />
eth2<br />
Entre a interface externa:<br />
A configuração da interface externa é usada apenas para o controle de licenças do<br />
firewall. Deve-se informar o nome da interface que estará conectada à Internet.<br />
A especificação da interface externa não possui nenhuma implicação de segurança.<br />
Nenhum controle de acesso é feito levando-se em conta esta interface.<br />
Firewall <strong>Aker</strong> v6.5 - Programa de Instalação<br />
Ativacao do sistema completada. Vamos agora para a configuracao de alguns<br />
parametros do Firewall <strong>Aker</strong>:<br />
Você pode cadastrar agora um endereço IP para possibilitar que o firewall seja<br />
administrado remotamente a parit de uma outra máquina.<br />
Deseja cadastrar este IP (S/N).<br />
Após responder Sim, digite o endereço IP da máquina onde está instalado o <strong>Aker</strong><br />
Control center.<br />
Firewall <strong>Aker</strong> v6.5 - Programa de Instalação<br />
Eu posso cadastrar automaticamente um administrador capaz de gerenciar<br />
remotamente o firewall. Este administrador tera plenos poderes em relacao firewall e<br />
a partir dele novos usuarios poderao ser cadastrados.<br />
Obs: Se voce nao cadastrar um administrador nao podera administrar o firewall a<br />
partir da interface grafica, apenas atraves da interface texto local.<br />
Voce deseja criar este administrador (S/N)?<br />
Para que seja possível administrar o firewall a partir da interface gráfica é<br />
necessário cadastrar um administrador, devendo-se responder S a esta pergunta.<br />
De qualquer forma é possível cadastrar posteriormente outros administradores<br />
através das interfaces locais de administração. A explicação de como fazer isso, se<br />
encontra no capítulo intitulado Administrando usuários do firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 31
Caso tenha optado por incluir um novo administrador, será mostrada a tela pedindo<br />
os dados do administrador a ser cadastrado. Um exemplo desta tela se encontra<br />
abaixo (cabe mencionar que a senha do administrador a ser cadastrado não será<br />
mostrada na tela).<br />
Firewall <strong>Aker</strong> versão 6.5<br />
Módulo de administracao de usuários remotos Inclusão de usuário<br />
Entre o login: administrador<br />
Entre o nome completo: Administrador do Firewall <strong>Aker</strong><br />
Entre a senha (6-14):<br />
Confirme a senha:<br />
Confirma inclusao do usuario? (S/N)<br />
Após se ter ou não incluído o administrador, será mostrada uma mensagem<br />
perguntando sobre o cadastro de um segredo compartilhado para administração do<br />
Firewall através do <strong>Aker</strong> Configuration Manager. Se você não tem este produto,<br />
responda não, caso contrário consulte o manual do mesmo.<br />
Finalmente, será mostrada uma mensagem indicando o término da instalação e<br />
solicitando que a máquina seja reinicializada para ativar o <strong>Aker</strong> Firewall. Ao se<br />
reinicializar a máquina, o firewall já entrará em funcionamento automaticamente e<br />
poderá ser configurado remotamente.<br />
A senha digitada deve conter de 6 a 14 caracteres.<br />
2.3. Instalando a interface remota<br />
Em plataformas Windows<br />
Para instalar as interface remota nas plataformas Windows XP ou superio, deve-se<br />
colocar o CD-ROM do <strong>Aker</strong> <strong>Security</strong> Suite no drive e seguir as instruções que<br />
aparecerão na tela.<br />
Caso a opção de auto-execução esteja desabilitada, deve-se executar os seguintes<br />
passos:<br />
1. Clicar no menu Iniciar;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 32
2. Selecionar a opção Executar;<br />
3. Ao ser perguntado sobre qual programa executar, digitar<br />
D:\br\control_center\<strong>Aker</strong>RemoteDesktop-br-win-6.5 (Caso o leitor de CD-<br />
ROM seja acessado por uma letra diferente de D, substituí-la pela letra<br />
equivalente, no comando anterior).<br />
Ao término da instalação, será criado um grupo chamado <strong>Aker</strong>, no menu Iniciar.<br />
Para executar a interface remota, basta selecionar a opção Firewall 6.5 GUI dentro<br />
deste grupo.<br />
Em plataformas Linux<br />
Para instalar a interface remota em plataformas Linux é necessário que os pacotes<br />
da biblioteca QT estejam previamente instalados.<br />
A interface gráfica para plataformas Linux é distribuída em pacotes BIN. Para<br />
instalá-la, proceda da seguinte forma:<br />
1. Coloque o CD-ROM no drive e monte-o, através do comando mount<br />
/mnt/cdrom;<br />
2. Execute o comando: sh /mnt/cdrom/br/control_center/;<br />
3. Siga as instruções do instalador.<br />
O nome do pacote a ser instalado pode mudar conforme a versão do Linux no<br />
qual a interface será instalada. Verifique o conteúdo do diretório<br />
/mnt/cdrom/br/control_center/ para ver os nomes de todos os pacotes e<br />
selecionar o mais adequado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 33
Utilizando o <strong>Aker</strong> Control Center<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 34
3. Utilizando o <strong>Aker</strong> Control Center<br />
Neste capítulo será mostrado o funcionamento da interface gráfica remota de<br />
administração do <strong>Aker</strong> Firewall.<br />
O que é a administração remota do <strong>Aker</strong> Firewall?<br />
O <strong>Aker</strong> Firewall pode ser totalmente configurado e administrado remotamente a<br />
partir de qualquer máquina que possua um sistema operacional compatível com<br />
uma das versões da interface remota, que tenha TCP/IP e que consiga acessar a<br />
máquina na qual o firewall se encontra. Isto permite um alto grau de flexibilidade e<br />
facilidade de administração, possibilitando que um administrador monitore e<br />
configure vários firewalls a partir de sua estação de trabalho.<br />
Além dessa facilidade, a administração remota permite uma economia de recursos<br />
na medida em que possibilita que a máquina que rode o firewall não possua monitor<br />
e outros periféricos.<br />
Esta comunicação entre a interface remota e os produtos <strong>Aker</strong> é criptografada com<br />
uma chave de 256 bits.<br />
Como funciona a administração remota do <strong>Aker</strong> Firewall?<br />
Para possibilitar a administração remota existe um processo rodando na máquina do<br />
firewall responsável por receber as conexões, validar os usuários e executar as<br />
tarefas solicitadas por estes usuários. Quando um usuário inicia uma sessão de<br />
administração remota, a interface gráfica estabelece uma conexão com o módulo de<br />
administração remota do firewall e mantém esta conexão aberta até que o usuário<br />
finalize a sessão.<br />
Toda a comunicação entre a interface remota e o firewall é feita de maneira segura,<br />
para cada sessão são geradas novas chaves de criptografia e autenticação. Além<br />
disso, são empregadas técnicas de segurança para impedir outros tipos de ataques,<br />
como por exemplo: ataques de repetição de pacotes.<br />
Seguem comentários sobre algumas observações importantes da administração<br />
remota:<br />
Para que a interface remota consiga se conectar ao firewall precisa da adição de<br />
uma regra liberando o acesso TCP para a porta 1020 a partir da máquina que<br />
deseja se conectar. Informações de como fazer isso se encontram no capítulo<br />
intitulado: O Filtro de Estados.<br />
1. Só é possível a abertura de uma conexão de administração remota em um<br />
determinado instante. Se já existir uma interface conectada, pedidos<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 35
subseqüentes de conexão serão recusados e a interface remota informará que já<br />
existe uma sessão ativa.<br />
2. Cada um dos usuários que for utilizar a interface remota deve estar cadastrado<br />
no sistema. O programa de instalação pode criar automaticamente um<br />
administrador com poderes para cadastrar os demais administradores. Caso<br />
tenha eliminado este administrador ou perdido sua senha é necessário o uso do<br />
módulo local da interface gráfica ou da interface texto para criar um novo<br />
administrador. Detalhes de como fazer isso se encontram no capítulo intitulado:<br />
Administrando Usuários do Firewall.<br />
Como utilizar a interface<br />
A interface é bastante simples de ser utilizada, entretanto, existe uma observação<br />
que deve ser comentada:<br />
O botão esquerdo e direito do mouse, tem funções diferentes na interface. O botão<br />
esquerdo é usado para selecionar entradas em uma lista e para clicar em botões. O<br />
botão direito tem como função mostrar um menu de opções para uma determinada<br />
lista.<br />
3.1. Iniciando a interface remota<br />
Para iniciar a execução da interface gráfica remota deve-se executar um dos<br />
seguintes passos:<br />
Em máquinas Windows, clicar no menu Iniciar, selecionar o grupo <strong>Aker</strong>, dentro<br />
deste grupo selecionar o sub-grupo <strong>Aker</strong> Control Center e clicar no ícone <strong>Aker</strong><br />
Control Center 2.<br />
Em Linux deve-se acessar o diretório de instalação do Control Center e executar o<br />
seguinte script 'aker_control_center2_init.sh'.<br />
Será mostrada a seguinte janela:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 36
Figura 2. Interface do <strong>Aker</strong> Control Center.<br />
A janela mostrada acima é a janela principal do <strong>Aker</strong> Firewall e é a partir dela que se<br />
tem acesso a todas as opções de configuração, inclusive da ativação da licença do<br />
Firewall. Sem ativação da licença não será possível realizar as configurações<br />
subseqüentes.<br />
No primeiro acesso os dados referentes à licença aparecem todos em branco e<br />
habilitados para que o Administrador possa carregá-lo. A licença de uso consta em<br />
um arquivo, que após clicar no botão "Carregar", será indicado e assim que<br />
confirmado o carregamento dos dados, a janela será aberta com todos os dados da<br />
licença atual, logo surgirá uma janela confirmando e reiniciar o firewall.<br />
Portanto clique no botão "Carregar", no canto superior direito da interface:<br />
A interface gráfica remota é composta de 4 menus descritos brevemente abaixo<br />
(quando existe um firewall selecionado, um quinto menu é mostrado com opções<br />
específicas para o mesmo):<br />
Opções<br />
O menu Opções contém as configurações relacionadas ao layout da interface<br />
gráfica. Ao clicar neste menu, aparecerão as seguintes opções:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 37
Textos nos botões: marcando esta opção será mostrada juntamente com<br />
cada ícone a ação correspondente do botão. Desmarcando esta opção, será<br />
mostrado apenas o ícone.<br />
Dicas para Entidades: quando esta opção estiver ativada, uma pequena<br />
caixa com a descrição de cada entidade irá aparecer quando o mouse for<br />
passado sobre seu ícone.<br />
Figura 3. Caixa de descrição de entidade.<br />
Ajuda Rápida: esta opção ativa o help contextual automático para cada<br />
janela.<br />
Mostrar ícones nos botões: esta opção, se ativada, faz com que sejam<br />
mostrados ícones nos botões Ok, Cancelar e Aplicar das janelas.<br />
Tempo de sessão ociosa: Permite definir o tempo máximo, em minutos, que<br />
a interface permanecerá conectada ao firewall sem receber nenhum<br />
comando do administrador. Assim que este tempo limite for atingido, a<br />
interface automaticamente será desconectada do firewall, permitindo que<br />
uma nova sessão seja estabelecida. Seu valor pode variar entre 1 e 60. A<br />
caixa "Sem limite" quando estiver marcada não desconectará a interface do<br />
firewall.<br />
Valor padrão: 1 minuto.<br />
Sair: fecha a janela da interface gráfica.<br />
Firewalls<br />
Este menu serve para cadastrar mais firewalls na interface gráfica de modo que<br />
possibilite simultaneamente a administração de diversos <strong>Aker</strong> Firewalls. Com a<br />
interface conectada a mais de um firewall simultaneamente, é possível usar a<br />
facilidade de arrastar e soltar as entidades e regras entre firewalls, de modo a<br />
facilitar a replicação de determinadas configurações entre eles. Este menu será<br />
descrito em detalhes mais abaixo.<br />
Janelas<br />
Este menu possui as funções de configuração das janelas abertas e da barra de<br />
menu.<br />
Barra de ferramentas: esta opção permite definir se a barra de ferramentas na<br />
parte superior da janela principal será mostrada ou não.<br />
Janelas: esta opção permite mostrar ou não as janelas padrão do sistema: ajuda,<br />
firewalls e entidades.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 38
Lado a Lado: selecionando esta opção, as janelas abertas do lado direito da<br />
interface gráfica se ajustam de forma que todas aparecem visíveis.<br />
Cascata: esta opção faz com que as janelas abertas no lado direito da interface<br />
gráfica fiquem posicionadas em forma de cascata, uma na frente da outra.<br />
Inicialmente nem todas as opções dos menus se encontram habilitadas, por<br />
funcionarem apenas quando houver uma conexão estabelecida. Para ter acesso às<br />
demais opções deve estabelecer uma sessão de administração remota com o<br />
firewall que deseja administrar. Para tanto se devem seguir os seguintes passos:<br />
Cadastrar o firewall selecionando o menu Firewalls e a opção Novo Firewall (veja<br />
o item Cadastrando Firewalls logo a seguir)<br />
Selecionar o firewall com o qual deseja-se conectar<br />
Clicar na opção Conectar<br />
Cadastrando Firewalls<br />
Nesta seção demonstraremos como podemos cadastrar um (ou mais) firewalls.<br />
Quando selecionamos a opção Novo Firewall dentro do menu Firewalls ou no ícone<br />
"Criar novo Firewall" aparecerá a seguinte janela. Nessa janela, poderá<br />
escolher o tipo de autenticação desejada. De acordo com cada opção a janela será<br />
alterada, mostrando os campos correspondentes.<br />
Tipo de Autenticação: Usuário/Senha<br />
Figura 4. Caixa de edição do dispositivo remoto.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 39
Modo de demonstração: Ao selecionar essa opção, será criado um firewall de<br />
demonstração com uma configuração padronizada. Nenhuma conexão real será<br />
feita ao tentar se conectar neste firewall, podendo-se criar quantos firewalls de<br />
demonstração for desejado, cada um com a configuração distinta um do outro;<br />
Nome: cadastrar o nome pelo qual o firewall será referenciado na interface gráfica;<br />
Nome da máquina: Caso o servidor do Firewall no qual se deseja conectar possua<br />
um nome associado ao IP da máquina, basta colocar este nome nesta opção para<br />
que o Control Center resolva o DNS automaticamente e se conecte no servidor;<br />
Endereço IPv4 e IPv6: cadastrar o endereço IP para conectar no firewall;<br />
Usuário: esse campo identifica o usuário que acessará o firewall. Este campo grava<br />
o usuário, onde aparecerá todas as vezes que o firewall for acessado.<br />
Senha: a senha do usuário. Caso deixe a caixa Salvar senha marcada, não será<br />
necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como<br />
vários asteriscos "*"). Caso ela esteja desmarcada, este campo estará desabilitado.<br />
A cada 3 tentativas inválidas, o cliente é bloqueado de acessar a Control Center<br />
por 3 minutos. A cada tentativa inválida gera-se um evento "Excesso detentativas<br />
invalidas. IP bloqueado", do módulo "Daemons do Firewall".<br />
No final basta clicar em Ok e o firewall estará cadastrado, como o tipo de<br />
autenticação selecionado. No caso de cancelar o cadastro do firewall, basta clicar<br />
em Cancelar.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 40
Tipo de Autenticação: X.509<br />
Figura 5. Informações requeridas para editar o Dispositivo Remoto.<br />
Essa opção permite autenticação com certificação digital X509.<br />
Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra<br />
o Domínio (C.N) desse certificado.<br />
Ao clicar no ícone<br />
o certificado. O ícone<br />
carrega-se um arquivo com extensão *.cer/*.crt que contém<br />
mostra um resumo das informações do certificado.<br />
Certificado do Usuário: essa opção permite carregar um pacote de certificado no<br />
formato PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado<br />
e outro com a chave. Carrega um certificado com uma senha e a outra senha é para<br />
salvar o arquivo da chave, salvando assim, de forma encriptada.<br />
Senha: Senha com a qual a chave primária foi salva. Se informar (cadastro), decifra<br />
a chave e manda para o firewall fazer a autenticação. Caso deixe a caixa Salvar<br />
senha marcada, não será necessário digitar a senha quando fizer a conexão (a<br />
senha aparecerá na tela como vários asteriscos "*"). Caso ela esteja desmarcada,<br />
este campo estará desabilitado.<br />
Alterar Senha: Altera a senha cadastrada no campo senha.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 41
Tipo de Autenticação: Agente externo usuário/senha<br />
Figura 6. Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo Remoto.<br />
Essa opção permite autenticação por meio de Agentes Externos.<br />
Usuário: O usuário que acessará o firewall. Este campo grava o usuário, onde<br />
aparecerá todas as vezes que o firewall for acessado.<br />
Domínio: Nome do domínio no qual o agente externo está rodando<br />
Senha: A senha do usuário. Caso deixe a caixa Salvar Senha marcada, não será<br />
necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como<br />
vários asteriscos "*"). Caso ela esteja desmarcada, este campo estará desabilitado.<br />
Fingerprint: É um resumo da identificação do certificado digital do Firewall. Essa<br />
opção possibilita ao usuário identificar quando tem uma mudança do firewall que se<br />
costuma conectar.<br />
Observação: Na primeira vez que há a tentativa da conexão não haverá a<br />
identificação do firewall. A partir da segunda vez todas às vezes que é conectado<br />
vai comparar com o fingerprint.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 42
Eraser Fingerprint: Zera e começa do estado inicial. Se há uma troca do Firewall a<br />
identificação será diferente, então não será possível a conexão, somente se clicar<br />
no erase fingerprint.<br />
Depois de cadastrarmos o firewall, pode-se clicar duas vezes no ícone do firewall<br />
criado, no lado esquerdo da janela, ou clicar uma vez para selecioná-lo e, em<br />
seguida, no botão Conectar que fará com que a interface se conecte ao<br />
firewall escolhido, como mostrado na figura abaixo:<br />
Figura 7. Interface conectada ao Firewall escolhido.<br />
Caso não seja possível estabelecer a sessão de administração, será mostrada uma<br />
janela com o erro que impossibilitou sua abertura. Neste caso, existem várias<br />
mensagens possíveis. Abaixo estão listadas as mensagens de erro mais comuns:<br />
<strong>Aker</strong> já sendo utilizado por outra interface<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 43
O <strong>Aker</strong> Firewall só permite a existência de uma sessão de administração em um<br />
determinado instante. Se esta mensagem for mostrada, significa que já existe uma<br />
outra interface remota conectada ou um módulo de administração local sendo<br />
utilizado.<br />
Erro de rede ou conexão encerrada pelo servidor<br />
Este é um erro genérico e pode ter uma série de causas. A sua causa mais comum<br />
é um erro na digitação do login ou da senha. Se o login do usuário não estiver<br />
cadastrado ou sua senha estiver errada, o servidor encerrará a conexão. Verifique<br />
primeiramente se o seu login e sua senha foram digitados corretamente. Caso o<br />
erro continue, siga a seguinte seqüência de passos:<br />
1. Verifique se o usuário que está tentando se conectar está cadastrado no sistema<br />
e se a sua senha está correta (para fazer isso, utilize o módulo local de<br />
administração de usuários. Veja o capítulo intitulado Administrando usuários do<br />
firewall).<br />
2. Verifique se a rede está funcionando corretamente. É possível fazer isso de<br />
várias formas, uma delas é utilizando o comando ping. (Não se esqueça de<br />
acrescentar uma regra liberando os serviços ICMP “echo request” e “echo reply”<br />
para a máquina que se está testando em direção ao firewall, caso vá utilizar o<br />
ping. Para aprender como fazer isso, veja o capítulo intitulado O Filtro de<br />
Estados). Se isso não funcionar, então a rede está com problemas de<br />
conectividade e isto deve ser corrigido antes de tentar a administração remota.<br />
Caso funcione, veja o passo 3.<br />
3. Verifique se existe uma regra cadastrada liberando o acesso a partir da máquina<br />
que queira conectar ao firewall, utilizando o serviço <strong>Aker</strong> (TCP, porta 1020).<br />
Caso não exista, insira esta regra (para aprender como fazer isso, veja o capítulo<br />
intitulado O Filtro de Estados).<br />
3.2. Finalizando a administração remota<br />
Existem três formas de finalizar a administração remota do <strong>Aker</strong> Firewall:<br />
Finalizando a sessão clicando com o botão direito do mouse no firewall conectado e<br />
selecionando Desconectar do dispositivo remoto;<br />
Figura 8. Finalizador de administração remota do <strong>Aker</strong> Firewall (Desconectar do dispositivo remoto).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 44
Clicando em Desconectar do firewall na barra de ferramentas ou<br />
Fechando a interface gráfica remota. Neste caso você perderá a conexão com todos<br />
os firewalls que estiverem conectados.<br />
Caso queira sair do programa, deve-se clicar no botão Sair na barra de<br />
ferramentas da janela principal ou clicar no "x" no canto superior direito da janela.<br />
3.3. Mudando sua senha de usuário<br />
É possível para qualquer usuário do <strong>Aker</strong> Firewall alterar a sua senha sempre que<br />
desejado. Para tanto deve-se primeiro estabelecer uma sessão de administração<br />
(como mostrado no tópico Iniciando a interface remota) e após isso executar os<br />
seguintes passos:<br />
Figura 9. Dispositivos remotos (realizar mudança de senha).<br />
Selecionar o firewall a ser configurado.<br />
Clicar em Ferramentas.<br />
Clicar duas vezes em Mudar senha.<br />
Será mostrada então a seguinte janela:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 45
Figura 10. Mudar Senha (inserir senha antiga, a nova senha e confirmação da mesma).<br />
Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos<br />
campos Nova senha e Confirmar a nova senha (as senhas aparecerão na tela<br />
como vários asteriscos "*").<br />
Após preencher os campos, deve-se pressionar o botão OK, para alterar a senha ou<br />
o botão Cancelar, caso não queira mudá-la.<br />
Os campos Senha antiga, Nova Senha e Confirmar senha, devem conter de 6<br />
a 14 caracteres.<br />
3.4. Visualizando informação de sessão<br />
É possível a qualquer momento visualizar algumas informações sobre a sessão de<br />
administração ativa. Para isso existe uma janela específica que mostra informações<br />
úteis como: login, nome e direitos do usuário que está administrando o firewall e a<br />
versão e o release do <strong>Aker</strong> Firewall que estiver sendo administrado. São mostradas<br />
também a hora de início da conexão e há quanto tempo ela está ativa. Para abrir<br />
esta janela, execute os seguintes passos:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 46
Figura 11. Dispositivos remotos (visualizar informações da sessão).<br />
Selecionar o firewall a ser configurado.<br />
Clicar em Informação.<br />
Clicar duas vezes em Informação de sessão.<br />
Será mostrada então a seguinte janela:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 47
Figura 12. Informação da sessão (mostra dados do Firewall, Licença e Usuário).<br />
3.5. Utilizando a ajuda on-line e a Ajuda-Rápida<br />
O <strong>Aker</strong> Firewall possui uma ajuda on-line bastante completa. Ela é mostrada em<br />
uma janela ao final da interface gráfica. Esta janela pode ser escondida ou<br />
mostrada, sendo possível escolher qual das duas formas através do menu Janelas,<br />
Sub-menu Janelas, opção Ajuda.<br />
A ajuda on-line consiste no conteúdo deste manual mostrado de forma sensível ao<br />
contexto em relação à janela de configuração do firewall ativa, ou seja, será<br />
mostrada a parte do manual que seja relevante para a janela que esteja<br />
configurando.<br />
A Ajuda - Rápida consiste em uma breve explicação sobre cada um dos itens dos<br />
menus de configuração. Esta explicação é mostrada em uma pequena janela,<br />
abaixo dos menus, como destacado abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 48
Figura 13. Apresentação da janela de ajuda.<br />
É possível mostrar ou esconder a Ajuda-Rápida, bastando clicar na opção Ajuda<br />
Rápida do menu Opções.<br />
3.6. Utilizando as ferramentas da Interface Gráfica<br />
O que são as ferramentas da interface gráfica do <strong>Aker</strong> Firewall?<br />
As ferramentas são um conjunto de utilitários presentes apenas na interface gráfica<br />
do <strong>Aker</strong> Firewall. Elas servem para facilitar a administração do firewall, provendo<br />
uma série de funções bastante úteis no dia-a-dia.<br />
3.7. Chaves de Ativação<br />
Esta opção permite atualizar a chave de ativação do <strong>Aker</strong> Firewall e dos demais<br />
produtos que possam estar instalados juntos: Antivírus, Spam Meter, Secure<br />
Roaming e Web Content Analyzer.<br />
Para visualizar ou atualizar a licença, deve-se:<br />
Clicar no botão Licença na barra de tarefas do firewall que estiver conectado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 49
A janela de ativação de licença<br />
Figura 14. Informações sobre ativação de licenças.<br />
Esta janela é apenas informativa. Nela são mostrados todos os produtos que estão<br />
instalados junto com o firewall e os dados referentes à licença de cada um deles.<br />
Entre estes dados pode-se verificar a data de expiração, número de licenças, ID e a<br />
data de expiração do IDS e etc, para cada produto.<br />
Caso se deseje inserir uma nova licença, deve-se clicar no botão Carregar,<br />
localizado na barra de tarefas. Esta opção abrirá um diálogo onde se pode<br />
especificar o arquivo de onde a nova chave será carregada. No caso do Firewall<br />
Box, caso exista mais de um produto instalado junto com o firewall, as chaves dos<br />
produtos adicionais também serão atualizadas.<br />
Da versão 6.0 do <strong>Aker</strong> Firewall em diante não é mais possível atualizar as<br />
chaves de ativação do firewall digitando-as, apenas carregando-as a partir do<br />
arquivo enviado pela <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> ou um de seus representantes<br />
autorizados.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 50
3.8. Salvar configurações (backup)<br />
Esta opção permite salvar a configuração completa do firewall na máquina onde<br />
está administrando. No caso de algum desastre, pode-se facilmente restaurar esta<br />
configuração posteriormente.<br />
Para salvar as configurações conecte em um dispositivo remoto e clique no ícone<br />
(Salvar um backup do item selecionado):<br />
Figura 15. Salvar um backup do item selecionado.<br />
Realizar o download das configurações personalizadas e bases de treinamento dos<br />
produtos:<br />
Figura 16. <strong>Download</strong> das configurações personalizadas e bases de treinamento.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 51
Figura 17. Backup Informações de log.<br />
A janela para salvar configurações:<br />
Figura 18. Tela de escolha de arquivo para salvar configurações.<br />
Após digitar o nome do arquivo salvo, deve-se clicar no botão Salvar. Caso não<br />
queira mais gravar a cópia de segurança, deve-se clicar no botão Cancelar.<br />
Esta opção permite restaurar a cópia de segurança da configuração completa do<br />
firewall realizada através da opção anterior.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 52
Salvar o backup automaticamente<br />
Através da configuração a seguir é salvo um backup completo do dispositivo remoto<br />
todas as vezes que se conectar ao mesmo automaticamente, para ativa-la selecione<br />
a opção “Salvar o backup automaticamente” conforme figura a seguir:<br />
Figura 19. Salvar o backup automaticamente.<br />
O local onde os backups ficaram salvos é na pasta de instalação do <strong>Aker</strong> Control<br />
Center.<br />
3.9. Restaurar configurações<br />
Para restaurar uma cópia de segurança, deve-se:<br />
Figura 20. Botões para restauração de backup.<br />
Clicar no firewall para o qual será carregada a cópia de segurança.<br />
Selecionar o item Carregar configurações na barra de ferramentas ou no menu<br />
com o nome do firewall selecionado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 53
A janela para carregar configurações:<br />
Figura 21. Escolha de arquivo para carregar dados de configuração.<br />
Esta janela permite escolher o nome do arquivo de onde a configuração será<br />
restaurada. Após seu nome ser especificado, o firewall lerá todo seu conteúdo, fará<br />
vários testes de consistência e se o seu conteúdo estiver válido será carregado.<br />
O botão Abrir fará com que a cópia seja carregada e a configuração do firewall<br />
imediatamente atualizada.<br />
O Botão Cancelar fará com que a janela seja fechada, porém a cópia de<br />
segurança não seja carregada.<br />
É possível escolher, no momento da restauração do backup escolher quais<br />
configurações serão aplicadas no produto, agrupadas por similaridade.<br />
Exemplo:<br />
Regras;<br />
Licença;<br />
Certificados;<br />
Base de dados temporárias;<br />
TCP/IP;<br />
Perfis de acesso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 54
Sendo possível seleciona-las nas janelas a seguir:<br />
Figura 22. Restauração do backup do Antivirus Module.<br />
Figura 23. Restauração do backup do <strong>Aker</strong> Firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 55
Figura 24. Restauração do backup do Spam Meter.<br />
Figura 25. Restauração do backup do Web Content Analyzer.<br />
Será exibida a versão do sistema quando da geração do backup e alertas podem<br />
ser exibidos em caso de incompatibilidade.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 56
3.10. Reinicializar Firewall<br />
Esta opção serve para reinicializar o firewall, porém não deve ser utilizada em<br />
condições normais de operação. A única operação que exige a reinicialização do<br />
firewall é a carga de um algoritmo de criptografia externo.<br />
Para reinicializar o firewall basta:<br />
Figura 26. Reiniciar o Firewall.<br />
Selecionar o firewall a ser reinicializado<br />
Selecionar o item Reiniciar Firewall no menu com a opção Ações do firewall.<br />
3.11. Atualizações<br />
O que são atualizações e onde consegui-las?<br />
Como todo software, o <strong>Aker</strong> Firewall pode eventualmente apresentar bugs em seu<br />
funcionamento. À medida em que estes problemas são resolvidos, a <strong>Aker</strong> produz<br />
um arquivo que permite a atualização de seu <strong>Aker</strong> Firewall e a eliminação destes<br />
erros. Algumas vezes também são adicionadas determinadas características novas<br />
em uma versão já existente, de modo a aumentar sua performance ou aumentar sua<br />
flexibilidade.<br />
Em ambos os casos, os arquivos de atualização ou correção são disponibilizados de<br />
forma gratuita no site da <strong>Aker</strong>: basta procurar o menu <strong>Download</strong> e selecionar a<br />
opção Correções e Atualizações. Estes arquivos são sempre cumulativos, ou seja, é<br />
necessário apenas baixar a última versão disponível e esta incluirá as correções<br />
presentes nos arquivos de correção/atualização anteriores.<br />
A janela de atualizações<br />
Esta opção permite aplicar uma atualização ou correção do <strong>Aker</strong> Firewall<br />
remotamente, através da interface gráfica. É possível também atualizar<br />
completamente a versão do produto.<br />
Para ter acesso à janela de atualizações deve-se clicar no ícone localizado na<br />
barra de ferramentas, automaticamente a janela será aberta, para que sejam<br />
escolhidas as atualizações a serem aplicadas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 57
Aba Patch<br />
Essa janela se divide em duas abas: Atualização e Histórico, conforme explicadas<br />
a baixo:<br />
Figura 27. Sistema de atualização de dados do Firewall.<br />
Por meio dessa janela é possível visualizar o status atual das<br />
atualizações/correções aplicadas no Web Gateway. Caso se trate de cluster a janela<br />
apresentará as informações das máquinas que o compõem. Possui os seguintes<br />
campos:<br />
Id: Refere-se à identificação das máquinas que compõe o cluster.<br />
Nome: Refere-se ao apelido atribuído às máquinas.<br />
Restauração: Este campo informa se a última atualização aplicada pode ser<br />
desfeita.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 58
As atualizações aplicadas por meio dos Patches e dos Hotfixes são alterações que<br />
podem ser desfeitas. Essa opção permite desfazer a última atualização aplicada na<br />
máquina, seja hotfix ou patch. Deve-se observar que as alterações são desfeitas<br />
uma por uma, ou seja, se a versão já estiver no Patch 3, e deseja-se voltar a versão<br />
inicial, deve ser desfeito o patch 3, depois o patch 2, e assim por diante.<br />
Última atualização: Identificação do último patch aplicado no membro do cluster.<br />
Hotfixes: Lista de hotfixes aplicados dentro do patch. Nessa lista, mostra a ordem<br />
direta de aplicação dos hotfixes.<br />
O hotfix é uma pequena atualização ou correção feita para um patch específico.<br />
Pode ser aplicado independente da ordem, o que não acontece com o patch, que<br />
deve ser aplicado na ordem seqüencial de atualização.<br />
Caso a atualização ou correção sejam destinadas a uma versão diferente de<br />
sistema operacional ou de versão do <strong>Aker</strong> Web Gateway, então o botão Aplicar<br />
ficará desabilitado, não permitindo sua aplicação.<br />
Para carregar um arquivo de atualização ou correção deve-se clicar no ícone<br />
que se encontra na barra de ferramentas. Com isso é aberta uma janela, que<br />
permite carregar um arquivo de atualização do patch ou do hotfix, conforme mostra<br />
a figura abaixo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 59
Figura 28. Escolha do arquivo para atualização ou correção.<br />
Para aplicar o arquivo de atualização/correção, deve-se primeiramente selecionar<br />
uma máquina na aba Patch, e logo em seguida clicar no ícone<br />
ou o hotfix seja aplicado.<br />
para que o patch<br />
Caso queira aplicar o rollback, pelo menos uma máquina deve ser selecionada na<br />
aba Patch, e logo em seguida deve-se clicar no ícone , sendo que essas<br />
alterações serão desfeitas uma a uma, na sequência que foram atualizadas.<br />
Para aplicar rollback em mais de uma máquina ao mesmo tempo, as mesmas<br />
devem estar com a mesma atualização, por exemplo: todas estão com a versão<br />
patch 3, e quer voltar para o patch 1.<br />
Aba Histórico<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 60
Figura 29. Visualização de históricos de aplicação de patches e hotfixes.<br />
Essa aba permite, visualizar todo o histórico das aplicações dos patches e hotfixes.<br />
A aba é composta dos seguintes campos:<br />
ID: Mostra a identificação da máquina de onde foi feita a atualização.<br />
Usuário: Indica o usuário que aplicou a atualização.<br />
Restauração: Indica se pode ser ou não desfeito a atualização.<br />
<strong>Data</strong>: Indica a data que foi feita alguma aplicação de patch ou hotfix.<br />
A expressão "Versão Corrente" significa que não foi aplicado nenhuma patch.<br />
Observação: Ao clicar no botão OK, o Patch ou o Hotfix não são aplicados,<br />
somente é fechada a janela.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 61
3.12. Módulo de atualização automática – <strong>Aker</strong> Update System (AUS)<br />
O <strong>Aker</strong> Update System tem como função disponibilizar os pacotes de atualização de<br />
todos os produtos da <strong>Aker</strong> no diretório do Control Center. O sistema funciona de<br />
forma inteligente, onde ele trará somente a última versão para pacotes integrados<br />
com o Control Center, os últimos patchs e hotfix.<br />
Acesso as janelas de configuração<br />
Existem 3 formas de configurar o Módulo de Atualização:<br />
Primeira opção:<br />
Selecionar o produto <strong>Aker</strong> desejado;<br />
Figura 30. Acessando o <strong>Aker</strong> Firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 62
Caso tenha atualização disponível, aparecerá a seguinte notificação no canto direito<br />
inferior da tela do Control Center: “Atualizações prontas”.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 63
Figura 31. Notificação sobre atualizações disponíveis no <strong>Aker</strong> Update System.<br />
Clicar com o botão esquerdo do mouse sobre a mensagem e aparecerá a tela<br />
“Notificador de Instalação de Atualizações”. Deve-se escolher individualmente<br />
as atualizações a serem instaladas e clicar no botão “OK”.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 64
Figura 32. Visualizando atualizações disponíveis através do <strong>Aker</strong> Update System.<br />
Em seguida aparecerá a seguinte tela: “Sistema de Atualização”. Onde na parte<br />
de Patch e possível assinalar os itens ao qual deseja se aplicar as mudanças (na<br />
parte descrição é possível saber o que cada uma corresponde) e informações sobre<br />
o pacth . Basta escolher a opção desejada e clicar em “OK”. A atualização será<br />
realizada automaticamente, caso queria realizar mais de uma, deve-se repetir o<br />
procedimento acima.<br />
Segunda opção:<br />
Selecionar o produto <strong>Aker</strong> desejado;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 65
Figura 33. Acessando o <strong>Aker</strong> Firewall.<br />
Clicar com o mouse no botão de “Atualizações” localizados do canto inferior direito<br />
da tela da Control Center e escolher uma das duas opções: “Atualizações para<br />
instalar” ou “Atualizações para baixar”.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 66
Figura 34. Acessando as janelas do <strong>Aker</strong> Update System.<br />
Terceira opção<br />
Selecionar o produto <strong>Aker</strong> desejado;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 67
Figura 35. Acessando o <strong>Aker</strong> Firewall.<br />
Clicar no ícone “Ajuda” e escolher uma das três opções:<br />
“Configuração de Atualização Automática”: as atualizações serão realizadas<br />
constantemente conforme tempo estipulado;<br />
“Janelas de Atualizações”: tem a opção de abrir as “Janelas de <strong>Download</strong>” ou<br />
“Janelas de Instalação”.<br />
“Realizar a busca por atualizações”:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 68
Figura 36. Acessando as janelas do <strong>Aker</strong> Update System.<br />
3.13. DNS Reverso<br />
DNS reverso é utilizado para resolver nomes de máquinas a partir de endereços IP.<br />
A janela de resolução de DNS reverso do <strong>Aker</strong> Firewall serve para prover resolução<br />
de endereços sem a necessidade de utilização de programas adicionais.<br />
Para ter acesso a janela de resolução de DNS reverso, deve-se:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 69
Figura 37. Janela de DNS reverso.<br />
Clicar no menu Ferramentas da janela de administração do firewall.<br />
Selecionar o item DNS Reverso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 70
A janela de resolução de DNS reverso<br />
Figura 38. DNS reverso.<br />
Esta janela consiste de um campo para digitar o endereço IP que deseja resolver e<br />
uma lista com os endereços IP já resolvidos anteriormente.<br />
O botão OK fará com que a janela seja fechada.<br />
A opção Mostrar todos se estiver marcada, fará com que sejam mostrados<br />
todos os endereços já resolvidos na lista na parte inferior da janela.<br />
Para resolver um endereço, deve-se digitá-lo no campo e pressionar o botão DNS<br />
Reverso. Neste momento o endereço será mostrado na lista na parte inferior da<br />
janela, junto com o status da resolução. Após algum tempo, será mostrado o nome<br />
da máquina correspondente ao endereço ou uma indicação de que o endereço<br />
informado não possui DNS reverso configurado.<br />
3.14. Simulação de Regras de Filtragem<br />
As varreduras de regras permitem ao administrador testar a configuração das regras<br />
de filtragem do firewall através de uma simulação de tentativas de conexões. Ao<br />
analisar o resultado desta simulação, é possível verificar se o firewall está realmente<br />
bloqueando as conexões que não devem ser aceitas e permitindo a passagem das<br />
que devem.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 71
Para ter acesso a janela de varreduras, deve-se:<br />
Figura 39. Janela de acesso a Simulação de Regras de Filtragem.<br />
Clicar no menu Ferramentas da janela de administração do firewall.<br />
Selecionar o item Simulação de regras de filtragem.<br />
A janela de varredura de regras<br />
É possível alternar entre a varredura por endereços IP ou por entidades. A<br />
varredura por entidades é útil quando já tem cadastradas no sistema todas as<br />
máquinas, redes e serviços que serão utilizados. A varredura por IP é mais indicada<br />
quando deseja utilizar máquinas, redes ou serviços que não estão cadastrados e<br />
que não deseja cadastrar (por exemplo, máquinas externas que não serão utilizadas<br />
em nenhuma regra de filtragem).<br />
É possível selecionar para origem, destino e serviços, independentemente, se<br />
devem ser utilizadas entidades ou não. Para alternar entre os dois modos de<br />
operação basta clicar nos ícones correspondentes à esquerda de cada um destes<br />
campos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 72
Varredura por IP<br />
Quando a opção Varrer por IP estiver selecionada, a janela de varreduras terá o<br />
seguinte formato:<br />
Figura 40. Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e máscaras).<br />
Os campos IP e Máscara, dentro de Origem do Pacote, permitem especificar a faixa<br />
de máquinas a serem utilizadas como origem das conexões simuladas. Os campos<br />
IP e Máscara, dentro de Destino do Pacote especificam a faixa de máquinas a<br />
serem utilizadas como destino.<br />
O campo Serviço permite especificar o protocolo e a faixa de portas a serem<br />
simuladas.<br />
No caso dos protocolos TCP e UDP, os valores dos serviços são as portas<br />
destino; no caso do ICMP são o tipo de serviço e no caso de outros protocolos o<br />
valor do protocolo.<br />
O campo Dia/Hora permite que o administrador teste as regras para uma<br />
determinada hora e dia da semana.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 73
Varredura por Entidades<br />
Quando a opção Varrer por Entidades estiver selecionada, a janela de varreduras<br />
terá o seguinte formato:<br />
Figura 41. Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e entidade).<br />
O campo Origem do pacote permite especificar a entidade que será usada na<br />
origem das conexões simuladas.<br />
O campo Destino do pacote especifica para qual entidade as conexões simuladas<br />
devem se dirigir.<br />
O campo Serviço permite especificar o protocolo e a faixa de portas a serem<br />
simuladas, através de uma entidade.<br />
O campo Dia/Hora permite que o administrador teste as regras para uma<br />
determinada hora e dia da semana.<br />
Só é possível selecionar uma entidade como origem, uma como destino e um<br />
serviço.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 74
3.15. Relatórios<br />
Esta opção possibilita que o administrador imprima um relatório de toda (ou de<br />
parte) da configuração do firewall de forma fácil e rápida. Este relatório é bastante<br />
útil para fins de documentação ou de análise da configuração.<br />
Para ter acesso a janela de relatórios basta:<br />
Clicar no firewall para o qual se deseja gerar o relatório.<br />
Selecionar a opção Ações na barra de ferramentas do firewall.<br />
A janela Relatório<br />
Figura 42. Relatório de configuração do firewall.<br />
Esta janela consiste de várias opções distintas, uma para cada parte da<br />
configuração do firewall, que podem ser selecionadas independentemente. Para<br />
gerar um relatório, deve-se proceder da seguinte forma:<br />
1. Marcar os itens que se deseja imprimir.<br />
2. Clicar no botão Procurar e escolha o diretório onde irão ser armazenadas as<br />
páginas html.<br />
3. Abrir o diretório e selecionar o arquivo html para imprimir seu relatório.<br />
Caso queira cancelar a emissão do relatório, basta clicar no botão Cancelar.<br />
3.16. Busca de Entidades<br />
Esta opção permite que localize entidades que contenham um determinado<br />
endereço IP, interface ou serviço, bem como regras que contenham uma<br />
determinada entidade.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 75
Para ter acesso à janela de localização de entidades deve-se:<br />
Figura 43. Janela de acesso a Busca de Entidades.<br />
Clicar no menu Ferramentas da janela de administração do firewall.<br />
Selecionar o item Busca de entidade.<br />
A janela de localização de entidades<br />
Esta janela consiste de três abas onde cada uma é responsável por um tipo de<br />
pesquisa diferente:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 76
Aba Entidade<br />
Figura 44. Busca de Entidades (procura de entidade com IP ou nome e últimos resultados).<br />
Esta aba permite localizar entidades pelo endereço IP informado ou pelo seu nome.<br />
Procurar: inicia a busca a partir dos dados informados.<br />
Fechar: fecha a janela de localização de entidades.<br />
Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como<br />
resultado da pesquisa, a janela de edição correspondente será aberta,<br />
possibilitando que se edite seus valores rapidamente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 77
Aba Serviço<br />
Figura 45. Busca de Entidades - serviços.<br />
Esta aba permite localizar entidades do tipo serviço que contenham o protocolo e o<br />
serviço especificados.<br />
Procurar: inicia a busca a partir dos dados informados.<br />
Fechar: fecha a janela de localização de entidades.<br />
Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como<br />
resultado da pesquisa, a janela de edição correspondente será aberta,<br />
possibilitando que se edite seus valores rapidamente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 78
Aba Regras<br />
Figura 46. Busca de Entidades - regras.<br />
Esta aba permite localizar a regra que a entidade pertence.<br />
Procurar: Este campo permite inicializar a busca a partir dos dados informados.<br />
Fechar: Este campo permite fechar a janela de localização de entidades.<br />
Nesta aba serão carregadas apenas as entidades do tipo Máquina, Rede, Conjunto<br />
e Serviço.<br />
Entidade: Ao selecionar uma entidade, uma busca será realizada retornando o<br />
número da regra a qual a entidade pertence. As regras podem ser: Regras VPN,<br />
Regras de NAT, Regras de filtragem ou Regras de Filtragem dentro dos Perfis,<br />
se a entidade procurada for do tipo Rede ou Máquina é iniciada uma busca para<br />
saber se ela está presente em alguma entidade do tipo Conjunto. Caso esteja, as<br />
regras que contém essa entidade Conjunto e os tipos relacionados a ela, serão<br />
mostradas e impressas no resultado da busca, e conseqüentemente, as regras<br />
que contiverem estes conjuntos também serão mostradas.<br />
Ao clicar duas vezes sobre uma entidade ou regra, mostrada como resultado da<br />
pesquisa (Entidades de Conjunto, Regras de Filtragem, Regras de NAT, Regra VPN<br />
e Perfil) a janela de edição correspondente será aberta, possibilitando editar os seus<br />
valores rapidamente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 79
3.17. Janela de Alarmes<br />
Esta opção permite visualizar os alarmes gerados pelo firewall, quando esta opção<br />
estiver marcada nas regras de filtragem ou na janela de ações.<br />
Para ter acesso à janela de alarmes deve-se:<br />
Figura 47. Janela de acesso: Janela de Alarmes.<br />
Clicar no menu Ferramentas da janela de administração do firewall.<br />
Selecionar o item Janela de alarmes.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 80
A janela de alarmes<br />
Figura 48. Janela de Alarmes - descrição.<br />
Esta janela consiste de um campo de descrição com as entradas correspondentes a<br />
ação executada pela regra de filtragem.<br />
O botão Fechar fará com que a janela seja fechada.<br />
A opção Não mostrar essa janela automaticamente, se estiver marcada, fará<br />
com que a janela não seja mostrada automaticamente quando ocorrer um<br />
evento.<br />
O botão Salvar grava as entradas em um arquivo de log do tipo texto.<br />
O botão Apagar limpa todas as entradas contidas na janela.<br />
3.18. Visualizando a rede graficamente<br />
O firewall dispõe de um prático sistema para visualizar a rede onde ele se insere de<br />
forma gráfica. Para ter acesso à janela de visualização gráfica da rede, deve-se:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 81
Figura 49. Janela de acesso - Mapa da Rede.<br />
Clicar no menu Informação da janela de administração do firewall.<br />
Selecionar o item Mapa de Rede.<br />
A janela a seguir aparecerá:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 82
Figura 50. Mapa da Rede.<br />
O primeiro item representa o firewall, conectado as suas interfaces de rede. A cada<br />
interface, conectam-se uma ou mais redes e roteadores, que se conectam a mais<br />
redes distantes. Clicando em uma rede com o botão direito do mouse, aparecerá um<br />
menu listando as entidades que fazem parte da mesma, possibilitando ao usuário<br />
editá-las.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 83
3.19. Visualizando estatísticas do sistema<br />
A janela de estatísticas do sistema possui informações sobre uso do processador e<br />
uso de memória do sistema. Para ter acesso à essa janela, deve-se:<br />
Figura 51. Janela de acesso - Estatísticas do Sistema.<br />
Clicar no menu Informação da janela de administração do firewall.<br />
Selecionar o item Estatísticas do Sistema.<br />
A janela a seguir aparecerá:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 84
Figura 52. Estatísticas do Sistema.<br />
Na parte superior da janela são mostradas as informações de uso do CPU. Essas<br />
informações estão dividas em três partes: porcentagem ociosa, porcentagem<br />
dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo<br />
usuário. A parte inferior da janela mostra a situação da memória do sistema em<br />
Megabytes. Também está divida em três partes: quantidade de memória livre,<br />
quantidade de memória sendo usada e quantidade de memória armazenando<br />
informações em forma de cache.<br />
A quantidade de memória não afeta de forma significativa a performance do<br />
firewall. Entretanto, pode ocorrer queda de desempenho se o sistema possuir área<br />
de memória swap e estiver fazendo muito uso dessa, o que irá afetar apenas os<br />
proxies.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 85
É importante observar que a memória cache não é considerada memória usada. Ela<br />
é acessada apenas quando o sistema precisa reabrir um programa. Caso esse<br />
programa ainda esteja em cache, a reabertura será mais rápida. Porém, se o sistema<br />
precisar de uma quantidade maior de memória livre, a área usada para cache é<br />
liberada.<br />
3.20. Utilizando a janela de Sniffer de Pacotes<br />
A janela de Sniffer do <strong>Aker</strong> Firewall permite ao administrador capturar pacotes de<br />
uma ou mais conexões que estiverem trafegando pelo firewall. A grande vantagem<br />
deste sniffer em relação à utilização de um tradicional é que é possível capturar<br />
pacotes em vários pontos distintos dentro de uma interface: é possível ver os<br />
pacotes como eles são recebidos (i.e., cifrados e com endereços convertidos) ou<br />
exatamente antes ou depois da filtragem, o que faz com que sejam mostrados em<br />
claro e com os endereços reais.<br />
Para ter acesso à janela de sniffer deve-se:<br />
Figura 53. Acesso a janela: Sniffer de Pacotes.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 86
Clicar no menu Ferramentas da janela de administração do firewall.<br />
Selecionar o item Sniffer de Pacotes.<br />
A janela de Sniffer de Pacotes<br />
Figura 54. Sniffer de Pacotes – Sniffer 1.<br />
Esta janela consiste de várias abas. Cada uma das abas permite a captura de<br />
tráfego em uma interface distinta ou em pontos diferentes de uma mesma interface.<br />
Para criar novas abas com sniffer deve-se clicar na última aba onde aparece o texto<br />
Novo sniffer.<br />
Para iniciar a captura, deve-se preencher os seguintes campos:<br />
Onde capturar: Definir o ponto onde a captura deve ser realizada. As seguintes<br />
opções estão disponíveis:<br />
Interface física: Definir que a captura deve ser feita exatamente como os pacotes<br />
são recebidos pelo firewall<br />
Antes da filtragem: Definir que os pacotes devem ser capturados imediatamente<br />
antes de serem filtrados, i.e., após serem decriptados e terem seus endereços<br />
convertidos, se for o caso.<br />
Após filtragem: Definir que a captura será feita apenas dos pacotes que passarem<br />
pela filtragem e eles serão vistos decriptados e com seus endereços convertidos, se<br />
for o caso.<br />
Interface física: Definir qual a interface que será utilizada para capturar os pacotes<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 87
Filtro: Este campo serve para definir o filtro que será utilizado na captura dos<br />
pacotes. O objetivo deste filtro é limitar os pacotes recebidos somente ao que<br />
interessa. Caso ele esteja em branco todos os pacotes serão capturados. A sintaxe<br />
do filtro é a mesma usada no popular programa tcpdump e todas suas opções são<br />
suportadas. Um resumo das principais opções que podem ser utilizadas no filtro é:<br />
dir<br />
Indica a direção em que a transferência ocorrerá, para e/ou do identificador. As<br />
direções possíveis são src, dst, src or dst e src and dst.<br />
Exemplos:<br />
``src foo''<br />
``dst net 128.3''<br />
''src or dst port ftp-data''<br />
proto<br />
Qualificador restrito a estipular um tipo particular de protocolo. As opções existentes<br />
de protocolo são:<br />
ether, ip, arp, rarp, tcp e udp.<br />
Exemplos:<br />
``ether src foo''<br />
``arp net 128.3''<br />
``tcp port 21''<br />
Se não estipulado, todos os protocolos existentes em opção serão assumidos.<br />
port port<br />
Captura pacotes com a porta de origem ou de destino do pacote igual a port. Todas<br />
as expressões de porta podem ser precedidas de tcp ou udp, assim:<br />
tcp src port port<br />
Capturar apenas pacotes tcp com porta de origem port.<br />
O botão Travar seleção se estiver selecionado faz com que o pacote selecionado<br />
fique sempre visível na janela de captura.<br />
O botão Iniciar captura inicia a captura de pacotes, porém envia o resultado<br />
apenas para a janela.<br />
O botão Capturar em arquivo inicia a captura de pacotes e grava os dados no<br />
arquivo especificado. Este arquivo pode posteriormente ser aberto pela maioria dos<br />
Sniffers tradicionais disponíveis no mercado.<br />
O botão OK encerra a captura e fecha a janela. Caso tenha capturado para um<br />
arquivo, ele estará disponível.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 88
3.21. Visualizando o Estado dos Agentes Externos<br />
A janela de estado dos agentes externos é puramente informativa e serve para<br />
indicar ao administrador o estado dos Agentes Externos. Isso é muito útil quando se<br />
quer configurar um novo agente externo ou para detectar a ocorrência de possíveis<br />
problemas.<br />
Para ter acesso à janela de estado dos agentes externos deve-se:<br />
Figura 55. Janela de acesso: Agentes Externos.<br />
Clicar no menu Informação da janela de administração do firewall.<br />
Selecionar o item Agentes Externos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 89
A janela de agentes externos<br />
Figura 56. Agentes Externos (nome, tipo e status).<br />
Esta janela consiste de uma lista com o nome de todos os agentes extenos ativos<br />
que sejam um dos seguintes tipos: Agentes de Antivírus, Agentes IDS,<br />
Analisadores de URL, Autenticadores (Usuário/Senha, Token, RADIUS e LDAP),<br />
Servidores de Log e SpamMeter.<br />
Para cada agente listado serão mostradas as seguintes informações:<br />
Nome: Nome da entidade do nome do agente externo.<br />
Tipo: Tipo do agente externo.<br />
Status: Informa o estado atual da conexão com o agente externo. Os seguintes<br />
estados podem ser mostrados nesta coluna:<br />
Estado indefinido: Ainda não existem informações disponíveis sobre o estado<br />
deste agente.<br />
Conectado ao principal: O firewall conectou-se com sucesso ao IP principal do<br />
agente externo.<br />
Conectado ao primeiro backup: O firewall conectou-se com sucesso ao IP do<br />
1º backup do agente externo. Por alguma razão ele não conseguiu inicialmente<br />
conectar-se ao principal<br />
Conectado ao segundo backup: O firewall conectou-se com sucesso ao IP do<br />
2º backup do agente externo. Por alguma razão ele não conseguiu inicialmente<br />
conectar-se ao principal nem ao 1º backup.<br />
Erro de conexão: Existe um problema de comunicação com o agente externo.<br />
Verifique os eventos para maiores informações.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 90
Erro interno: Não foi possível conectar-se ao agente externo por um problema<br />
interno. Verifique os eventos para maiores informações.<br />
Vírus não detectado: Este estado só aparece nos agentes de antivírus e indica<br />
que embora o firewall tenha conseguido se conectar corretamente ao agente, ele<br />
não foi capaz de detectar o vírus de teste que o firewall enviou. Verifique a<br />
configuração do antivírus.<br />
IP do servidor: Endereço(s) IP(s) do agente externo no qual(is) o firewall está<br />
conectado.<br />
Para os servidores de log, além dos estados Conectado ou Erro, haverá mais um<br />
estado: parcialmente conectado, que ocorrerá quando mais de um servidor estiver<br />
disponível (primeiro e segundo backup) porém o agente não está conectado a todos<br />
eles.<br />
3.22. Utilizando o verificador de configuração<br />
O Verificador de Configuração é uma janela que será mostrada sempre que o<br />
firewall for iniciado e suas configurações iniciais ainda não estiverem completas. Ele<br />
serve para chamar de forma simples os assistentes que realizam cada uma das<br />
etapas principais de configuração do produto.<br />
É possível também a qualquer momento chamar o Verificador de Configuração.<br />
Para isso deve-se executar a seguinte seqüência de passos:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 91
Figura 57. Janela de acesso: Verificador de Configuração.<br />
Clicar no menu Ferramentas da janela de administração do firewall.<br />
Selecionar o item Verificador de Configuração.<br />
A janela do verificador de configuração<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 92
Figura 58. Verificador de Configuração (Regras de Filtragem, Conversão de endereço de rede (NAT),<br />
Autenticação, Filtro web e Rede privada virtual (VPN).<br />
Esta janela consiste de 5 grupos de configurações distintas. Cada um dos grupos é<br />
mostrado em azul, caso sua configuração já tenha sido realizada ou em laranja caso<br />
não tenha sido realizada. Em cada um dos grupos é possível clicar no link<br />
assistente para invocar a execução do assistente responsável pela configuração do<br />
grupo. No caso em que alguma configuração não venha a ser realizada nunca (por<br />
exemplo, no caso de um firewall que não realizará VPN) é possível desabilitar a<br />
checagem desta configuração marcando a caixa Parar a checagem automática<br />
das configurações do grupo desejado.<br />
O botão Aplicar salvará as opções de checagem e manterá a janela aberta.<br />
O botão OK fará com que a janela seja fechada e as alterações salvas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 93
O botão Cancelar fechará a janela e descartará as modificações efetuadas.<br />
Recomenda-se que a configuração seja feita na ordem em que os grupos se<br />
encontram de cima para baixo.<br />
3.23. Ferramentas de Diagnóstico<br />
O <strong>Aker</strong> Firewall realizará testes básicos de conectividade:<br />
Ping na rota padrão;<br />
Ping em lugares conhecidos (Ex. DNS da Google);<br />
Testes de DNS;<br />
Teste de HTTP;<br />
Comando traceroute;<br />
Comando Netstat;<br />
Comando Nslookup.<br />
Será retornado ao usuário o status do acesso à Internet.<br />
Figura 59. Janela de Diagnósticos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 94
Administrando usuários do<br />
Firewall<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 95
4. Administrando usuários do Firewall<br />
Este capítulo mostra-rá como criar os usuários que irão administrar remotamente o<br />
<strong>Aker</strong> Firewall.<br />
O que são usuários do <strong>Aker</strong> Firewall?<br />
Para que alguma pessoa consiga administrar remotamente o <strong>Aker</strong> Firewall é preciso<br />
ser reconhecida e validada pelo sistema. Esta validação é feita na forma de senhas,<br />
assim, para que ela seja possível, cada um dos administradores deverá ser<br />
previamente cadastrado com um login e uma senha.<br />
Além disso, o <strong>Aker</strong> Firewall permite a existência de vários administradores distintos,<br />
cada um responsável por uma determinada tarefa da administração. Isso, além de<br />
facilitar a administração, permite um maior controle e uma maior segurança. É no<br />
cadastro de usuários que define as atribuições de cada um dos administradores.<br />
4.1. Utilizando a interface gráfica<br />
Para ter acesso à janela de administração de usuários, na interface remota deve-se:<br />
Figura 60. Janela de acesso - Usuários Administrativos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 96
Clicar em Configurações do Sistema da janela do firewall que quer administrar.<br />
Selecionar o item Usuários Administrativos.<br />
Esta opção só estará habilitada se o usuário que estiver com a sessão aberta na<br />
interface remota, tiver autoridade para gerenciar usuários. Isso será comentado em<br />
detalhes no próximo tópico.<br />
A janela de Usuários Administrativos<br />
Aba usuários internos<br />
Figura 61. Janela de Usuários administrativos (Usuários internos).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 97
Esta janela consiste de uma lista de todos os usuários atualmente definidos para<br />
acesso à administração do firewall, além de um segredo compartilhado (ou senha),<br />
para administração centralizada pelo <strong>Aker</strong> Configuration Manager. Não havendo o<br />
segredo compartilhado, a configuração será apenas efetuada pelos usuários<br />
cadastrados.<br />
Para cada usuário é mostrado seu login, seu nome completo e suas permissões.<br />
O botão OK fará com que a janela de administração de usuários seja fechada e<br />
as modificações salvas.<br />
O botão Aplicar fará com que as alterações realizadas sobre um determinado<br />
usuário sejam aplicadas, isto é, realizadas permanentemente, sem fechar a<br />
janela.<br />
O botão Cancelar fechará a janela de administração de usuários e descartará<br />
todas as alterações efetuadas.<br />
Quando um usuário for selecionado, os seus atributos completos serão<br />
mostrados nos campos Permissões.<br />
Para alterar os atributos de um usuário, deve-se proceder da seguinte forma:<br />
1. Selecionar o usuário a ser alterado clicando sobre seu nome com o botão<br />
esquerdo do mouse. Neste momento serão mostrados os seus atributos nos<br />
campos após a listagem de usuários.<br />
2. Alterar o valor dos atributos desejados e clicar no botão Aplicar ou no botão OK.<br />
A partir deste momento as alterações serão efetivadas.<br />
Para incluir um usuário na lista, deve-se proceder da seguinte forma:<br />
1. Clicar com o botão direito do mouse em qualquer lugar da área reservada para<br />
mostrar a lista (aparecerá o botão Inserir) e selecionar a opção Incluir no menu<br />
pop-up ou clicar no ícone que representa a inclusão na barra de<br />
ferramentas.<br />
2. Preenche os campos do usuário a ser incluído e clicar no botão Aplicar ou no<br />
botão OK.<br />
Para remover um usuário da lista, deve-se proceder da seguinte forma:<br />
1. Selecionar o usuário a ser removido, clicando sobre seu nome com o botão<br />
esquerdo do mouse e clicar no ícone que representa a remoção na barra de<br />
ferramentas, ou clicar com o botão direito do mouse sobre o nome do usuário a<br />
ser removido e selecionar a opção Excluir no menu pop-up.<br />
Significado dos atributos de um usuário<br />
Login<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 98
É a identificação do usuário para o firewall. Não podem existir dois usuários com o<br />
mesmo login. Este login será pedido ao administrador do firewall quando este for<br />
estabelecer uma sessão de administração remota.<br />
O login deve ter entre 1 e 14 caracteres. Não há diferenças entre letras maiúsculas<br />
e minúsculas neste campo.<br />
Nome<br />
Este campo contém o nome completo do usuário associado ao login. Os seus<br />
objetivos são de informação, não sendo usado para qualquer validação.<br />
Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.<br />
Senha<br />
Este campo será usado em conjunto com o campo login para identificar um usuário<br />
perante o <strong>Aker</strong> Firewall. Ao digitar a senha, serão mostrados na tela asteriscos "*"<br />
ao invés das letras.<br />
O campo senha deve ter no máximo 14 caracteres. Seu tamanho mínimo é<br />
configurável por meio da janela de parâmetros da interface (para maiores<br />
informações veja o tópico Utilizando a interface remota). Neste campo, letras<br />
maiúsculas e minúsculas são consideradas diferentes.<br />
É extremamente importante que as senhas usadas tenham um comprimento<br />
grande, o mais próximo possível do limite de 14 caracteres. Além disso, deve-se<br />
sempre utilizar uma combinação de letras minúsculas, maiúsculas, números e<br />
caracteres especiais nas senhas (caracteres especiais são aqueles encontrados no<br />
teclado dos computadores e que não são números nem letras: "$","&",”]", etc).<br />
Nunca use como senhas palavras em qualquer idioma ou apenas números.<br />
Confirmação<br />
Este campo serve para confirmar a senha digitada no campo anterior, uma vez que<br />
esta aparece como asteriscos.<br />
Permissões<br />
Este campo define o que um usuário pode fazer dentro do <strong>Aker</strong> Firewall. Ele<br />
consiste de três opções que podem ser marcadas independentemente.<br />
O objetivo destas permissões é possibilitar a criação de uma administração<br />
descentralizada para o firewall. É possível, por exemplo, numa empresa que possua<br />
vários departamentos e vários firewalls, deixar um administrador responsável pela<br />
configuração de cada um dos firewalls e um responsável central com a tarefa de<br />
supervisionar a administração. Este supervisor seria a única pessoa capaz de<br />
apagar e alterar a configuração de log e eventos dos firewalls. Desta forma, apesar<br />
de cada departamento ter autonomia de administração é possível ter um controle<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 99
central do que cada administrador alterou na configuração e quando ele realizou<br />
cada alteração. Isto é um recurso muito importante para realizar auditorias internas,<br />
além de aumentar a segurança da administração.<br />
Caso um usuário não possua nenhum atributo de autoridade, então, esse terá<br />
permissão apenas para visualizar a configuração do firewall e compactar os<br />
arquivos de log e de eventos.<br />
Configuração do Firewall<br />
Se esta permissão estiver marcada, o usuário em questão poderá administrar o<br />
firewall, isto é, alterar a configuração das entidades, regras de filtragem, conversão<br />
de endereços, criptografia, proxies e parâmetros de configuração que não estejam<br />
relacionados ao log.<br />
Configurar Log<br />
Se esta opção estiver marcada, o usuário em questão terá poderes para alterar os<br />
parâmetros relacionados ao log (como por exemplo, tempo de permanência do log),<br />
alterar a configuração da janela de ações (tanto as mensagens quanto os<br />
parâmetros) e apagar permanentemente o log e os eventos.<br />
Administrar Usuários<br />
Se esta opção estiver marcada, o usuário em questão terá acesso à janela de<br />
administração de usuários, podendo incluir, editar e excluir outros usuários.<br />
Um usuário que possuir esta autoridade somente poderá criar, editar ou excluir<br />
usuários com autoridades iguais ou menores às que ele possuir (por exemplo, se<br />
um usuário tiver poderes de gerenciar usuários e configurar log, então ele poderá<br />
criar usuários que não possuam nenhuma autoridade, que somente possam<br />
configurar o log, que somente possam criar novos usuários ou que possam<br />
gerenciar usuários e configurar log. Ele não poderá nunca criar, nem editar ou<br />
excluir, um usuário que possa configurar o firewall).<br />
Permite conexão do Configuration Manager<br />
Essa opção permite habilitar/desabilitar acessos ao <strong>Aker</strong> Firewall pelo Configuration<br />
Manager. Ao habilitar conexões deve-se informar a senha que será comum ao<br />
firewall e o gerenciador (shared secret).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 100
Aba Agentes Externos<br />
Figura 62. Usuários Administrativos (configuração dos agentes externos).<br />
Esta aba consiste na configuração dos agentes externos que serão utilizados para a<br />
autenticação dos usuários que administram o firewall, definindo assim regras de<br />
autenticação para o acesso destes.<br />
Habilitar autenticação via agentes externos<br />
Ao selecionar essa opção permite a autenticação dos usuários, por meio dos<br />
agentes externos que estão cadastrados no firewall. Permite definir o autenticador<br />
externo, qual o usuário/grupo que ele pertence, quais as suas permissões de<br />
acesso e a definição das entidades que o usuário utilizará para conectar ao firewall.<br />
Autenticador<br />
Ao clicar com o botão direito em cima da opção autenticador, poderá selecionar um<br />
autenticador (agente externo) habilitados na Janela autenticação aba Métodos. Esse<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 101
autenticador será responsável por intermediar o processo de autenticação da<br />
interface com o firewall.<br />
Usuário/Grupo<br />
Os usuários e os grupos estarão relacionados ao autenticador escolhido. Pode-se<br />
associar um usuário somente ou um grupo deles.<br />
Permissões<br />
Este campo define o que um usuário pode fazer dentro do <strong>Aker</strong> Firewall. Ele<br />
consiste de três opções que podem ser marcadas independentemente.<br />
O objetivo destas permissões é possibilitar a criação de uma administração<br />
descentralizada para o firewall. É possível, por exemplo, numa empresa que possua<br />
vários departamentos e vários firewalls, deixar um administrador responsável pela<br />
configuração de cada um dos firewalls e um responsável central com a tarefa de<br />
supervisionar a administração. Este supervisor seria a única pessoa capaz de<br />
apagar e alterar a configuração de log e eventos dos firewalls. Desta forma, apesar<br />
de cada departamento ter autonomia de administração é possível ter um controle<br />
central do que cada administrador alterou na configuração e quando ele realizou<br />
cada alteração. Isto é um recurso muito importante para realizar auditorias internas,<br />
além de aumentar a segurança da administração.<br />
Entidades<br />
As Entidades são representações de objetos do mundo real para o <strong>Aker</strong> Firewall.<br />
Através delas, podem-se representar máquinas, redes, serviços a serem<br />
disponibilizados, entre outros. Nessa opção permite definir de qual entidade o<br />
usuário se conectará ao firewall.<br />
Servidor Fingerprint<br />
É um resumo da identificação do certificado digital do Firewall. Essa opção<br />
possibilita ao usuário identificar quando tem uma mudança do firewall que se<br />
costuma conectar.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 102
Aba Autenticação X509<br />
Figura 63. Usuários Administrativos (método de autenticação com certificação digital X509).<br />
Essa aba consiste no método de autenticação com certificação digital X509. O<br />
Certificado Digital pode ser considerado como a versão eletrônica (digital) de uma<br />
cédula de identidade, associa uma chave pública com a identidade real de um<br />
indivíduo, de um sistema servidor, ou de alguma outra entidade. Um certificado<br />
digital normalmente é usado para ligar uma entidade a uma chave pública. Para<br />
garantir a integridade das informações contidas neste arquivo ele é assinado<br />
digitalmente, no caso de uma Infra-estrutura de Chaves Públicas (ICP), o certificado<br />
é assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo<br />
de Teia de Confiança (Web of trust) como o PGP o certificado é assinado pela<br />
própria entidade e assinado por outros que dizem confiar naquela entidade. Em<br />
ambos os casos as assinaturas contidas em um certificado são atestamentos feitos<br />
por uma entidade que diz confiar nos dados contidos naquele certificado.<br />
Um certificado normalmente inclui:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 103
Informações referentes a entidade para o qual o certificado foi emitido (nome,<br />
email, CPF/CNPJ, PIS etc.);<br />
A chave pública referente a chave privada de posse da entidade especificada<br />
no<br />
certificado;<br />
O período de validade;<br />
A localização do "centro de revogação" (uma URL para download da CRL, ou<br />
local para uma consulta OCSP;<br />
A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública<br />
contida naquele certificado confere com as informações contidas no mesmo<br />
Um certificado padrão X.509 é outro formato de certificado muito comum. Todos os<br />
certificados X.509 obedecem ao padrão internacional ITU-T X.509; assim<br />
(teoricamente) certificados X.509 criados para uma aplicação podem ser usados por<br />
qualquer aplicação que obedece X.509.<br />
Um certificado exige alguém para validar que uma chave pública e o nome do dono<br />
da chave vão juntos. Com certificados de PGP, qualquer um pode representar o<br />
papel de validador. Com certificados X.509, o validador é sempre uma Autoridade<br />
de Certificação ou alguém designado por uma CA.<br />
Um certificado X.509 é uma coleção de um conjunto padrão de campos contendo<br />
informações sobre um usuário ou dispositivo e sua correspondente chave pública. O<br />
padrão X.509 define qual informação vai no certificado, e descreve como codificar<br />
isto (o formato dos dados). Todos os certificados X.509 têm os seguintes dados:<br />
O número da versão do X.509 que identifica qual o padrão é aplicado na versão do<br />
X.509 para este certificado, o que afeta e qual informação pode ser especificada<br />
neste.<br />
A chave pública do possuidor do certificado junto com um algoritmo de identificação,<br />
especifica qual sistema de criptografia pertence a chave e quaisquer parâmetros<br />
associados.<br />
Abaixo, seguem os campos que contém na aba:<br />
Habilitar autenticação X.509:<br />
Ao selecionar essa opção permite habilitar a autenticação do usuário via certificado<br />
digital x.509.<br />
CN do certificado do firewall:<br />
Nessa opção mostra qual certificado o Firewall está utilizando na sua autenticação.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 104
Importa Certificado:<br />
Ao clicar nesse ícone, permite a inclusão de um novo certificado, ou seja carrega-se<br />
o certificado cadastrado no arquivo e incluindo-o no firewall.<br />
Exporta Certificado: Gravam os dados do certificado, para transportá-lo para uma<br />
futura aplicação desse certificado. Tira uma cópia do certificado.<br />
Remove Certificado: Ao clicar nesse ícone, permite a remoção do certificado que<br />
foi incluído. Com isso o <strong>Aker</strong> Firewall fica sem nenhum certificado.<br />
Mostra detalhes dos certificados: Mostra todas as informações contidas no<br />
certificado habilitado.<br />
Autoridade Certificadora:<br />
A autoridade certificadora (CA - certificate authority) deve garantir ao usuário,<br />
através da assinatura de seus certificados, que tais entidades são realmente quem<br />
dizem ser. Então, a CA tem um papel básico de garantir a correspondência entre a<br />
identidade e a chave pública de uma determinada entidade, sabendo que tal chave<br />
pública corresponde a uma chave privada que permanece sob guarda exclusiva<br />
dessa entidade.<br />
Para tanto, a CA deve ser capaz de realizar todos os processos de emissão de<br />
certificados, verificação de validade, armazenamento, publicação ou acesso on-line,<br />
revogação e arquivamento para verificação futura.<br />
Em conseqüência, uma autoridade certificadora constitui-se de um sistema<br />
computacional completo, com capacidade de comunicação processamento e<br />
armazenamento. Além disso, tanto as comunicações envolvendo esse sistema,<br />
assim como o próprio sistema, devem ser também protegidos e a própria identidade<br />
do sistema deve ser garantida, necessidades esta que são atendidas por intermédio<br />
da publicação de uma chave pública pertencente à própria autoridade certificadora.<br />
Como tal chave deve também ser garantida com um certificado digital, então, em<br />
geral, uma autoridade certificadora deposita sua chave pública junto a<br />
outra autoridade certificadora, formando uma estrutura de certificação onde algumas<br />
CA funcionam como autoridades certificadoras para outras CAs.<br />
Essa opção permite selecionar uma autoridade a qual o usuário está vinculado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 105
Pseudo Group<br />
Corresponde aos grupos de certificados, relacionados a autoridade certificadora<br />
selecionada na opção acima. Este campo não é editável.<br />
Permissões<br />
Esse campo das permissões é editável, podendo, para cada CA selecionada<br />
relacionar as permissões para cada grupo.<br />
Nessa opção, uma vez escolhida uma Autoridade Certificadora e definidos os<br />
níveis/permissões de acesso para cada grupo, ao trocar de CA todas as permissões<br />
relacionadas a outra CA serão perdidos.<br />
4.2. Utilizando a interface texto<br />
Além da interface gráfica de administração de usuários, existe uma interface local<br />
orientada à caracteres que possui praticamente as mesmas capacidades da<br />
interface gráfica. A única função não disponível é a de alteração das permissões<br />
dos usuários. Essa interface texto, ao contrário da maioria das demais interfaces<br />
orientadas a caracteres do Firewall <strong>Aker</strong>, é interativa e não recebe parâmetros da<br />
linha de comando.<br />
Localização do programa: /etc/firewall/fwadmin<br />
Ao ser executado, o programa mostrará a seguinte tela:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 106
Figura 64. Execução do programa utilizando a interface texto.<br />
Para executar qualquer uma das opções mostradas, basta digitar a letra mostrada<br />
em negrito. Cada uma das opções será mostrada abaixo, em detalhes:<br />
Inclui um novo usuário<br />
Esta opção permite a inclusão de um novo usuário que poderá administrar o <strong>Aker</strong><br />
Firewall remotamente. Ao ser selecionada, será mostrada uma tela pedindo as<br />
diversas informações do usuário. Após todas as informações serem preenchidas<br />
será pedida uma confirmação para a inclusão do usuário.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 107
Figura 65. Execução do programa para inclusão de usuários como administradores do <strong>Aker</strong> Firewall.<br />
Observações importantes:<br />
1. Nos campos onde aparecem as opções (S/N), deve-se digitar apenas S, para sim e<br />
N para não.<br />
2. A senha e a confirmação das senhas não serão mostradas na tela.<br />
Remove um usuário existente<br />
Esta opção, remove um usuário existente que esteja cadastrado no sistema. Será<br />
pedido o login do usuário a ser removido caso o usuário esteja cadastrado, será<br />
pedida a seguir uma confirmação para realizar a operação.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 108
Figura 66. Execução do programa para a exclusão de usuários.<br />
Para prosseguir com a remoção, deve-se digitar S, caso contrário digita-se N.<br />
Altera senha de um usuário<br />
Esta opção permite alterar a senha de um usuário já cadastrado no sistema. Será<br />
pedido o login do usuário e caso este exista, serão pedidas a nova senha e a<br />
confirmação desta nova senha (conforme já comentado anteriormente, a senha e a<br />
confirmação não serão mostradas na tela).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 109
Figura 67. Execução do programa para a alteração de senha do usuário.<br />
Lista usuários cadastrados<br />
Esta opção mostra uma lista com o nome e as permissões de todos os usuários<br />
autorizados a administrar remotamente o firewall. Um exemplo de uma possível<br />
listagem de usuários é a seguinte:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 110
Figura 68. Execução do programa para exibir a listagem de usuários e permissões.<br />
O campo permissões consiste de 3 possíveis valores: CF, CL, e GU, que<br />
correspondem respectivamente às permissões de: Configura Firewall, Configura Log<br />
e Gerencia Usuários. Se um usuário possuir uma permissão, ela será mostrada com<br />
o código acima, caso contrário será mostrado o valor --, indicando que o usuário não<br />
a possui.<br />
Compacta arquivo de usuários<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 111
Figura 69. Execução do programa para exibir a compactação do arquivo de usuários.<br />
Esta opção não está presente na interface gráfica e não possui uso freqüente. Ela<br />
serve para compactar o arquivo de usuários, removendo entradas não mais usadas.<br />
Ele somente deve ser usado quando for removido um grande número de usuários<br />
do sistema.<br />
Ao ser selecionada, o arquivo será compactado e ao final será mostrada uma<br />
mensagem indicando que a operação foi completada (a compactação do arquivo<br />
costuma ser uma operação bastante rápida, durando poucos segundos).<br />
Edita as opções do Configuration Manager<br />
Esta opção permite alterar as configurações do <strong>Aker</strong> Configuration Manager. É<br />
possível habilitar/desabilitar acessos ao <strong>Aker</strong> Firewall pelo Configuration Manager e<br />
modificar a shared secret. Se o acesso ao firewall não estiver habilitado, será<br />
mostrada uma tela pedindo a criação da shared secret. É necessário preencher a<br />
senha e sua confirmação, onde as mesmas não serão exibidas na tela.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 112
Figura 70. Edição das configurações do <strong>Aker</strong> Configuration Manager.<br />
Se o acesso ao firewall já estiver habilitado, serão mostradas novas opções de<br />
configuração:<br />
Figura 71. Edição das configurações do <strong>Aker</strong> Configuration Manager (Firewall habilitado).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 113
Desabilita acesso pelo Configuration Manager<br />
Ao selecionar essa opção não será mais possível acessar o <strong>Aker</strong> Firewall pelo<br />
Configuration Manager até que o usuário habilite o acesso novamente.<br />
Modifica shared secret do Configuration Manager<br />
Permite alterar a shared secret. É necessário entrar com a nova senha e com a sua<br />
confirmação, onde as mesmas não serão exibidas na tela.<br />
Figura 72. Edição das configurações do <strong>Aker</strong> Configuration Manager (desabilita, modifica ou retorna).<br />
Sai do fwadmin<br />
Esta opção encerra o programa fwadmin e retorna para a linha de comando.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 114
Configurando Parâmetros do<br />
Sistema<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 115
5. Configurando os parâmetros do sistema<br />
Este capítulo mostrará como configurar as variáveis que irão influenciar nos<br />
resultados de todo o sistema. Estes parâmetros de configuração atuam em aspectos<br />
como a segurança, log do sistema e tempos de inatividade das conexões.<br />
5.1. Utilizando a interface gráfica<br />
Para ter acesso a janela de configuração de parâmetros deve-se:<br />
Figura 73. Janela de acesso - dispositivos remotos (parametros de configuração).<br />
Clicar no menu Configurações do Sistema da janela do firewall que quer administrar;<br />
Selecionar o item Parâmetros de Configuração.<br />
A janela de Parâmetros de configuração<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 116
O botão OK fará com que a janela de configuração de parâmetros seja fechada e as<br />
alterações que foram efetuadas sejam aplicadas.<br />
O botão Cancelar fará com que a janela seja fechada, porém as alterações<br />
efetuadas não sejam aplicadas;<br />
O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá a<br />
janela aberta.<br />
Significado dos parâmetros<br />
Aba Global<br />
Figura 74. Parametros de configuração do <strong>Aker</strong> Firewall (servidor, interface remota e endereços fixos<br />
de configuração remota).<br />
Nesta janela, estes parâmetros são utilizados pelo filtro de estados e pelo conversor<br />
de endereços. Eles consistem dos seguintes campos:<br />
Interface Externa (Por motivo de controle de licença): Define o nome da<br />
interface externa do firewall. Conexões que vierem por esta interface não contarão<br />
na licença.<br />
Valor padrão: Configurado durante a instalação do firewall pelo administrador.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 117
Tempo limite TCP: Define o tempo máximo, em segundos, que uma conexão TCP<br />
pode permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valor<br />
pode variar de 0 a 259200 (72 horas).<br />
Valor padrão: 900 segundos.<br />
Tempo limite UDP: Define o tempo máximo, em segundos, que uma conexão UDP<br />
pode permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valor<br />
pode variar de 0 a 259200 (72 horas).<br />
Valor padrão: 180 segundos.<br />
Estes campos são de vital importância para o correto funcionamento do firewall:<br />
valores muito altos poderão causar problemas de segurança para serviços<br />
baseados no protocolo UDP, farão com que o sistema utilize mais memória e o<br />
tornarão mais lento. Valores muito baixos poderão causar constantes quedas de<br />
sessão e o mau funcionamento de alguns serviços.<br />
Tamanho mínimo de senha: Define o número mínimo de caracteres que as senhas<br />
dos administradores devem ter para serem aceitas pelo sistema. Seu valor pode<br />
variar entre 4 e 14 caracteres.<br />
Valor padrão: 6 caracteres.<br />
É importante que este valor seja o maior possível, de modo a evitar a utilização de<br />
senhas que possam ser facilmente quebradas.<br />
Endereços fixos de configuração remota: São endereços que,<br />
independentemente de regras e de extrapolação dos limites de licenças, podem<br />
administrar o firewall (isto é conectar na porta 1020). Eles servem como medida de<br />
prevenção anti-bloqueio do firewall, uma vez que só podem ser configurados via<br />
interface texto.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 118
Aba Log<br />
Figura 75. Parametros de configuração de Log (local, remoto e opções gerais).<br />
Local: Indica que o log/eventos/estatísticas devem ser salvos em um disco local, na<br />
máquina onde o firewall estiver rodando.<br />
Tempo de vida no log / eventos / estatística: Os registros de log, eventos e<br />
estatísticas do firewall são mantidos em arquivos diários. Esta configuração define o<br />
número máximo de arquivos que serão mantidos pelo sistema, em caso de log local.<br />
Os valores possíveis vão de 1 a 365 dias.<br />
Valor padrão: 7 dias<br />
No caso de utilização de log remoto essas opções estarão desabilitadas e<br />
deverão ser configuradas no próprio servidor remoto<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 119
Remoto: Esta opção indica que o log/eventos/estatísticas deverão ser enviados<br />
para um servidor de log remoto ao invés de serem gravados no disco local. Com<br />
isso, o controle de diversos firewalls pode ser centralizado, facilitando a auditoria.<br />
Servidor Remoto: Esta opção indica o servidor de log remoto para o qual o<br />
log/eventos/estatísticas serão enviados.<br />
Logar Conversão de Endereço (NAT): Habilita o registro no log do sistema das<br />
conversões de endereços feitas pelo firewall.<br />
Valor padrão: Conversões de endereço não devem ser logadas<br />
Mesmo com esta opção ativa, somente serão logados os pacotes convertidos<br />
através das conversões 1:N e N:1. As conversões por outros tipos de regras não<br />
serão registradas.<br />
A ativação desta opção não traz nenhuma informação importante e deve ser<br />
utilizada apenas para fim de testes ou para tentar resolver problemas.<br />
Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o<br />
daemon de log do Unix, o syslogd.<br />
Valor padrão: Não envia log para o syslogd<br />
Ao habilitar essa opção, os registros de log serão enviados para a fila local0 e os de<br />
eventos para a fila local1.<br />
Esta opção não altera em nada o registro interno do log e dos eventos realizado<br />
pelo próprio firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 120
Aba Segurança<br />
Parâmetros de Segurança<br />
Figura 76. Parametros de configuração de segurança.<br />
Permitir pacotes com rota para origem: Habilita a passagem de pacotes que<br />
tenham a opção de registro de rota ou de roteamento dirigido. Se esta opção estiver<br />
desmarcada, os pacotes com alguma destas opções não poderão trafegar.<br />
Valor padrão: Pacotes IP direcionados não são permitidos.<br />
Cabe ressaltar que a aceitação de pacotes com rota para a origem pode causar<br />
uma falha séria de segurança. A não ser que se tenha uma razão específica para<br />
deixá-los passar, esta opção deve ser mantida desmarcada.<br />
Suporte FTP: Habilita o suporte específico para o protocolo FTP.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 121
Valor padrão: Suporte FTP está habilitado<br />
Este parâmetro faz com que o firewall trate o protocolo FTP de forma especial, de<br />
modo a permitir que ele funcione transparentemente para todas as máquinas<br />
clientes e servidoras, internas ou externas. A menos que não se pretenda usar FTP<br />
através do firewall, esta opção deve estar marcada.<br />
Suporte ao Real Audio: Habilita o suporte para os protocolos Real Audio e Real<br />
Video.<br />
Valor padrão: Suporte Real Audio está habilitado<br />
Este parâmetro faz com que o firewall trate o protocolo Real Audio / Real Video de<br />
forma especial, de modo que permita ele funcionar transparentemente usando<br />
conexões TCP e UDP. A menos que não se pretenda usar o Real Audio ou se<br />
pretenda utilizá-lo apenas com conexões TCP, esta opção deve estar marcada.<br />
Suporte RTSP: Habilita o suporte para o protocolo RTSP.<br />
Valor padrão: Suporte RTSP está habilitado<br />
O RTSP (Real Time Streaming Protocol) é um protocolo que atua a nível de<br />
aplicação e ajuda a prover um certo arranjo que permite a entrega controlada de<br />
dados em tempo real, como áudio e vídeo. Fontes de dados podem incluir<br />
programas ao vivo (com áudio e vídeo) ou algum conteúdo armazenado (eventos<br />
pré-gravados). Ele é projetado para trabalhar com protocolos como o RTP, HTTP<br />
e/ou outro que de suporte a mídia contínuas sobre a Internet. Ele suporta tráfego<br />
multicast bem como unicast. E também suporta interoperabilidade entre clientes e<br />
servidores de diferentes fabricantes. Este parâmetro faz com que o firewall trate o<br />
protocolo de forma especial, de modo a permitir que ele funcione transparentemente<br />
usando conexões TCP e UDP.<br />
Suporte PPTP: Habilita o suporte para o protocolo PPTP da Microsoft.<br />
Valor padrão: Suporte PPTP está habilitado<br />
O PPTP é um protocolo criado pela Microsoft para possibilitar acesso seguro de<br />
máquinas clientes a redes corporativas, através de VPN. Este parâmetro faz com<br />
que o firewall trate o PPTP de forma especial possibilitando que ele trafegue<br />
normalmente através dele, mesmo com a conversão de endereços (NAT) habilitada.<br />
Suporte H323: Habilita o suporte para o protocolo H.323<br />
Valor padrão: Suporte H.323 está habilitado<br />
O H.323 é um protocolo que permite a implementação de voz sobre IP (VOIP) e é<br />
suportado pela maioria dos dispositivos com este fim. Este parâmetro faz com que o<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 122
firewall trate o H.323 de forma especial possibilitando que ele trafegue normalmente<br />
através dele, mesmo com a conversão de endereços (NAT) habilitada.<br />
Suporte ao MSN: Habilita o suporte para o MSN Messenger<br />
Valor padrão: Suporte ao MSN Messenger está habilitado.<br />
O MSN Messenger é um protocolo de mensagens instantâneas que permite a<br />
comunicação entre duas ou mais pessoas ao mesmo tempo. Este parâmetro faz<br />
com que o firewall trate o Messenger de forma especial possibilitando que seu uso<br />
seja controlado através dos perfis de acesso.<br />
Suporte SIP: habilita o suporte para o protocolo SIP.<br />
Valor padrão: Suporte SIP está habilitado.<br />
O Protocolo de Iniciação de Sessão (Session Initiation Protocol - SIP) é um<br />
protocolo de aplicação, que utiliza o modelo “requisição-resposta”, similar ao HTTP,<br />
para iniciar chamadas e conferências através de redes via protocolo IP.<br />
Suporte DCE-RPC TCP: habilita o suporte o para protocolo DCE-RPC TCP.<br />
Valor padrão: Suporte DCE-RPC TCP está habilitado.<br />
O DCE/RPC TCP é um tipo de protocolo RPC, Chamada de Procedimento Remoto<br />
(Remote Procedure Call), que tem como objetivo permitir o desenvolvimento de<br />
aplicações cliente/servidor. É muito utilizado em administração de domínio e<br />
gerenciamento remoto do servidor.<br />
Manter conexões das regras expiradas: mantém a conexão mesmo após o prazo<br />
de validade da regra ter expirado.<br />
Valor padrão: manter conexões de regras expiradas.<br />
Esta opção permite ao usuário permanecer conectado mesmo após o término do<br />
período definido para o fim da conexão.<br />
Ex.: o usuário inicia um download via FTP dentro do horário definido por regra. Caso<br />
esta opção esteja marcada, a conexão (download) não será finalizada no horário<br />
definido e sim após o término de transferência dos arquivos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 123
Aba SNMP<br />
Figura 77. Parametros de configuração via SNMP.<br />
Comunidade de leitura: Este parâmetro indica o nome da comunidade que está<br />
autorizada a ler dados do firewall via SNMP. Caso este campo esteja em branco,<br />
nenhuma máquina estará autorizada a lê-los.<br />
Valor padrão: campo em branco<br />
Comunidade de escrita: Este parâmetro indica o nome da comunidade que está<br />
autorizada a alterar dados do firewall via SNMP. Caso este campo esteja em<br />
branco, nenhuma máquina estará autorizada a alterá-los.<br />
Valor padrão: campo em branco<br />
Mesmo com uma comunidade de escrita definida, por razões de segurança,<br />
somente poderão ser alterados algumas variáveis do grupo system.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 124
Descrição: Tipo de serviço que a máquina disponibiliza para o usuário.<br />
Contato: Tipo de contato (e-mail, home page) que o administrador disponibiliza<br />
para o usuário.<br />
Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS<br />
Local: Local físico onde a máquina está instalada.<br />
O SNMPv3 inclui três importantes serviços: autenticação (authentication),<br />
privacidade (privacy) e controle de acesso (access control).<br />
Habilita SNMPv3: Ao selecionar essa opção permite definir o tipo de permissão de<br />
um usuário e qual o nível de segurança que ele estará relacionado.<br />
Nome do usuário: Nome do usuário que terá permissão para conferir ou modificar<br />
as informações.<br />
Tipo de permissão: Permite a escolha do tipo de permissão do usuário. Poderá ter<br />
acesso de somente leitura dos dados ou de leitura e escrita.<br />
Nível de segurança: Permite a escolha do tipo de segurança dos dados. Pode-se<br />
optar por nenhuma autenticação, com autenticação ou autenticação com cifragem.<br />
Caso a escolha seja com autenticação, as opções Método de autenticação e senha<br />
de autenticação serão habilitados. Caso a escolha seja autenticação com cifragem,<br />
as opções Método de cifragem e senha de cifragem serão habilitadas.<br />
Método de autenticação: Possuem dois métodos de autenticação, um com o<br />
algoritmo MD5 e o outro com o algoritmo SHA.<br />
Senha de autenticação: Deve ser informada uma senha para autenticação, com no<br />
mínimo 8 caracteres.<br />
Método de encriptação: Possuem dois métodos de cifragem dos dados, um por<br />
meio do algoritmo DES e o outro por meio do algoritmo AES.<br />
Senha de encriptação: Deve ser informada uma senha para cifragem, com no<br />
mínimo 8 caracteres.<br />
Ramo de acesso: Permite restringir, por meio de sub-árvores, quais os grupos de<br />
dados/informações que o usuário terá acesso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 125
Aba Monitoramento<br />
Figura 78. Parametros de configuração - Monitoramento.<br />
Quando utiliza conversão 1-N, ou seja, balanceamento de canal é possível<br />
configurar o tipo de monitoramento a ser realizado pelo firewall para verificar se as<br />
máquinas participantes do balanceamento estão no ar. Os parâmetros de<br />
monitoramento permitem modificar os intervalos de tempo de monitoramento, de<br />
modo a ajustá-los melhor a cada ambiente.<br />
Monitoramento via ping<br />
Esses parâmetros configuram os tempos utilizados pelo firewall para realizar o<br />
monitoramento via pacotes ICMP Echo Request e Echo Reply. São eles:<br />
Intervalo de ping: Esse campo define de quantos em quantos segundos, será<br />
enviado um ping para as máquinas sendo monitoradas. Seu valor pode variar entre<br />
1 e 60 segundos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 126
Valor padrão: 2 segundos.<br />
Tempo limite de resposta: Esse campo define o tempo máximo, em segundos, que<br />
uma máquina pode permanecer sem responder aos pacotes de ping enviados pelo<br />
firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos.<br />
Valor padrão: 8 segundos.<br />
Tempo de ativação: Esse campo define o tempo, em segundos, que o firewall irá<br />
esperar, após receber um pacote de resposta de uma máquina anteriormente fora<br />
do ar, até considerá-la novamente ativa. Esse intervalo de tempo é necessário, pois<br />
normalmente uma máquina responde a pacotes ping antes de estar com todos os<br />
seus serviços ativos. Seu valor pode variar entre 1 e 60 segundos.<br />
Valor padrão: 10 segundos.<br />
Monitoramento via http<br />
Esses parâmetros configuram os tempos utilizados pelo firewall para realizar o<br />
monitoramento via requisições HTTP. São eles:<br />
Tempo limite dos pedidos: Esse campo define de quantos em quantos segundos,<br />
o firewall requisitará a URL especificada pelo administrador para cada máquina<br />
sendo monitorada. Seu valor pode variar entre 1 e 300 segundos.<br />
Valor padrão: 5 segundos.<br />
Tempo limite de resposta: Esse campo define o tempo máximo, em segundos, que<br />
uma máquina sendo monitorada poderá levar para responder à requisição do<br />
firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 300 segundos.<br />
Valor padrão: 15 segundos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 127
Aba <strong>Data</strong> e Hora<br />
Figura 79. Parametros de configuração – <strong>Data</strong> e hora.<br />
Esta opção permite ao administrador verificar e alterar a data e a hora do firewall. A<br />
data e hora configuradas corretamente são essenciais para o funcionamento da<br />
tabela de horário das regras e dos perfis de acesso WWW, das trocas de chaves<br />
através do protocolo SKIP e dos sistemas de log e eventos.<br />
<strong>Data</strong> e hora<br />
Esta janela consiste de dois campos que mostram o valor da data e hora<br />
configurado no firewall. Para alterar qualquer um destes valores, basta colocar o<br />
valor desejado no campo correspondente. Para escolher o mês pode-se utilizar<br />
as setas de navegação.<br />
Fuso Horário<br />
Escolha o fuso horário que mais se aproxima da região aonde o firewall será<br />
instalado.<br />
O botão Aplicar alterará a data e hora e manterá a janela aberta.<br />
O botão OK fará com que a janela seja fechada e as alterações salvas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 128
O botão Cancelar fechará a janela e descartará as modificações<br />
efetuadas.<br />
Servidor NTP (Network Time Protocol)<br />
Define o servidor de tempo que será utilizado pelo firewall para sincronizar seu<br />
relógio interno. (Este campo só aparece para o Firewall Box)<br />
5.2. Utilizando a interface texto<br />
A interface texto de configuração de parâmetros é bastante simples de ser utilizada<br />
e possui exatamente as mesmas capacidades da interface gráfica. Ela possui,<br />
entretanto, possibilidades não disponíveis na interface gráfica, de adicionar até três<br />
máquinas possíveis de administrarem o firewall remotamente, mesmo sem a<br />
existência de uma regra liberando sua conexão. O objetivo desta funcionalidade é<br />
permitir que, mesmo que um administrador tenha feito uma configuração<br />
equivocada que impeça sua conexão, ainda assim ele poderá continuar<br />
administrando remotamente o firewall. Este parâmetro chama-se end_remoto.<br />
Localização do programa: /aker/bin/firewall/fwpar<br />
Sintaxe:<br />
fwpar - mostra/altera parametros de configuracao<br />
Uso:<br />
fwpar [mostra | ajuda]<br />
fwpar interface_externa <br />
fwpar [tempo_limite_tcp | tempo_limite_udp] <br />
fwpar [ip_direcionado] <br />
fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp] <br />
fwpar [loga_conversao | loga_syslog] <br />
fwpar [permanencia_log | permanencia_event | permanencia_stat] <br />
fwpar [serv_log_remoto ]<br />
fwpar [add_remoto ]<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 129
fwpar [comunidade_leitura | comunidade_escrita] [nome]<br />
mostra = mostra a configuracao atual<br />
ajuda = mostra esta mensagem<br />
interface_externa = configura o nome da interface externa (conexoes quevierem por<br />
esta interface nao contam na licenca)<br />
tempo_limite_tcp = tempo maximo de inatividade para conexoes TCP<br />
tempo_limite_udp = tempo maximo de inatividade para conexoes UDP<br />
ip_direcionado = aceita pacotes IP direcionados<br />
suporte_ftp = habilita suporte ao protocolo FTP<br />
suporte_real_audio = habilita suporte ao procotolo Real Audio<br />
suporte_rtsp = habilita suporte ao procotolo RTSP<br />
loga_conversao = registra mensagens de conversao de endereços<br />
loga_syslog = envia mensagens de log e eventos para o syslogd<br />
permanencia_log = tempo de permanencia (dias) dos registros de log<br />
permanencia_event = tempo de permanencia (dias) dos registris de eventos;<br />
permanencia_stat = tempo de permanencia (dias) das estatísticas;<br />
serv_log_remoto = servidor de log remoto (nome da entidade);<br />
end_remoto = endereco dos tres controladores remotos;<br />
comunidade_leitura = nome da comunidade de leitura para SNMP<br />
comunidade_escrita = nome da comunidade de escrita para SNMP<br />
Exemplo 1: (visualizando a configuração)<br />
# fwpar mostra Parametros globais:<br />
-------------------<br />
tempo_limite_tcp : 900 segundos<br />
tempo_limite_udp : 180 segundos<br />
interface_externa : lnc0<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 130
Parametros de seguranca:<br />
------------------------<br />
ip_direcionado : não<br />
suporte_ftp<br />
: sim<br />
suporte_real_audio: sim<br />
suporte_rtsp<br />
: sim<br />
end_remoto : 1) 10.0.0.1 2) 10.0.0.2 3)10.0.0.3<br />
Parametros de configuracao de log:<br />
----------------------------------<br />
loga_conversao : não<br />
loga_syslog<br />
: não<br />
permanencia_log : 7 dias<br />
permanencia_event : 7 dias<br />
permanencia_stat : 7 dias<br />
Parametros de configuracao de SNMP:<br />
-----------------------------------<br />
comunidade_leitura:<br />
comunidade_escrita:<br />
Exemplo 2: (habilitando pacotes IP direcionados)<br />
#/aker/bin/firewall/fwpar ip_direcionado sim<br />
Exemplo 3: (configurando o nome da comunidade de leitura SNMP)<br />
#/aker/bin/firewall/fwpar comunidade_leitura public<br />
Exemplo 4: (apagando o nome da comunidade de escrita SNMP)<br />
#/aker/bin/firewall/fwpar comunidade_escrita<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 131
Cadastrando Entidades<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 132
6. Cadastrando Entidades<br />
Este capítulo mostrará o que são, para que servem e como cadastrar entidades no<br />
<strong>Aker</strong> Firewall.<br />
6.1. Planejando a instalação<br />
O que são e para que servem as entidades?<br />
Entidades são representações de objetos do mundo real para o <strong>Aker</strong> Firewall.<br />
Através delas, pode-se representar máquinas, redes, serviços a serem<br />
disponibilizados, entre outros.<br />
A principal vantagem da utilização de entidades para representar objetos reais é que<br />
a partir do momento em que são definidas no Firewall, elas podem ser referenciadas<br />
como se fossem os próprios objetos, propiciando uma maior facilidade de<br />
configuração e operação. Todas as alterações feitas em uma entidade serão<br />
automaticamente propagadas para todos os locais onde ela é referenciada.<br />
Pode-se definir, por exemplo, uma máquina chamada de Servidor WWW, com o<br />
endereço IP de 10.0.0.1. A partir deste momento, não é mais necessário se<br />
preocupar com este endereço IP. Em qualquer ponto onde seja necessário<br />
referenciar esta máquina, a referência será feita pelo nome. Caso futuramente seja<br />
necessário alterar seu endereço IP, basta alterar a definição da própria entidade que<br />
o sistema automaticamente propagará esta alteração para todas as suas<br />
referências.<br />
Definindo entidades<br />
Antes de explicar como cadastrar entidades no <strong>Aker</strong> Firewall é necessária uma<br />
breve explicação sobre os tipos de entidades possíveis e o que caracteriza cada<br />
uma delas.<br />
Existem 9 tipos diferentes de entidades no <strong>Aker</strong> Firewall: máquinas, máquinas IPv6,<br />
redes, redes IPv6, conjuntos, conjuntos IPv6, serviços, autenticadores e interfaces.<br />
As entidades do tipo máquina e rede, como o próprio nome já diz, representam<br />
respectivamente máquinas individuais e redes. Entidades do tipo conjunto<br />
representam uma coleção de máquinas e redes, em qualquer número. Entidades do<br />
tipo serviço representam um serviço a ser disponibilizado através de um protocolo<br />
qualquer que rode em cima do IP. Entidades do tipo autenticador representam um<br />
tipo especial de máquina que pode ser utilizada para realizar autenticação de<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 133
usuários e as entidades do tipo interface, representam uma interface de rede do<br />
firewall.<br />
Por definição, o protocolo IP, exige que cada máquina possua um endereço<br />
diferente. Normalmente estes endereços são representados da forma byte a byte,<br />
como por exemplo, 172.16.17.3. Desta forma, pode-se caracterizar unicamente uma<br />
máquina em qualquer rede IP, incluindo a Internet, com apenas seu endereço.<br />
Para definir uma rede deve-se utilizar uma máscara além do endereço IP. A<br />
máscara serve para definir quais bits do endereço IP serão utilizados para<br />
representar a rede (bits com valor 1) e quais serão utilizados para representar as<br />
máquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas<br />
máquinas podem assumir os endereços IP de 192.168.0.1 a 192.168.0.254, deve-se<br />
colocar como rede o valor 192.168.0.0 e como máscara o valor 255.255.255.0. Esta<br />
máscara significa que os 3 primeiros bytes serão usados para representar a rede e<br />
o último byte será usado para representar a máquina.<br />
Para verificar se uma máquina pertence a uma determinada rede, basta fazer um E<br />
lógico da máscara da rede, com o endereço desejado e comparar com o E lógico do<br />
endereço da rede com sua máscara. Se eles forem iguais, a máquina pertence à<br />
rede, se forem diferentes não pertence. Vejamos dois exemplos:<br />
Suponha que desejamos verificar se a máquina 10.1.1.2 pertence à rede 10.1.0.0,<br />
máscara 255.255.0.0. Temos:<br />
10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede)<br />
10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereço)<br />
Temos então que os dois endereços são iguais após a aplicação da máscara,<br />
portanto a máquina 10.1.1.2 pertence à rede 10.1.0.0.<br />
Suponha agora que desejamos saber se a máquina 172.16.17.4 pertence à rede<br />
172.17.0.0, máscara 255.255.0.0. Temos:<br />
172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede)<br />
172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereço)<br />
Como os endereços finais são diferentes, temos que a máquina 172.16.17.4 não<br />
pertence à rede 172.17.0.0<br />
Caso seja necessário definir uma rede onde qualquer máquina seja considerada<br />
como pertencente a ela (ou para especificar qualquer máquina da Internet), deve-se<br />
colocar como endereço IP desta rede o valor 0.0.0.0 e como máscara o valor<br />
0.0.0.0. Isto é bastante útil na hora de disponibilizar serviços públicos, onde todas as<br />
máquinas da Internet terão acesso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 134
Toda a vez que ocorre uma comunicação entre duas máquinas, usando o protocolo<br />
IP, estão envolvidos não apenas os endereços de origem e destino, mas também<br />
um protocolo de nível mais alto (nível de transporte) e algum outro dado que<br />
identifique a comunicação unicamente. No caso dos protocolos TCP e UDP (que<br />
são os dois mais utilizados sobre o IP), uma comunicação é identificada por dois<br />
números: a Porta Origem e a Porta Destino.<br />
A porta destino é um número fixo que está associado, geralmente, a um serviço<br />
único. Assim, temos que o serviço Telnet está associado com o protocolo TCP na<br />
porta 23, o serviço FTP com o protocolo TCP na porta 21 e o serviço SNMP com o<br />
protocolo UDP na porta 161, por exemplo.<br />
A porta origem é um número seqüencial escolhido pelo cliente de modo a<br />
possibilitar que exista mais de uma sessão ativa de um mesmo serviço em um dado<br />
instante. Assim, uma comunicação completa nos protocolos TCP e UDP pode ser<br />
representada da seguinte forma:<br />
10.0.0.1 1024 10.4.1.2 23 TCP<br />
Endereço origem Porta origem Endereço destino Porta destino Protocolo<br />
Para um firewall, a porta de origem não é importante, uma vez que ela é randômica.<br />
Devido a isso, quando se define um serviço, leva-se em consideração apenas a<br />
porta de destino.<br />
Além dos protocolos TCP e UDP existem outro protocolo importante: o ICMP. Este<br />
protocolo é utilizado pelo próprio IP para enviar mensagens de controle, informar<br />
sobre erros e testar a conectividade de uma rede.<br />
O protocolo ICMP não utiliza o conceito de portas. Ele usa um número que varia de<br />
0 a 255 para indicar um Tipo de Serviço. Como o tipo de serviço caracteriza<br />
unicamente um serviço entre duas máquinas, ele pode ser usado como se fosse a<br />
porta destino dos protocolos, TCP e UDP, na hora de definir um serviço.<br />
Por último, existem outros protocolos que podem rodar sobre o protocolo IP e que<br />
não são TCP, UDP ou ICMP. Cada um destes protocolos tem formas próprias para<br />
definir uma comunicação e nenhum deles é utilizado por um grande número de<br />
máquinas. Ainda assim, o <strong>Aker</strong> Firewall optou por adicionar suporte para possibilitar<br />
ao administrador o controle sobre quais destes protocolos podem ou não passar<br />
através do firewall.<br />
Para entender como isso é feito, basta saber que cada protocolo tem um número<br />
único que o identifica para o protocolo IP. Este número varia de 0 a 255. Desta<br />
forma, podemos definir serviços para outros protocolos usando o número do<br />
protocolo como identificação do serviço.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 135
O que é Qualidade de Serviço (QoS)<br />
A qualidade de serviço pode ser compreendida de duas formas: do ponto de vista<br />
da aplicação ou da rede.<br />
Para uma aplicação oferecer seus serviços com qualidade, tem que atender às<br />
expectativas do usuário em relação ao tempo de resposta e da qualidade do serviço<br />
que está sendo provido. Por exemplo, no caso de uma aplicação de vídeo,<br />
fidelidade adequada do som e/ou da imagem sem ruídos nem congelamentos.<br />
A qualidade de serviço da rede depende das necessidades da aplicação, ou seja, do<br />
que ela requisita da rede a fim de que funcione bem e atenda, por sua vez, às<br />
necessidades do usuário. Estes requisitos são traduzidos em parâmetros<br />
indicadores do desempenho da rede como, por exemplo, o atraso máximo sofrido<br />
pelo tráfego da aplicação entre o computador origem e destino.<br />
O <strong>Aker</strong> Firewall implementa um mecanismo com o qual é possível definir uma banda<br />
máxima de tráfego para determinadas aplicações. Através de seu uso,<br />
determinadas aplicações que tradicionalmente consomem muita banda, podem ter<br />
seu uso controlado. As entidades do tipo Canal são utilizadas para este fim e serão<br />
explicadas logo abaixo.<br />
6.2. Cadastrando entidades utilizando a interface gráfica<br />
Para ter acesso à janela de cadastro de entidades deve-se:<br />
Clicar no menu Configuração do Firewall da janela do firewall que se quer<br />
administrar;<br />
Selecionar o item Entidades (a janela será mostrada abaixo da janela com os menus<br />
de configuração dos firewalls).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 136
A janela de cadastro de entidades<br />
Figura 80. Janela de entidades (<strong>Aker</strong> Firewall).<br />
Figura 81. Entidades (Instância <strong>Aker</strong> Firewall).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 137
A janela de cadastro de entidades é onde são cadastradas todas as entidades do<br />
<strong>Aker</strong> Firewall, independente do seu tipo. Esta janela, por ser constantemente<br />
utilizada em praticamente todas as demais configurações do firewall, normalmente é<br />
mostrada sempre aberta na horizontal, abaixo da janela com os menus de<br />
configuração de cada firewall.<br />
Dica: Possui uma janela única para todos os firewalls abertos. A janela continuará a<br />
mesma, só mudará o conteúdo que será referente ao firewall selecionado. Os<br />
tipos de entidades mais usados são os únicos apresentados na aba. As entidades<br />
menos utilizadas aparecem no menu.<br />
Dica: É possível posicionar a janela de entidades como se fosse uma janela<br />
comum, bastando para isso clicar sobre sua barra de título e arrastá-la para a<br />
posição desejada.<br />
Dica: Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia,<br />
deve-se clicar em cima da aba que fica na parte inferior da janela.<br />
Nesta janela estão desenhados oito ícones, em forma de árvore, que representam<br />
os oito tipos de entidades possíveis de serem criados.<br />
Dica: Para visualizar as entidades criadas é só clicar no sinal de '+' e as entidades<br />
ficarão listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a<br />
entidade que se deseja visualizar.<br />
Para cadastrar uma nova entidade, deve-se proceder da seguinte forma:<br />
1. Clicar uma vez no ícone correspondente à entidade do tipo que deseja criar com<br />
o botão direito do mouse e selecionar a opção Inserir no menu pop-up<br />
ou<br />
2. Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a<br />
tecla Insert.<br />
Para editar ou excluir uma entidade, deve-se proceder da seguinte forma:<br />
1. Selecionar a entidade a ser editada ou excluída (se necessário, expande-se a<br />
lista do tipo de entidade correspondente);<br />
2. Clicar com o botão direito do mouse e selecionar a opção Editar ou Apagar,<br />
respectivamente, no menu pop-up que aparecer;<br />
3. Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a<br />
tecla Delete.<br />
No caso das opções Editar ou Incluir, aparecerá a janela de edição de parâmetros<br />
da entidade a ser editada ou incluída. Esta janela será diferente para cada um dos<br />
tipos possíveis de entidades.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 138
O ícone , localizado na parte inferior da janela aciona o assistente de<br />
cadastramento de entidades que será descrito no final deste capítulo.<br />
Incluindo / editando máquinas<br />
Figura 82. Cadastro de entidade Tipo Máquina.<br />
Para cadastrar uma entidade do tipo máquina deve-se preencher os seguintes<br />
campos:<br />
Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. É<br />
possível especificar este nome manualmente ou deixar que ele seja atribuído<br />
automaticamente. A opção Automático permite escolher entre estes dois modos de<br />
operação: caso ela esteja marcada, a atribuição será automática, caso contrário,<br />
manual.<br />
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são, portanto, consideradas<br />
diferentes.<br />
Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Para<br />
alterá-lo, basta clicar sobre o desenho do ícone atual. O Firewall então mostrará<br />
uma lista com todos os possíveis ícones para representar máquinas. Para escolher<br />
entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo<br />
após ver a lista, basta clicar no botão Cancelar.<br />
Endereço IP: É o endereço IP da máquina a ser criada.<br />
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para<br />
realizar a inclusão ou alteração da máquina. Para cancelar as inclusões ou<br />
alterações realizadas deve pressionar o botão Cancelar.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 139
Para facilitar a inclusão de várias máquinas seguidamente, existe um botão<br />
chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este<br />
botão fará com que a máquina inclua os dados preenchidos e mantenha aberta a<br />
janela de inclusão de máquinas onde estará pronta para uma nova inclusão. Desta<br />
forma é possível cadastrar rapidamente um grande número de máquinas.<br />
Incluindo / editando servidor IPv6<br />
Figura 83. Cadastro de entidade Tipo Máquina IPv6.<br />
Para cadastrar uma entidade do tipo máquina IPv6 deve-se preencher os seguintes<br />
campos:<br />
Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. É<br />
possível especificar este nome manualmente ou deixar que ele seja atribuído<br />
automaticamente. A opção Automático permite escolher entre estes dois modos de<br />
operação: caso ela esteja marcada, a atribuição será automática, caso contrário,<br />
manual.<br />
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são, portanto, consideradas<br />
diferentes.<br />
Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Para<br />
alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostrará uma<br />
lista com todos os possíveis ícones para representar máquinas. Para escolher entre<br />
eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após<br />
ver a lista, basta clicar no botão Cancelar.<br />
Endereço IPv6 : É o endereço IPv6 da máquina a ser criada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 140
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para<br />
realizar a inclusão ou alteração da máquina. Para cancelar as inclusões ou<br />
alterações realizadas deve pressionar o botão Cancelar.<br />
Para facilitar a inclusão de várias máquinas seguidamente, existe um botão<br />
chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este<br />
botão fará com que a máquina inclua os dados preenchidos e mantenha aberta a<br />
janela de inclusão de máquinas onde estará pronta para uma nova inclusão. Desta<br />
forma, é possível cadastrar rapidamente um grande número de máquinas.<br />
A ampliação de 32 bits do endereço IPv4 para 128 bits no endereço IPv6 é uma<br />
das mais importantes características do novo protocolo. É um imenso espaço de<br />
endereçamento, com um número difícil de ser apresentado (2 elevado a 128),<br />
porque são milhares de bilhões de endereços. O IPv6 acaba ainda com as classes<br />
de endereços e possibilita um método mais simples de auto-configuração.<br />
A notação mais usual que o endereço IPv6 é representado é x:x:x:x:x:x:x:x, onde os<br />
"x" são números hexadecimais, ou seja, o endereço é dividido em oito partes de 16<br />
bits, como no seguinte exemplo: 1080:0:0:0:8:800:200C:417A<br />
Incluindo / editando redes<br />
Figura 84. Inclusão e edição de redes.<br />
Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos:<br />
Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possível<br />
especificar este nome manualmente ou deixar que ele seja atribuído<br />
automaticamente. A opção Automático permite escolher entre estes dois modos de<br />
operação: caso ela esteja marcada, a atribuição será automática, caso contrário,<br />
manual.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 141
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são consideradas diferentes.<br />
Ícone: É o ícone que aparecerá associado à rede em todas as referências. Para<br />
alterá-lo deve clicar sobre o desenho do ícone atual. O firewall então mostrará uma<br />
lista com todos os possíveis ícones para representar redes. Para escolher entre eles<br />
tem que clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver<br />
a lista, basta clicar no botão Cancelar.<br />
Endereço IP: É o endereço IP da rede a ser criada.<br />
Máscara de Rede: Define quais bits do endereço IP serão utilizados para<br />
representar a rede (bits com valor 1) e quais serão utilizados para representar as<br />
máquinas dentro da rede (bits com valor 0)<br />
Intervalo: Este campo mostra a faixa de endereço IP a que pertence a rede e<br />
realiza uma crítica quanto a máscara que está sendo cadastrada, ou seja não<br />
permite cadastramento de máscaras erradas.<br />
Após estarem todos os campos preenchidos, deve-se clicar no botão OK para<br />
realizar a inclusão ou alteração da rede. Para cancelar as alterações realizadas ou a<br />
inclusão, deve-se pressionar o botão Cancelar.<br />
Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado<br />
Nova (que não estará habilitado durante uma edição). Ao clicar neste botão fará<br />
com que sejam incluídos os dados preenchidos e manterá aberta a janela de<br />
inclusão de redes onde estará pronta para uma nova inclusão. Desta forma é<br />
possível cadastrar rapidamente um grande número de redes.<br />
Incluindo / editando redes IPv6<br />
Figura 85. Inclusão e edição de redes IPv6.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 142
Para cadastrar uma entidade do tipo rede IPv6 deve-se preencher os seguintes<br />
campos:<br />
Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possível<br />
especificar este nome manualmente ou deixar que ele seja atribuído<br />
automaticamente. A opção Automático permite escolher entre estes dois modos de<br />
operação: caso ela esteja marcada, a atribuição será automática, caso contrário,<br />
manual.<br />
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são consideradas diferentes.<br />
Ícone: É o ícone que aparecerá associado à rede em todas as referências. Para<br />
alterá-lo deve clicar sobre o desenho do ícone atual. O firewall então mostrará uma<br />
lista com todos os possíveis ícones para representar redes. Para escolher entre eles<br />
tem que clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver<br />
a lista, basta clicar no botão Cancelar.<br />
Endereço IPv6: É o endereço IPv6 da rede a ser criada.<br />
Tamanho do prefixo da sub-rede : Define quais bits do endereço IP serão<br />
utilizados para representar a rede.<br />
Após estarem todos os campos preenchidos, deve-se clicar no botão OK para<br />
realizar a inclusão ou alteração da rede. Para cancelar as alterações realizadas ou a<br />
inclusão, deve-se pressionar o botão Cancelar.<br />
Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado<br />
Nova (que não estará habilitado durante uma edição). Ao clicar neste botão fará<br />
com que sejam incluídos os dados preenchidos e manterá aberta a janela de<br />
inclusão de redes onde estará pronta para uma nova inclusão. Desta forma é<br />
possível cadastrar rapidamente um grande número de redes.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 143
Incluindo / editando conjuntos<br />
Figura 86. Inclusão e edição de conjuntos.<br />
Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes<br />
campos:<br />
Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. É<br />
possível especificar este nome manualmente ou deixar que ele seja atribuído<br />
automaticamente. A opção Automático permite escolher entre estes dois modos de<br />
operação: caso ela esteja marcada, a atribuição será automática se não, manual.<br />
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são consideradas diferentes.<br />
Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências.<br />
Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então<br />
mostrará uma lista com todos os possíveis ícones para representar conjuntos. Para<br />
escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira<br />
alterá-lo após ver a lista, basta clicar no botão Cancelar.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 144
Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais<br />
máquinas e redes farão parte do mesmo. Abaixo estão os passos que deverão ser<br />
seguidos.<br />
1. Clicar com o botão direito do mouse no campo em branco e selecionar a opção<br />
Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes<br />
sobre ela ou clicando uma vez e logo abaixo em Adicionar).<br />
ou<br />
2. Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-la<br />
dentro da janela de entidades do conjunto.<br />
Figura 87. Adição de entidades.<br />
Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinte<br />
forma:<br />
1. Clicar com o botão direito do mouse sobre a entidade a ser removida e<br />
selecionar a opção Remover, ou,<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 145
2. Clicar na máquina ou rede a ser removida e pressionar a tecla Delete.<br />
Após todos os campos estarem preenchidos e todas as redes e máquinas que<br />
devem fazer parte do conjunto selecionadas, deve-se clicar no botão OK para<br />
realizar a inclusão ou alteração do conjunto. Para cancelar as alterações realizadas<br />
ou a inclusão, deve-se pressionar o botão Cancelar.<br />
Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão<br />
chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este<br />
botão fará com que o conjunto cujos dados foram preenchidos seja incluído e a<br />
janela de inclusão de conjuntos mantida aberta, pronta para uma nova inclusão.<br />
Desta forma é possível cadastrar rapidamente um grande número de conjuntos.<br />
Editando conjuntos - IPv6<br />
Figura 88. Edição de conjuntos IPv6.<br />
Para cadastrar uma entidade do tipo conjunto IPv6 deve-se preencher os seguintes<br />
campos:<br />
Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. É<br />
possível especificar este nome manualmente ou deixar que ele seja atribuído<br />
automaticamente. A opção Automático permite escolher entre estes dois modos de<br />
operação: caso ela esteja marcada, a atribuição será automática se não, manual.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 146
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são consideradas diferentes.<br />
Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências.<br />
Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então<br />
mostrará uma lista com todos os possíveis ícones para representar conjuntos. Para<br />
escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira<br />
alterá-lo após ver a lista, basta clicar no botão Cancelar.<br />
Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais<br />
máquinas e redes farão parte do mesmo. Abaixo estão os passos que deverão ser<br />
seguidos.<br />
1. Clicar com o botão direito do mouse no campo em branco e selecionar a<br />
opção Adicionar Entidades (a entidade pode ser adicionada clicando-se<br />
duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar).<br />
ou<br />
2. Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-la<br />
dentro da janela de entidades do conjunto.<br />
Figura 89. Edição de conjuntos IPv6 (entidades a ser adicionada).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 147
Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinte<br />
forma:<br />
1. Clicar com o botão direito do mouse sobre a entidade a ser removida e<br />
selecionar a opção Remover.<br />
ou<br />
2. Clicar na máquina ou rede a ser removida e pressionar a tecla Delete.<br />
Após todos os campos estarem preenchidos e todas as redes e máquinas que<br />
devem fazer parte do conjunto selecionadas, deve-se clicar no botão OK para<br />
realizar a inclusão ou alteração do conjunto. Para cancelar as alterações realizadas<br />
ou a inclusão, deve-se pressionar o botão Cancelar.<br />
Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão<br />
chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este<br />
botão fará com que o conjunto cujos dados foram preenchidos seja incluído e a<br />
janela de inclusão de conjuntos mantida aberta, pronta para uma nova inclusão.<br />
Desta forma é possível cadastrar rapidamente um grande número de conjuntos.<br />
Incluindo/Editando lista de categorias<br />
Figura 90. Inclusão e edição das listas de categorias.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 148
Para definir uma lista de categorias é necessário proceder da seguinte forma:<br />
Selecionar a opção Automático, caso queira atribuir um nome padrão a lista.<br />
Preencher o campo nome, onde pode definir um nome específico para a lista de<br />
categorias.<br />
O botão Atualizar permite buscar as categorias no firewall caso tenha havido<br />
alguma<br />
atualização.<br />
Ao selecionar a opção Tentar recuperar categorias pelo critério nome quando o<br />
Analisador de Contexto for trocado, permite identificar as categorias pelos nomes<br />
que foram cadastradas, pois ao trocar o analisador de contexto muitas categorias<br />
podem ser perdidas.<br />
Incluindo/Editando lista de padrões de busca<br />
Figura 91. Inclusão e edição dos padrões de buscas.<br />
Para definir um padrão de pesquisa é necessário proceder da seguinte forma:<br />
Selecionar a opção Automático, caso queira atribuir um nome padrão ao tipo de<br />
pesquisa.<br />
Preencher o campo nome, onde pode definir um nome específico para a pesquisa.<br />
Os campos Padrão e Texto permitem definir qual será a string ou os parâmetros<br />
que serão pesquisados na URL acessada e qual operação a ser efetuada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 149
Incluindo/Editando lista de quotas<br />
Figura 92. Inclusão e edição de quotas.<br />
Esta janela permite definir, vários tipos de quotas de acesso do usuário à rede.<br />
Para criar uma quota pode-se selecionar a opção Automático para que seja<br />
atribuído um nome padrão ao tipo de quota a ser definido ou então preencher o<br />
campo nome, onde pode atribuir um nome específico para a lista de quotas.<br />
A opção Tipo da Quota permite escolher se a quota definida será atribuída<br />
diariamente, semanalmente ou mensalmente. Ao marcar qual o tipo de quota<br />
desejada, pode associar a ela a checagem de tempo de acesso e/ou de volume de<br />
dados.<br />
A checagem de tempo pode ser definida em dias e/ou horas. Por exemplo,<br />
diariamente só vai ser liberado 3 horas de acesso à internet, ou semanalmente 3<br />
dias ou até mesmo semanalmente liberado 7 dias.<br />
Observação 1: A contagem de tempo funciona da seguinte forma: quando o usuário<br />
acessa uma página, conta um relógio de 31 segundos, se o usuário acessar uma<br />
outra página, começa a contar do zero, mas não deixar de contar, por exemplo, os<br />
10 segundos que o usuário gastou ao acessar a página anterior.<br />
Observação 2: Para o consumo de quota, funciona da seguinte forma: no MSN,<br />
para cada janela de conversação, o tempo é contado separadamente, já na WEB<br />
ser tiver acessando 10 sites, será contado somente o tempo de uma.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 150
Incluindo / Editando agentes externos<br />
Agentes externos são utilizados para a definição de programas complementares ao<br />
<strong>Aker</strong> Firewall. São responsáveis por funções específicas que podem estar rodando<br />
em máquinas distintas. Quando houver necessidade de realização de uma<br />
determinada tarefa por um dos agentes externos, ou vice-versa, o firewall se<br />
comunicará com eles e requisitará sua execução.<br />
Figura 93. Inclusão e edição de agentes externos.<br />
Existem 10 diferentes tipos de agentes externos, cada um responsável por um tipo<br />
distinto de tarefas:<br />
Autenticadores<br />
Os agentes de autenticação são utilizados para fazer a autenticação de usuários no<br />
firewall utilizando usuarios/senhas de bases de dados de diversos sistemas<br />
operacionais (Windows NT, Linux, etc).<br />
Autoridades certificadoras<br />
Autoridades certificadoras são utilizadas para fazer autenticação de usuários<br />
através de PKI, com o uso de Smart Cards e para autenticação de firewalls com<br />
criptografia IPSEC.<br />
Autenticadores Token<br />
Os autenticadores token são utilizados para fazer autenticação de usuários no<br />
firewall utilizando SecurID (R) , Alladin e outros.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 151
Agentes IDS<br />
Os agentes IDS (Intrusion Detection Systems - Sistemas detectores de intrusão) são<br />
sistemas que ficam monitorando a rede em tempo real procurando por padrões<br />
conhecidos de ataques ou abusos. Ao detectar uma destas ameaças, ele pode<br />
incluir uma regra no firewall que bloqueará imediatamente o acesso do atacante.<br />
Módulos de Antivirus<br />
Os agentes anti-vírus são utilizados pelo proxy SMTP, POP3 e Filtro Web para<br />
realizarem a checagem e a desinfecção de virus de forma transparente em e-mails e<br />
nos downloads FTP e HTTP.<br />
Analisadores de contexto<br />
Os analisadores de contexto são utilizados pelo Filtro Web para controlar o acesso a<br />
URLs baseados em diversas categorias pré-configuradas.<br />
Servidores remotos de log<br />
Os servidores de log remoto são utilizados pelo firewall para enviar o log para<br />
armazenamento em uma máquina remota.<br />
Autenticador Radius<br />
O autenticador Radius é utilizado para fazer autenticação de usuários no firewall a<br />
partir de uma base Radius.<br />
Autenticadores LDAP<br />
O autenticador LDAP permite ao firewall autenticar usuário usando uma base LDAP<br />
compatível com o protocolo X500.<br />
Spam Meters<br />
Os servidores do spam meter são utilizados pelo firewall para classificar e-mails e<br />
definir quais deles serão considerados SPAM.<br />
É possível a instalação de diversos agentes externos em uma mesma máquina,<br />
desde que sejam distintos.<br />
Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo<br />
o diretório de Agentes Externos. Independemente de seu sub-tipo, todos os agentes<br />
externos possuem os seguintes campos (os demais campos serão então<br />
modificados de acordo com o tipo do agente a ser cadastrado):<br />
Nome: É o nome pelo qual o agente será sempre referenciado pelo firewall. É<br />
possível especificar este nome manualmente ou deixar que ele seja atribuído<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 152
automaticamente. A opção Automático permite escolher entre estes dois modos de<br />
operação: caso ela esteja marcada, a atribuição será automática, caso contrário,<br />
manual.<br />
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são consideradas diferentes.<br />
Ícone: É o ícone que aparecerá associado ao agente em todas as referências. Para<br />
alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostrará uma<br />
lista com todos os possíveis ícones para representar agentes do sub-tipo<br />
selecionado. Para escolher entre eles basta clicar no ícone desejado e no botão OK.<br />
Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar.<br />
Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token, é<br />
necessário preencher os seguintes campos adicionais:<br />
Figura 94. Cadastro de um agente externo tipo autenticador ou autenticador Token.<br />
IP: É o endereço IP da máquina onde o agente está rodando.<br />
Backup 1 e Backup 2: Estes campos permitem com que seja especificado até dois<br />
endereços de outras máquinas que também estarão rodando o agente e que<br />
servirão como backup no caso de quedas da máquina principal.<br />
A máquina principal e as de backup deverão compartilhar uma mesma base de<br />
usuários, ou seja, elas deverão ser controladoras de domínio primárias e de backup<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 153
(PDCs e BDCs), no caso de redes Windows, ou várias máquinas Unix utilizando<br />
NIS.<br />
Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia<br />
usadas na comunicação com o agente. Esta senha deverá ser igual a configurada<br />
no agente. Para maiores informações, veja o capítulo intitulado: Trabalhando com<br />
proxies.<br />
Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada<br />
corretamente. Deve-se digitá-la exatamente como no campo Senha.<br />
Tempo limite do cache: Todas as vezes que é realizada uma autenticação com<br />
sucesso, o firewall mantém em memória os dados recebidos do usuário e do<br />
agente. Nas autenticações seguintes, o firewall possui todos os dados necessários e<br />
não mais precisa consultar o agente. Isso permite um grande ganho de<br />
performance.<br />
Este parâmetro permite definir em segundos o tempo em que o firewall deve manter<br />
as informações de autenticação em memória. Para maiores informações, veja o<br />
capítulo intitulado: Trabalhando com proxies.<br />
Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-se<br />
preencher os seguintes campos adicionais:<br />
Figura 95. Cadastro de um agente externo tipo Autoridade Certificadora.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 154
Localização da publicação da lista de certificados revogados (CRL): É a URL<br />
da qual será baixada a lista de certificados revogados da CA (CRL). Esta URL deve<br />
ser obrigatoriamente do protocolo HTTP e deve ser especificada sem o http:// na<br />
sua frente.<br />
O botão Importar certificado raiz permite carregar o certificado root da CA no<br />
firewall. Ao ser clicado, a interface abrirá uma janela para que especificar o nome do<br />
arquivo com o certificado a ser importado.<br />
É necessário importar um certificado raiz para cada Autoridade Certificadora<br />
criada, caso contrário não será possível autenticar usuários por meio dela.<br />
O Campo Pseudo-grupos permite definir grupos para usuários que se autenticarem<br />
por meio da autoridade certificadora, da mesma forma como define grupos em um<br />
sistema operacional. Desta maneira, é possível criar pseudo-grupos que<br />
representem todos os usuários de uma determinada empresa, departamento,<br />
cidade, etc. Após serem criados os pseudo-grupos, eles podem ser associados a<br />
perfis de acesso, da mesma forma como se faz com grupos de autenticadores ou<br />
autenticadores token.<br />
Clicando com o botão direito podemos selecionar as seguintes opções:<br />
Inserir: Esta opção permite incluir um novo pseudo-grupo;<br />
Excluir: Esta opção remove da lista o pseudo-grupo selecionado.;<br />
Editar: Esta opção abre a janela de edição para o pseudo-grupo selecionado;<br />
Ao clicar no botão Inserir ou Editar, a seguinte janela será mostrada:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 155
Figura 96. Definição de Pseudo-Grupos para usuários que se autenticarem por meio de autoridade<br />
certificadora.<br />
Nome: Campo de preenchimento obrigatório é o campo que, indicará o nome pelo<br />
qual o pseudo-grupo será referenciado pelo firewall. Os demais campos<br />
representam dados que serão comparados com os dados presentes no certificado<br />
X509 de cada usuário autenticado. Se um determinado campo estiver em branco<br />
então qualquer valor será aceito no campo correspondente do certificado, se não<br />
apenas certificados que possuírem o campo igual ao valor informado serão<br />
considerados como parte do grupo.<br />
Domínio: Nome da pessoa certificada;<br />
E-mail: Endereço de e-mail da pessoa certificada;<br />
Empresa: Nome da empresa onde trabalha a pessoa certificada ;<br />
Departamento: Departamento dentro da empresa onde trabalha a pessoa<br />
certificada;<br />
Cidade: Cidade onde se localiza a empresa onde trabalha a pessoa certificada;<br />
Estado: Estado onde se localiza a empresa onde trabalha a pessoa certificada;<br />
País: País onde se localiza a empresa onde trabalha a pessoa certificada;<br />
Os campos: Domínio, E-mail, Empresa, Departamento, Cidade, Estado e País se<br />
referem a pessoa que o certificado foi emitido.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 156
Para que um usuário autenticado através da autoridade certificadora seja<br />
considerado como membro de um pseudo-grupo, todos os campos de seu<br />
certificado X509 devem ser iguais aos valores dos campos correspondentes do<br />
pseudo-grupo. Campos em branco de um pseudo-grupo são ignorados na<br />
comparação e, portanto, quaisquer valores do certificado para estes campos serão<br />
aceitos.<br />
Para cadastrar um agente externo do tipo Agente IDS, Analisador de contexto,<br />
Anti-vírus, Spam Meter ou Servidor de Log Remoto, deve-se preencher os<br />
seguintes campos adicionais:<br />
Figura 97. Cadastro de agente externo tipo Agente IDS.<br />
Figura 98. Cadastro de agente externo tipo Analisador de texto.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 157
Figura 99. Cadastro de agente externo tipo Módulo de Antivírus.<br />
Figura 100. Cadastro de agente externo tipo Spam Meter.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 158
Figura 101. Cadastro de agente externo Servidor Remoto.<br />
IP: É o endereço IP da máquina onde o agente está rodando.<br />
Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de<br />
outras máquinas que também estarão rodando o agente e que servirão como<br />
backup no caso de quedas da máquina principal.<br />
Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia<br />
usadas na comunicação com o agente. Esta senha deve ser igual à configurada no<br />
agente.<br />
Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada<br />
corretamente. Deve-se digitá-la exatamente como no campo Senha.<br />
Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher<br />
os seguintes campos:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 159
Figura 102. Cadastro de agente externo Autenticador LDAP.<br />
IP: É o endereço IP da máquina onde o agente está rodando.<br />
Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de<br />
outras máquinas que também estarão rodando o servidor LDAP e que servirão<br />
como backup no caso de quedas da máquina principal.<br />
Tempo limite da cache: Todas as vezes que uma autenticação é realizada com<br />
sucesso, o firewall mantém em memória os dados recebidos do usuário e do<br />
agente. Nas autenticações seguintes, o firewall possui todos os dados necessários e<br />
não mais precisa consultar o agente. Isso permite um grande ganho de<br />
performance.<br />
Este parâmetro permite definir em segundos o tempo que o firewall deve manter as<br />
informações de autenticação em memória. Para maiores informações, veja o<br />
capítulo intitulado Trabalhando com proxies.<br />
Configurações LDAP: Neste conjunto de campos deve-se especificar as<br />
configurações do servidor LDAP que será utilizado para a realização das<br />
autenticações. A descrição de cada campo pode ser vista a seguir:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 160
DN Root de conexão: DN do usuário utilizado pelo firewall para as consultas;<br />
Senha Root de conexão: a senha deste usuário;<br />
DN Base: DN para começar a busca;<br />
ObjectClass da Conta: valor de objectclass que identifica objetos de contas<br />
válidas;<br />
Atributo nome do usuário: o atributo onde encontra o nome do usuário;<br />
Atributo senha: o atributo onde se encontra a senha do usuário;<br />
Atributo grupo: o atributo onde se encontra o grupo do usuário;<br />
Permitir senha em branco: permite senhas em branco para o usuário quando<br />
marcado;<br />
Usar a versão 3 do protocolo LDAP: Habilita a o uso da versão 3 do protocolo<br />
LDAP;<br />
Ignorar maiúsculas e minúsculas na comparação: Permite que maiúsculas e<br />
minúsculas na comparação sejam equivalentes;<br />
Método de Autenticação: Este campo especifica se o firewall deve buscar a senha<br />
ou deve se conectar na base LDAP com as credenciais do usuário para validá-lo;<br />
Conectar utilizando as credencias do usuário: Permite ao usuário autenticar-se<br />
utilizando suas credenciais.<br />
Hash (RFC2307): Permite atenticação pelo modo Hash (RFC2307);<br />
Adicionar DN Base ao nome do usuário: Permite adicionar DN Base ao nome do<br />
usuário na autenticação;<br />
Conexão LDAP segura: Este campo especifica se a conexão ao servidor LDAP<br />
será encriptada ou não. Ele consiste das seguintes opções:<br />
SSL: especifica que o firewall usará conexão encriptada via SSL;<br />
TLS: especifica que o firewall usará conexão encriptada via TLS;<br />
Nenhuma: especifica que o firewall não usará criptografia ao se conectar ao<br />
servidor LDAP;<br />
Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencher<br />
os seguintes campos adicionais:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 161
Figura 103. Cadastro de agente externo Autenticador Radius.<br />
IP: É o endereço IP da máquina onde o agente está rodando.<br />
Porta: Número da porta onde o servidor RADIUS estará escutando as requisições<br />
de autenticação.<br />
1º Backup: Este campo permite com que se especifique outra máquina que também<br />
estará rodando o servidor RADIUS e que servirá como backup no caso de queda<br />
da máquina principal.<br />
Segredo: É o segredo compartilhado utilizado no servidor RADIUS.<br />
Confirmação: Este campo é utilizado apenas para se verificar se o segredo foi<br />
digitado corretamente. Deve-se digitá-lo exatamente como no campo Segredo.<br />
Tempo limite do cache: Todas as vezes que é realizado uma autenticação com<br />
sucesso, o firewall mantém em memória os dados recebidos do usuário e do<br />
agente. Nas autenticações seguintes, o firewall possui todos os dados necessários e<br />
não mais precisa consultar o agente. Isso permite um grande ganho de<br />
performance.<br />
Este parâmetro permite definir o tempo, em segundos, que o firewall deve manter as<br />
informações de autenticação em memória. Para maiores informações, veja o<br />
capítulo intitulado Trabalhando com proxies.<br />
Usuários: Este campo serve para que se possa cadastrar e posteriormente<br />
associar usuários específicos RADIUS com perfis de acesso do firewall, uma vez<br />
que com este protocolo não é possível para o firewall conseguir a lista completa de<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 162
usuários. Somente é necessário realizar o cadastramento dos usuários que queira<br />
se associar com perfis específicos.<br />
Grupos: Este campo serve para cadastrar e posteriormente associar grupos<br />
específicos RADIUS com perfis de acesso do firewall, uma vez que com este<br />
protocolo não é possível para o firewall conseguir a lista completa de grupos.<br />
Somente é necessário realizar o cadastramento dos grupos que quer associar com<br />
perfis específicos.<br />
Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo<br />
firewall que pode ser utilizado para a associação de usuários RADIUS com um perfil<br />
de acesso específico. Todos os usuários autenticados em um determinado servidor<br />
RADIUS são considerados como pertencentes a este grupo. Desta forma, caso<br />
queira utilizar um único perfil de acesso para todos os usuários, não é necessário o<br />
cadastramento de nenhum usuário e/ou grupo.<br />
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para<br />
realizar a inclusão ou alteração do agente externo. Para cancelar as alterações<br />
realizadas ou a inclusão, deve-se pressionar o botão Cancelar.<br />
Para facilitar a inclusão de vários agentes seguidamente, existe um botão chamado<br />
Nova (que não estará habilitado durante uma edição). Ao clicar, neste botão fará<br />
com que o dados preenchidos do agente, sejam incluídos e a janela de inclusão de<br />
agentes mantida aberta, pronta para uma nova inclusão. Desta forma é possível<br />
cadastrar rapidamente um grande número de agentes.<br />
Incluindo / editando serviços<br />
Figura 104. Inclusão e edição de serviços.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 163
Para cadastrar uma entidade do tipo serviço deve-se preencher os seguintes<br />
campos:<br />
Nome: É o nome pelo qual o serviço será sempre referenciado pelo firewall. É<br />
possível especificar este nome manualmente ou deixar que ele seja atribuído<br />
automaticamente. A opção Automático permite escolher entre estes dois modos de<br />
operação: caso ela esteja marcada, a atribuição será automática, caso contrário,<br />
manual.<br />
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são consideradas diferentes.<br />
Ícone: É o ícone que aparecerá associado ao serviço em todas as referências. Para<br />
alterá-lo, deve-se clicar sobre o desenho do ícone atual. O firewall então mostrará<br />
uma lista com todos os possíveis ícones para representar serviços. Para escolher<br />
entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo<br />
após ver a lista, basta clicar no botão Cancelar.<br />
Protocolo: É o protocolo associado ao serviço. (TCP, UDP, ICMP ou OUTROS)<br />
Serviço: É o número que identifica o serviço. No caso dos protocolos TCP e UDP,<br />
este número é a porta destino. No caso de ICMP é o tipo de serviço e no caso de<br />
outros protocolos é o número do protocolo. Para cada protocolo, o firewall possui<br />
uma lista dos valores mais comuns associados a ele, de modo a facilitar a criação<br />
do serviço. Entretanto, é possível colocar valores que não façam parte da lista,<br />
simplesmente digitando-os neste campo.<br />
Caso queira especificar uma faixa de valores, ao invés de um único valor, deve-se<br />
clicar no botão ao lado dos nomes De e Para e especificar o menor valor da faixa<br />
em De e o maior em Para. Todos os valores compreendidos entre estes dois,<br />
inclusive, serão considerados como fazendo parte do serviço.<br />
Proxy: Este campo só se encontra habilitado para os protocolos TCP e UDP e<br />
permite especificar se a conexão que se enquadrar neste serviço, será<br />
automaticamente desviada para um dos proxies transparentes do Firewall <strong>Aker</strong> ou<br />
não. O valor padrão é Sem Proxy, que significa que a conexão não deve ser<br />
desviada para nenhum proxy. Quando o protocolo TCP está selecionado, as outras<br />
opções são Proxy SMTP, Proxy Telnet, Proxy FTP, Proxy do usuário, Proxy<br />
HTTP e Proxy POP3 que desviam para os proxies SMTP, Telnet, FTP, proxies<br />
criados pelo usuário, HTTP e POP3, respectivamente. Quando o protocolo UDP<br />
está selecionado, as outras opções são Proxy RPC, que desvia para o proxy RPC,<br />
e Proxy do Usuário.<br />
O serviço Telnet está associado à porta 23, o SMTP à porta 25, o FTP à porta<br />
21, o HTTP à porta 80 e o POP3 à porta 110. É possível especificar que conexões<br />
de quaisquer outras portas sejam desviadas para um destes proxies, entretanto, isto<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 164
não é o comportamento padrão e não deve ser feito a não ser que tenha<br />
conhecimento de todas as possíveis implicações.<br />
Caso tenha especificado que a conexão deve ser desviada para um proxy, pode ser<br />
necessário definir os parâmetros do contexto que será utilizado pelo proxy para este<br />
serviço. Caso isso seja necessário, no momento em que o proxy for selecionado, a<br />
janela será expandida para mostrar os parâmetros adicionais que devem ser<br />
configurados.<br />
A explicação dos parâmetros de cada um dos contextos dos proxies padrão, se<br />
encontra nos capítulos intitulados Configurando o proxy SMTP, Configurando o<br />
proxy Telnet, Configurando o proxy FTP, Configurando o proxy POP3 e<br />
Configurando o Proxy RPC e o proxy DCE-RPC. O proxy HTTP não tem<br />
parâmetros configuráveis e suas configurações são descritas no capítulo<br />
Configurando o Filtro Web . Para maiores informações sobre proxies<br />
transparentes e contextos, veja o capítulo intitulado Trabalhando com proxies.<br />
Proxies definidos pelo usuário somente são úteis para desenvolvedores e sua<br />
descrição não será abordada aqui.<br />
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para<br />
realizar a inclusão ou alteração do serviço. Para cancelar as alterações realizadas<br />
ou a inclusão, deve-se pressionar o botão Cancelar.<br />
Para facilitar a inclusão de vários serviços seguidamente, existe um botão chamado<br />
Nova (que não estará habilitado durante uma edição). Ao ser clicado, este botão<br />
fará com que o serviço, cujos dados foram preenchidos, seja incluído e a janela de<br />
inclusão de serviços mantida aberta, pronta para uma nova inclusão. Desta forma é<br />
possível cadastrar rapidamente um grande número de serviços.<br />
Incluindo / editando interfaces<br />
Figura 105. Inclusão e edição de interfaces.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 165
Para cadastrar uma entidade do tipo interface é necessário preencher os seguintes<br />
campos:<br />
Nome: É o nome pelo qual a interface será sempre referenciada pelo firewall. É<br />
possível especificar este nome manualmente ou deixar que ele seja atribuído<br />
automaticamente. A opção Automático permite escolher entre estes dois modos de<br />
operação: se ela estiver marcada, a atribuição será automática caso contrário será<br />
manual.<br />
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são consideradas diferentes.<br />
Ícone: É o ícone que aparecerá associado à interface em todas as referências. Para<br />
alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostrará uma<br />
lista com todos os possíveis ícones para representar interfaces. Para escolher entre<br />
eles deve-se clicar no ícone desejado e no botão OK. Caso não queira alterá-lo<br />
após ver a lista, basta clicar no botão Cancelar.<br />
Interface: É o nome do adaptador de rede que será associado à entidade<br />
interface. Será mostrada automaticamente uma lista com todos os adaptadores de<br />
rede configurados no firewall e o endereço IP de cada um, se existir.<br />
Comentário: É um campo texto livre usado apenas para fins de documentação.<br />
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para<br />
realizar a inclusão ou alteração da interface. Para cancelar as alterações realizadas<br />
ou a inclusão, deve-se pressionar o botão Cancelar .<br />
Para facilitar a inclusão de várias interfaces seguidamente, existe um botão<br />
chamado Nova (que não estará habilitado durante uma edição). Ao clicar este botão<br />
fará com que os dados da interface que foram preenchidos sejam incluídos e<br />
mantida aberta a janela de inclusão de interfaces onde estará pronta para uma nova<br />
inclusão. Desta forma, é possível cadastrar rapidamente um grande número de<br />
interfaces.<br />
Incluindo / editando listas de e-mails<br />
Listas de e-mails são entidades usadas no proxy MSN com o objetivo de definir com<br />
quais pessoas um determinado usuário pode conversar através do MSN Messenger.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 166
Figura 106. Inclusão e edição de listas de e-mails.<br />
Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher os<br />
seguintes campos:<br />
Nome: É o nome pelo qual a lista de e-mails será sempre referenciado pelo firewall.<br />
É possível especificar este nome manualmente ou deixar que ele seja atribuído<br />
automaticamente. A opção Automático permite escolher entre estes dois modos de<br />
operação: caso ela esteja marcada, a atribuição será automática, caso contrário,<br />
manual.<br />
A lista deve ter apenas "enter ou (\n)" como separadores na lista de e-mails.<br />
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são consideradas diferentes.<br />
Domínio de E-mail: Este campo é composto pelos e-mails ou domínios que farão<br />
parte da lista. É possível especificar um e-mail completo ou utilizar o símbolo * para<br />
representar um caractere qualquer. As seguintes opções são e-mails válidos:<br />
= *@* - Corresponde a qualquer e-mail<br />
= *@aker.com.br - Corresponde a todos os e-mails do domínio aker.com.br<br />
Para executar qualquer operação sobre um e-mail ou domínio, deve-se clicar sobre<br />
ele com o botão direito e a seguir escolher a opção desejada no menu que será<br />
mostrado. As seguintes opções estão disponíveis:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 167
Figura 107. Opção para realizar uma operação sobre um e-mail ou domínio.<br />
Incluir: Esta opção permite incluir um novo endereço;<br />
Excluir: Esta opção remove da lista o endereço selecionado;<br />
Importar: Esta opção importa a lista de e-mails a partir de um arquivo .ctt<br />
(formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por<br />
linha);<br />
Exportar: Esta opção exporta a lista de e-mails para um arquivo .ctt<br />
(formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por<br />
linha).<br />
A lista deve ter apenas "enter ou (\n)" como separadores na lista de domínios.<br />
Incluindo / editando listas de tipos de arquivos<br />
Listas de tipos de arquivos são entidades usadas no proxy MSN com o objetivo de<br />
definir quais tipos de arquivos podem ser enviados e recebidos, através do MSN<br />
Messenger.<br />
Figura 108. Lista dos tipos de arquivos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 168
Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os<br />
seguintes campos:<br />
Nome: É o nome pelo qual a lista de tipos de arquivos será sempre referenciado<br />
pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja<br />
atribuído automaticamente. A opção Automático permite escolher entre estes dois<br />
modos de operação: caso ela esteja marcada, a atribuição será automática, caso<br />
contrário, manual.<br />
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são consideradas diferentes.<br />
Para executar qualquer operação sobre uma entrada da lista, deve-se clicar sobre<br />
ela com o botão direito e a seguir escolher a opção desejada no menu que será<br />
mostrado. As seguintes opções estão disponíveis:<br />
Figura 109. Opção para realizar uma operação (Entrada da lista).<br />
Incluir: Incluir um novo tipo de arquivo;<br />
Excluir: Remover da lista o tipo de arquivo selecionado;<br />
Duplicar: Criar uma nova entrada na lista, idêntica à entrada selecionada, sendo<br />
indicada para criar vários tipos com a mesma descrição;<br />
Para cada entrada, os seguintes campos devem ser preenchidos:<br />
Extensão: Extensão do arquivo sem o ponto. Ex.: zip, exe, etc.<br />
Descrição: Breve descrição do tipo associado à extensão.<br />
Incluindo / editando acumuladores<br />
Acumuladores são entidades usadas nas regras de filtragem com o objetivo de<br />
coletar estatísticas sobre o tráfego de rede. Um mesmo acumulador pode ser<br />
utilizado em várias regras de filtragem. O tráfego que encaixar em cada uma destas<br />
regras é sumarizado pelo acumulador. A sua utilização está descrita nos capítulos:<br />
O Filtro de Estados e Visualizando estatísticas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 169
Figura 110. Acumuladores.<br />
Para cadastrar uma entidade do tipo acumulador deve-se preencher os seguintes<br />
campos:<br />
Nome: É o nome pelo qual o acumulador será sempre referenciado pelo firewall. É<br />
possível especificar este nome manualmente ou deixar que ele seja atribuído<br />
automaticamente. A opção Automático permite escolher entre esses dois modos de<br />
operação: se ela estiver marcada, a atribuição será automática caso contrário será<br />
manual.<br />
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são consideradas diferentes.<br />
Ícone: É o ícone que aparecerá associado ao acumulador em todas as referências.<br />
Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então<br />
mostrará uma lista com todos os possíveis ícones para representar interfaces. Para<br />
escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira<br />
alterá-lo após ver a lista, basta clicar no botão Cancelar.<br />
Comentário: É um campo texto livre, usado apenas para fins de documentação.<br />
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para<br />
realizar a inclusão ou alteração do acumulador. Para cancelar as alterações<br />
realizadas ou a inclusão, deve-se pressionar o botão Cancelar .<br />
Para facilitar a inclusão de vários acumuladores seguidamente, existe um botão<br />
chamado Nova (que não estará habilitado durante uma edição). Ao clicar neste<br />
botão fará com que os dados do acumulador que foram preenchidos sejam incluídos<br />
e mantida aberta a janela de inclusão de acumuladores onde estará pronta para<br />
uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande<br />
número de acumuladores.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 170
Incluindo / editando Canais<br />
Canais são entidades usadas nas regras de filtragem com o objetivo de limitar a<br />
banda de determinados serviços, máquinas, redes e/ou usuários. Seu uso está<br />
descrito no capítulo: O Filtro de Estados.<br />
Figura 111. Cadastro de entidade tipo Canal.<br />
Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes<br />
campos:<br />
Nome: É o nome pelo qual o canal será sempre referenciado pelo firewall. É<br />
possível especificar este nome manualmente ou deixar que ele seja atribuído<br />
automaticamente. A opção Nome automático permite escolher entre estes dois<br />
modos de operação: caso ela esteja marcada, a atribuição será automática, caso<br />
contrário, manual.<br />
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das<br />
entidades. Desta forma, é possível a existência de várias entidades compostas de<br />
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e<br />
minúsculas. As entidades <strong>Aker</strong>, AKER e aker são consideradas diferentes.<br />
Ícone: É o ícone que aparecerá associado ao Canal em todas as referências. Para<br />
alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostrará uma<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 171
lista com todos os possíveis ícones para representar interfaces. Para escolher entre<br />
eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após<br />
ver a lista, basta clicar no botão Cancelar.<br />
Largura de Banda: É um campo texto usado para designar a largura de banda<br />
(velocidade máxima de transmissão em bits por segundo) deste Canal. Esta banda<br />
será compartilhada entre todas as conexões que usarem este Canal. Deve ser<br />
escolhida a unidade de medida mais conveniente.<br />
Banda de upload: velocidade máxima de transmição em bits por segundo definida<br />
para realizar um upload.<br />
Banda de download: velocidade máxima de transmição em bits por segundo<br />
definida para realizar um download.<br />
Buffer: É um campo texto usado para designar o tamanho do buffer (espaço<br />
temporário de dados utilizado para armazenar pacotes que serão transmitidos)<br />
utilizado por este Canal. Deve ser escolhida a unidade de medida. É possível<br />
especificar este tamanho manualmente ou deixar que ele seja atribuído<br />
automaticamente.<br />
A opção Automático permite escolher entre estes dois modos de operação: se ela<br />
estiver marcada, a atribuição será automática, senão manual.<br />
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para<br />
realizar a inclusão ou alteração do Canal. Para que as alterações e as inclusões<br />
sejam canceladas deve-se pressionar o botão Cancelar .<br />
Para facilitar a inclusão de vários Canais seguidamente, existe um botão chamado<br />
Nova (que não estará habilitado durante uma edição). Ao clicar este botão fará com<br />
que os dados da canal que foram preenchidos sejam incluídos e mantida aberta a<br />
janela de inclusão de canais onde estará pronta para uma nova inclusão. Desta<br />
forma é possível cadastrar rapidamente um grande número de canais.<br />
6.3. Utilizando a interface texto<br />
A utilização da interface texto na configuração das entidades é bastante simples e<br />
possui praticamente todos os recursos da interface gráfica. As únicas opções não<br />
disponíveis são a criação de serviços que utilizem proxies transparentes e a edição<br />
de pseudo-grupos de uma autoridade certificadora. É importante comentar,<br />
entretanto, que na interface texto os agentes externos são mostrados e criados<br />
diretamente pelo seu sub-tipo.<br />
Localização do programa: /aker/bin/firewall/fwent<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 172
Sintaxe:<br />
Uso: fwent ajuda<br />
fwent mostra<br />
fwent remove <br />
fwent inclui maquina <br />
< | > <br />
< | ><br />
< | ><br />
< | ><br />
fwent inclui radius [ ] <br />
fwent inclui anti-virus [] [] <br />
fwent inclui ids [] [] <br />
fwent inclui analisador-url [] [] <br />
fwent inclui interface []<br />
fwent inclui acumulador []<br />
fwent inclui servico [TCP | UDP | ICMP | OUTRO] [..<br />
fwent inclui ca :<br />
fwent inclui pipe [ ]<br />
fwent inclui log_remoto [IP] [IP] <br />
fwent inclui quota [ kbytes ] [ segundos ]<br />
<br />
fwent - Interface texto para configuracao das entidades<br />
Ajuda do programa :<br />
inclui = inclui uma nova nova entidade<br />
remove = remove uma entidade existente<br />
ajuda = mostra esta mensagem<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 173
Para remove / inclui temos:<br />
nome = nome da entidade a ser criada ou removida<br />
Para inclui temos:<br />
IP = endereco IP da maquina ou da rede<br />
mascara = mascara da rede entidade = nome das entidades a serem<br />
acrescentadas no conjunto<br />
(OBS: Somente podem fazer parte de um conjunto entidades do tipo maquina ou<br />
rede)<br />
senha = senha de acesso<br />
t. cache = tempo em segundos de permanencia de uma entrada no cache de<br />
autenticacao TCP = servico utiliza protocolo TCP<br />
UDP = servico utiliza protocolo UDP<br />
ICMP = servico utiliza protocolo ICMP<br />
OUTRO = servico utiliza protocolo diferente dos acima citados<br />
valor = Numero que identica o servico.<br />
Para os protocolos TCP e UDP, e' o valor da porta associada ao servico.<br />
No caso de ICMP, e' o<br />
tipo de servico e no caso de outros protocolos o numero do<br />
proprio protocolo. Pode-se especificar uma faixa atraves da<br />
notacao valor1..valor2, que significa a faixa de valores<br />
compreendida entre o valor1 e o valor2 (inclusive).<br />
Para inclui ldap temos:<br />
root_dn = DN do usuario utilizado pelo firewall para as consultas<br />
root_pwd = a senha deste usuario<br />
base_dn = DN para comecar a busca<br />
act_class= valor de objectclass que identifica objetos de contas validas<br />
usr_attr = o atributo onde se encontra o nome do usuario<br />
grp_addr = o atributo onde se encontra o grupo do usuario<br />
pwd_addr = o atributo onde se encontra a senha do usuario<br />
-bind = nao tenta buscar a senha, em vez disso tenta conectar na base<br />
-append_dn = onde se adiciona base DN ao nome de usuário<br />
-ldap_v3 = atributo onde habilita ou não a versão 3 do protocolo LDAP<br />
-case_sensitive = permite a diferenciação de caracteres maiúsculos e minúsculos<br />
LDAP com as credenciais do usuario para valida-lo<br />
-ssl = usar conexao encriptada via ssl<br />
-tls = usar conexao encriptada via tls<br />
-nenhuma = nao usar conexao encriptada<br />
-no_pwd = permite senhas em branco para o usuario<br />
-pwd = nao permite senhas em branco para o usuario<br />
Exemplo 1:(visualizando as entidades definidas no sistema)<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 174
#fwent mostra<br />
Maquinas:<br />
---------<br />
cache 10.4.1.12<br />
firewall 10.4.1.11<br />
Redes:<br />
------<br />
AKER 10.4.1.0 255.255.255.0<br />
Internet 0.0.0.0 0.0.0.0<br />
Conjuntos:<br />
----------<br />
Maquinas Internas cache firewall<br />
Autenticadores:<br />
---------------<br />
Autenticador NT 10.0.0.1 10.0.0.2 600<br />
Unix 192.168.0.1 192.168.0.2 192.168.0.3 600<br />
Autenticadores do tipo token:<br />
-----------------------------<br />
Autenticador token 10.0.0.1 10.0.0.2 600<br />
Agentes IDS:<br />
------------<br />
Agente IDS 10.10.0.1<br />
Anti-Virus:<br />
-----------<br />
Anti-virus local 127.0.0.1<br />
Servicos:<br />
---------<br />
echo reply ICMP 8<br />
echo request ICMP 0<br />
ftp TCP 21<br />
snmp UDP 161<br />
telnet TCP 23<br />
Interfaces:<br />
----------<br />
Interface Externa xl0<br />
Interface Interna de0<br />
Exemplo 2:(cadastrando uma entidade do tipo máquina)<br />
#/aker/bin/firewall/fwent inclui maquina Servidor_1 10.4.1.4<br />
Entidade incluida<br />
Exemplo 3:(cadastrando uma entidade do tipo rede)<br />
#/aker/bin/firewall/fwent inclui rede Rede_1 10.4.0.0 255.255.0.0<br />
Entidade incluida<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 175
Exemplo 4:(cadastrando uma entidade do tipo serviço)<br />
#/aker/bin/firewall/fwent inclui servico DNS UDP 53<br />
Entidade incluida<br />
Exemplo 5:(cadastrando uma entidade do tipo autenticador)<br />
#/aker/bin/firewall/fwent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123<br />
900<br />
Entidade incluida<br />
O uso de "" ao redor do nome da entidade é obrigatório quando inclui ou remove<br />
entidades cujo nome contém espaços.<br />
Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros são<br />
as máquinas cache e firewall, previamente definidas)<br />
#/aker/bin/firewall/fwent inclui conjunto "Conjunto de teste" cache firewall<br />
Entidade incluida<br />
Exemplo 7: (incluindo uma entidade do tipo interface, sem especificar um<br />
comentário)<br />
#/aker/bin/firewall/fwent inclui interface "Interface DMZ" fxp0<br />
Entidade incluida<br />
Exemplo 8: (incluindo uma entidade do tipo autenticador token, utilizando uma<br />
máquina primária e uma secundária, como backup)<br />
#/aker/bin/firewall/fwent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha<br />
600<br />
Entidade incluida<br />
Exemplo 9: (removendo uma entidade)<br />
#/aker/bin/firewall/fwent remove "Autenticador Unix"<br />
Entidade incluida<br />
6.4. Utilizando o Assistente de Entidades<br />
O assistente de criação de entidades pode ser invocado clicando-se no ícone ,<br />
localizado na parte inferior da janela de entidades. O seu intuito é simplificar a tarefa<br />
de criação das entidades, podendo ser utilizado sempre que desejado. Ele consiste<br />
de várias janelas mostradas em série, dependendo do tipo de entidade a ser criada.<br />
Seu uso é extremamente simples e o exemplificaremos para a criação de uma<br />
entidade do tipo máquina:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 176
1 - A primeira janela mostrada é uma breve explicação dos procedimentos a serem<br />
realizados:<br />
Figura 112. Mensagem de entrada no Assistente de criação de entidades.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 177
2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a<br />
ser cadastrada:<br />
Figura 113. Escolha do tipo de entidade.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 178
3 - Localizar o endereço IP. Para cadastrar uma máquina deve ser especificado o<br />
endereço IP correspondente. Caso queira obter esse endereço, deve ser informado<br />
o nome da máquina e logo em seguida clicar no botão Resolva:<br />
Figura 114. Inserção do endereço de IP da máquina.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 179
4 - Atribuição do nome da entidade. Pode-se escolher o nome ou usar a atribuição<br />
automática:<br />
Figura 115. Atribuição do nome da entidade.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 180
5 -Escolha do ícone da entidade. Para escolher o ícone da entidade deve-se clicar<br />
em um dos ícones que aparecem na janela. Observe que o ícone selecionado irá<br />
aparecer à direita da janela:<br />
Figura 116. Escolha do ícone da entidade.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 181
6 - Finalização do cadastramento. Será mostrado um resumo dos dados da<br />
entidade. Para cadastrá-la deve-se clicar no botão Finalizar:<br />
Figura 117. Mensagem de finalização do cadastramento.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 182
O Filtro de Estado<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 183
7. O Filtro de Estado<br />
Este capítulo mostrará como configurar as regras que propiciarão a aceitação ou<br />
não de conexões pelo firewall. Este módulo é o mais importante do sistema e é<br />
onde normalmente se gasta o maior tempo de configuração.<br />
7.1. Planejando a instalação<br />
O que é um filtro de pacotes?<br />
Um filtro de pacotes é o módulo que irá decidir se um determinado pacote poderá<br />
passar através do firewall ou não. Deixar um pacote passar, implica em aceitar um<br />
determinado serviço. Bloquear um pacote significa impedir que este serviço seja<br />
utilizado.<br />
Para que seja decidido qual ação a ser tomada para cada pacote que chega ao<br />
firewall, o filtro de pacotes possui um conjunto de regras configurado pelo<br />
administrador do sistema. Para cada pacote que chega, o filtro de pacotes percorre<br />
este conjunto de regras, na ordem em que foi criado, verificando se este, encaixa<br />
em alguma das regras. Se ele se encaixar em uma regra então a ação definida para<br />
ela será executada. Caso o filtro termine a pesquisa de todas as regras e o pacote<br />
não se encaixe em nenhuma delas então a ação padrão será executada.<br />
O que é o filtro de estados do <strong>Aker</strong> Firewall?<br />
Um filtro tradicional de pacotes baseia suas ações exclusivamente no conjunto de<br />
regras configurado pelo administrador. Para cada pacote que poderá passar pelo<br />
filtro, o administrador tem que configurar uma regra que possibilite sua aceitação.<br />
Em alguns casos isto é simples, mas em outros isto não é possível de ser feito ou<br />
pelo menos não é possível realizar com a segurança e flexibilidade necessárias.<br />
O filtro de pacotes do <strong>Aker</strong> Firewall é chamado de filtro de estados. Armazena<br />
informações do estado de todas as conexões que estão fluindo por meio dele e usa<br />
estas informações em conjunto com as regras definidas pelo administrador na hora<br />
de tomar a decisão de permitir ou não a passagem de um determinado pacote. Além<br />
disso, diferentemente de um filtro de pacotes que baseia suas decisões apenas nos<br />
dados contidos no cabeçalho do pacote, o filtro de estados examina dados de todas<br />
as camadas e utiliza todos estes dados ao tomar uma decisão.<br />
Vamos analisar como isso permite a solução de diversos problemas apresentados<br />
pelos filtros de pacotes tradicionais.<br />
O problema do protocolo UDP:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 184
Para usar um serviço UDP, a máquina cliente inicialmente escolhe um número de<br />
porta (que é variável cada vez que o serviço for utilizado) e envia um pacote para a<br />
porta da máquina servidora correspondente ao serviço (esta porta na máquina<br />
servidora é fixa). A máquina servidora, ao receber a requisição, responde com um<br />
ou mais pacotes para a porta da máquina cliente. Para que a comunicação seja<br />
efetiva o firewall deve permitir a passagem dos pacotes de solicitação do serviço e<br />
de resposta. O problema é que o protocolo UDP não é orientado à conexão, isto<br />
significa que se um determinado pacote for observado isoladamente, fora de um<br />
contexto, não pode saber se ele é uma requisição ou uma resposta de um serviço.<br />
Nos filtros de pacotes tradicionais; como o administrador não pode saber<br />
inicialmente, qual a porta será escolhida pela máquina cliente para acessar um<br />
determinado serviço, ele pode ou bloquear todo o tráfego UDP ou permitir a<br />
passagem de pacotes para todas as possíveis portas. Ambas as abordagens<br />
possuem alguns problemas.<br />
O <strong>Aker</strong> Firewall possui a capacidade de se adaptar dinamicamente ao tráfego de<br />
modo a resolver possíveis problemas. Um exemplo é quando um pacote UDP é<br />
aceito por uma das regras configuradas pelo administrador, com isso é adicionada<br />
uma entrada em uma tabela interna, chamada de tabela de estados, de modo a<br />
permitir que os pacotes de resposta ao serviço correspondente possam voltar para a<br />
máquina cliente. Esta entrada só fica ativa durante um curto intervalo de tempo, ao<br />
final do qual ela é removida (este intervalo de tempo é configurado através da janela<br />
de configuração de parâmetros, mostrada no capítulo intitulado Configurando os<br />
parâmetros do sistema). Desta forma, o administrador não precisa se preocupar<br />
com os pacotes UDP de resposta, sendo necessário apenas configurar as regras<br />
para permitir o acesso aos serviços. Isto pode ser feito facilmente, já que todos os<br />
serviços possuem portas fixas.<br />
O problema do protocolo FTP:<br />
O FTP é um dos protocolos mais populares da Internet, porém é um dos mais<br />
complexos de ser tratado por um firewall. Vamos analisar seu funcionamento:<br />
Para acessar o serviço FTP, inicialmente a máquina cliente abre uma conexão TCP<br />
para a máquina servidora na porta 21. (a porta usada pelo cliente é variável). Esta<br />
conexão é chamada de conexão de controle. A partir daí, para cada arquivo<br />
transferido ou para cada listagem de diretório, uma nova conexão é estabelecida,<br />
chamada de conexão de dados. Esta conexão de dados pode ser estabelecida de<br />
duas maneiras distintas:<br />
1. O servidor pode iniciar a conexão a partir da porta 20 em direção a uma porta<br />
variável, informada pelo cliente pela conexão de controle (este é chamado de<br />
FTP ativo)<br />
2. O cliente pode abrir a conexão a partir de uma porta variável para uma outra<br />
porta variável do servidor, informada para o cliente através da conexão de<br />
controle (este é chamado de FTP passivo).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 185
Nos dois casos o administrador não tem como saber quais portas serão escolhidas<br />
para estabelecer as conexões de dados e desta forma, se ele desejar utilizar o<br />
protocolo FTP através de um filtro de pacotes tradicional, deverá liberar o acesso<br />
para todas as possíveis portas utilizadas pelas máquinas clientes e servidores. Isto<br />
tem implicações sérias de segurança.<br />
O <strong>Aker</strong> Firewall tem a capacidade de vasculhar o tráfego da conexão de controle<br />
FTP e desta forma descobrir qual o tipo de transferência que será utilizada (ativa ou<br />
passiva) e quais portas serão usadas para estabelecer as conexões de dados.<br />
Desta forma, todas as vezes que o filtro de pacotes determinar que uma<br />
transferência de arquivos será realizada, ele acrescenta uma entrada na tabela de<br />
estados de modo a permitir que a conexão de dados seja estabelecida. Esta entrada<br />
só fica ativa enquanto a transferência estiver se realizando e caso a conexão de<br />
controle esteja aberta, propiciando o máximo de flexibilidade e segurança. Neste<br />
caso, para configurar o acesso FTP deve-se acrescentar uma regra liberando o<br />
acesso para a porta da conexão de controle (porta 21). Todo o resto será feito<br />
automaticamente.<br />
O problema do protocolo Real Áudio:<br />
O protocolo Real Áudio é o mais popular protocolo de transferência de som e vídeo<br />
em tempo real através da Internet.<br />
Para que seja possível uma transmissão de áudio ou vídeo é necessário que o<br />
cliente estabeleça uma conexão TCP para o servidor de Real Áudio. Além desta<br />
conexão, para conseguir uma melhor qualidade de som, o servidor pode abrir uma<br />
conexão UDP para o cliente, para uma porta randômica informada em tempo real<br />
pelo cliente e o cliente também pode abrir uma outra conexão UDP para o servidor,<br />
também em uma porta randômica informada pelo servidor no decorrer da conexão.<br />
Os filtros de pacotes tradicionais não permitem o estabelecimento das conexões<br />
UDP do servidor para o cliente e vice-versa, uma vez que as portas não são<br />
conhecidas antecipadamente, fazendo com que a qualidade, do áudio e vídeo<br />
obtidas, seja bastante inferior.<br />
O filtro de estados do <strong>Aker</strong> Firewall acompanha toda a negociação do servidor Real<br />
Áudio com o cliente de modo a determinar se as conexões UDP serão abertas e<br />
quais portas serão usadas acrescentando esta informação em uma entrada na sua<br />
tabela de estados. Esta entrada na tabela de estados só fica ativa enquanto a<br />
conexão de controle TCP estiver aberta, propiciando o máximo de segurança.<br />
O problema do protocolo Real Video (RTSP):<br />
O protocolo Real Vídeo é suportado pelo firewall. Assim como o Real Áudio, as<br />
transações são controladas pelo firewall, permitindo uma total segurança do uso de<br />
aplicações de Real Vídeo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 186
Montando regras de filtragem em um filtro de pacotes simples<br />
Antes de mostrar como funciona a configuração do filtro de estados do <strong>Aker</strong> Firewall<br />
é interessante explicar o funcionamento básico de um filtro de pacotes simples:<br />
Existem vários critérios possíveis para realizar filtragem de pacotes. A filtragem de<br />
endereços pode ser considerada a mais simples de todas, pois ela consiste em<br />
fazer uma comparação entre os endereços dos pacotes e os endereços das regras.<br />
Caso os endereços sejam iguais, o pacote é aprovado. Esta comparação é feita da<br />
seguinte forma:<br />
Trabalharemos com a seguinte regra: Todas as máquinas da rede 10.1.x.x podem<br />
se comunicar com as máquinas da rede 10.2.x.x. Escreveremos esta regra<br />
utilizando o conceito de mascaramento (para maiores informações, veja o capítulo<br />
intitulado Cadastrando Entidades). Assim temos:<br />
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0<br />
------- Origem ------ ------- Destino -------<br />
Vamos agora aplicar a regra a um pacote que trafega da máquina 10.1.1.2 para a<br />
máquina 10.3.7.7. Aplica-se a máscara da regra aos dois endereços, o da regra e o<br />
do pacote e verifica se os endereços de destino e o de origem são iguais.<br />
Para o endereço origem temos<br />
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (para a regra)<br />
10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (para o pacote)<br />
Temos então que os dois endereços origem são iguais após a aplicação da<br />
máscara. Veremos agora para o endereço destino:<br />
10.2.0.0 AND 255.255.0.0 = 10.2.0.0 (para a regra)<br />
10.3.7.7 AND 255.255.0.0 = 10.3.0.0 (para o pacote)<br />
Como o endereço destino do pacote não está igual ao endereço destino da regra<br />
após a aplicação da máscara, por definição, esta regra não se aplicaria a este<br />
pacote.<br />
Esta operação é feita em toda a lista de endereços e máscaras destino e origem até<br />
o fim da lista, ou até uma das regras aplicar para o pacote examinado. Uma lista de<br />
regras teria a seguinte forma:<br />
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 187
10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255<br />
10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0<br />
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0<br />
Além dos endereços origem e destino, cada pacote IP possui um protocolo e um<br />
serviço associado. Esta combinação de serviço mais protocolo pode ser utilizado<br />
como mais um critério de filtragem.<br />
Os serviços no protocolo TCP, por exemplo, estão sempre associados a uma porta<br />
(para maiores informações, veja o capítulo intitulado Cadastrando Entidades).<br />
Assim, pode-se também associar uma lista de portas aos endereços.<br />
Pegaremos como exemplo dois serviços conhecidos, o POP3 e o HTTP. O POP3<br />
está associado à porta 110 do servidor e o HTTP está associado à porta 80. Assim,<br />
iremos acrescentar estas portas no formato da regra. Teremos então:<br />
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 TCP 80 110<br />
------- Origem ------ ------- Destino ------- - Protocolo - --Portas-<br />
Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e que<br />
utiliza os serviços HTTP ou POP3 a trafegar pelo firewall.<br />
Assim, em uma primeira etapa compara-se os endereços da regra com os do<br />
pacote. Caso estes endereços sejam iguais após a aplicação das máscaras, passase<br />
a comparar o protocolo e a porta destino no pacote com o protocolo e a lista de<br />
portas associados à regra. Se o protocolo for o mesmo e se for encontrada uma<br />
porta da regra igual à porta do pacote, esta regra por definição se aplica ao pacote,<br />
caso contrário a pesquisa continua na próxima regra.<br />
Assim um conjunto de regras teria o seguinte formato:<br />
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 UDP 53<br />
10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 80<br />
10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 TCP 21 20 113<br />
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ICMP 0 8<br />
Montando regras de filtragem para o <strong>Aker</strong> Firewall<br />
Configurar as regras de filtragem no <strong>Aker</strong> Firewall é algo muito fácil em função de<br />
sua concepção inteligente. Toda a parte de endereços IP, máscaras, protocolos,<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 188
portas são interfaces e são configuradas nas entidades (para maiores informações,<br />
veja o capítulo intitulado Cadastrando Entidades). Com isso, ao configurar uma<br />
regra não é necessário preocupar com qual porta um determinado serviço utiliza ou<br />
qual o endereço IP de uma rede. Tudo isso já foi previamente cadastrado. Para<br />
facilitar ainda mais, todos os serviços mais utilizados na Internet já vem previamente<br />
configurado de fábrica, não havendo a necessidade de gastar tempo pesquisando<br />
os dados de cada um.<br />
Basicamente, para cadastrar uma regra, o administrador deve especificar as<br />
entidades de origem, destino e os serviços que farão parte da regra. Ele pode<br />
também especificar uma interface de origem para os pacotes e definir em quais<br />
horários a regra estará ativa, em uma tabela de horários semanal. Com o uso desta<br />
tabela de horários é possível liberar determinados serviços em determinadas horas<br />
do dia (por exemplo, liberar IRC, ou bate-papo, apenas nos horários fora do<br />
expediente). Se um pacote chegar a um horário no qual a regra não está marcado<br />
como ativa, ela será ignorada, fazendo com que a busca continue na próxima regra<br />
da lista.<br />
O funcionamento do filtro é simples: o firewall irá pesquisar uma a uma as regras<br />
definidas pelo administrador, na ordem especificada, até que o pacote se encaixe<br />
em uma delas. A partir deste momento, ele irá executar a ação associada à regra,<br />
que pode ser aceita, rejeitada ou descartada (estes valores serão explicados no<br />
próximo tópico). Caso a pesquisa chegue ao final da lista e o pacote não se<br />
enquadre em nenhuma regra então este será descartado (é possível configurar<br />
ações para serem executadas neste caso). Isto será tratado no capítulo intitulado:<br />
Configurando as ações do sistema.<br />
7.2. Editando uma lista de regras usando a interface gráfica<br />
Para ter acesso a janela de configuração de regras basta:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 189
Figura 118. Dispositivos remotos (Acesso a janela de configuração das regras).<br />
Clicar no menu Configurações do firewall da janela principal.<br />
Selecionar o item Regras de Filtragem.<br />
A janela de regras de filtragem<br />
Figura 119. Janelas de regras de filtragem.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 190
A janela de regras contém todas as regras de filtragem definidas no <strong>Aker</strong> Firewall.<br />
Cada regra será mostrada em uma linha separada, composta de diversas células.<br />
Caso uma regra esteja selecionada, ela será mostrada em uma cor diferente.<br />
O botão OK fará com que o conjunto de regras seja atualizado e passe a funcionar<br />
imediatamente.<br />
O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a<br />
janela seja fechada.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a<br />
janela aberta<br />
Ao clicar sobre uma regra que tenha algum comentário, este aparecerá na parte<br />
inferior da janela<br />
Para executar qualquer operação sobre uma determinada regra, deve-se clicar com<br />
o botão direito do mouse sobre o campo que queira alterar. Aparecerá um menu<br />
com as opções de entidades referentes ao campo, como na figura abaixo:<br />
Figura 120. Menu com opções de entidades referente ao campo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 191
Inserir: Incluir uma nova regra na lista. Se alguma regra estiver selecionada, a nova<br />
regra será inserida na posição da selecionada. Caso contrário, a nova regra será<br />
incluída no final da lista.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver<br />
selecionada, a nova será copiada para a posição da regra selecionada. Caso<br />
contrário ela será copiada para o final da lista.<br />
Excluir: Remover da lista a regra selecionada.<br />
Habilitar/Desabilitar: Desabilitar/habilitar a regra selecionada.<br />
Adicionar entidades: Adicionar uma entidade cadastrada no firewall. Veja se o<br />
ponteiro do mouse está sobre o campo o qual se quer inserir a entidade.<br />
Remover entidades: Remover uma entidade que foi inserida na regra.<br />
Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a<br />
mesma para a nova posição desejada, soltando em seguida.<br />
Política Padrão: pode-se definir uma nova política, clicando no botão "Política" na<br />
barra de ferramentas do Firewall. É possível editar um nome e uma cor para cada<br />
política, inclusive a padrão.<br />
Adicionando e removendo entidades e serviços na regra<br />
Para adicionar uma entidade a um destes campos, pode-se proceder de duas<br />
formas:<br />
1. Selecionar a entidade a ser incluída, clicando sobre ela na tabela de entidades,<br />
localizada na parte inferior esquerda da janela e a arraste para o campo<br />
correspondente. As teclas Insert e Delete podem inserir e remover as entidades<br />
respectivamente.<br />
2. Clicar com o botão direito do mouse sobre o campo onde se deseja adicionar as<br />
entidades, será exibida uma lista das entidades pertinentes ao campo<br />
selecionado, bem como que tipo de ação se deseja aplicar sobre as mesmas.<br />
3. O duplo-clique na entidade irá permitir a edição da mesma.<br />
Para remover uma entidade de um destes campos, deve-se proceder da seguinte<br />
forma:<br />
1. Clicar com o botão direito do mouse sobre o campo onde se encontra a entidade<br />
que se deseja remover e será exibida uma lista das entidades participantes do<br />
campo com a opção de remoção da entidades no seguinte formato: remover<br />
'entidade_removida'.<br />
2. Pode-se utilizar a opção Remover Entidade para eliminar várias entidades de<br />
uma vez.<br />
Na criação de regras ao selecionar as entidades, deve-se observar a origem e o<br />
destino destas. Se especificar um endereço ipv4 na origem, obrigatoriamente devese<br />
especificar um endereço ipv4 no destino, a mesma coisa acontece caso a opção<br />
seja o endereço ipv6.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 192
Parâmetros da regra:<br />
Além das especificações básicas de uma regra, entidades de origem, entidades de<br />
destino e serviços, deve-se levar em conta outros parâmetros de configuração:<br />
Acumulador: Define qual o acumulador para os pacotes da regra. A opção nenhum<br />
desativa a contabilização dos pacotes que se encaixem nesta regra. Se for<br />
escolhido um acumulador, serão adicionados a ele a quantidade de bytes e pacotes<br />
encaixados nesta regra.<br />
Canal: Define o canal que será utilizado para controlar a banda para a regra. A<br />
opção nenhum desativa a utilização de controle de banda para esta regra.<br />
Ação: Este campo define qual a ação a ser tomada para todos os pacotes que se<br />
encaixem nesta regra. Ela consiste nas seguintes opções:<br />
Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem através do<br />
firewall.<br />
Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta<br />
regra. Assim será enviado um pacote ICMP para a máquina de origem do pacote<br />
dizendo que o destino é inatingível. Esta opção não funciona para alguns tipos de<br />
serviço ICMP, devido a uma característica inerente a este protocolo.<br />
Descarta: Significa que os pacotes que se encaixarem nesta regra não passarão<br />
pelo firewall, mas não será enviado nenhum pacote para a máquina de origem.<br />
Restrições: Este campo permite especificar exigências adicionais que um pacote<br />
deve cumprir para que ele se encaixe nesta regra. Ele é formado pelas seguintes<br />
opções:<br />
Nenhum: Não existe nenhuma exigência adicional.<br />
Somente se encriptado: Neste caso, para que um pacote se enquadre nesta<br />
regra, ele deverá obrigatóriamente vir encriptado/autenticado, ou seja, vir de<br />
um canal seguro. Esta opção é particularmente útil quando está utilizando<br />
clientes de criptografia e deseja que apenas conexões provenientes destes<br />
clientes (ou de canais de criptografia firewall-firewall) sejam aceitas. Para<br />
maiores informações sobre criptografia e canais seguros, veja o capítulo:<br />
Criando canais de criptografia.<br />
Somente se encriptado e de um usuário autenticado: Neste caso, para<br />
que os pacotes sejam aceitos, além deles virem encriptados/autenticados, o<br />
usuário que estabeleceu o canal seguro deve ter sido autenticado pelo<br />
firewall. A única maneira de um pacote atender esta exigência é ele ser<br />
proveniente de um cliente de criptografia e a opção de realizar autenticação<br />
de usuários para os clientes de criptografia, estar ativa.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 193
Log: Definir quais tipos de ações serem executadas pelo sistema quando um<br />
pacote se encaixar na regra. Ele consiste em várias opções que podem ser<br />
selecionadas independentemente uma das outras. Os valores possíveis são:<br />
Logs: Se esta opção estiver selecionada, todos os pacotes que se<br />
enquadrarem nesta regra serão registrados no log do sistema.<br />
Envia email: Se esta opção estiver selecionada, será enviado um e-mail<br />
todas as vezes que um pacote enquadrar-se nesta regra (a configuração do<br />
endereço de e-mail será mostrada no capítulo intitulado configurando as<br />
ações do sistema).<br />
Executar programa: Ao selecionar essa opção, será executado um<br />
programa definido pelo administrador todas as vezes que um pacote se<br />
enquadrar nesta regra (a configuração do nome do programa a ser executado<br />
será mostrada no capítulo intitulado configurando as ações do sistema).<br />
Disparar mensagens de alarme: Ao selecionar essa opção, o firewall<br />
mostrará uma janela de alerta todas as vezes que um pacote se enquadrar<br />
nesta regra. Esta janela de alerta será mostrada na máquina onde a interface<br />
gráfica remota estiver aberta e, se a máquina permitir, será emitido também<br />
um aviso sonoro. Caso a interface gráfica não esteja aberta, não será<br />
mostrada nenhuma mensagem e esta opção será ignorada.<br />
Enviar Trap SMNP: Se esta opção estiver selecionada, será enviada uma<br />
Trap SNMP para cada pacote que enquadrar nesta regra (a configuração dos<br />
parâmetros para o envio das traps será mostrada no capítulo intitulado<br />
configurando as ações do sistema).<br />
No caso do protocolo TCP, somente serão executadas as ações definidas na<br />
regra para o pacote de abertura de conexão. No caso do protocolo UDP, todos os<br />
pacotes que forem enviados pela máquina cliente e se enquadrarem na regra<br />
(exceto os pacotes de resposta) provocarão a execução das ações.<br />
Tabela de horários: Definir as horas e dias da semana em que a regra será<br />
aplicável. As linhas representam os dias da semana e as colunas representam as<br />
horas. Caso queira que a regra seja aplicável em determinada hora o quadrado<br />
deve ser preenchido, caso contrário o quadrado deve ser deixado em branco.<br />
Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse<br />
sobre um quadrado e a seguir arrastá-lo, mantendo o botão pressionado. Isto faz<br />
com que a tabela seja alterada na medida em que o mouse se move.<br />
Período de validade: Permitir o cadastro de duas datas que delimitam um período<br />
fora do qual a regra não tem validade. É um recurso muito útil para, por exemplo,<br />
liberar o tráfego relacionado a um evento não recorrente, como um teste. Se o<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 194
período ainda não tiver começado ou estiver expirado, o número da regra será<br />
mostrado sobre um fundo vermelho.<br />
Comentário: Inserir um comentário sobre a regra. Muito útil na documentação e<br />
manutenção das informações sobre a utilidade da regra.<br />
Verificação de regras<br />
A verificação de regras é feita por meio do ícone , ou então automaticamente,<br />
quando o usuário aplica as regras no botão aplicar na janela de Regras de filtragem.<br />
A verificação pelo botão aplicar só será feita se a opção estiver habilitada, esta<br />
opção é configurada no menu configurações > suprimir > verificar regras.<br />
Figura 121. Menu ícone de verificação de regras.<br />
O botão verificar faz a verificação da conexão com o <strong>Aker</strong> Control Center e a<br />
verificação das regras eclipsadas. A primeira permite checar se existe alguma regra<br />
que impeça o usuário de conectar-se no firewall que ele está atualmente<br />
configurando.<br />
Exemplo: O ip do usuário é o 10.0.0.1 e o do firewall é o 10.0.0.2 e a porta do<br />
control center é a 1020. Caso exista alguma regra dizendo que é para rejeitar os<br />
pacotes de origem 10.0.0.1 e destino 10.0.0.2 na porta 1020, e caso esta regra seja<br />
aplicada, implicará na impossibilidade do usuário se conectar a esse firewall. É um<br />
mecanismo para impedir que o próprio usuário tire o seu acesso de conexão no<br />
firewall, sendo assim um tipo de regra problemático que o verificador de regras<br />
válidas.<br />
A segunda verificação é a da regra "eclipsa", é necessária essa verificação quando<br />
a regra 1 engloba completamente a regra 2, impedindo que a regra 2 seja atingida.<br />
Exemplo: A regra 1 tem origem 0.0.0.0 (qualquer origem), destino 0.0.0.0 (qualquer<br />
destino) e todas as portas TCP 7. A regra 2 tem origem 10.0.0.1, destino 10.0.0.2 e<br />
porta TCP 7. A primeira regra faz tudo o que a segunda regra faz, então a segunda<br />
regra nunca vai ser atingida, porque a primeira regra vai ser processada primeiro e<br />
não vai deixar com que a outra regra seja alcançada.<br />
Obs.: Todas as regras que são verificadas, são regras que já existem ou seja, que<br />
já foram definidas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 195
Figura 122. Verificador de regras.<br />
Utilização dos Canais na Regra de Filtragem do <strong>Aker</strong> Firewall<br />
O administrador pode definir Qualidade de Serviço (QoS) diferenciada para cada<br />
tipo de regra. No caso da figura abaixo, foi criado um canal de 500Kbits e aplicado<br />
nas regras 8 e 9. O servidor "Correio_SMTP" possui prioridade no tráfego pois a<br />
prioridade para ele no canal está como "Muito alto".<br />
Figura 123. Regras de filtragem (Exemplo de canal de 50KBits).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 196
Para ajustes de prioridade de canal, basta clicar como o botão direito na entidade<br />
Canal e escolher a prioridade pelo botão deslizando. Veja a figura abaixo:<br />
Figura 124. Ajustes de prioridade de canal.<br />
7.3. Trabalhando com Políticas de Filtragem<br />
Este recurso permite que o administrador do firewall faça um agrupamento de<br />
regras dentro de um levantamento feito dos fluxos que ocorrerem entre as suas sub<br />
redes.<br />
Para exemplificar, suponha que o administrador possua um firewall colocado entre<br />
as redes interna, DMZ e Internet, conforme esquema abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 197
Figura 125. Exemplo de como trabalhar com políticas de filtragem.<br />
Pode-se verificar os possíveis fluxos de dados que poderão ocorrer entre essas<br />
redes. Para cada fluxo foi dada uma numeração e com isso pode-se concluir que os<br />
fluxos com números mais altos (5 e 6) serão considerados os mais inseguros, pois<br />
envolvem o acesso da internet as redes DMZ e interna, respectivamente.<br />
Estes fluxos para o firewall serão desdobrados em regras de filtragem, com isto<br />
poderiam ter as seguintes regras:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 198
Figura 126. Exemplo de regras de filtragem.<br />
No exemplo acima foram criadas as seguintes regras:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 199
Regras Gerais do Firewall, de 1 a 4;<br />
Fluxo Interna para DMZ, de 5 a 7;<br />
Fluxo DMZ para Interna, de 8 a 10;<br />
Fluxo Interna para Internet, de 11 a 13;<br />
Fluxo DMZ para Internet, de 14 a 16;<br />
Fluxo Internet para DMZ, de 17 a 19;<br />
Fluxo Internet para Interna a 20.<br />
Repare que ao final de cada fluxo foi colocada uma regra bloqueando o mesmo (4,<br />
7, 10, 13, 16, 19 e 20). O objetivo desta técnica é evitar que erros cometidos ao<br />
longo do cadastramento das regras de filtragem possam abrir indevidamente um<br />
acesso não permitido, com isso caso uma regra não esteja colocada corretamente<br />
dentro do fluxo, ela cairá em um destes bloqueios que não permitirá o acesso<br />
indevido.<br />
Observe que no fluxo Internet para Rede Interna não existe nenhuma regra<br />
cadastrada, apenas o bloqueio.<br />
Para melhor visualização e controle, o firewall permite agrupar estas regras pelos<br />
fluxos. A interface então ficaria desta forma:<br />
Figura 127. Interface regras de filtragem.<br />
Para criar novas “Políticas” basta clicar no ícone da barra de ferramentas "Política".<br />
Figura 128. Barra de ícones (Politíca).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 200
A figura abaixo mostra o desdobramento das regras da política. Basta dar um duplo<br />
clique na linha para exibir as regras que ela contém:<br />
Figura 129. Exibição das regras de filtragem.<br />
No caso de desabilitar uma política, todas as regras que ela contém também<br />
serão desabilitadas.<br />
7.4. Utilizando a interface texto<br />
A utilização da interface texto na configuração das regras de filtragem traz uma<br />
dificuldade gerada pela grande quantidade de parâmetros que devem ser passados<br />
pela linha de comando.<br />
Não é possível configurar a tabela de horários nem especificar comentários para<br />
as regras através da interface texto. Também não é possível especificar mais de<br />
uma entidade para origem ou destino da regra. Todas as regras acrescentadas por<br />
esta interface são consideradas aplicáveis em todas as horas da semana.<br />
Localização do programa: /aker/bin/firewall/fwrule.<br />
Sintaxe:<br />
Uso: fwrule [ajuda | mostra]<br />
fwrule [habilita | desabilita | remove] [forca] <br />
fwrule inclui [forca] <br />
<br />
[pipe ] [acumulador ]<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 201
Ajuda do programa:<br />
[loga] [mail] [trap] [programa] [alerta]<br />
[encriptado | usuario ] [ ...]<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
fwrule - Configura tabela de regras do filtro de estados<br />
Uso: fwrule [ajuda | mostra]<br />
fwrule [habilita | desabilita | remove] <br />
fwrule inclui [forca] <br />
<br />
[pipe ] [acumulador ]<br />
[loga] [mail] [trap] [programa] [alerta]<br />
[encriptado | usuario ] [ ...]<br />
mostra = mostra todas as entradas da tabela de regras<br />
inclui = inclui uma nova regra de filtragem<br />
habilita = habilita uma regra de filtragem desabilitada<br />
desabilita = desabilita uma regra de filtragem existente<br />
remove = remove uma regra existente<br />
ajuda = mostra esta mensagem<br />
Para inclui temos:<br />
pos = posicao onde incluir a nova regra na tabela<br />
(Pode ser um inteiro positivo ou a palavra FIM para incluir<br />
no final da tabela)<br />
aceita = a regra aceita as conexoes que se enquadrarem nela<br />
rejeita = a regra rejeita as conexoes que se enquadrarem nela e envia<br />
pacote ICMP de destino inatingivel para maquina de origem<br />
descarta = a regra descarta os pacotes recebidos (nao envia pacote ICMP)<br />
pipe = faz com que o trafego que se encaixe nesta regra seja<br />
direcionado ao "pipe" indicado com peso relativo dado por:<br />
acumulador = faz com que o trafego que se encaixe nesta regra seja<br />
somado a entidade acumulador especificada<br />
peso = "ocioso", "m_baixo" (muito baixo), "baixo", "normal",<br />
"alto", "m_alto" (muito alto) ou "tr" (tempo real)<br />
loga = loga os pacotes que se enquadrarem na regra<br />
mail = envia e-mail para cada pacote que se enquadre na regra<br />
trap = gera trap SNMP para cada pacote que se enquadre na regra<br />
programa = executa um programa para cada pacote que se enquadre na regra<br />
alerta = abre uma janela de alerta para cada pacote que se enquadre na regra<br />
encriptado = indica que a regra so e' valida se os pacotes vierem encriptados<br />
usuario = indica que a regra so e' valida se os pacotes vierem<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 202
encriptados e o usuario tiver se autenticado previamente no<br />
firewall. Esta condicao somente pode ser atendida por<br />
conexoes originadas de clientes de criptografia<br />
servico = lista de nomes dos servicos para a nova regra<br />
Para habilita / desabilita / remove temos:<br />
pos = numero da regra a ser habilitada, desabilitada ou removida<br />
Exemplo 1: (visualizando as regras de filtragem)<br />
#/aker/bin/firewall/fwrule mostra<br />
Regra 01<br />
--------<br />
Origem : Internet<br />
Destino : firewall cache<br />
Acao : Descarta<br />
Log : Loga Trap Alerta<br />
Servicos : todos_tcp todos_udp<br />
todos_icmp<br />
Regra 02<br />
--------<br />
Origem : cache firewall<br />
Destino : Internet<br />
Acao : Aceita<br />
Log : Loga<br />
Servicos : http ftp<br />
Regra 03<br />
--------<br />
Origem<br />
Destino<br />
Acao<br />
Log<br />
Servicos<br />
: Internet<br />
: Mail server<br />
: Aceita<br />
: Loga<br />
: smtp<br />
Regra 04<br />
--------<br />
Origem<br />
Destino<br />
Acao<br />
Log<br />
Servicos<br />
: Empresas externas<br />
: <strong>Aker</strong><br />
: Aceita<br />
: Loga<br />
: smtp<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 203
Exemplo 2: (removendo a quarta regra de filtragem)<br />
#/aker/bin/firewall/fwrule remove 4<br />
Regra 4 removida<br />
Exemplo 3: (incluindo uma nova regra no final da tabela)<br />
#/aker/bin/firewall/fwrule inclui fim Internet "Mail server" aceita loga smtp<br />
Regra incluida na posicao 4<br />
As entidades Internet e Mail server, bem como o serviço smtp devem ter sido<br />
previamente cadastradas no sistema. Para maiores informações sobre como<br />
cadastrar entidades no <strong>Aker</strong> Firewall, veja o capítulo intitulado Cadastrando<br />
Entidades.<br />
O uso de "" ao redor do nome da entidade a ser incluída na regra é obrigatório<br />
quando este contém espaços.<br />
7.5. Utilizando o assistente de regras<br />
O assistente de regras pode ser acionado pelo menu ou pela barra de tarefas. Caso<br />
o número de regras for muito pequeno o próprio assistente será acionado<br />
automaticamente.<br />
1 - Acionando do assistente de regras. A janela abaixo aparecerá quando um<br />
número muito pequeno de regras for detectado.<br />
Figura 130. Assistente de regras filtragem (janela exibida quando um número pequeno de regras for<br />
detectado).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 204
2 - Tela inicial com as explicações necessárias.<br />
Figura 131. Mensagem de boas vindas ao Assitente de regras filtragem.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 205
3 - Escolha da rede interna na configuração inicial.<br />
Figura 132. Escolha da rede interna e configuração inicial.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 206
4 - Informação necessária para saber se as máquinas terão acesso irrestrito à<br />
Internet.<br />
Figura 133. Tela de acesso para escolha de acesso restrito ou não à internet.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 207
5 - Configuração da DMZ.<br />
Figura 134. Escolha se possui ou não DMZ.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 208
6 - Escolha da entidade da DMZ.<br />
Figura 135. Escolha da entidade DMZ.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 209
7 - Informa se a DMZ terá acesso irrestrito a Internet.<br />
Figura 136. Máquinas DMZ (acesso restrito ou não a internet).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 210
8 - Serviços a serem disponibilizados para a DMZ.<br />
Figura 137. Escolha dos serviços da internet e estações de trabalho que o DMZ terá acesso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 211
9 - Administração do Firewall. Informar quem terá acesso de administração ao<br />
mesmo.<br />
Figura 138. Configuração do Firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 212
10- Registro individual de servidor para a DMZ.<br />
Figura 139. Registro de configuração do servidor.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 213
11 - Informação de servidor específico para a DMZ.<br />
Figura 140. Escolha da entidade do servidor.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 214
12 - Seleção dos serviços do servidor para a DMZ.<br />
Figura 141. Selecionar o locar onde o servidor DMZ ficará disponível.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 215
13 - Pergunta se deseja configurar outro servidor.<br />
Figura 142. Escolha para configurar outro servidor ou não.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 216
14 - Visualização final das regras de filtragem montada pelo assistente.<br />
Figura 143. Aviso de finalização de configuração das regras de filtragem.<br />
7.6. Utilizando Regras de Pipes<br />
Esta janela foi criada para organizar suas regras de Q.o.S, no <strong>Aker</strong> Firewall<br />
conhecida como "canal/pipe". Ela permite que seja visualizado em apenas uma<br />
janela todas as suas regras de PIPE, sem a necessidade de visualizar várias janelas<br />
separadas como as de Regras de filtragem Geral e/ou Regras de Filtragem nos<br />
Perfis de Acesso.<br />
Os campos são muito parecidos com a janela de Regras de Filtragem, contendo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 217
Origem: Determina o IP/rede de origem dos pacotes;<br />
Destino: Determina o IP/rede de destino dos pacotes;<br />
Serviço: Permite selecionar quais os serviços (TCP, UDP, ICMP ou Outros)<br />
utilizará esta regra de PIPE;<br />
Canal: O administrador pode definir Qualidade de Serviço (QoS) diferenciada<br />
para cada tipo de regra;<br />
Hora:Define as horas e dias da semana em que a regra será aplicável. As linhas<br />
representam os dias da semana e as colunas representam às horas. Caso queira<br />
que a regra seja aplicável em determinada hora o quadrado deve ser preenchido,<br />
caso contrário o quadrado deve ser deixado em branco.<br />
Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse<br />
sobre um quadrado e arrastá-lo, mantendo o botão pressionado. Isto faz com que a<br />
tabela seja alterada na medida em que o mouse se move.<br />
Período de validade: Permitir o cadastro de duas datas que delimitam um<br />
período fora do qual a regra não tem validade. É um recurso muito útil para,<br />
por exemplo, liberar o tráfego relacionado a um evento não recorrente, como um<br />
teste. Se o período ainda não tiver começado ou estiver expirado, o número da<br />
regra será mostrado sobre um fundo vermelho.<br />
Comentário: Inserir um comentário sobre a regra. Muito útil na documentação e<br />
manutenção das informações sobre a utilidade da regra.<br />
A janela de Regras de Pipes<br />
Figura 144. Janela com as regras de Pipes.<br />
Observação: Estas regras sobrepõem às configurações de "Canal" das Regras de<br />
Filtragem Geral e das Regras de Filtragem nos Perfis de Acesso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 218
Configurando conversão de<br />
endereços<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 219
8. Configurando a conversão de endereços<br />
Este capítulo mostrará como configurar os parâmetros de conversão de endereços<br />
(NAT) de modo a possibilitar que a rede interna trabalhe com endereços reservados,<br />
aumentando sua capacidade de endereçamento, ocultando as máquinas da rede<br />
interna e acessando a Internet, de forma totalmente transparente. Nesta versão<br />
também será possível realizar um balanceamento de carga das conexões de forma<br />
mais inteligente.<br />
8.1. Planejando a instalação<br />
O que é conversão de endereços?<br />
Qualquer rede que vai se ligar à Internet necessita de um conjunto de endereços IP<br />
atribuídos por alguma autoridade designada para tal (no Brasil esta distribuição é de<br />
responsabilidade da FAPESP). Basicamente existem 3 conjuntos de endereços<br />
possíveis, os chamados classe A, que possibilitam 16.777.214 máquinas dentro da<br />
rede, os classe B, que possibilitam 65.533 máquinas e os classe C, que possibilitam<br />
254 máquinas.<br />
Devido ao grande crescimento apresentado pela Internet nos últimos anos, não<br />
existem mais endereços classe A e B disponíveis. Assim sendo, qualquer rede que<br />
venha a se conectar receberá um endereço classe C que permite o endereçamento<br />
de apenas 254 máquinas. Caso o número de máquinas seja maior do que isso,<br />
deve-se adquirir vários endereços classe C o que dificulta o trabalho de<br />
administração, ou utilizar uma solução de conversão de endereços.<br />
A conversão de endereços é uma tecnologia que permite que os endereços das<br />
máquinas da rede interna sejam distribuídos livremente, utilizando endereços classe<br />
A. Assim continua a permitir que todas as máquinas tenham acesso a internet de<br />
forma simultânea e transparente a Internet.<br />
O seu funcionamento é simples, todas as vezes que uma máquina com um<br />
endereço reservado tenta acessar a Internet, o Firewall detecta e automaticamente<br />
traduz seu endereço para um endereço válido. Quando a máquina de destino<br />
responde e envia dados para o endereço válido, o Firewall converte de volta este<br />
endereço para o reservado e repassa os dados para a máquina interna. Da forma<br />
que isso é feito, nem as máquinas clientes nem as máquinas servidoras sabem da<br />
existência de tal mecanismo.<br />
Outra vantagem, além da apresentada acima, é que com a conversão de endereços<br />
todas as máquinas da sua rede interna ficam invisíveis para a rede externa,<br />
aumentando ainda mais o nível de segurança da instalação.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 220
A conversão de endereços não é compatível com serviços que transmitem<br />
endereços IP ou portas como parte do protocolo. Os únicos serviços deste tipo<br />
suportados pelo <strong>Aker</strong> Firewall são o FTP, Real Áudio e Real Vídeo.<br />
Quais são as minhas redes internas?<br />
As redes internas se constituem de todas as máquinas de uma ou mais sub-redes<br />
que estão sendo protegidas pelo <strong>Aker</strong> Firewall. Isto inclui todos os dispositivos<br />
internos à rede, como roteadores, switches, máquinas servidoras, máquinas<br />
clientes, etc. São os equipamentos que guardam informações importantes da sua<br />
rede, ou são peças chaves para seu funcionamento.<br />
Quais são as minhas redes externas?<br />
As redes externas são formadas por todas as máquinas que não fazem parte da<br />
rede interna. Elas podem estar ou não sobre a responsabilidade administrativa de<br />
sua organização.<br />
No caso de uma rede de uma organização se ligando à Internet, a rede externa<br />
seria toda a Internet.<br />
Endereçando as minhas redes internas<br />
Apesar de tecnicamente possível, os endereços de suas redes internas não devem<br />
ser escolhidos aleatoriamente. Existem alguns endereços reservados<br />
especificamente para este fim. Estes endereços não podem ser atribuídos a<br />
nenhuma máquina ligada à Internet.<br />
Os endereços reservados são:<br />
De 10.0.0.0 à 10.255.255.255, máscara 255.0.0.0 (classe A)<br />
De 172.16.0.0 à 172.31.0.0, máscara 255.255.0.0 (classe B)<br />
De 192.168.0.0 à 192.168.255.255, máscara 255.255.255.0 (classe C)<br />
Tipos de conversão de endereços<br />
Existem três tipos diferentes de conversão de endereços: 1-1, N-1, 1-N e N-N. Cada<br />
um deles possui características distintas e normalmente são utilizados em conjunto<br />
para conseguir melhores resultados.<br />
1-1<br />
O tipo 1-1 é o mais intuitivo, porém normalmente o menos útil. Ele consiste em<br />
fazer mapeamentos binários de um para um entre endereços reservados e<br />
endereços válidos. Desta forma, máquinas distintas teriam endereços<br />
convertidos distintos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 221
A grande limitação desta forma de operação é que não é possível colocar um<br />
número de máquinas maior que o número de endereços válidos, uma vez que<br />
são sempre convertidos na base de um para um. Em compensação, ela permite<br />
que máquinas com endereços reservados possam ser acessadas externamente<br />
com endereços válidos.<br />
N-1<br />
A conversão de N-1, como o nome já diz, possibilita que várias máquinas com<br />
endereços reservados utilizem um mesmo endereço válido. Para conseguir este<br />
objetivo, ela utiliza endereços IP em combinação com portas (no caso dos<br />
protocolos TCP e UDP) ou com números de seqüência (no caso de ICMP). Este<br />
mapeamento é feito dinamicamente pelo firewall, cada vez que uma nova<br />
conexão é estabelecida. Como existem 65535 portas ou números de seqüência<br />
distintos é possível a existência de até 65535 conexões simultâneas ativas<br />
utilizando o mesmo endereço.<br />
A única limitação desta tecnologia é que ela não permite que as máquinas<br />
internas sejam acessadas externamente. Todas as conexões devem ser<br />
iniciadas internamente.<br />
1-N<br />
Este tipo de conversão é também chamado de balanceamento de carga e<br />
possibilita que vários servidores sejam colocados atrás de um único endereço IP<br />
válido. Cada vez que uma nova conexão é aberta para esse endereço, ela é<br />
redirecionada para um dos servidores internos. A grande vantagem dessa<br />
tecnologia é possibilitar que serviços que demandam uma grande quantidade de<br />
recursos possam ser separados em várias máquinas e serem acessados de<br />
forma transparente, através de um único endereço. No caso de quedas de<br />
algumas dessas máquinas, as novas conexões são automaticamente<br />
repassadas para as máquinas que ainda estiverem no ar, implantando com isso<br />
mecanismo de tolerância a falhas.<br />
N-N<br />
Esta conversão permite que todos os endereços de uma rede sejam convertidos<br />
para os endereços de uma rede virtual automaticamente.<br />
Aplicações da conversão de endereços com o <strong>Aker</strong> Firewall<br />
O <strong>Aker</strong> Firewall permite que qualquer tipo de conversão seja realizada, não se<br />
limitando apenas ao endereço válido da interface externa do firewall, mas sim dando<br />
total flexibilidade ao administrador em utilizar qualquer endereço dentro da rede,<br />
inclusive fazendo a conversão entre redes inválidas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 222
S. Suponhamos que uma determinada organização receba uma rede de endereços<br />
classe C, com o formato A.B.C.0. Este endereço é um endereço válido que suporta<br />
no máximo 254 máquinas (os endereços A.B.C.0 e A.B.C.255 são reservados para<br />
fins específicos e não podem ser utilizados, sobrando os valores de A.B.C.1 a<br />
A.B.C.254). Suponha ainda que esta rede possua 1000 máquinas para serem<br />
conectadas. Em virtude da impossibilidade de alocar todas as máquinas no<br />
endereço recebido, foi decidido pelo uso da conversão de endereços. Escolheu-se<br />
então um endereço reservado classe A para ser colocado nas máquinas da rede<br />
interna, o 10.x.x.x com máscara 255.0.0.0.<br />
O <strong>Aker</strong> Firewall irá ficar na fronteira da Internet com a rede interna, que possui<br />
endereços reservados. Ele será o responsável pela conversão dos endereços<br />
reservados 10.x.x.x para os endereços válidos A.B.C.x. Desta forma, o firewall<br />
deverá possuir pelo menos dois endereços: um endereço válido, para que possa ser<br />
atingido pela Internet e um reservado, para que possa ser atingido pela rede interna.<br />
(na maioria das instalações, colocam-se duas ou mais placas de rede no firewall:<br />
uma para a rede externa e uma ou mais para a rede interna. Entretanto é possível,<br />
porém não recomendado, fazer esta mesma configuração com apenas uma placa<br />
de rede, atribuindo um endereço válido e um reservado para a mesma placa).<br />
Supondo que seja escolhido o endereço A.B.C.2 para o segmento válido e o<br />
10.0.0.2 para o segmento reservado. Este endereço válido será utilizado pelo<br />
firewall para converter todas as conexões com origem na rede interna e destino na<br />
Internet. Externamente, todas as conexões serão vistas como se partissem dele.<br />
Outro exemplo seria a de uma organização que possua saídas para a Internet e três<br />
classes de endereços válidos, neste caso o administrador tem a possibilidade de<br />
distribuir a conversão de endereços entre essas três classes, obtendo muito mais<br />
flexibilidade na configuração.<br />
Com a conversão de endereços funcionando, todas as máquinas internas<br />
conseguem acessar qualquer recurso da Internet transparentemente, como se elas<br />
próprias possuíssem endereços válidos. Porém, não é possível para nenhuma<br />
máquina externa iniciar uma conexão para qualquer máquina interna (devido ao fato<br />
delas não possuírem endereços válidos). Para resolver este problema, o <strong>Aker</strong><br />
Firewall possibilita a configuração de regras de conversão 1-1, o que permite<br />
simular endereços válidos para quaisquer endereços reservados.<br />
Voltando para o caso da nossa hipotética organização, suponha que em sua rede<br />
exista um servidor WWW, com endereço 10.1.1.5, e que seja desejado que este<br />
servidor forneça informações para a rede interna bem como para a Internet. Neste<br />
caso deve-se escolher um endereço válido para que este possa ser utilizado pelos<br />
clientes externos para se conectarem a este servidor. Suponha que o endereço<br />
escolhido tenha sido o A.B.C.10. Deve-se então acrescentar uma regra de<br />
conversão 1-1, de modo a mapear o endereço A.B.C.10 para o endereço interno<br />
10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10 serão<br />
automaticamente mapeados novamente pelo firewall para 10.1.1.5.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 223
Os endereços válidos escolhidos para realizar a conversão de 1-1 não podem ser<br />
atribuídos a nenhuma máquina real. Desta forma, em nosso exemplo é possível a<br />
configuração de até 253 servidores na sua rede interna passíveis de serem<br />
acessados externamente (um dos 254 endereços válidos já é usado para que o<br />
firewall converta o tráfego de todas as máquinas clientes).<br />
O <strong>Aker</strong> Firewall utiliza a tecnologia de proxy-arp para possibilitar que os<br />
servidores virtuais sejam tratados pelas máquinas pertencentes à rede válida (por<br />
exemplo, o roteador externo), como se fossem máquinas reais.<br />
Exemplos de configurações usando conversão de endereços:<br />
Se ligando à Internet com uma linha dedicada<br />
Equipamento: 1 roteador, 1 <strong>Aker</strong> Firewall, n clientes, 2 servidores na rede interna<br />
Endereço válido: A.B.C.x, máscara da rede 255.255.255.0<br />
Endereço reservado: 10.x.x.x máscara da rede 255.0.0.0<br />
Endereço dos servidores: 10.1.1.1, 10.2.1.1<br />
Endereço dos clientes: 10.x.x.x<br />
Endereços do roteador: Rede válida A.B.C.1 , Internet :x.x.x.x<br />
Configuração do <strong>Aker</strong> Firewall:<br />
Endereços das placas: rede interna: 10.0.0.2, rede válida A.B.C.2<br />
IP virtual para a conversão N-1: A.B.C.2<br />
Rede privada: 10.0.0.0<br />
Máscara da rede privada: 255.0.0.0<br />
Regras de conversão 1-1:<br />
A.B.C.10 - 10.1.1.1<br />
A.B.C.30 - 10.2.1.1<br />
Figura 145. Exemplo 1 - configuração do <strong>Aker</strong> Firewall (interligando departamentos).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 224
Desenho do Exemplo 1<br />
Interligando departamentos<br />
Neste exemplo, iremos mostrar como interligar departamentos de uma mesma<br />
empresa, utilizando um conversor de endereços entre estes departamentos.<br />
Equipamento: 1 roteador, 3 <strong>Aker</strong> Firewall, n clientes, 4 servidores na rede interna<br />
Endereço válido: A.B.C.x, máscara da rede 255.255.255.0<br />
Endereço reservado: 10.x.x.x máscara da rede 255.255.0.0<br />
Endereço reservado:172.16.x.x, máscara 255.255.0.0<br />
Endereços da sub-rede 1:<br />
10.1.x.x<br />
Endereço do servidor: 10.1.1.1<br />
Endereço dos clientes: 10.1.x.x<br />
Endereços do roteador: Rede válida A.B.C.1 , Internet: x.x.x.x<br />
Configuração do <strong>Aker</strong> Firewall:<br />
Rede interna: 10.1.0.1, Rede válida A.B.C.2<br />
IP virtual para a conversão N-1: A.B.C.2<br />
Rede privada: 10.0.0.0<br />
Máscara da rede privada: 255.0.0.0<br />
Endereços da sub-rede 2:<br />
Externamente: 10.1.0.2<br />
Internamente:172.16.x.x<br />
Endereço do servidor: 172.16.1.1<br />
Endereço dos clientes: 172.16.x.x<br />
Configuração do <strong>Aker</strong> Firewall:<br />
Sub-Rede 2: 172.16.0.1, Sub-rede 1:10.1.0.2<br />
IP Virtual para conversão N-1:10.1.0.2<br />
Rede privada (2): 172.16.0.0<br />
Máscara da rede privada: 255.255.0.0<br />
Regras de conversão 1-1:<br />
10.2.1.1 - 172.16.1.1<br />
Endereços da sub-rede 3:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 225
Externamente: 10.1.0.3<br />
Internamente:172.16.x.x<br />
Endereço do servidor: 172.16.1.1<br />
Endereço dos clientes: 172.16.x.x<br />
Configuração do <strong>Aker</strong> Firewall:<br />
Sub-Rede 3: 172.16.0.1, Sub-rede 1:10.1.0.3<br />
IP Virtual para conversão N-1:10.1.0.3<br />
Rede privada (3): 172.16.0.0<br />
Máscara da rede privada: 255.255.0.0<br />
Regras de conversão 1-1:<br />
10.3.1.1 - 172.16.1.1<br />
Na tabela de roteamento para este tipo de instalação devemos inserir rotas para<br />
as sub-redes 10.1.x.x, 10.2.x.x, 10.3.x.x.<br />
Figura 146. Exemplo 2 - configuração do <strong>Aker</strong> Firewall (múltiplas ligações com a internet).<br />
Desenho do Exemplo 2<br />
Múltiplas ligações com a Internet<br />
Neste exemplo bem mais complexo, mostraremos como utilizar três ligações com a<br />
Internet e duas redes internas, utilizando o conversor de endereços entre elas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 226
Equipamento: 3 roteadores, 1 <strong>Aker</strong> Firewall, n clientes, 2 servidores na rede DMZ<br />
Endereços válidos: A.B.C.x, D.E.F.x, G.H.I.x, todos com máscara de rede<br />
255.255.255.0<br />
Endereço reservado para a rede interna: 10.x.x.x máscara da rede 255.0.0.0<br />
Endereço reservado para a DMZ:172.16.x.x, máscara 255.255.0.0<br />
Endereços dos roteadores: Rede válida A.B.C.1, D.E.F.1, G.H.I.1 , Internet :x.x.x.x<br />
Configuração do <strong>Aker</strong> Firewall:<br />
Endereços das placas: Placa 1: 10.0.0.2, Placa 2: 172.16.0.2 , Placa 3: A.B.C.2,<br />
Placa 4: D.E.F.2, Placa 5: G.H.I.2<br />
Redes privadas: 10.0.0.0 e 172.16.0.0<br />
Máscara da redes privadas: 255.255.0.0<br />
Servidores da DMZ<br />
Servidor Web - 10.0.0.10<br />
Servidor SMTP - 10.0.0.25<br />
Regras de conversão de Endereços<br />
1. Origem - 10.0.0.10 converte para A.B.C.10 quando for para a Internet<br />
2. Origem - 10.0.0.25 converte para D.E.F.25 quando for para a Internet<br />
3. Origem - 172.16.x.x converte para 10.0.0.4 quando for para rede 10.0.0.0<br />
4. Origem - 172.16.x.x converte para D.E.F.25 quando for para Internet<br />
5. Origem - 10.x.x.x converte para A.B.C.20 quando for para Internet<br />
Figura 147. Exemplo 3 - configuração do <strong>Aker</strong> Firewall (montando regras de conversão de<br />
endereços).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 227
Desenho do Exemplo 3<br />
Com o <strong>Aker</strong> Firewall é possível realizar um balanceamento dos links para realizar<br />
um aproveitamento mais otimizado dos links. O firewall possui mecanismos de<br />
verificação de ativação dos links, sendo possível dividir o tráfego de forma<br />
inteligente pelos links ou desviar totalmente o tráfego daquele que estiver fora do ar.<br />
O administrador também poderá atribuir pesos às suas conexões, ou seja, as<br />
conexões mais rápidas poderão ter um peso maior do que as conexões mais lentas,<br />
desta forma o firewall dará preferência em enviar o tráfego para o link com maior<br />
peso.<br />
Montando regras de conversão de endereços para o <strong>Aker</strong> Firewall<br />
Configurar as regras de conversão de endereços no <strong>Aker</strong> Firewall é algo fácil em<br />
função de sua concepção inteligente. Toda a parte de endereços IP, máscaras,<br />
protocolos e portas são configurados nas entidades (para maiores informações, veja<br />
o capítulo intitulado (Cadastrando Entidades). Devido a isso, ao configurar uma<br />
regra, não é necessário se preocupar com qual porta um determinado serviço utiliza<br />
ou qual o endereço IP de uma rede ou máquina. Tudo isso já foi previamente<br />
cadastrado. Para facilitar ainda mais, todos os serviços mais utilizados na Internet já<br />
vem previamente configurado de fábrica, sendo desnecessário perder tempo<br />
pesquisando os dados de cada um.<br />
Basicamente, para cadastrar uma regra de conversão, deve-se especificar as<br />
entidades de origem e destino, tipo de conversão, interface virtual e serviço (se for o<br />
caso).<br />
O funcionamento da conversão é simples: o firewall pesquisará uma a uma as<br />
regras definidas pelo administrador, na ordem especificada, até que o pacote se<br />
encaixe numa delas. A partir deste momento, ele executará o tipo de conversão<br />
associado à regra. Caso a pesquisa chegue ao final da lista e o pacote não se<br />
enquadre em nenhuma regra então este não será convertido.<br />
Utilizando a interface gráfica<br />
Para ter acesso a janela de configuração da conversão de endereços, basta:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 228
Figura 148. Janela de acesso - configuração da conversão de endereços.<br />
Clicar no menu Configuração do Firewall.<br />
Selecionar o item NAT.<br />
A janela de configuração de conversão de endereços (NAT)<br />
Figura 149. Janela de configuração da conversão de endereços (NAT).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 229
A janela de conversão de endereços contém todas as regras de conversão definidas<br />
no <strong>Aker</strong> Firewall. Cada regra será mostrada em uma linha separada, composta de<br />
diversas células. Caso uma regra esteja selecionada, ela será mostrada em uma cor<br />
diferente.<br />
O botão OK fará com que o conjunto de regras seja atualizado e passe a<br />
funcionar imediatamente.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta<br />
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela seja fechada.<br />
Existe uma barra para inclusão de comentários relativo a regra de conversão.<br />
A opção Ativar NAT se estiver marcada, fará com que o firewall passe a<br />
converter os endereços de acordo com as regras cadastradas. Caso ela esteja<br />
desmarcada, nenhum tipo de conversão de endereços será feita.<br />
A barra de rolagem do lado direito serve para visualizar as regras que não<br />
couberem na janela.<br />
Ao clicar sobre uma regra e selecioná-la, se ela possuir um comentário, este<br />
aparecerá na parte inferior da janela.<br />
A posição da regra pode ser alterada clicando e arrastando com o mouse para a<br />
nova posição desejada.<br />
A janela possui os seguintes campos:<br />
Origem: Neste campo especifica-se a lista de todas as entidades cujos endereços<br />
serão convertidos para o endereço da Entidade Virtual, descrita acima. A conversão<br />
1-1 ou conversão de serviços permitem que apenas uma entidade seja selecionada<br />
para este campo e esta entidade deve ser do tipo máquina.<br />
Caso esteja utilizando Conversão 1-N ou Conversão de Serviços 1-N, então cada<br />
máquina pertencente a esse campo terá um peso associado a ela, mostrado entre<br />
parênteses, à direita do nome da entidade. Para alterar o peso de uma determinada<br />
máquina, ou seja, fazer com que ela receba mais conexões que as demais, deve-se<br />
clicar com o botão direito sobre o nome da entidade, na lista da direita, selecionar a<br />
opção Alterar peso e escolher o novo valor.<br />
O campo Entidade Origem deve sempre conter os endereços internos<br />
(reservados ou não válidos) das máquinas participantes da conversão,<br />
independentemente de seu tipo.<br />
Destino: Este campo serve para especificar as entidades para as quais a conversão<br />
de endereços será efetuada (no caso da conversão N-1) ou as máquinas que<br />
acessarão as máquinas internas através do endereço contido no campo Entidade<br />
Virtual (para os demais tipos de conversão). Ao criar várias regras com valores<br />
distintos nesse campo, faz com que uma mesma máquina tenha seu endereço<br />
convertido em endereços distintos dependendo do destino da comunicação.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 230
O valor mais comum para esse campo é a especificação da entidade Internet<br />
como destino. Isso fará com que a conversão de endereços selecionada na regra<br />
seja efetuada para todas as máquinas externas.<br />
Opções: Tipo de nat que será utilizado.<br />
Entidade Virtual: Neste campo deve-se configurar a entidade para a qual os<br />
endereços internos serão convertidos ou para o qual as requisições externas devem<br />
ser direcionadas. A entidade virtual deverá sempre ser uma entidade do tipo<br />
máquina.<br />
Serviços: Este campo define quais os serviços que farão parte da regra, quando for<br />
utilizado o tipo de conversão de Serviços, N-1 serviços ou 1-N com Serviços. A<br />
janela ficará desabilitada para os demais tipos de conversão.<br />
Serviço Virtual: Serviço que sofrerá a conversão, somente utilizado em Nat de<br />
porta.<br />
Balanceamento de link: Este campo permite habilitar ou desabilitar o<br />
balanceamento de link. As configurações do balanceamento deverão ter sido<br />
realizadas quando for selecionada esta opção.<br />
Comentário: Reservado para colocar uma descrição sobre a regra. Muito útil na<br />
documentação e manutenção das informações sobre sua utilidade.<br />
A janela de configuração de Balanceamento de Link<br />
Figura 150. Janela de configuração de balanceamento de link.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 231
O botão OK fará com que o conjunto de regras seja atualizado e passe a<br />
funcionar imediatamente.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta<br />
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela seja fechada.<br />
Esta aba possui os seguintes campos:<br />
Nome: Neste campo dever ser informado um nome para representar o link da<br />
operadora;<br />
Tipo: Este campo informa qual o tipo da configuração e pode assumir dentre dois<br />
valores possíveis, "estático" ou "dinâmico".<br />
Quando o link for estático é obrigatório cadastrar uma entidade de rede e uma<br />
entidade de máquina (gateway) sendo, neste, caso não permitido o cadastro de<br />
entidade de interface de rede. Quando o link for estático, a situação se inverte,<br />
sendo o usuário obrigado a cadastrar uma entidade do tipo interface, sendo que o<br />
cadastro de entidades do tipo rede e máquina (gateway) não são permitidos.<br />
Rede: Cadastre a rede que a operadora forneceu;<br />
Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall<br />
fará uma crítica para verificar se o gateway realmente pertence a rede da<br />
operadora);<br />
Interface: Esse campo é utilizado para o cadastro da entidade do tipo interface de<br />
rede, a qual irá representar o link dinâmico.<br />
Peso: Indica um valor a ser atribuído ao link. Quando os pesos são maiores<br />
pressupõe que os links sejam mais rápidos.<br />
Checa host 1: Nesse campo deve ser cadastrada uma entidade que tenha certeza<br />
que esteja logo a seguir do roteador da operadora, de preferência dentro de um ou<br />
dois saltos de seu roteador. Esta entidade será utilizada pelo firewall para<br />
determinar se o link está no ar ou não. Pode ser cadastrado um servidor DNS da<br />
operadora ou mesmo roteadores próximos.<br />
Checa host 2 e Checa host 3: Entidades de verificação também utilizadas pelo<br />
firewall. Não é obrigatório que estejam cadastradas as três entidades de verificação,<br />
contudo, quanto mais entidades cadastradas melhor para o sistema de verificação<br />
do firewall.<br />
Para executar qualquer operação sobre uma determinada regra, basta clicar com o<br />
botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será<br />
acionado sempre que o botão direito for pressionado, mesmo que não exista<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 232
nenhuma regra selecionada. Neste caso, somente as opções Incluir e Colar estarão<br />
habilitadas).<br />
Figura 151. Janela de configuração para adicionar entidades.<br />
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver<br />
selecionada, a nova será inserida na posição da regra selecionada. Caso<br />
contrário, a nova regra será incluída no final da lista.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver<br />
selecionada, a nova será copiada para a posição da regra selecionada. Caso<br />
contrário ela será copiada para o final da lista.<br />
Excluir: Remover da lista a regra selecionada.<br />
Habilita/Desabilita: Permitir habilitar/desabilitar a regra selecionada, ou seja, ela<br />
permanecerá cadastrada, mas o Firewall se comportará como se a mesma não<br />
existisse (no caso do Disable) e prosseguirá a pesquisa na regra seguinte.<br />
Adicionar entidades: No ponto em que for feito o clique do mouse, será<br />
possível inserir a entidade no campo correspondente da regra de conversão.<br />
Apenas um certo número de entidades poderá ser visualizada. Para escolher<br />
outra entidade faça a rolagem da janela na barra correspondente.<br />
Dica: O método mais prático para o administrador montar sua regra de conversão<br />
será arrastando diretamente as entidades para dentro da regra.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 233
Dica 2: A posição de cada regra pode ser alterada, bastando clicar e arrastar a<br />
mesma para a nova posição desejada, soltando em seguida. Observe que o cursor<br />
de indicação do mouse irá mudar para uma caixa pontilhada.<br />
No caso de inclusão ou edição de regras, será mostrada a janela de propriedades,<br />
descrita na seção abaixo:<br />
1.1.1.1.1 A janela de inclusão de regras de NAT<br />
Figura 152. Janela de inclusão de regras de NAT.<br />
Tipos de NAT: Neste campo é definido o tipo de conversão que a regra realizará.<br />
Ela possui as seguintes opções:<br />
Sem Conversão: Esta opção indica ao firewall que não deve haver conversão<br />
de endereços quando qualquer uma das máquinas pertencentes às Entidades<br />
Origem for acessar qualquer uma das máquinas pertencentes às Entidades<br />
Destino e vice-versa.<br />
Conversão 1-1: Esta opção indica ao firewall que quando a máquina listada nas<br />
Entidades Origem for acessar qualquer uma das máquinas pertencentes às<br />
Entidades Destino ela terá seu endereço convertido para o endereço da Entidade<br />
Virtual. Todas as vezes que uma máquina pertencente às Entidades Destino<br />
acessar o endereço da Entidade Virtual, esse último será automaticamente<br />
convertido para o endereço real, definido pela entidade presente nas Entidades<br />
Origem. Este tipo de conversão é útil para possibilitar o acesso externo a<br />
servidores internos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 234
Nas Entidades Origem deve-se colocar uma entidade com o endereço real<br />
(interno, reservado) da máquina para a qual se fará conversão de 1-1. Na Entidade<br />
Virtual deve-se colocar uma entidade com o endereço para o qual o endereço<br />
interno será convertido (endereço válido) e que será acessado pelas máquinas<br />
externas.<br />
Conversão N-1: Esta opção indica ao firewall que quando qualquer máquina<br />
listada nas Entidades Origem for acessar qualquer uma das máquinas<br />
pertencentes às Entidades Destino ela terá seu endereço convertido para o<br />
endereço da Entidade Virtual. Este tipo de conversão é útil para possibilitar que<br />
um grande número de máquinas utilize apenas um endereço IP válido para se<br />
comunicar através da Internet, entretanto ela não permite com que máquinas<br />
externas (listadas nas Entidades Destino) iniciem qualquer comunicação com as<br />
máquinas internas (listadas nas Entidades Origem).<br />
Quando o módulo de Cluster Cooperativo estiver funcionado na conversão de N-<br />
1, o IP da entidade virtual não pode ser nenhum dos atribuídos as interfaces do<br />
firewall.<br />
Conversão de Serviços: Esta opção é útil para redes que dispõem de apenas<br />
um endereço IP e necessitam disponibilizar serviços para a Internet. Ela<br />
possibilita que determinados serviços, ao serem acessados no firewall, sejam<br />
redirecionados para máquinas internas.<br />
No campo Entidades Origem, deve-se colocar o endereço IP interno (real) da<br />
máquina para a qual os serviços serão redirecionados. No campo Entidades<br />
Destino, deve-se colocar as máquinas que irão acessar os serviços externamente.<br />
No campo Serviços, deve-se escolher todos os serviços que serão redirecionados<br />
para a máquina presente em Entidades Origem quando uma máquina presente nas<br />
Entidades Destino acessá-los no endereço IP da Entidade Virtual.<br />
Quando o módulo de Cluster Cooperativo estiver funcionado não é possível a<br />
conversão de serviços.<br />
Conversão 1-N: Esta opção é utilizada para fazer balanceamento de carga, ou<br />
seja, possibilitar que várias máquinas respondam como se fossem uma única.<br />
No campo Entidades Origem deve-se colocar a lista de máquinas que farão parte<br />
do balanceamento e que passarão a responder como se fossem uma única. No<br />
campo Entidades Destino, deve-se colocar as máquinas que irão acessar as<br />
máquinas internas pelo endereço especificado na entidade presente no campo<br />
Entidade Virtual.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 235
Figura 153. Janela de configuração para ações que deseja ser realizada.<br />
Conversão 1:N para serviços: Esta opção é utilizada para fazer balanceamento<br />
de carga para determinados serviços, ou seja, possibilitar que várias máquinas<br />
respondam a requisições destes serviços como se fosse uma única.<br />
Porta: Para efetuar conversões não somente de endereços ip, mas também de<br />
portas para conexão, utiliza-se este tipo de nat, que também é conhecido com<br />
PAT (port address translation).<br />
1:N para Porta: Faz balanceamento de servidores efetuando conversões não<br />
somente de endereços ip, mas também as portas de conexão, sendo que após a<br />
conversão os acessos são distribuídos entre os servidores que fazem parte do<br />
balanceamento.<br />
Faz balanceamento de servidores efetuando conversões não somente de endereços<br />
ip, mas também das portas de conexão sendo, que após a conversão os acessos,<br />
são distribuídos entre os servidores que fazem parte do balanceamento.<br />
Conversão N:N: Esta opção indica ao firewall que os endereços pertencentes à<br />
rede listada nas Entidades Origem, ao acessar qualquer uma das máquinas<br />
pertencentes às Entidades Destino, serão convertidos para os endereços da<br />
rede no campo Entidade Virtual, ou seja, nesta conversão deve-se usar uma<br />
entidade de rede na coluna origem e uma entidade de rede na coluna entidade<br />
virtual. O campo destino pode ser preenchido da mesma maneira como é feito<br />
para os demais tipos de NAT.<br />
Além disso, as máscaras de rede da entidade de origem e da entidade virtual<br />
precisam ser iguais para que o NAT funcione. Por exemplo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 236
IP<br />
Máscara de rede<br />
Origem 192.168.0.0 255.255.255.0<br />
Entidade<br />
virtual<br />
172.16.0.0 255.255.255.0<br />
Figura 154. Comparativo: máscaras de rede da entidade de origem e virtual.<br />
Nesse caso, todos os IPs da rede 192 serão convertidos para a 172.<br />
O botão Avançado, que somente estará habilitado quando selecionar a conversão<br />
de endereços 1-N ou Conversão de serviços 1-N, permite configurar os parâmetros<br />
do monitoramento que será realizado pelo firewall a fim de detectar se as máquinas<br />
participantes do balanceamento estão no ar ou não e como o balanceamento será<br />
realizado. Ao clicar neste botão, a seguinte janela será mostrada:<br />
Figura 155. Configuração dos parâmetros de monitoramento.<br />
O campo Tipo de monitoramento, permite definir o método utilizado pelo firewall<br />
para verificar se as máquinas participantes do balanceamento (máquinas definidas<br />
no campo Entidades Origem) estão no ar. Ela consiste das seguintes opções:<br />
Sem monitoramento: Se essa opção for selecionada, o firewall não monitorará as<br />
máquinas e assumirá que elas estão sempre ativas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 237
Pacotes Ping: Se essa opção for selecionada, o firewall monitorará as máquinas<br />
através de pacotes ICMP de Echo Request e Echo Reply (que também são<br />
utilizados pelo comando PING, daí o nome dessa opção).<br />
Pedidos HTTP: Se essa opção for selecionada, o firewall monitorará as máquinas<br />
através de requisições HTTP. Nesse caso, deve-se especificar a URL (sem o prefixo<br />
http://) que o firewall tentará acessar em cada máquina para verificar se ela está<br />
ativa ou não.<br />
Algoritmo de balanceamento de carga: Esse campo permite definir o método<br />
utilizado para balancear as requisições entre as máquinas presentes no campo<br />
Entidades Origem. Ele consiste das seguintes opções:<br />
Round - Robin: Ao selecionar essa opção, o firewall distribuirá seqüencialmente as<br />
requisições para as máquinas participantes do balanceamento, uma a uma. Caso as<br />
máquinas tenham pesos diferentes, primeiro será distribuída uma conexão para<br />
cada máquina, a seguir uma conexão para cada máquina que recebeu um número<br />
de conexões menor que seu peso e assim sucessivamente. Quando todas as<br />
máquinas receberem o número de conexões equivalente a seu peso, o algoritmo se<br />
inicia.<br />
Aleatório: Ao selecionar essa opção, o firewall distribuirá as conexões de forma<br />
randômica entre as máquinas, ou seja, a probabilidade de uma conexão ser<br />
redirecionada para uma determinada máquina é igual à razão entre seu peso e o<br />
peso total de todas as máquinas.<br />
Persistência entre conexões: Esse campo permite definir o tempo de persistência<br />
da sessão em protocolos ou aplicativos que utilizem mais de uma conexão em<br />
tempos diferentes, ou seja, o tempo máximo de espera por uma nova conexão após<br />
o término da primeira. Neste intervalo de tempo as novas conexões serão<br />
direcionadas pelo firewall ao mesmo servidor.<br />
Observações sobre a montagem das regras<br />
É altamente recomendável que as regras de conversão sejam colocadas na<br />
seguinte ordem:<br />
1. Regras de Não Conversão;<br />
2. Regras de Conversão de Serviços;<br />
3. Regras de Conversão 1-1 e de N-N;<br />
4. Regras de Conversão de Serviços 1-N;<br />
5. Regras de Conversão 1-N;<br />
6. Regras de Conversão N-1;<br />
7. Regras de Conversão N-N.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 238
É necessária a inclusão de uma regra de Não Conversão com origem nas redes<br />
internas e destino nas próprias redes internas caso se pretenda administrar o<br />
firewall por uma máquina interna que participará de qualquer tipo de conversão.<br />
Essa regra deverá estar antes das demais regras de conversão.<br />
Exemplos - Cenário 1 - Conversão de Endereços<br />
Suponha que uma empresa possua as máquinas e serviços abaixo e deseja<br />
implementar a conversão de endereços. A empresa possui uma conexão dedicada<br />
com a Internet e seu provedor distribuiu uma faixa de endereços IP válidos na<br />
Internet de 200.120.210.0 até 200.120.210.63.<br />
Na regra 1 colocamos as redes internas da empresa (DMZ e Interna) em não<br />
tradução. Esta regra possibilita que caso alguma máquina interna da rede for<br />
administrar o firewall o seu endereço não é convertido e a administração seja<br />
possível. Estaria também correto em especificar as máquinas que são<br />
administradoras (Entidade Origem) e a interface por onde iremos administrar o<br />
firewall (Entidade de Destino) com a opção de "Sem tradução".<br />
Na regra 2 o servidor server1 fará uma conversão de 1:1 para o endereço<br />
200.120.210.15, ou seja, caso alguém da Internet procure pelo IP 200.120.210.15<br />
será enviado para o servidor server1 (IP 10.20.0.50). Do mesmo modo caso o<br />
servidor server1 origine uma conexão para Internet o seu IP será 200.120.210.15.<br />
A regra 3 por analogia é idêntica a regra 2, o servidor servidor_web_aker fará<br />
conversão de 1:1 para o endereço 200.120.210.25.<br />
A regra 4 é o exemplo de balanceamento de carga. Alguém da Internet procurando<br />
pela máquina 200.120.210.20 será enviado para o NT3, NT2 ou NT1. Isto<br />
dependerá do cálculo a ser realizado pelo firewall. No caso abaixo os pesos são<br />
diferentes, portanto a máquina NT3 que possui o peso 4 é a que receberá a maior<br />
quantidade de conexões. Caso as máquinas NT tenham de originar conexões para<br />
Internet, elas também terão seus endereços convertidos para 200.120.210.20.<br />
A regra 5 é de conversão de N:1, ou seja qualquer máquina da Rede_Interna<br />
(10.20.0.0 com máscara 255.255.255.0) terá o seu endereço convertido para<br />
200.120.210.16 quando as mesmas originarem conexão para a Internet. No entanto<br />
a recíproca não é verdadeira, caso alguém da Internet venha procurando conexão<br />
para o IP 200.120.210.16 o firewall não enviará para nenhuma máquina da rede<br />
interna e irá descartar os pacotes para esta conexão, pois o mesmo não sabe para<br />
qual máquina enviar a requisição.<br />
Cabe ressaltar que a ordem das regras é de extrema importância. Vamos supor que<br />
a regra 2 seja movida para a última posição. Neste caso alguém que viesse<br />
procurando pela máquina 200.120.210.15 seria enviado para o server1, entretanto<br />
quando o server1 fosse originar uma conexão para a Internet o mesmo teria seu<br />
endereço convertido para 200.120.210.16, pois a regra da antiga posição 5 é que<br />
iria atender primeira a conversão.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 239
Figura 156. Exemplo 1 - conversão de endereços.<br />
Exemplos - Cenário 2 - Conversão de Serviços<br />
Suponha agora que a empresa não possua uma faixa de endereços IP da Internet e<br />
sim um Único IP válido. Neste caso é conveniente fazer a conversão de serviços.<br />
Com este tipo de configuração poderá ser feito um aproveitamento deste único IP<br />
para diversos tipos de serviços. No caso o IP é o 200.120.210.15.<br />
A regra 1, foi colocada pelos mesmos motivos citados no cenário anterior.<br />
Na regra 2, alguém da Internet esteja procurando pela máquina 200.120.210.15 e<br />
na porta do servidor FTP (21/TCP). Neste caso o firewall irá enviar a conexão para a<br />
máquina server1.<br />
Na regra 3, alguém da Internet está procurando pela mesma máquina<br />
200.120.210.15, porém na porta do SMTP (25/TCP). O firewall irá mandar esta<br />
conexão para o endereço da entidade Correio_SMTP.<br />
Já a regra 4 possibilita que o servidor web da empresa seja acessado pela porta<br />
HTTP (80/TCP).<br />
A regra 5 é um exemplo do balanceamento de carga utilizando uma porta de<br />
serviço. Neste caso alguém da Internet está procurando acesso ao IP<br />
200.120.210.15 para o serviço web seguro (443/TCP), sendo que há três servidores<br />
para atender a requisição, no caso NT1, NT2 e NT3. Os princípios para atender<br />
estas conexões são os mesmos já explicados no cenário anterior.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 240
Finalizando, a regra 6 permite que qualquer outra máquina origine conexão para<br />
Internet, no caso sendo visualizado o IP 200.120.210.15 no destino.<br />
Apesar de ser possível utilizar a conversão de serviços no caso do cenário 1, a <strong>Aker</strong><br />
recomenda que esta configuração seja utilizada no caso da empresa possuir<br />
somente um único endereço IP válido para Internet.<br />
Figura 157. Exemplo 2 - conversão de serviços.<br />
Exemplos - Cenário 3 - Balanceamento de Link<br />
Neste cenário será descrito como realizar o balanceamento de links. Suponha que a<br />
empresa possua dois prestadores de conexão IP para Internet, por exemplo,<br />
Embratel e Intelig. No caso cada operadora forneceu sua faixa de endereço IP para<br />
a empresa.<br />
Primeira Fase - Montagem do Balanceamento<br />
O administrador do firewall então irá realizar o cadastramento e informar as<br />
seguintes entidades e campos:<br />
Nome: Informe um nome para representar o link da operadora;<br />
Tipo: Este campo informa qual o tipo da configuração e pode assumir dentre<br />
dois valores possíveis, "estático" ou "dinâmico";<br />
Rede: Cadastre a rede que a operadora forneceu;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 241
Gateway: O IP do roteador da operadora deve ser informado (neste caso o<br />
firewall fará uma crítica para verificar se o gateway realmente pertence a rede da<br />
operadora);<br />
Interface: Esse campo é utilizado para o cadastro da entidade do tipo interface<br />
de rede, a qual irá representar o link dinâmico;<br />
Peso: Um valor a ser atribuído ao link. Quando os pesos são maiores pressupõe<br />
que links sejam mais rápidos.<br />
Checa host 1: Cadastre uma entidade que tenha certeza que esteja logo a<br />
seguir do roteador da operadora, de preferência dentro de um ou dois saltos de<br />
seu roteador. Esta entidade será utilizada pelo firewall para determinar se o link<br />
está no ar ou não. Pode ser cadastrado um servidor DNS da operadora ou<br />
mesmo roteadores próximos.<br />
Checa host 2 e Checa host 3: Entidades de verificação também utilizadas pelo<br />
firewall. Não é mandatório que estejam cadastrados as três entidades de<br />
verificação, contudo quanto mais entidades cadastradas, melhor para o sistema<br />
de verificação do firewall.<br />
Figura 158. Balanceamento de link (primeira fase).<br />
Segunda Fase - Montagem das Regras de NAT<br />
A segunda fase da montagem é bem simples, bastando colocar em cada regra de<br />
conversão duas ou mais entidades virtuais, uma com endereço de cada prestador<br />
de serviço.<br />
Não esqueça de habilitar na coluna Balanceamento de links o ícone correspondente<br />
para que o serviço possa ser realizado pelo firewall. Cabe ressaltar que o firewall<br />
também realizará uma crítica para determinar se realmente a Entidade Virtual<br />
pertence a um link previamente cadastrado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 242
Uma limitação desta implementação é quanto à origem da conexão pela Internet. Os<br />
DNS devem ter entradas duplas de IP e devem trabalhar em modo Round-Robin. O<br />
problema está quando um link de determinada operadora cai, o firewall não tem<br />
como desviar as conexões que são originadas pela Internet. Para contornar este<br />
problema o administrador poderia utilizar de scripts para remover do DNS o IP da<br />
operadora que esteja fora do ar, pois o firewall passa para o log de eventos desta<br />
informação.<br />
Figura 159. Montangem das regras do NAT (segunda fase).<br />
8.2. Utilizando a interface texto<br />
A interface texto de configuração da conversão de endereços é relativamente<br />
simples e tem as mesmas capacidades da interface gráfica, exceto pelo fato de não<br />
ser possível configurar os parâmetros de monitoramento.<br />
Localização do programa: /aker/bin/firewall/fwnat<br />
Sintaxe:<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
fwnat - Configura regras de conversao de enderecos (NAT)<br />
Uso: fwnat [ajuda | mostra | ativa | desativa]<br />
fwnat [habilita | desabilita | remove] <br />
fwnat inclui 1-1 [ |<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 243
-bal ... ]<br />
fwnat inclui n-1 [ |<br />
-bal ... ]<br />
fwnat inclui servicos [ |<br />
-bal ... ] ...<br />
fwnat inclui portas [ |<br />
-bal ... ] <br />
fwnat inclui sem_conversao <br />
fwnat inclui 1-n ... [ |<br />
-bal ... ] <br />
nenhum | ping | HTTP ><br />
fwnat inclui n-n [ | -bal <br />
...]<br />
Ajuda do programa:<br />
desativa = desativa conversao de enderecos<br />
mostra = mostra todas as regras da tabela de conversao<br />
inclui = inclui uma nova regra de conversao<br />
habilita = habilita uma regra de conversao desabilitada<br />
desabilita = desabilita uma regra de conversao existente<br />
remove = remove uma regra de conversao existente<br />
ajuda = mostra esta mensagem Para inclui temos:<br />
pos = posicao onde incluir a nova regra na tabela<br />
(Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela)<br />
1-1 = realiza conversao de servidores. Neste caso a origem deve<br />
ser obrigatoriamente uma entidade do tipo maquina<br />
n-1 = realiza conversao de clientes<br />
servicos = realiza conversao apenas para os servicos citados.<br />
Neste caso a origem deve ser obrigatoriamente uma entidade do<br />
tipo maquina<br />
portas = realiza conversao apenas para o servico citado.<br />
Neste caso a origem deve ser obrigatoriamente uma entidade do<br />
tipo maquina. Alem disso, o servico visivel externamente<br />
sera' o sem_conversao = nao realiza conversao<br />
entre a origem e o destino<br />
1-n = realiza balanceamento de carga, ou seja, possibilita que<br />
as varias maquinas origem sejam acessadas pelo endereco<br />
IP configurado na entidade virtual, como se fossem uma so<br />
maquina<br />
n-n<br />
= Esta conversão permite que todos os endereços de uma rede<br />
sejam convertidos para os endereços de uma rede virtual automaticamente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 244
servico1 = lista de nomes dos servicos para a nova regra. Sao aceitos<br />
apenas servicos dos protocolos TCP ou UDP Para habilita / desabilita /<br />
remove temos:<br />
pos<br />
= numero da regra a ser habilitada, desabilitada ou removida da tabela<br />
Para conversao 1-n temos:<br />
round-robin = Utiliza algoritmo round-robin para o balanceamento das conexoes<br />
randomico = Utiliza algoritmo randomico para o balanceamento das conexoes<br />
persist = Tempo de persistencia (mins) de servidor destino para<br />
conexoes originadas do mesmo cliente<br />
nenhum = Nao monitora as maquinas origem, isto e', considera que elas estao<br />
sempre ativas<br />
ping = Monitora as maquinas origem atraves de pings<br />
HTTP = Monitora as maquinas origem atraves de conexoes HTTP<br />
URL = Especifica qual a URL deve utilizada para monitorar as<br />
maquinas, no caso de se utilizar monitoramento HTTP<br />
Exemplo 1 : (Mostrando a configuração)<br />
#/aker/bin/firewall/fwnat mostra<br />
Parametros Globais:<br />
-------------------<br />
Conversao de enderecos: Ativada<br />
Regras de Conversao:<br />
--------------------<br />
Regra 01<br />
--------<br />
Tipo: sem_conversao<br />
Origem: Rede Interna<br />
Destino: Rede Interna<br />
Regra 02<br />
--------<br />
Tipo: servicos<br />
Origem: Server<br />
Destino: Internet<br />
Entidade virtual: Firewall - interface externa<br />
Servicos: MYSQL POP3 SMTP<br />
Regra 03<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 245
--------<br />
Tipo: 1-1<br />
Origem: Web Server_001<br />
Destino: Internet<br />
Entidade virtual: External Web server<br />
Regra 04<br />
--------<br />
Tipo: n-n<br />
Origem: rede1<br />
Destino: internet<br />
Entidade Virtual: rede2<br />
Regra 05<br />
--------<br />
Tipo: 1-n<br />
Origem: server1,server2, server3<br />
Destino: Internet<br />
Entidade virtual: Virtual Server<br />
Balanceamento: randomico Monitoramento: http<br />
URL: www.aker.com.br<br />
Regra 06<br />
--------<br />
Tipo: n-1<br />
Origem: Rede Interna<br />
Destino: Internet<br />
Entidade virtual: Firewall - interface externa<br />
Exemplo 2 : (Incluindo uma regra de conversão 1-1 no final da tabela. mapeando o<br />
servidor SMTP Server, com endereço reservado para o External Server, com<br />
endereço válido para todas as máquinas da Internet).<br />
#/aker/bin/firewall/fwnat inclui fim 1-1 "SMTP Server" Internet "External Server"<br />
Regra incluida na posicao 6<br />
Exemplo 3: (Incluindo uma regra de conversão n-n na posição 5).<br />
#/aker/bin/firewall/fwnat inclui 5 n-n rede1 internet rede2.<br />
Regra incluida na posição 5<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 246
Exemplo 4 : (Incluindo uma regra de conversão de serviços no início da tabela).<br />
#/aker/bin/firewall/fwnat inclui 1 Servicos "Server 2" Internet "External Server 2"<br />
Telnet FTP<br />
Regra incluida na posicao 1<br />
Exemplo 5 : (Removendo a regra 3).<br />
#/aker/bin/firewall/fwnat remove 3<br />
Regra 5 removida<br />
Exemplo 6 : (Incluindo uma regra de conversão 1-N, balanceamento, mapeando os<br />
servidores srv01 e srv02 em uma máquina externa chamada de srv_externo, para<br />
todas as máquinas da Internet, e monitorando via ping).<br />
#/aker/bin/firewall/fwnat inclui 4 1-N srv01 srv02 Internet srv_externo round-robin<br />
ping<br />
Regra incluida na posicao 4<br />
8.3. Redundância de Link Via Modem<br />
Este aplicativo é utilizado apenas em modelos de Firewall Box com modem, onde se<br />
pode configurar a redundância de link usando o aplicativo de configuração "<br />
fwdialup_conn", conforme demonstrado na sintaxe abaixo:<br />
Sintaxe:<br />
/aker/bin/firewall # fwdialup_conn ajuda<br />
Firewall <strong>Aker</strong> - Versão 6.5 (HW)<br />
Uso: fwdialup_conn ajuda<br />
fwdialup_conn mostra<br />
fwdialup_conn configura [fone2] [fone3]<br />
fwdialup_conn habilita<br />
fwdialup_conn desabilita<br />
fwdialup_conn habilita_teste <br />
fwdialup_conn desabilita_teste<br />
os parametros sao:<br />
nome_usuario : nome de usuario para a conexao com o ISP.<br />
senha : senha utilizada para conexao com o ISP.<br />
fone1, 2, 3 : numero de telefone do ISP para discagem.<br />
dias_semana : dias da semana quando o teste sera executado. Os dias devem ser<br />
especificados por digitos.<br />
Exemplos: 0 => para representar Domingo, 6 => para representar Sabado.<br />
Voce pode especificar valores simples (1;3;5 ou 3) ou sequencias (1-5).<br />
hora : hora do dia quando o teste sera executado, tipo 20:55.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 247
aker/bin/firewall # fwdialup_conn mostra<br />
Configuracao:<br />
---------------------<br />
Habilitado: Nao<br />
Nome de usuario: ig<br />
Senha: ig<br />
Telefone 1: 34824000<br />
Telefone 2:<br />
Telefone 3:<br />
Teste:<br />
---------------------<br />
Teste habilitado: Nao<br />
Dias da semana:<br />
Hora: 00:00<br />
Exemplo 1: (Habilita e desabilita a funcionalidade)<br />
/aker/bin/firewall # fwdialup_conn habilita<br />
Alteracao feita com sucesso!!!<br />
/aker/bin/firewall # fwdialup_conn desabilita<br />
Alteracao feita com sucesso!!!<br />
Exemplo 2: (testando o funcionamento do modem periodicamente, o exemplo<br />
abaixo habilita o teste de segunda a sexta às 00:27)<br />
/aker/bin/firewall # fwdialup_conn habilita_teste '1;6' 00:27<br />
Alteracao feita com sucesso!!!<br />
/aker/bin/firewall # fwdialup_conn desabilita_teste<br />
Alteracao feita com sucesso!!!<br />
A funcionalidade de Redundância de Link aplica-se apenas em Firewall Box.<br />
8.4. Utilizando o Assistente de Configuração NAT<br />
O assistente de configuração NAT pode ser acionado tanto pela barra de<br />
ferramentas como pelo menu. As janelas abaixo irão solicitar diversas informações<br />
de modo que a conversão seja configurada.<br />
1 - A janela inicial informa sobre o que é o NAT. Clique no botão Próximo para<br />
continuar com a configuração.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 248
Figura 160. Mensagem de boas vindas ao Assistênte de configuração de NAT.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 249
2 - Informe as redes que necessitarão acessar a Internet.<br />
Figura 161. Seleção das redes que tem a necessidade de acessar a internet compartilhando um<br />
endereço IP.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 250
3 - Escolha o IP da Máquina virtual para realizar a conversão N-1.<br />
Figura 162. Seleção do IP da máquina virtual para realizar a conversão de N-1.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 251
4 - Escolha a opção Sim caso queira configurar os servidores que deverão aparecer<br />
para Internet.<br />
Figura 163. Mensagem se deseja configurar os servidores acessíveis externamentes.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 252
5 - Escolha a entidade para aparecer para a Internet.<br />
Figura 164. Escolha da entidade que deseja tornar acessível na internet.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 253
6 - Escolha o IP da Máquina virtual o qual o servidor será mostrado para Internet.<br />
Figura 165. Escolha do endereço IP utilizados por máquinas externas a ser utilizado no servidor.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 254
7 - Esta tela irá permitir que mais servidores sejam configurados.<br />
Figura 166. Escolha para configurar mais servidores.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 255
8 - Tela de finalização do Assistente e as regras que foram criadas pelo mesmo.<br />
Figura 167. Finalização do assistentes de regras.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 256
Criando canais de criptografia<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 257
9. Criando canais de criptografia<br />
Este capitulo mostrará como configurar as regras que propiciarão a criação de<br />
canais seguros de comunicação na Internet. Estes canais seguros são usados para<br />
interligar instituições pela Internet de forma a permitir que os dados fluam entre elas<br />
sem o risco de serem lidos ou alterado por estranhos.<br />
9.1. Planejando a instalação.<br />
O que é e para que serve um canal seguro de dados?<br />
A Internet é uma rede mundial composta de milhares de máquinas espalhadas por<br />
todo o mundo. Quando duas máquinas quaisquer estão se comunicando, todo o<br />
tráfego entre elas passa por diversas outras máquinas (roteadores, switches, etc)<br />
desde sua origem até seu destino. Na quase totalidade das vezes, a administração<br />
destas máquinas intermediárias é feita por terceiros e nada se pode afirmar quanto<br />
a sua honestidade (na maioria das vezes, não é nem possível saber<br />
antecipadamente por quais máquinas os pacotes passarão até atingir seu destino).<br />
Qualquer uma destas máquinas que estiver no caminho dos pacotes pode visualizar<br />
seu conteúdo e/ou alterar qualquer um destes. Isto é um problema sério e sua<br />
importância é aumentada ainda mais quando existe a necessidade de transmitir<br />
dados confidenciais e de grande impacto.<br />
Para resolver este problema, pode-se usar um canal seguro de dados. Um canal<br />
seguro de dados pode ser visto como se fosse um túnel. De um lado são colocadas<br />
as informações que só poderão ser lidas novamente após saírem do outro lado.<br />
Na prática, o que é feito é dar um tratamento especial aos dados a serem<br />
transmitidos de modo que estes não possam ser alterados durante seu caminho<br />
(autenticação), nem visualizados (criptografia). A combinação das duas técnicas<br />
produz dados invisíveis e imutáveis para qualquer máquina que se encontre no<br />
caminho dos pacotes, da origem ao destino.<br />
O que é criptografia?<br />
Criptografia é a combinação de uma chave com um algoritmo matemático baseado<br />
em uma função unidirecional. Este algoritmo é aplicado aos dados, juntamente com<br />
a chave, de modo a torná-los indecifráveis para qualquer um que os veja. O modo<br />
que isso é feito garante que somente é possível obter os dados originais caso<br />
possua o algoritmo e a chave usados inicialmente.<br />
Ao manter um destes dois componentes secretos (no caso, a chave), torna<br />
impossível a visualização dos dados por terceiros.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 258
O que é autenticação?<br />
Autenticação é também a combinação de uma chave com um algoritmo matemático<br />
baseado em uma função unidirecional. A diferença em relação a criptografia é que<br />
este algoritmo, quando aplicado sobre os dados, não produz dados indecifráveis<br />
mas sim uma assinatura digital para estes. Essa assinatura é gerada de tal forma<br />
que qualquer pessoa que desconheça o algoritmo ou a chave utilizado para gerá-la<br />
seja incapaz de calculá-la.<br />
Quando a assinatura digital é gerada, ela passa a ser transmitida para o destino<br />
junto com os dados. Caso estes tenham sofrido quaisquer alterações no caminho, o<br />
recipiente quando calcular a assinatura digital dos dados recebidos e compará-la<br />
com a assinatura recebida irá perceber que as duas são diferentes e concluir que os<br />
dados foram alterados.<br />
A autenticação é uma operação bastante rápida quando comparada com a<br />
criptografia, porém ela sozinha não consegue impedir que os dados sejam lidos. Ela<br />
deve ser usada apenas nos casos onde necessita confiabilidade dos dados, mas<br />
não sigilo. Caso necessite de ambos, usa-se autenticação em conjunto com a<br />
criptografia.<br />
O que é certificação digital?<br />
Através do processo de autenticação descrito acima é possível garantir a origem<br />
das mensagens em uma comunicação entre duas partes. Entretanto, para que isso<br />
seja possível é necessário que as entidades que estão se comunicando já tenham<br />
previamente trocado informações através de algum meio fora do tráfego normal dos<br />
dados. Esta troca de informações normalmente consiste no algoritmo a ser utilizado<br />
para a autenticação e sua chave.<br />
O problema surge quando é necessário assegurar a origem das mensagens de uma<br />
entidade com a qual nunca existiu comunicação prévia. A única forma de resolver<br />
este problema é delegar a uma terceira entidade o poder de realizar estas<br />
autenticações (ou em termos mais técnicos, realizar a certificação da origem de uma<br />
mensagem). Esta terceira entidade é chamada de Entidade Certificadora e para<br />
que seja possível ela assegurar a origem de uma mensagem, ela já deve ter<br />
realizado uma troca de informações com a entidade que está sendo certificada.<br />
O que é um certificado digital?<br />
Certificado digital é um documento fornecido pela Entidade Certificadora para cada<br />
uma das entidades que irá realizar uma comunicação, de forma a garantir sua<br />
autenticidade.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 259
Tipos de algoritmos de autenticação e criptografia<br />
Atualmente existem inúmeros algoritmos de autenticação e criptografia. Neste tópico<br />
serão mostrados apenas os algoritmos suportados pelo <strong>Aker</strong> Firewall.<br />
Cabe comentar que um dos parâmetros para medir a resistência de um algoritmo é<br />
o tamanho de suas chaves. Quanto maior o número de bits das chaves, maior o<br />
número de possíveis combinações e, teoricamente, maior é a resistência do<br />
algoritmo contra ataques.<br />
Algoritmos de autenticação:<br />
MD5<br />
MD5 é a abreviatura de Message Digest 5. Ele é um algoritmo criado e<br />
patenteado pela RSA <strong>Data</strong> <strong>Security</strong>, Inc, porém com uso liberado para quaisquer<br />
aplicações. Ele é usado para gerar assinaturas digitais de 128 bits para<br />
mensagens de qualquer tamanho e é considerado um algoritmo bastante rápido<br />
e seguro.<br />
SHA<br />
SHA é a abreviatura de Secure Hash. Ele é um algoritmo que gera assinaturas<br />
digitais de 160 bits para mensagens de qualquer tamanho. Ele é considerado<br />
mais seguro que o MD5, porém tem uma performance em média 50% inferior (na<br />
implementação do <strong>Aker</strong> Firewall ).<br />
A versão implementada pelo <strong>Aker</strong> Firewall é o SHA-1, uma revisão no algoritmo<br />
inicial para corrigir uma pequena falha. Entretanto ele será chamado sempre de<br />
SHA, tanto neste manual quanto nas interfaces de administração.<br />
Algoritmos de criptografia simétricos:<br />
Os algoritmos de criptografia simétricos são utilizados para encriptar fluxos de<br />
informações. Eles possuem uma única chave que é utilizada tanto para encriptar<br />
quanto para decriptar os dados.<br />
DES<br />
O algoritmo DES é um anagrama para <strong>Data</strong> Encription Standard, foi criado pela<br />
IBM na década de 70 e foi adotado pelo governo americano como padrão até<br />
recentemente. Ele é um algoritmo bastante rápido em implementações de<br />
hardware, porém não tão rápido quando implementado em software. Suas<br />
chaves de criptografia possuem tamanho fixo de 56 bits, número considerado<br />
pequeno para os padrões atuais. Devido a isso, deve-se dar preferência a outros<br />
algoritmos em caso de aplicações críticas.<br />
Triplo DES ou 3DES<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 260
Este algoritmo consiste na aplicação do algoritmo DES três vezes, usando três<br />
chaves distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo<br />
com chave de 112 bits, o que representa uma segurança extremamente maior do<br />
que a oferecida pelo DES. O problema deste algoritmo é que ele é duas vezes<br />
mais lento que o DES (na implementação utilizada no <strong>Aker</strong> Firewall).<br />
AES<br />
O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para<br />
substituir o já inseguro e ineficiente DES. AES é um anagrama para Advanced<br />
Encryption Standard. O algoritmo escolhido em concurso foi o Rijndael, e ele<br />
utiliza 256 bits de chave, sendo ao mesmo tempo muito mais seguro e rápido<br />
que o DES ou mesmo o 3DES.<br />
O <strong>Aker</strong> Firewall trabalha com o AES utilizando chaves de 256 bits, o que garante<br />
um nível altíssimo de segurança. Ele é a escolha recomendada.<br />
Blowfish<br />
O algoritmo Blowfish foi criado como uma possível substituição ao DES. Ele é<br />
um algoritmo extremamente rápido (quando comparado com outros algoritmos<br />
de criptografia), bastante seguro e pode trabalhar com vários tamanhos de<br />
chaves, de 40 a 438 bits.<br />
O <strong>Aker</strong> Firewall trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o<br />
que garante um nível altíssimo de segurança.<br />
Algoritmos de criptografia assimétricos:<br />
Os algoritmos de criptografia assimétricos possuem um par de chaves associadas,<br />
uma para encriptar e outra para decriptar os dados. Eles são bastante lentos se<br />
comparados aos algoritmos simétricos e, devido a isso, normalmente são utilizados<br />
apenas para realizar assinaturas digitais e no estabelecimento de chaves de sessão<br />
que serão usadas em algoritmos simétricos.<br />
RSA<br />
O RSA é um algoritmo baseado em aritmética modular capaz de trabalhar com<br />
chaves de qualquer tamanho, porém valores inferiores a 512 bits são<br />
considerados muito frágeis. Ele pode ser utilizado para encriptar e decriptar<br />
dados, porém, devido a sua grande lentidão se comparado aos algoritmos<br />
simétricos, seu principal uso é em assinaturas digitais e no estabelecimento de<br />
chaves de sessão.<br />
Diffie-Hellman<br />
O algoritmo Diffie-Hellman na verdade não pode ser encarado como algoritmo de<br />
criptografia, uma vez que não serve para encriptar dados ou realizar assinaturas<br />
digitais. Sua única função é possibilitar a troca de chaves de sessão, feita de<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 261
forma a impedir que escutas passivas no meio de comunicação consigam obtêlas.<br />
Ele também é baseado em aritmética modular e pode trabalhar com chaves<br />
de qualquer tamanho, porém chaves menores que 512 são consideradas muito<br />
frágeis.<br />
Algoritmos de trocas de chaves<br />
Um problema básico que ocorre quando se configura um canal seguro é como<br />
configurar as chaves de autenticação e criptografia e como realizar trocas periódicas<br />
destas chaves.<br />
É importante realizar trocas periódicas de chaves para diminuir a possibilidade de<br />
quebra das mesmas por um atacante e para diminuir os danos causados caso ele<br />
consiga decifrar uma das chaves. Suponha que um atacante consiga em seis meses<br />
quebrar as chaves usadas por um algoritmo de criptografia (este tempo é totalmente<br />
hipotético, não tendo nenhuma relação com situações reais). Se uma empresa usar<br />
as mesmas chaves, por exemplo, durante 1 ano, então um atacante conseguirá<br />
decifrar todo o tráfego nos últimos 6 meses desta empresa. Em contrapartida, se as<br />
chaves forem trocadas diariamente, este mesmo atacante, após 6 meses,<br />
conseguirá decifrar o tráfego do primeiro dia e terá mais 6 meses de trabalho para<br />
decifrar o tráfego do segundo dia e assim por diante.<br />
O <strong>Aker</strong> Firewall possui quatro métodos para trocas de chaves: IPSEC-IKE, AKER-<br />
CDP, SKIP e manual:<br />
Troca de chaves via IPSEC-IKE<br />
Esta opção estará disponível apenas quando utilizar o conjunto completo de<br />
protocolos IPSEC.<br />
O IPSEC (IP <strong>Security</strong>) é um conjunto de protocolos padronizados (RFC 2401-<br />
RFC 2412) desenvolvidos pela IETF. O IPSec oferece transferência segura de<br />
informações através de rede IP pública ou privada. Uma conexão via IPSec<br />
envolve sempre 3 etapas:<br />
1. Negociação do nível de segurança;<br />
2. Autenticação e Integridade;<br />
3. Confidencialidade.<br />
Para implementar essas 3 etapas o IPSec utiliza-se 3 mecanismos:<br />
AH - Autentication Header<br />
ESP - Encapsulation <strong>Security</strong> Payload<br />
IKE - Internet Key Exchange Protocol<br />
Recomenda-se fortemente o uso desta opção na hora de configurar os canais<br />
seguros.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 262
Troca de chaves via <strong>Aker</strong>-CDP<br />
O <strong>Aker</strong>-CDP é um protocolo desenvolvido pela <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> que<br />
possibilita a configuração totalmente automática de todos os parâmetros de um<br />
canal seguro. Ele utiliza o protocolo SKIP como base (o que significa que ele<br />
oferece todas as facilidades de trocas de chaves apresentadas anteriormente),<br />
porém possui a grande vantagem de não necessitar de uma configuração<br />
manual dos segredos compartilhados, tudo é feito automaticamente.<br />
Para assegurar o máximo de segurança, toda a troca de chaves é feita por meio<br />
de certificados digitais assinados pela própria <strong>Aker</strong> ou por outras entidades<br />
certificadoras autorizadas. Nestes certificados são utilizados os protocolos Diffie-<br />
Hellman e RSA, ambos com 1024 bits.<br />
Os algoritmos a serem utilizados na criptografia e autenticação podem ser<br />
especificados, da mesma forma que no protocolo SKIP, ou deixados em modo<br />
automático, o que fará que os dois firewalls comunicantes negociem o algoritmo<br />
mais seguro suportado por ambos.<br />
Troca de chaves via SKIP<br />
SKIP é um anagrama para Simple Key Management for IP. Ele é basicamente<br />
um algoritmo que permite que as trocas de chaves sejam realizadas de forma<br />
automática e com uma freqüência extremamente elevada, tornando inviável a<br />
quebra destas chaves. O funcionamento do SKIP é complexo e não entraremos<br />
em maiores detalhes aqui. Nossa abordagem ficará limitada a descrever seu<br />
funcionamento.<br />
Basicamente o SKIP trabalha com três níveis diferentes de chaves:<br />
• Um segredo compartilhado pelas duas entidades que desejam<br />
comunicar-se (configurado manualmente, no caso do <strong>Aker</strong> Firewall).<br />
• Uma chave mestre, recalculada de hora em hora, baseada no segredo<br />
compartilhado.<br />
• Uma chave randômica, que pode ser recalculada quando se desejar.<br />
Genericamente falando, para efetuar a comunicação, o algoritmo gera uma<br />
chave aleatória e a utiliza para encriptar e autenticar os dados a serem enviados.<br />
A seguir ele encripta esta chave com a chave mestre e envia isto junto com os<br />
dados encriptados. Ao receber o pacote, o outro lado decripta a chave, com o<br />
auxílio da chave mestra, e a utiliza para decriptar o restante do pacote.<br />
Os algoritmos utilizados para autenticar o pacote e encriptar a chave são<br />
definidos pelo remetente e informados como parte do protocolo. Desta forma,<br />
não é necessário configurar estes parâmetros no recipiente.<br />
A principal vantagem do SKIP é a possibilidade de utilizar o mesmo segredo<br />
compartilhado por anos, sem a menor possibilidade de quebra das chaves por<br />
qualquer atacante (uma vez que a troca de chaves é efetuada em intervalos de<br />
poucos segundos a no máximo uma hora, dependendo do tráfego entre as redes<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 263
comunicantes).<br />
Troca de chaves manual<br />
Neste caso, toda a configuração de chaves é feita manualmente. Isto implica que<br />
todas as vezes que uma chave for trocada, ambos os Firewall participantes de<br />
um canal seguro terão que ser re-configurados simultaneamente.<br />
Tipos de canais seguros<br />
O <strong>Aker</strong> Firewall possibilita a criação de dois tipos de canais seguros distintos,<br />
chamados de Firewall-Firewall e Cliente-Firewall. Cada um destes tipos de canais<br />
possuem objetivos e limitações diferentes e normalmente são combinados para<br />
atingir o máximo de segurança e flexibilidade.<br />
Canais seguros Firewall-Firewall<br />
Este tipo de canal seguro é o mais comum e é suportado pelo <strong>Aker</strong> Firewall<br />
desde sua versão 1.31. Ele consiste na utilização de criptografia e autenticação<br />
entre dois firewalls, interligados através da Internet ou de outro meio qualquer.<br />
Os pontos de entrada e saída do canal são os dois firewalls, o que significa que<br />
toda a criptografia é feita transparentemente por eles e nenhum software<br />
adicional necessita ser instalado em nenhuma máquina cliente.<br />
A única limitação desta solução é que ela exige a presença de dois firewalls, um<br />
na entrada de cada rede, para que o canal seguro possa ser criado.<br />
Canais seguros Cliente-Firewall (Secure Roaming)<br />
Estes canais são suportados pelo <strong>Aker</strong> Firewall a partir da versão 3.10. Eles<br />
permitem com que uma máquina cliente (Família Windows TM e Linux) estabeleça<br />
um canal seguro diretamente com um <strong>Aker</strong> Firewall. Para tanto é necessária a<br />
instalação de um programa, chamado de <strong>Aker</strong> Client, em cada uma destas<br />
máquinas.<br />
A principal vantagem desta tecnologia é possibilitar com que clientes acessem<br />
uma rede coorporativa através de linhas discadas com total segurança e<br />
transparência (transparência na medida em que as aplicações que estejam<br />
rodando na máquina com o cliente de criptografia instalado desconhecem sua<br />
existência e continuam funcionando normalmente).<br />
Apesar de ser bastante útil, esta tecnologia possui algumas desvantagens e<br />
limitações:<br />
É necessário a instalação de um software, <strong>Aker</strong> Client, em todas as<br />
máquinas clientes;<br />
O cliente de criptografia não está disponível para todas as plataformas;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 264
Definindo um canal seguro firewall-firewall<br />
Para definirmos um canal seguro firewall-firewall deve-se escolher primeiro dois<br />
grupos de máquinas que irão trocar informações entre si de forma segura. Estes<br />
grupos de máquinas terão seus pacotes autenticados e, caso desejado,<br />
criptografados. É necessário que exista um firewall nas duas extremidades do canal.<br />
Estes firewalls serão responsáveis por autenticar/verificar e criptografar/decriptar os<br />
dados a serem transmitidos e recebidos, respectivamente.<br />
Para definir os grupos de máquinas, será utilizado o conceito de entidades,<br />
mostrado no capítulo intitulado Cadastrando Entidades. Pode-se utilizar entidades<br />
do tipo máquina, rede ou conjunto nesta definição.<br />
O <strong>Aker</strong> Firewall suporta a existência de diversos canais seguros simultâneos, entre<br />
pontos distintos. A união destes diversos canais produz uma lista, onde cada<br />
entrada define completamente os parâmetros de um canal seguro. Cada uma<br />
destas entradas recebe o nome de Associação de Segurança ou SA.<br />
O planejamento destes canais seguros deverá ser feito com bastante cuidado. A<br />
criptografia é um recurso dispendioso que demanda uma capacidade de<br />
processamento muito alta. Desta forma, criptografar pacotes para os quais não<br />
exista uma necessidade real de segurança será um desperdício de recursos. Além<br />
disso, deve-se atentar que diferentes algoritmos de criptografia exigem quantidades<br />
de processamento diferentes e, por conseguinte, produzem um nível de segurança<br />
mais elevado. Dependendo do nível de segurança desejado, pode-se optar por um<br />
ou outro algoritmo (a descrição da cada algoritmo suportado pelo <strong>Aker</strong> Firewall se<br />
encontra no tópico anterior).<br />
Uma última observação sobre canais de criptografia firewall-firewall é que estes são<br />
unidirecionais, ou seja, caso deseje configurar uma comunicação segura entre duas<br />
redes, A e B, deve-se configurar dois canais diferentes: um canal com origem na<br />
rede A e destino na rede B e outro com origem na rede B e destino na rede A. Os<br />
pacotes que forem enviados de A para B seguirão a configuração do primeiro canal<br />
e os pacotes de B para A seguirão a configuração do segundo. Isto será ilustrado<br />
com mais clareza nos exemplos abaixo:<br />
Exemplos do uso de canais seguros firewall-firewall<br />
Exemplo básico de configuração de um canal seguro firewall-firewall<br />
Neste exemplo será mostrado como definir um canal seguro de comunicação entre<br />
duas redes, através da Internet, usando dois <strong>Aker</strong> Firewalls. O canal será criado de<br />
forma com que toda a comunicação entre estas duas redes seja segura. Como o<br />
algoritmo de autenticação foi escolhido o MD5 e como algoritmo de criptografia, o<br />
DES.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 265
É obrigatório o uso de um algoritmo de autenticação para todos os fluxos, ou<br />
seja, não é permitida a criação de fluxos com criptografia apenas. Isto é necessário<br />
já que sem a autenticação os algoritmos de criptografia são passíveis de ataques de<br />
recortar e colar (cut and paste).<br />
Configuração do <strong>Aker</strong> Firewall da rede 1<br />
Entidades:<br />
REDE1 - Endereço IP: A1.B1.C1.0 - Máscara 255.255.255.0<br />
REDE2 - Endereço IP: A2.B2.C2.0 - Máscara 255.255.255.0<br />
Regra de criptografia 1:<br />
Sentido do canal: envia<br />
Entidades origem: REDE1<br />
Entidades destino: REDE2<br />
Algoritmo de criptografia: DES<br />
Algoritmo de autenticação: MD5<br />
Chave de autenticação: X1<br />
Chave de criptografia: X2<br />
Regra de criptografia 2:<br />
Sentido do canal: recebe<br />
Entidades origem: REDE2<br />
Entidades destino: REDE1<br />
Algoritmo de criptografia: DES<br />
Algoritmo de autenticação: MD5<br />
Chave de autenticação: X3<br />
Chave de criptografia: X4<br />
Configuração do <strong>Aker</strong> Firewall da rede 2<br />
Entidades:<br />
REDE1 - Endereço IP: A1.B1.C1.0 - Máscara 255.255.255.0<br />
REDE2 - Endereço IP: A2.B2.C2.0 - Máscara 255.255.255.0<br />
Regra de criptografia 1:<br />
Sentido do canal: recebe<br />
Entidades origem: REDE1<br />
Entidades destino: REDE2<br />
Algoritmo de criptografia: DES<br />
Algoritmo de autenticação: MD5<br />
Chave de autenticação: X1<br />
Chave de criptografia: X2<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 266
Regra de criptografia 2:<br />
Sentido do canal: envia<br />
Entidades origem: REDE2<br />
Entidades destino: REDE1<br />
Algoritmo de criptografia: DES<br />
Algoritmo de autenticação: MD5<br />
Chave de autenticação: X3<br />
Chave de criptografia: X4<br />
Note que a regra 1 do <strong>Aker</strong> Firewall 1 é exatamente igual à regra 1 do <strong>Aker</strong><br />
Firewall 2, exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2.<br />
Figura 168. Exemplo de configuração de um canal seguro firewall-firewall para uma sub-rede.<br />
Exemplo de configuração de um canal seguro firewall-firewall para uma subrede<br />
Neste exemplo o nosso canal seguro será definido apenas para um grupo de<br />
máquinas dentro de cada uma das duas redes. Além disso, definiremos algoritmos<br />
diferentes para os fluxos entre estes grupos.<br />
Na prática, configurar algoritmos diferentes para os dois sentidos de um canal<br />
seguro pode ser interessante quando as informações de um determinado sentido<br />
tiverem um valor maior do que as do sentido oposto do fluxo. Neste caso, utiliza-se<br />
um algoritmo mais seguro no sentido mais crítico.<br />
Neste exemplo, vamos supor que as redes 1 e 2 possuam dois endereços classe B:<br />
A1.B1.0.0 e A2.B2.0.0, respectivamente.<br />
Configuração do <strong>Aker</strong> Firewall da rede 1<br />
Entidades:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 267
SUB_REDE1 - Endereço IP: A1.B1.2.0 - Máscara 255.255.255.0<br />
SUB_REDE2 - Endereço IP: A2.B2.5.0 - Máscara 255.255.255.0<br />
Regra de criptografia 1:<br />
Sentido do canal: envia<br />
Entidades origem: SUB_REDE1<br />
Entidades destino: SUB_REDE2<br />
Algoritmo de criptografia: DES<br />
Algoritmo de autenticação: MD5<br />
Chave de autenticação: X1<br />
Chave de criptografia: X2<br />
Regra de criptografia 2:<br />
Sentido do canal: recebe<br />
Entidades origem: SUB_REDE2<br />
Entidades destino: SUB_REDE1<br />
Algoritmo de criptografia: 3DES<br />
Algoritmo de autenticação: SHA<br />
Chave de autenticação: X3<br />
Chave de criptografia: X4<br />
Configuração do <strong>Aker</strong> Firewall da rede 2<br />
Entidades:<br />
SUB_REDE1 - Endereço IP: A1.B1.2.0 - Máscara 255.255.255.0<br />
SUB_REDE2 - Endereço IP: A2.B2.5.0 - Máscara 255.255.255.0<br />
Regra de criptografia 1:<br />
Sentido do canal: envia<br />
Entidades origem: SUB_REDE2<br />
Entidades destino: SUB_REDE1<br />
Algoritmo de criptografia: 3DES<br />
Algoritmo de autenticação:SHA<br />
Chave de autenticação: X3<br />
Chave de criptografia: X4<br />
Regra de criptografia 2:<br />
Sentido do canal: recebe<br />
Entidades origem: SUB_REDE1<br />
Entidades destino: SUB_REDE2<br />
Algoritmo de criptografia: DES<br />
Algoritmo de autenticação: MD5<br />
Chave de autenticação: X1<br />
Chave de criptografia: X2<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 268
Note que neste caso as regras aparecem colocadas em uma ordem diferente nos<br />
dois firewalls: a regra 1 no Firewall 1 é igual a regra 2 do Firewall 2 (com os sentidos<br />
invertidos) e a regra 2 no Firewall 1 é igual a regra 1 no Firewall 2 (novamente com<br />
os sentidos trocados). Neste exemplo, a ordem das regras não faz diferença<br />
(observe, entretanto que em alguns casos isto pode não ser verdade).<br />
Certificados IPSEC<br />
Figura 169. Canal seguro entre redes.<br />
Os certificados IPSEC são certificados padrão X.509 utilizados pelo firewall para<br />
identificarem-se junto a seus pares quando do estabelecimento dos canais<br />
criptográficos firewall-firewall no padrão IPSEC (veja a seção Configurando túneis<br />
IPSEC, logo abaixo). Seu uso, entretanto, não é obrigatório, já que é possível<br />
estabelecer canais IPSEC usando segredos compartilhados.<br />
Para que um firewall aceite um certificado apresentado por outro, é preciso que<br />
ele possua o certificado da Autoridade Certificadora que o emitiu.<br />
Para ter acesso a janela de manutenção de certificados IPSEC basta:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 269
Figura 170. Janela de acesso - Certificados IPSEC).<br />
Clicar no menu Criptografia da janela principal.<br />
Escolher o item Certificados IPSEC.<br />
A janela de certificados e requisições IPSEC<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 270
Figura 171. Janela de Certificados IPSEC.<br />
A janela de certificados IPSEC contém os certificados e as requisições do <strong>Aker</strong><br />
Firewall.<br />
Uma requisição é um formulário a ser preenchido com seus dados para que a<br />
autoridade certificadora gere um certificado. Um certificado é uma carteira de<br />
identidade para autenticar (reconhecer como o próprio) o seu proprietário. O <strong>Aker</strong><br />
Firewall utilizará estes certificados para autenticar frente a seus pares quando da<br />
negociação de um canal IPSEC. Desta forma cada um dos dois Firewalls envolvidos<br />
num canal IPSEC tem que gerar seu próprio certificado.<br />
As operações desta janela se encontram na barra de ferramentas localizada acima<br />
da janela de Certificados IPSEC ou clicando-se com o botão direito do mouse sobre<br />
o campo que se deseja operar.<br />
Figura 172. Barra de ferramentas (Certificados IPSEC).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 271
Figura 173. Janela de ação para Certificados IPSEC.<br />
O botão Inserir permite incluir uma nova requisição, podendo ser local ou<br />
remota, sendo que as requisições e certificados locais ficam na janela "deste<br />
firewall" e certificados e requisições remotas ficam na janela "outros firewalls".<br />
O botão Copiar copia o certificado/requisição selecionado.<br />
O botão Colar cola da memória o certificado/requisição copiado.<br />
O botão Excluir remove da lista o certificado/requisição selecionado.<br />
O botão Importar permite que seja carregado um certificado que foi exportado.<br />
O botão Exportar permite que salve o certificado selecionado.<br />
O botão Submeter permite que carregue um certificado exportado ou carregue<br />
um certificado de acordo com uma requisição selecionada (somente aparece<br />
quando inserindo um novo certificado).<br />
O botão Instalar fará com que a janela seja fechada e atualizada.<br />
O botão Atualizar faz com seja recarregada as informações de certificados.<br />
Para gerar um certificado é necessário que primeiro gere uma requisição no <strong>Aker</strong><br />
Firewall, com esta requisição faça um pedido a uma autoridade certificadora para<br />
gerar o certificado e depois importe o certificado para o <strong>Aker</strong> Firewal.<br />
Esta janela é atualizada dinamicamente, ou seja, não é possível cancelar quando<br />
já feito o pedido. Quando incluir-se uma nova requisição local, as requisições e os<br />
certificados locais serão apagados. Da mesma forma, ao importar novo Certificado<br />
local com par de chaves (.pfx), serão apagados as requisições e os certificados<br />
locais.<br />
Desta maneira, a operação deve se dar da seguinte forma (para o certificado local):<br />
1. Criar uma requisição local;<br />
2. Enviar esta requisição a uma Autoridade Certificadora;<br />
3. Esperar até que a Autoridade Certificadora emita o certificado<br />
correspondente;<br />
4. Carregar o certificado correspondente à requisição (clicar na requisição e,<br />
depois, em Carregar).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 272
Se o desejado for criar um certificado para um firewall remoto, o procedimento<br />
muda:<br />
1. Criar uma requisição remota;<br />
2. Enviar esta requisição a uma Autoridade Certificadora;<br />
3. Esperar até que a Autoridade Certificadora emita o certificado<br />
correspondente;<br />
4. Carregar o certificado correspondente à requisição (clicar na requisição e,<br />
depois, em Carregar);<br />
5. Exportar o certificado para um arquivo PKCS#12 (Clicar no certificado remoto<br />
correspondente e, em seguida, em exportar);<br />
6. Importar este certificado no firewall remoto, selecionando Deste Firewall e,<br />
em seguida com o botão direito do mouse, Importar.<br />
Na janela de requisições, há dois campos que podem causar confusão:<br />
Dominio (CN): É o identificador principal do dono da requisição. Este campo<br />
deve ser preenchido com common name.<br />
Tamanho da chave: Se o certificado for local com criação de nova chave ou<br />
remoto, este campo conterá o comprimento da chave em bits. Caso contrário<br />
(certificado local adicional) ele não poderá ser modificado, uma vez que a chave<br />
que já existe será utilizada.<br />
Configurando canais Firewall-Firewall<br />
Para ter acesso a janela de configuração de canais Firewall-Firewall basta:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 273
Figura 174. Janela de acesso - Firewall/Firewall.<br />
Clicar no menu Criptografia da janela principal.<br />
Escolher o item Firewall-Firewall.<br />
A janela de criptografia firewall-firewall<br />
Figura 175. Janela de Criptografia Firewall/Firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 274
A janela de criptografia contém a definição de todos os fluxos de criptografia do <strong>Aker</strong><br />
Firewall. Cada fluxo será mostrado em uma linha separada, composta de diversas<br />
células. Caso um fluxo esteja selecionado, ele será mostrado em uma cor diferente.<br />
Esta janela é composta por quatro abas, onde cada uma delas permite a<br />
configuração de fluxos de criptografia usando diferentes métodos de troca de<br />
chaves.<br />
O botão OK fará com que o conjunto de fluxos seja atualizado e passe a<br />
funcionar imediatamente.<br />
O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela seja fechada.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta<br />
A barra de rolagem do lado direito serve para visualizar os fluxos que não<br />
couberem na janela.<br />
Ao clicar sobre um fluxo e selecioná-lo, se ele possuir um comentário, este<br />
aparecerá na parte inferior da janela.<br />
Dica: A posição de cada regra pode ser alterada, bastando-se clicar e arrastar a<br />
mesma para a nova posição desejada, soltando em seguida. Observe que o cursor<br />
de indicação do mouse irá mudar para uma mão segurando um bastão.<br />
Para executar qualquer operação sobre um determinado fluxo, basta clicar com o<br />
botão direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será<br />
acionado sempre que pressionar o botão direito, mesmo que não exista nenhum<br />
fluxo selecionado. Neste caso, somente as opções Inserir e Copiar estarão<br />
habilitadas).<br />
Figura 176. Menu de inserção, copia ou exclusão para definição dos fluxos de criptografia.<br />
Inserir: Esta opção permite incluir um novo fluxo na lista. Se algum fluxo estiver<br />
selecionado, o novo será inserido na posição do fluxo selecionado. Caso<br />
contrário, o novo fluxo será incluído no final da lista.<br />
Copiar: Esta opção copia o fluxo selecionado para uma área temporária.<br />
Colar: Esta opção copia o fluxo da área temporária para a lista. Se um fluxo<br />
estiver selecionado, o novo será copiado para a posição do fluxo selecionado.<br />
Caso contrário ele será copiado para o final da lista.<br />
Excluir: Esta opção apaga o fluxo selecionado.<br />
Habilitar/Desabilitar: Esta opção permite desabilitar o fluxo selecionado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 275
Dica: Todas estas opções podem ser executadas a partir da barra de ferramentas<br />
localizada na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo,<br />
clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.<br />
Caso queira incluir ou editar fluxos, pode-se fazer de duas formas: As entidades<br />
envolvidas podem ser arrastadas para o fluxo que vão participar ou clicando com o<br />
botão direito do mouse sobre o campo desejado, neste caso será dada a opção de<br />
inserir, apagar ou editar entidades como mostrado a seguir:<br />
Configurando túneis IPSEC<br />
Figura 177. Menu de inclusão ou alteração de fluxos.<br />
Túneis IPSEC servem para criar uma VPN entre duas redes. A palavra túnel é<br />
utilizada para diferenciar das VPNs comuns, pois efetivamente cria um canal virtual<br />
entre os firewalls envolvidos, possibilitando, por exemplo, que redes com endereços<br />
inválidos se comuniquem de maneira segura através da Internet.<br />
Para configurar canais IPSEC, deve-se selecionar a opção IPSEC, na janela<br />
Firewall-Firewall. Isto provocará a alteração da janela de forma a mostrar os campos<br />
necessários para esta configuração.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 276
Figura 178. Configuração de canais IPSEC.<br />
Os campos de configuração têm os seguintes significados:<br />
Origem: Definir as entidades cujos endereços serão comparados com o<br />
endereço origem dos pacotes IP que formarão o fluxo.<br />
Destino: Definir as entidades cujos endereços serão comparados com o<br />
endereço destino dos pacotes IP que formarão o fluxo.<br />
Direção: Define em que sentido o fluxo será aplicado. Só existem duas<br />
opções possíveis: ou o pacote está sendo criptografado (encriptação) ou o<br />
pacote esta sendo decriptado (decriptação). (para maiores detalhes, veja o<br />
tópico intitulado Planejando a instalação).<br />
Gateway Remoto: Define a entidade do tipo máquina que será o gateway<br />
remoto, ou seja, a outra ponta do túnel IPSEC.<br />
Agora é possível adicionar até três gateways remotos na mesma regra.<br />
Cada um dos dois firewalls envolvidos no túnel precisa ter certeza da identidade do<br />
outro, de forma a evitar ataques de falsificação. Para isso, há dois modos<br />
selecionáveis:<br />
Autenticação: Definir qual algoritmo será utilizado na autenticação. Os<br />
valores possíveis são: MD5 ou SHA.<br />
Segredo Compartilhado: Uma seqüência de caracteres que funciona como<br />
uma senha e deve ser igual de cada um dos lados do túnel.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 277
Certificado: Utiliza certificados padrão X.509 com um esquema de chaves<br />
públicas para a identificação dos firewalls. Este é o mesmo esquema utilizado<br />
por sites seguros na Internet, por exemplo.<br />
Deverão ser especificados:<br />
Avançado<br />
certificado local a apresentar para a outra ponta do túnel (Remote Gateway)<br />
e dado de identificação exigido do firewall remoto. Este dado será um<br />
endereço de email para certificados criados com a opção USER- FQDN e<br />
nome de uma máquina (Fully Qualified Domain Dame), se a opção for FQDN.<br />
A janela avançado permite definir quais são os algoritmos de criptografia e<br />
autenticação preferidos e permitidos pelo firewall durante a negociação de chaves<br />
IKE. Os campos já vêm preenchidos com algoritmos padrão que podem ser<br />
alterados. Mais informações nas RFC 2401 a RFC 2412.<br />
A janela de avançado agora inclui uma escolha da ponta local do túnel, para os<br />
casos da rede de passagem entre o firewall e o roteador ser inválida.<br />
Figura 179. Definição dos algoritmos de criptografia e autenticação permitidos pelo firewall durante<br />
negociação das chaves IKE.<br />
Visualizando o tráfego IPSEC<br />
Clicando no item Túneis IPSEC, dentro de Informações, a janela abaixo aparecerá.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 278
Figura 180. Visualização do tráfego IPSEC.<br />
Na janela acima, é possível visualizar quais SPIs IPSEC foram negociadas para<br />
cada um dos túneis configurados, bastando para isso clicar sobre a regra<br />
correspondente. Se houver mais de uma SPI, é porque o firewall negocia uma nova<br />
sempre antes da anterior acabar, de forma a nunca interromper o tráfego dentro da<br />
VPN. Descrição de cada coluna:<br />
SPI: Número de identificação da política de segurança.<br />
Algoritmo de criptografia: Mostra que algoritmo de criptografia foi negociado.<br />
Algoritmo de Hash: Mostra que algoritmo deve ser utilizado para fazer o hash<br />
das informações.<br />
Tamanho da chave de criptografia: Informa o tamanho da chave de<br />
criptografia que ambos os lados do canal devem utilizar.<br />
Tamanho da chave de autenticação: Informa o tamanho da chave de<br />
autenticação negociado.<br />
Protocolo: Conjunto de protocolos negociados para a SP.<br />
Bytes negociados: Quantidade de bytes que devem ser transmitidos para que<br />
uma nova politica de segurança seja negociada.<br />
Bytes transferidos: Quantidade de bytes trafegados pela SP.<br />
Tempo total: Tempo de validade da SP.<br />
Ocioso: Tempo de inatividade do SP.<br />
Expiração: <strong>Data</strong> no qual a SP deixará de ser utilizada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 279
Ao clicar em "gráfico", pode-se ver um gráfico de uso dos túneis, que é atualizado a<br />
cada cinco segundos. Ele mostra o tráfego agregado de todas as SPIs de cada<br />
regra, permitindo verificar, em tempo real, o uso efetivo de banda criptografada.<br />
Figura 181. Gráfico de acompanhamento (Bytes de logs transferidos).<br />
Para utilizar troca de chaves manual, deve-se selecionar a opção Manual, na janela<br />
Firewall/Firewall. Isto provocará a alteração da janela de forma a mostrar os campos<br />
necessários para esta configuração.<br />
9.2. Utilizando a interface texto<br />
Através da interface texto é possível realizar todas as configurações mostradas<br />
acima. A descrição de cada configuração distinta se encontra em um tópico<br />
separado.<br />
Carregando certificados IPSEC<br />
A interface texto de configuração dos certificados IPSEC é de uso simples e possui<br />
as mesmas capacidades da interface gráfica.<br />
Localização do programa: /aker/bin/firewall/fwipseccert<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 280
Sintaxe:<br />
Uso: fwipseccert ajuda<br />
fwipseccert mostra [requisicao | certificado]<br />
fwipseccert remove [requisicao | certificado] <br />
fwipseccert requisita <br />
<br />
[use_email] [imprime]<br />
fwipseccert instala <br />
fwipseccert exporta <br />
fwipseccert importa <br />
Ajuda do programa:<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
fwipseccert - Criacao e manejamento de requisicoes e certificados x.509<br />
Uso: fwipseccert ajuda<br />
fwipseccert mostra [requisicao | certificado]<br />
fwipseccert remove [requisicao | certificado] <br />
fwipseccert requisita <br />
<br />
[use_email] [imprime]<br />
fwipseccert instala <br />
fwipseccert exporta <br />
fwipseccert importa <br />
ajuda = mostra esta mensagem<br />
mostra = mostra uma lista contendo as requisicoes pendentes ou os<br />
certificados instalados<br />
remove = remove uma requisicao ou certificado de acordo com seu numero<br />
requisita = cria um par de chaves publicas e privadas juntamente com uma<br />
requisicao de um certificado x.509<br />
instala = instala um certificado x.509 cujo o par de chaves deve ter<br />
sido criado anteriormente pelo sistema atraves do comando<br />
requisita<br />
exporta = exporta o certificado e seu par de chaves correspondente para<br />
para um arquivo de formato pkcs12<br />
importa = obtem do arquivo pkcs12 um certificado e seu par de chaves e o<br />
instala como certificado local(ver abaixo)<br />
Para requisita temos:<br />
local = o certificado local e' usado na indentificacao do proprio<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 281
firewall; pode-se criar varios certificados locais porem,<br />
todos eles usarao o mesmo par de chaves que e' gerado na<br />
primeira vez que uma requisicao local e' gerada<br />
remoto = certificados remotos sao utilizados para identificacao de<br />
outras entidades da rede.<br />
1024/2048 = sao os possiveis tamanhos das chaves que serao geradas<br />
use_email = o certificado contera o valor de como seu subject<br />
alternative name; como default ele usara o valor de <br />
imprime = apos a criacao da requizicao, ela sera impressa na tela<br />
email, pais, estado, cidade, organizacao, unid org e dominio sao campos<br />
que<br />
serao usados para indentificar do usuario do certificao. O campo<br />
deve conter 2 caracteres no maximo. O campo e'<br />
abreviatura de unidade organizacional e se refere ao departamento<br />
ou divisao da organizacao ao qual pertence o usuario do certificado<br />
Carregando certificados<br />
A interface texto de configuração dos certificados de criptografia é de uso simples e<br />
possui as mesmas capacidades da interface gráfica.<br />
Localização do programa:/aker/bin/firewall/fwcert<br />
Sintaxe:<br />
fwcert ajuda<br />
fwcert mostra [local | ca | negociacao | revogacao]<br />
fwcert carrega [local | ca] [-f]<br />
fwcert carrega revogacao <br />
fwcert remove [-f]<br />
Ajuda do programa:<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
fwcert - Configura os certificados para criptografia<br />
Uso: fwcert ajuda<br />
fwcert mostra [local | ca | negociacao | revogacao]<br />
fwcert carrega [local | ca] [-f]<br />
fwcert carrega revogacao <br />
fwcert remove [-f]<br />
ajuda = mostra esta mensagem<br />
mostra = mostra os certificados especificados<br />
carrega = carrega um novo certificado no firewall<br />
remove = remove o certificado de uma entidade certificadora<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 282
Para mostra temos:<br />
local = mostra o certificado de negociacao local<br />
negociacao = mostra os certificados de negociacao de outros firewalls<br />
que foram recebidos pela rede<br />
revogacao = mostra os certificados de revogacao que foram carregados<br />
localmente ou recebidos pela rede<br />
Para carrega temos:<br />
local = carrega o certificado de negociacao local (se ja existir um<br />
certificado carregado ele sera substituido)<br />
ca = carrega um certificado de uma Entidade Certificadora que sera<br />
usado para validar os certificados de negociacao recebidos<br />
(se ja existir um outro certificado com o mesmo codigo ele<br />
sera substituido)<br />
revogacao = carrega um certificado de revogacao, que sera usado para<br />
invalidar um certificado de negociacao comprometido<br />
arquivo = nome do arquivo do qual o certificado sera carregado<br />
-f = se estiver presente, faz com que o programa nao confirme ao<br />
substituir um certificado<br />
Para remove temos:<br />
codigo = codigo da entidade certificadora a ser removida<br />
-f = se estiver presente, faz com que o programa nao confirme ao<br />
remover um certificado<br />
Exemplo 1: (carregando o certificado local)<br />
#/aker/bin/firewall/fwcert carrega local /tmp/firewall.crt<br />
Carregando certificado...OK<br />
Exemplo 2: (mostrando os certificados de entidades certificadoras)<br />
#/aker/bin/firewall/fwcert mostra ca<br />
Nome: <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong><br />
Codigo: 1<br />
Nome: Entidade certificadora autorizada<br />
Codigo: 2<br />
Exemplo 3: (carregando um novo certificado de entidade certificadora)<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 283
#/aker/bin/firewall/fwcert carrega ca /tmp/novo_ca.ca<br />
Certificado incluido<br />
Exemplo 4: (removendo um certificado de entidade certificadora, sem confirmação)<br />
#/aker/bin/firewall/fwcert remove 2 -f<br />
Entidade certificadora removida<br />
Configurando canais Firewall-Firewall<br />
A utilização da interface texto na configuração das regras de criptografia e de<br />
autenticação firewall-firewall traz uma dificuldade gerada pela grande quantidade de<br />
parâmetros que devem ser passados na linha de comando.<br />
Esta interface texto possui as mesmas capacidades da interface gráfica com a<br />
exceção de que através dela não é possível atribuir comentários. Além disso, não<br />
será possível configurar os algoritmos a serem usados pelo IPSEC-IKE (janela<br />
avançado), eles terão sempre os valores padrão.<br />
Localização do programa: /aker/bin/firewall/fwcripto<br />
Sintaxe:<br />
Uso: fwcripto [mostra | ajuda]<br />
fwcripto [habilita | desabilita | remove] <br />
fwcripto inclui <br />
ipsec
Uso: fwcripto [mostra | ajuda]<br />
fwcripto [habilita | desabilita | remove] <br />
fwcripto inclui <br />
ipsec <br />
fwcripto inclui <br />
manual NENHUM<br />
fwcripto inclui <br />
manual <br />
<br />
fwcripto inclui <br />
manual <br />
3DES <br />
fwcripto inclui envia<br />
skip <br />
<br />
fwcripto inclui recebe<br />
skip <br />
fwcripto inclui aker-cdp<br />
mostra = mostra todas as entradas da tabela de criptografia<br />
inclui = inclui uma entrada na tabela<br />
habilita = habilita uma entrada previamente desabilitada<br />
desabilita = desabilita uma entrada existente<br />
remove = remove uma entrada existente da tabela<br />
ajuda = mostra esta mensagem<br />
Para inclui temos:<br />
pos = posicao onde a nova entrada sera incluida na tabela<br />
(Podera ser um inteiro positivo ou a palavra FIM<br />
para incluir no final da tabela)<br />
envia = esta entrada sera usada na hora de enviar pacotes<br />
recebe = esta entrada sera usada na hora de receber pacotes<br />
ipsec = usa troca de chave e protocolo IPSEC<br />
gateway = a entidade que representa a ponta remota do tunel IPSEC<br />
ss = usa segredo compartilhado como forma de autenticacao<br />
segredp = a "string" que sera usada como segredo compartilhado<br />
cert = usa certificados X.509 para autenticacao<br />
local = o nome de dominio (FQDN) no certificado a apresentar<br />
remoto = o nome de dominio (FQDN) no certificado esperado<br />
manual = utiliza troca de chaves manual<br />
skip = utiliza troca de chaves automatica via o protocolo SKIP<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 285
aker-cdp = utiliza troca de chaves automatica via o protocolo <strong>Aker</strong>-CDP<br />
spi = indice de parametro de seguranca<br />
(E' um inteiro que identifica unicamente a associacao de<br />
seguranca entre a maquina de origem e de destino. Este<br />
numero deve ser maior que 255)<br />
MD5 = usa como algoritmo de autenticacao o MD5<br />
SHA = usa como algoritmo de autenticacao o SHA-1<br />
DES = usa como algoritmo de criptografia o DES<br />
3DES = usa como algoritmo de criptografia o triplo DES<br />
BFISH128 = usa como algoritmo de criptografia o Blowfish com chaves de<br />
128 bits<br />
BFISH256 = usa como algoritmo de criptografia o Blowfish com chaves de<br />
256 bits<br />
NENHUM = nao usa criptografia, somente autenticacao<br />
(No caso do skip, o primeiro algoritmo selecionado<br />
correponde ao algoritmo de criptografia da chave e<br />
o segundo corresponde ao de criptografia do pacote)<br />
tamanho_iv = tamanho do vetor de inicializacao, em bits, para o algoritmo<br />
de criptografia. Deve ter o valor 32 ou 64.<br />
As chaves de autenticacao, criptografia e o segredo skip<br />
devem ser entradas como numeros hexadecimais.<br />
No caso do 3DES devem ser digitadas 3 chaves separadas por brancos<br />
Para habilita / desabilita / remove temos:<br />
pos = posicao a ser habilitada, desabilitada ou removida da tabela<br />
(a posicao e' o valor mostrado na esquerda da entrada ao<br />
se usar a opcao mostra)<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 286
Configurando criptografia<br />
Cliente-Firewall<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 287
10. Configurando criptografia Cliente-Firewall<br />
Este capítulo mostrará como configurar o firewall e o <strong>Aker</strong> Client de modo a<br />
propiciar a criação de canais seguros entre máquinas clientes e um <strong>Aker</strong> Firewall.<br />
10.1. Planejando a instalação.<br />
O que é um canal seguro Cliente-Firewall?<br />
Conforme já explicado no capítulo anterior, um canal seguro cliente-firewall é aquele<br />
estabelecido diretamente entre uma máquina cliente e um <strong>Aker</strong> Firewall. Isto é<br />
possível com a instalação de um programa, chamado de <strong>Aker</strong> Client, nas máquinas<br />
clientes.<br />
Um canal de criptografia Cliente-Firewall utiliza as mesmas tecnologias de<br />
criptografia, autenticação e troca de chaves já mostradas para os canais seguros<br />
Firewall-Firewall, com a diferença de que tudo é negociado automaticamente pelas<br />
partes comunicantes. Ao administrador é possível apenas desabilitar determinados<br />
algoritmos, de forma a assegurar que eles não serão utilizados.<br />
Outra diferença fundamental entre os canais seguros firewall-firewall e clientefirewall,<br />
da forma com que são implementados no <strong>Aker</strong> Firewall, é que os primeiros<br />
são sempre realizados ao nível de pacotes IP, onde cada pacote é encriptado<br />
individualmente, enquanto que os segundos são feitos ao nível de fluxo de dados,<br />
onde está encriptado somente as informações contidas na comunicação (e não os<br />
demais dados do pacote IP).<br />
Exigências para a criação de canais seguros Cliente-Firewall<br />
Para que seja possível o estabelecimento de canais seguros entre clientes e um<br />
firewall, é necessário que a seguinte lista de condições seja atendida:<br />
1. O <strong>Aker</strong> Client esteja instalado em todas as máquinas que estabelecerão canais<br />
seguros com o firewall, no caso de utilizarem o Secure Roaming;<br />
ou<br />
2. Clientes que suportem os protocolos L2TP ou PPTP.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 288
Definindo um canal seguro cliente-firewall<br />
A definição de um canal seguro cliente-firewall é bem mais simples do que a de um<br />
canal firewall-firewall. É necessário apenas configurar no firewall quais máquinas<br />
poderão estabelecer canais seguros de clientes e se ocorrerá ou não autenticação<br />
de usuários. Todo o restante da configuração é feito automaticamente, no momento<br />
em que o cliente inicia a abertura do canal seguro.<br />
10.2. <strong>Aker</strong> Secure Roaming<br />
Para ter acesso à janela de configurações do Secure Roaming basta:<br />
Figura 182. Janela de acesso – Clientes VPN.<br />
Clicar no menu Criptografia da janela principal;<br />
Escolher o item Clientes VPN.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 289
A janela de configurações do Secure Roaming<br />
Figura 183. Configuração geral do <strong>Security</strong> Roaming.<br />
O botão OK fará com que a janela de configurações do Secure Roaming seja<br />
fechada e as alterações efetuadas aplicadas;<br />
O botão Cancelar fará com que a janela seja fechada porém as alterações<br />
efetuadas não sejam aplicadas;<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta.<br />
Aba Geral<br />
Número máximo de conexões simultâneas: Aqui você pode configurar o<br />
número máximo de clientes conectados simultaneamente no Secure Roaming,<br />
L2TP ou PPTP em um determinado tempo. Use esta opção para evitar com que<br />
o servidor tenha uma sobrecarga por excesso de clientes, o que pode diminuir a<br />
perfomance.<br />
O número não pode ser superior ao de sua licença. Se estiver em 0, nenhum cliente<br />
será permitido.<br />
Limite de conexões simultâneas: Indica o limite máximo de conexões permitido<br />
por sua licença.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 290
Aba Secure Roaming<br />
Figura 184. Configuração do <strong>Security</strong> Roaming.<br />
Métodos de Autenticação: As opções disponíveis, que podem ser marcadas<br />
independentemente, são:<br />
1. Usuário/senha: O usuário deverá ser autenticado por meio de uma<br />
combinação de nome e uma senha. Esses dados serão repassados a um ou<br />
mais servidores de autenticação que deverão validá-los. Esta opção é a mais<br />
insegura porém não depende de nenhum hardware adicional;<br />
2. Token (SecurID): O usuário deverá ser autenticado mediante o fornecimento<br />
de um nome, um PIN e um código presente em um Token SecurID que é<br />
modificado a cada minuto. Esses dados serão repassados para o<br />
autenticador Token cadastrado no firewall para serem validados. Essa opção<br />
é bem mais segura que a anterior, porém exige que cada usuário possua um<br />
Token;<br />
3. Smartcard/X.509: O usuário deverá ser autenticado por meio do uso de<br />
certificados X.509 (por exemplo, gravados em smart cards) e emitidos por<br />
uma das autoridades certificadoras cadastradas no firewall. Essa forma de<br />
autenticação é a mais segura das três, por exigir a senha de desbloqueio da<br />
chave privada e a posse da mesma;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 291
Versões antigas do cliente Secure Roaming são permitidas: Permite que<br />
versões antigas do cliente Secure Roaming se conectem.<br />
Habilita IPSEC: Utiliza protocolo IPSEC na comunicação com o Secure<br />
Roaming.<br />
Permitir compressão de dados: A compressão de dados é importante para<br />
conexões lentas, como as discadas. Quando esta opção está marcada, é feita a<br />
compressão das informações antes de serem enviadas pela rede. Isso permite<br />
um ganho de performance na velocidade de comunicação, porém, exige um<br />
maior processamento local. Para redes mais rápidas, é melhor não se utilizar a<br />
compressão.<br />
Porta TCP/UDP: Este controle permite configurar a porta usada pelo servidor<br />
para escutar conexões e dados de clientes, respectivamente. Por exemplo, você<br />
pode configurar o servidor para usar as portas TCP/443 e UDP/53, em ordem<br />
para burlar firewalls e/ou outros dispositivos de filtragem entre servidores e<br />
clientes. Esses dispositivos recusariam uma conexão VPN, mas não uma<br />
conexão HTTP segura e uma requisição DNS, respectivamente.<br />
A porta padrão é 1011 tanto para TCP e UDP.<br />
Aba Acesso<br />
Figura 185. Lista de controle de acesso do <strong>Security</strong> Roaming.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 292
Tipo da lista de controle de acesso: Aqui você escolhe qual é o tipo da Lista<br />
de controle de acesso:<br />
1. Nenhum: Sem controle de acesso. Todo cliente tem permissão para<br />
conectar ao servidor.<br />
2. Permitir entidades listadas: Somente os endereços IP listados, ou<br />
endereços que pertençam às entidades rede e/ou conjunto listadas,<br />
poderão estabelecer conexão.<br />
3. Proibir entidades listadas: As entidades listadas, ou que pertençam a<br />
entidades rede e/ou conjunto listadas, não serão capazes de estabelecer<br />
conexões. As demais entidades serão.<br />
Lista de controle de acesso:<br />
Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:<br />
Clicar com o botão direito do mouse na lista, ou<br />
Arrastar a entidade do campo entidades, localizado no lado inferior<br />
esquerdo, para a lista.<br />
Para remover uma entidade, deve-se proceder da seguinte forma:<br />
Clicar com o botão direito do mouse sobre a entidade que será removida,<br />
ou<br />
Selecionar a entidade desejada e pressione a tecla Delete.<br />
A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele<br />
é mostrado ao clicar com o botão direito do mouse em alguma entidade listada.<br />
No exemplo da figura, a entidade clicada foi Host4:<br />
Figura 186. Menu com escolha das entidades a ser adicionadas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 293
Aba Endereços<br />
Figura 187. Conjuto de endereços do <strong>Security</strong> Roming.<br />
Conjunto de endereços: Lista de endereços que podem ser atribuídos a<br />
clientes remotamente conectados ao firewall. Os endereços de máquinas<br />
listados e todos os endereços que compõem as redes e conjuntos incluídos<br />
somam-se para definir o conjunto de endereços atribuíveis a clientes.<br />
Notar que as entidades listadas devem estar conectadas a algum adaptador de<br />
rede configurado no firewall. Caso contrário, não será possível estabelecer<br />
conexão com tal entidade.<br />
Para adicionar ou remover uma entidade do Conjunto de endereços, basta proceder<br />
como na Lista de controle de acesso.<br />
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no<br />
sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do<br />
firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for<br />
incluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e o<br />
último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a<br />
10.1.0.255, incluindo-se ambos os extremos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 294
10.3. L2TP<br />
L2TP é uma extensão do PPP (Point-to-Point Protocol), unindo características de<br />
outros dois protocolos proprietários: o L2F (Layer 2 Forwarding) da Cisco e o PPTP<br />
(Point-to-Point Tunneling Protocol) da Microsoft. É um padrão da IETF (Internet<br />
Engineering Task Force), que conta com a participação da Cisco e do PPTP fórum,<br />
entre outros líderes de mercado.<br />
O L2TPv3, analisado neste trabalho é uma atualização da RFC2661 (L2TPv2), e foi<br />
originalmente definido como um método para tunelamento para quadros PPP<br />
através de uma rede de comutação de pacotes. Surgiu então a necessidade de<br />
atualizar o método, para que ele incluísse todos os encapsulamentos da camada 2<br />
que necessitassem de tunelamento através de redes de comutação de pacotes.<br />
Entre as mudanças para a versão 3, temos: retirada de todas as partes específicas<br />
ao PPP do cabeçalho L2TP, garantindo assim a generalização para outras<br />
aplicações, e a mudança para um formato que possibilitasse o desencapsulamento<br />
de forma mais rápida.<br />
O L2TP fornece a flexibilidade e escalabilidade do IP com a privacidade do Frame<br />
Relay ou ATM (Asynchronous Transfer Mode), permitindo que serviços de rede<br />
sejam enviados em redes roteadas IP. As decisões são tomadas nas terminações<br />
dos túneis ou VPNs, e comutadas sem a necessidade de processamento nos nós<br />
intermediários.<br />
As seguintes vantagens são oferecidas pelo L2TP:<br />
permite o transporte de protocolos que não o IP, como o IPX (Internetwork<br />
Packet Exchange, da Novell/Xerox) e o SNA, assim como outros protocolos<br />
dos terminais;<br />
mecanismo simples de tunelamento para implementar funcionalidades de<br />
LAN e IP de forma transparente, possibilitando serviços de VPN IP de forma<br />
bastante simples;<br />
simplifica a interação entre as redes do cliente e do provedor;<br />
fácil configuração para o cliente.<br />
Referências: Steven Brown, Implementing Virtual Private Networks, McGraw<br />
Hill,1999.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 295
Configurando a VPN L2TP<br />
Figura 188. Configuração da VPN L2TP.<br />
Figura 189. Lista de endereços que podem ser fornecidos a clientes conectados remotamente ao<br />
firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 296
Habilitar L2TP: Este campo habilita o servidor de L2TP no <strong>Aker</strong> Firewall e permite<br />
configurar outros campos como:<br />
Servidor de DNS Primário e secundário: Configura dois servidores DNS<br />
a serem usados durante a sessão criptográfica. Usado para o caso de<br />
haver um servidor de DNS interno na corporação;<br />
Usar autenticação IPSEC: Habilita os modos de autenticação e<br />
encapsulamento dos dados L2TP em pacotes IPSEC, os modos de<br />
autenticação são através de “Segredo compartilhado ou certificado X.509.<br />
Conjunto de Endereços: Lista de endereços que podem ser atribuídos a<br />
clientes remotamente conectados ao firewall. Os endereços de máquinas<br />
listados e todos os endereços que compõem as redes e conjuntos incluídos<br />
somam-se para definir o conjunto de endereços atribuíveis a clientes.<br />
Notar que as entidades listadas devem estar conectadas a algum adaptador de<br />
rede configurado no firewall. Caso contrário, não será possível estabelecer<br />
conexão com tal entidade.<br />
Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:<br />
Clicar com o botão direito do mouse na lista, ou<br />
Arrastar a entidade do campo entidades, localizado no lado inferior<br />
esquerdo, para a lista.<br />
Para remover uma entidade, deve-se proceder da seguinte forma:<br />
Clicar com o botão direito do mouse sobre a entidade que será removida,<br />
ou<br />
Selecionar a entidade desejada e pressione a tecla Delete.<br />
A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele<br />
é mostrado ao clicar com o botão direito do mouse em alguma entidade listada.<br />
No exemplo da figura, a entidade clicada foi Host4:<br />
Figura 190. Menu com escolhas da entidade para adicionar.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 297
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no<br />
sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do<br />
firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for<br />
incluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e o<br />
último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a<br />
10.1.0.255, incluindo-se ambos os extremos.<br />
Configurando usando interface texto<br />
# fwl2tp ajuda<br />
Firewall <strong>Aker</strong> - Versao 6.5<br />
Uso: fwl2tp help<br />
fwl2tp mostra<br />
fwl2tp < habilita | desabilita ><br />
fwl2tp ipsec ss < segredo ><br />
fwl2tp ipsec cert < fqdn ><br />
fwl2tp ipsec nenhum<br />
fwl2tp dns_1 < dns_server ><br />
fwl2tp dns_2 < dns_server ><br />
fwl2tp inclui < rede ><br />
fwl2tp remove < rede ><br />
os parametros sao:<br />
segredo : O segredo compartilhado IPSEC<br />
fqdn : O nome dominio presente no certificado X.509 para autenticacao IPSEC<br />
dns_server : Um servidor DNS (entidade) para os clientes de VPN<br />
rede : Entidade rede ou maquina para o conjunto de endercos IP dos clientes de<br />
VPN<br />
Configurando o Cliente L2TP<br />
Windows Vista / XP<br />
No Windows Vista, crie uma nova conexão de VPN, no Network and Sharing Center.<br />
No Windows XP, isso deve ser feito na janela Network Connections. Um assistente<br />
para a criação desta conexão aparecerá, e deve ser preenchido de acordo com as<br />
imagens abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 298
Figura 191. Configurando o cliente L2TP (Windows Vista/XP).<br />
Figura 192. Configurando o cliente L2TP (utilizando VPN).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 299
Figura 193. Configurando o cliente L2TP (escolha do IP e nome da conexão).<br />
Na imagem acima, 192.168.0.100 é o endereço do <strong>Aker</strong> Fireewall com servidor<br />
L2TP visível pelo Cliente de VPN. Este endereço pode ser um nome, como<br />
firewall.empresa.com.br.<br />
Figura 194. Configurando o cliente L2TP (nome do usuário e senha utilizados para autenticar o<br />
cliente de VPN no <strong>Aker</strong> Firewall).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 300
Na imagem acima, devem ser preenchidos o nome de usuário e senha que serão<br />
utilizados para autenticar o cliente de VPN no AKER FIREWALL.<br />
Figura 195. Configuração da VPN L2TP concluída.<br />
Após clicar em Close, será criada uma nova conexão, que precisa ser editada, no<br />
passo seguinte. Não clique em Connect now.<br />
Abra a janela Network Connections, e edite as propriedades da conexão recém<br />
criada de acordo com as janelas abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 301
Figura 196. Network conections (edição das propriedades de conexão).<br />
Clique no botão Settings, após escolher Advanced (custom settings), e configure a<br />
janela de configurações avançadas de acordo com a imagem abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 302
Figura 197. Network conections (janela de configurações avançadas).<br />
Após clicar OK, volte ao diálogo de propriedades e continue a configuração:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 303
Figura 198. Diálogo de propriedades (configuração).<br />
Por fim, basta utilizar a conexão recém criada.<br />
10.4. PPTP<br />
O Point-to-Point Tunneling Protocol (PPTP) é um método para execução de<br />
redes virtuais privadas. PPTP usa o TCP (porta 1723) e o GRE (Outros 47). PPTP<br />
usa um canal de controle sobre TCP e GRE túnel operacional para encapsular PPP<br />
pacotes.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 304
Configurando a VPN PPTP<br />
Figura 199. Configurando a VPN PP TP.<br />
Habilitar PPTP: Este campo habilita o servidor de PPTP no <strong>Aker</strong> Firewall e permite<br />
configurar outros campos como:<br />
Servidor de DNS Primário e secundário: Configura dois servidores DNS<br />
a serem usados durante a sessão criptográfica. Usado para o caso de<br />
haver um servidor de DNS interno na corporação;<br />
Segurança: Permite especificar os métodos de encriptação da<br />
auteticação e dos dados trafegados, as opções são:<br />
PAP: Autenticação não cifrada e dados não cifrados. Funciona com<br />
qualquer tipo de autenticador que possa ser cadastro no Firewall;<br />
CHAP: Autenticação cifrada, dados não cifrados. Funciona<br />
somente com o autenticador RADIUS;<br />
MS-CHAPv2: Autenticação cifrada, dados não cifrados. Funciona<br />
somente com o autenticador RADIUS;<br />
MPPE (MS-CHAPv2 + MPPE): Autenticação cifrada, dados<br />
cifrados com RC4 e chave de 40 a 128 bits. Funciona somente com<br />
o autenticador RADIUS;<br />
MPPE-128(MS-CHAPv2 + MPPE-128): Autenticação cifrada, dados<br />
cifrados com RC4 e chave de 128 bits. Funciona somente com o<br />
autenticador RADIUS.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 305
Conjunto de Endereços: Lista de endereços que podem ser atribuídos a<br />
clientes remotamente conectados ao firewall. Os endereços de máquinas<br />
listados e todos os endereços que compõem as redes e conjuntos<br />
incluídos somam-se para definir o conjunto de endereços atribuíveis a<br />
clientes.<br />
Notar que as entidades listadas devem estar conectadas a algum<br />
adaptador de rede configurado no firewall. Caso contrário, não será<br />
possível estabelecer conexão com tal entidade.<br />
Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:<br />
Clicar com o botão direito do mouse na lista, ou<br />
Arrastar a entidade do campo entidades, localizado no lado inferior<br />
esquerdo, para a lista.<br />
Para remover uma entidade, deve-se proceder da seguinte forma:<br />
Clicar com o botão direito do mouse sobre a entidade que será removida,<br />
ou<br />
Selecionar a entidade desejada e pressione a tecla Delete.<br />
A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele<br />
é mostrado ao clicar com o botão direito do mouse em alguma entidade listada.<br />
No exemplo da figura, a entidade clicada foi Host4:<br />
Figura 200. Menu com escolhas da entidades para adicionar.<br />
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no<br />
sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do<br />
firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for<br />
incluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e o<br />
último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a<br />
10.1.0.255, incluindo-se ambos os extremos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 306
Configurando usando interface texto<br />
/aker/bin/firewall # fwpptpsrv ajuda<br />
<strong>Aker</strong> Firewall - Versao 6.5 (HW)<br />
Uso: fwpptpsrv ajuda<br />
fwpptpsrv mostra<br />
fwpptpsrv < habilita | desabilita ><br />
fwpptpsrv limpa<br />
fwpptpsrv dns_1 < dns_server ><br />
fwpptpsrv dns_2 < dns_server ><br />
fwpptpsrv inclui < rede ><br />
fwpptpsrv remove < rede ><br />
fwpptpsrv seguranca < PAP | CHAP | MS-CHAPv2 | MPPE | MPPE-128 ><br />
os parametros sao:<br />
dns_server : Um servidor DNS (entidade) para os clientes de VPN<br />
rede<br />
: Entidade rede ou maquina para o conjunto de enderecos IP dos<br />
clientes de VPN<br />
Configurando o Cliente PPTP para autenticação com PAP<br />
Windows Vista / XP<br />
No Windows Vista, crie uma nova conexão de VPN, no Network and Sharing Center.<br />
No Windows XP, isso deve ser feito na janela Network Connections. Um assistente<br />
para a criação desta conexão aparecerá, e deve ser preenchido de acordo com as<br />
imagens abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 307
Figura 201. Configurando o Cliente PPTP para autenticação com PAP (Windows Vista/XP).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 308
Figura 202. Janela de configuração da VPN no Microsoft Windows®.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 309
Figura 203. Janela de configuração de rede da VPN no Microsoft Windows®.<br />
Na imagem acima, 192.168.0.100 é o endereço do AKER FIREWALL com servidor<br />
PPTP visível pelo cliente de VPN. Este endereço pode ser um nome, como<br />
firewall.empresa.com.br.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 310
Figura 204. Janela de configuração de usuário e senha da VPN no Microsoft Windows®.<br />
Na imagem acima, devem ser preenchidos o nome de usuário e senha que serão<br />
utilizados para autenticar o cliente de VPN no AKER FIREWALL.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 311
Figura 205. Configuração da VPN no Microsoft Windows® concluída.<br />
Após clicar em Close, será criada uma nova conexão, que precisa ser editada, no<br />
passo seguinte. Não clique em Connect now.<br />
Abra a janela Network Connections, e edite as propriedades da conexão recém<br />
criada de acordo com as janelas abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 312
Figura 206. Janela de configurações avançadas da VPN no Microsoft Windows®.<br />
Clique no botão Settings, após escolher Advanced (custom settings), e configure a<br />
janela de configurações avançadas de acordo com a imagem abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 313
Figura 207. Janela de configurações dos parâmentros de autenticação da VPN no Microsoft<br />
Windows®.<br />
Após clicar OK, volte ao diálogo de propriedades e continue a configuração. Nesta<br />
janela que definimos as configurações de Segurança conforme configuração<br />
realizada pelo administrador do firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 314
Figura 208. Janela de configurações dos parâmentros de rede da VPN no Microsoft Windows®.<br />
Por fim, basta utilizar a conexão recém criada.<br />
Configurando o servidor Radius Microsoft – IAS<br />
A seguinte configuração aceita todos os tipos de criptografia. Para iniciar a<br />
configuração precisamso cadastrar o endereço IP do firewall e sua senha NAS:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 315
Figura 209. Configurações do Servidor de autenticação Radius do Microosft Windows Server®.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 316
Figura 210. Configurações do Shared secret do servidor de autenticação Radius do Microosft<br />
Windows Server®.<br />
Após cadastrar o(s) firewall(s), define-se as regras de acesso remoto (Remote<br />
Access Policies), efetue suas configurações iguais as exibidas abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 317
Figura 211. Definição das regras de acesso remoto do servidor de autenticação Radius do Microosft<br />
Windows Server®.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 318
Figura 212. Especificação das condições de conexão do servidor de autenticação Radius do<br />
Microosft Windows Server®.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 319
Clique em Edit Profile.<br />
Figura 213. Especificação das condiçõs de conexão - Edição.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 320
Figura 214. Especificação das condiçõs de conexão – IP.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 321
Figura 215. Especificação das condiçõs de conexão – Multilink.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 322
Figura 216. Especificação das condiçõs de conexão – Authentication.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 323
Figura 217. Especificação das condiçõs de conexão – Encryption.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 324
Figura 218. Especificação das condiçõs de conexão – Advanced.<br />
Devido as políticas de segurança do Windows Server tm , será necessário informar<br />
quais usuários podem efetuar estas autenticações, para realizar esta etapa uma<br />
Policy em “Connection Request Policies”.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 325
Figura 219. Informações dos usuários que podem efetuar autenticações.<br />
Tembém é necessário que no Microsoft Active Directory tm , selecione os usuários<br />
que podem efetuar estas autenticações e permitam que VPN e Dial-in, vejam na<br />
janela abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 326
Figura 220. Propriedades dos usuários podem efetuar autenticações.<br />
Para suporte CHAP, é necessário alterar as políticas de segurança do Windows, de<br />
forma que o mesmo salve as senhas com criptografia reversível e, após este passo,<br />
alterar as senhas dos usuários. Mais informações neste link:<br />
http://technet.microsoft.com/en-us/library/cc782191(WS.10).asp<br />
10.5. IPSEC Client<br />
O conjunto de protocolos IPSEC (em especial IKE e ESP) não foi projetado para o<br />
uso em modo cliente-servidor. Por isso, diversas extensões na sua implementação<br />
original (RFC 2401 e família) são necessárias para que o mesmo possa ser utilizado<br />
com esta finalidade.<br />
Diferentemente do que ocorre com as VPNs L2TP/IPSEC e PPTP, não existe um<br />
padrão devidamente normatizado para essas extensões necessárias ao<br />
funcionamento de VPNs IPSEC modo túnel para clientes remotos. O que existe são<br />
uma série de propostas de RFCs (Internet Drafts) que nunca foram aceitas pelo<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 327
IETF, mas mesmo assim, são utilizadas largamente por diversos fabricantes de<br />
equipamentos e clientes de VPN.<br />
A seguir, explicamos os diversos problemas encontrados para estabelecer esse tipo<br />
de VPN e indicamos as soluções encontradas, indicando as RFCs e drafts<br />
correspondentes, quando for o caso.<br />
Autenticação com usuário e senha<br />
Originalmente, o protocolo IKE somente suporta autenticação simétrica, em especial<br />
utilizando segredos compartilhados ou certificados digitais. Quando se trata de<br />
VPNs para clientes remotos, o mais prático é utilizar autenticação por meio de<br />
usuário e senha.<br />
A proposta mais aceita para extensão do IKE nesse sentido chama-se 1XAUTH,<br />
uma proposta da Cisco cujo draft mais recente é o 2draft-beaulieu-ike-xauth-02, de<br />
outubro de 2001. Essa proposta é largamente utilizada por diversos fabricantes e<br />
propõe estender o protocolo IKE incluindo uma segunda etapa de autenticação entre<br />
as fases 1 e 2 tradicionais. Com isso, após o estabelecimento de uma SA ISAKMP<br />
durante a fase 1, antes de estabelecer SAs de fase 2 (ESP), uma nova troca cifrada<br />
verifica as credenciais do usuário.<br />
Configuração de rede do cliente<br />
Um problema importante a ser resolvido nas VPNs IPSEC para clientes é a<br />
configuração de rede do mesmo. Geralmente, uma interface virtual é criada no<br />
computador onde executa o cliente de VPN e esta interface recebe endereços e<br />
rotas da rede interna protegida pelo gateway de VPNs. Para não precisar configurar<br />
cada um dos clientes com endereços IPs estáticos e diferentes, é necessário uma<br />
solução que permita ao servidor de VPN informar ao cliente quais configurações<br />
utilizar.<br />
A proposta mais aceita para solucionar essa questão chama-se Mode Config3,<br />
também produzida pela Cisco em outubro de 2001 e que tem como draft mais<br />
recente o draftdukes-ike-mode-cfg-024. Essa proposta é também largamente<br />
utilizada por diversos fabricantes de equipamento de VPN e propõe, do mesmo<br />
modo que o XAUTH, entre as fases 1 e 2, executar uma série de perguntas e<br />
respostas entre o cliente e o servidor de criptografia, com o propósito de configurar<br />
aquele a partir desse.<br />
Detecção de cliente desconectado<br />
Clientes remotos têm grande probabilidade de serem desconectados do servidor de<br />
criptografia sem aviso prévio. Um exemplo simples é um dispositivo conectado por<br />
WIFI afastar-se demais de seu access point. O protocolo IPSEC originalmente<br />
proposto não tem nenhuma outra forma de detectar que a conectividade foi perdida<br />
que não seja pela falha da troca de chaves, o que se dá em intervalos relativamente<br />
longos, devido a seu custo computacional. Se a desconexão de clientes não for<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 328
apidamente detectada, recursos escassos como os endereços IP do conjunto<br />
disponível para os mesmos podem ser rapidamente exauridos no servidor de VPN.<br />
A proposta padronizada para este fim está descrita na RFC 3706 e consiste em<br />
permitir a ambos endpoints IPSEC enviar pacotes de ping protegidos pela SA de<br />
fase 1 (ISAKMP) de acordo com sua necessidade. Esses pacotes geralmente são<br />
enviados em intervalos bem mais curtos que a troca de chave, uma vez que toda a<br />
transação de enviá-los, respondê-los e recebê-los tem um custo muito baixo.<br />
IPSEC<br />
Figura 221. Clientes VPN - IPSEC.<br />
Habilitar Cliente IPSEC: Este campo habilita o servidor de IPSEC Client no <strong>Aker</strong><br />
Firewall e permite configurar outros campos como:<br />
Servidor de DNS Primário, secundário e terciário: Configura até três<br />
servidores DNS a serem usados durante a sessão criptográfica. Usado<br />
para o caso de haver um servidor de DNS interno na corporação;<br />
Servidor WINS Primário, secundário e terciário: Configura até três<br />
servidores WINS a serem usados durante a sessão criptográfica. Usado<br />
para o caso de haver um servidor de WINS interno na corporação;<br />
Mensagem de autenticação: Mensagem de apresentação (banner) a ser<br />
mostrada para os clientes.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 329
Lista de endereços que podem ser atribuídos a clientes - Conjunto de<br />
Endereços: Lista de endereços que podem ser atribuídos a clientes<br />
remotamente conectados ao firewall. Os endereços de máquinas listados e todos<br />
os endereços que compõem as redes e conjuntos incluídos somam-se para<br />
definir o conjunto de endereços atribuíveis a clientes.<br />
Notar que as entidades listadas devem estar conectadas a algum adaptador de<br />
rede configurado no firewall. Caso contrário, não será possível estabelecer<br />
conexão com tal entidade.<br />
Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:<br />
Clicar com o botão direito do mouse na lista, ou<br />
Arrastar a entidade do campo entidades, localizado no lado inferior<br />
esquerdo, para a lista.<br />
Para remover uma entidade, deve-se proceder da seguinte forma:<br />
Clicar com o botão direito do mouse sobre a entidade que será removida,<br />
ou<br />
Selecionar a entidade desejada e pressione a tecla Delete.<br />
A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele<br />
é mostrado ao clicar com o botão direito do mouse em alguma entidade listada.<br />
No exemplo da figura, a entidade clicada foi Host4:<br />
Figura 222. Lista de endereços que podem ser atribuídos aos clientes.<br />
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no<br />
sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do<br />
firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for<br />
incluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e o<br />
último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a<br />
10.1.0.255, incluindo-se ambos os extremos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 330
Lista de endereços que são redes protegidas – Redes Protegidas: Lista de<br />
endereços de hosts ou redes protegidas pela VPN IPSEC, quando utilizado os<br />
clientes da VPN IPSEC Client recebem rotas para alcançarem estes endereços<br />
sem alterar o default gateway da sua estação. Quando deixar este campo em<br />
branco os clientes da VPN IPSEC Client recebem o endereço IP do <strong>Aker</strong> Firewall<br />
como default gateway.<br />
Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:<br />
Clicar com o botão direito do mouse na lista, ou<br />
Arrastar a entidade do campo entidades, localizado no lado inferior<br />
esquerdo, para a lista.<br />
Para remover uma entidade, deve-se proceder da seguinte forma:<br />
Clicar com o botão direito do mouse sobre a entidade que será removida,<br />
ou<br />
Selecionar a entidade desejada e pressione a tecla Delete.<br />
A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele<br />
é mostrado ao clicar com o botão direito do mouse em alguma entidade listada.<br />
No exemplo da figura, a entidade clicada foi Host4:<br />
Figura 223. Lista de endereços que são redes protegidas.<br />
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no<br />
sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do<br />
firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for<br />
incluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e o<br />
último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a<br />
10.1.0.255, incluindo-se ambos os extremos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 331
Grupos: Este campo permite definir as opções de autenticação do IPSEC para os<br />
clientes:<br />
Nome do grupo: Identidade dos grupos, os clientes especificam o grupo<br />
e assim qual o método de autenticação será utilizado.<br />
Autenticação:<br />
Segredo Compartilhado: Uma seqüência de caracteres que<br />
funciona como uma senha e deve ser igual de cada um dos lados<br />
do túnel.<br />
Certificado: Utiliza certificados padrão X.509 com um esquema de<br />
chaves públicas para a identificação dos firewalls. Este é o mesmo<br />
esquema utilizado por sites seguros na Internet, por exemplo.<br />
Configurando usando interface texto<br />
/aker/bin/firewall # fwipseccli ajuda<br />
<strong>Aker</strong> Firewall - Versao 6.5 (HW)<br />
Uso: fwipseccli ajuda<br />
fwipseccli mostra<br />
fwipseccli < habilita | desabilita > [ grupo ]<br />
fwipseccli dns_1 < dns_server ><br />
fwipseccli dns_2 < dns_server ><br />
fwipseccli dns_3 < dns_server ><br />
fwipseccli wins_1 < wins_server ><br />
fwipseccli wins_2 < wins_server ><br />
fwipseccli wins_3 < wins_server ><br />
fwipseccli mensagem < mensagem ><br />
fwipseccli inclui < conjunto | protegida > < rede ><br />
fwipseccli remove < conjunto | protegida > < rede ><br />
fwipseccli grupo < inclui | remove > < grupo ><br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 332
fwipseccli ss < grupo > < segredo ><br />
fwipseccli cert < grupo > < fqdn ><br />
os parametros sao:<br />
segredo<br />
: O segredo compartilhado IPSEC<br />
fqdn : O nome dominio presente no certificado X.509<br />
para autenticacao IPSEC<br />
dns_server : Um servidor DNS (entidade) para os clientes de VPN<br />
wins_server: Um servidor WINS (entidade) para os clientes de VPN<br />
rede<br />
: Entidade rede ou maquina para o conjunto de endercos IP dos<br />
clientes de VPN ou a lista de redes protegidas<br />
grupo<br />
: O nome do grupo de clientes<br />
mensagem : A mensagem de autenticacao dos usuarios<br />
Configurando os Clientes<br />
De modo genérico, as configurações recomendadas para clientes de criptografia<br />
são as seguintes:<br />
Shared Secret<br />
Fase Configuração Valor<br />
1 Forma de autenticação secret + XAUTH<br />
1 Forma de identificação KEY_ID. Use o mesmo nome do grupo<br />
criado no fwipseccli. Alguns clientes chamam<br />
essa configuração de grupo mesmo.<br />
1 Credenciais de usuário<br />
(XAUTH)<br />
Use usuário e senha que possam ser<br />
verificados pelo subsistema de autenticação<br />
do <strong>Aker</strong> Firewall, os mesmos que, por<br />
exemplo, o Filtro Web aceita para<br />
autenticação.<br />
1 Algoritmos de criptografia<br />
e hash<br />
3DES / SHA-1 (pode ser modificado pela<br />
Controle Center)<br />
1 Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pela<br />
Control Center)<br />
1 Tempo de vida de SA 3600 segundos (pode ser modificado pela<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 333
Control Center)<br />
2 Algortimos AES-256 / SHA-1 HMAC-96<br />
2 PFS / Grupo diffie Não / 0<br />
hellman<br />
2 Tempo de vida de SA 3600 segundos<br />
Figura 224. Configurações recomendadas para clientes de criptografia – Shared Secret.<br />
X.509<br />
A configuração X.509 é muito parecida:<br />
Fase Configuração Valor<br />
1 Forma de autenticação X.509 (RSA SIG) + XAUTH.<br />
1 Forma de identificação FQDN. Use o nome do Subject Alternative<br />
Name do certificado. Alguns clientes exigem<br />
que esse nome seja o mesmo do endereço IP<br />
ou domínio de conexão.<br />
1 Credenciais de usuário<br />
(XAUTH)<br />
Use usuário e senha que possam ser<br />
verificados pelo subsistema de autenticação<br />
do <strong>Aker</strong> Firewall, os mesmos que, por<br />
exemplo, o Filtro Web aceita para<br />
autenticação.<br />
1 Algoritmos de criptografia<br />
e hash<br />
3DES / SHA-1 (pode ser modificado pela<br />
Controle Center)<br />
1 Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pela<br />
Control Center)<br />
1 Tempo de vida de SA 3600 segundos (pode ser modificado pela<br />
Control Center)<br />
2 Algortimos AES-256 / SHA-1 HMAC-96<br />
2 PFS / Grupo diffie Não / 0<br />
hellman<br />
2 Tempo de vida de SA 3600 segundos<br />
Exemplos:<br />
Figura 225. Configurações recomendadas para clientes de criptografia – X.509.<br />
ShrewSoft VPN Client com com segredo compartilhado<br />
Para a configuração deve ser preenchido os campos de acordo com as imagens<br />
abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 334
Figura 226. Configuração da VPN – General.<br />
Figura 227. Configuração da VPN – Authentication.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 335
Figura 228. Configuração da VPN – Phase 1.<br />
Figura 229. Configuração da VPN – Phase 2.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 336
iPhone com certificado<br />
Figura 230. Configuração da VPN – Connect.<br />
Nesse caso, é necessário usar a feramenta de configuração para empresas do<br />
iPhone, que pode ser obtida gratuitamente no site da Apple. Atenção ao fato que<br />
é necessário incluir o certificado da CA (.CER) e o certificado com chaves do do<br />
cliente (.PFX) no perfil de configuração. Para fazer isso, primeiro é necessário<br />
incluir esses certificados nas configurações do Windows.<br />
Além disso, atenção ao fato que o iPhone exige que o "Hostname or IP Address<br />
for Server" seja igual ao Subject Alternative Name do firewall, sob pena de<br />
recusar o certificado e impedir a conexão.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 337
Figura 231. Configuração I-Phone – certificado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 338
Figura 232. Configuração I-Phone – estabelecendo VPN.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 339
ShrewSoft VPN Client com certificado<br />
Figura 233. Configuração VPN com certificado.<br />
Figura 234. Configuração VPN - Authentication – Local Identity.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 340
Figura 235. Configuração VPN - Authentication – Remote Identily.<br />
Figura 236. Configuração VPN - Authentication – Authentication Method.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 341
10.6. VPN – SSL<br />
A configuração do Portal VPN SSL e do Applet é bastante simples, uma vez que<br />
todos os detalhes de funcionamento do portal e do applet são responsabilidade do<br />
firewall. Ao administrador cabe definir nome do portal, qual o certificado será<br />
utilizado pelo firewall e etc.<br />
Todas estas configurações são feitas na janela VPN SSL. Para acessá-la, basta:<br />
Figura 237. Janela de acesso – VPN SSL.<br />
Clicar no menu Criptografia da janela principal.<br />
Escolher o item VPN SSL.<br />
Ao selecionar a opção Enable VPN SSL, os campos de edição das configurações do<br />
portal e do applet são habilitados.<br />
Portal<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 342
Figura 238. VPN SSL - Portais.<br />
No portal web, o cliente se autentica no firewall e como resultado recebe o applet<br />
que implementa o túnel SSL.<br />
Título do Portal: Este campo informa o nome do portal. Possui um limite máximo de<br />
64 caracteres e somente aceita texto simples.<br />
Certificado CN do Firewall: Este campo informa o nome do certificado aplicado ao<br />
FW.<br />
Ao clicar no ícone<br />
o certificado. O ícone<br />
carrega-se um arquivo com extensão *.p12/*.pfx que contém<br />
mostra um resumo das informações do certificado e o<br />
ícone permite exportar um arquivo com extensão *.p12/*.pfx contendo um<br />
certificado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 343
Autenticação: Este campo informa o tempo de expiração de autenticação no portal,<br />
sendo o tempo máximo que pode levar para estabelecer a sessão, variando de 0 a<br />
30 seg.<br />
Mostrar campo Domínio: Ao selecionar essa opção permite mostrar o campo<br />
domínio no formulário de login do portal. A seleção desse campo é opcional.<br />
Usar o protocolo SSLv2: Ao selecionar essa opção, opta por utilizar a versão 2 do<br />
protocolo SSL. Ele não é utilizado por padrão devido a existência de um bug de<br />
segurança.<br />
Forçar autenticação x.509: Esta opção permite forçar uma autenticação x.509, pois<br />
impede que o usuário se autentique sem ser por meio do certificado digital.<br />
Permitir que um usuário tenha acesso por diferentes IPs ao mesmo tempo:<br />
Esta opção permite ao usuário se logar no portal a partir de um ou mais IPs<br />
diferentes simultâneamente.<br />
Informação de logon: Esse campo permite incluir o texto que será apresentado no<br />
portal com informações básicas sobre o seu funcionamento. Não possui tamanho<br />
definido e pode ser escrito usando o formato HTML.<br />
Popup não aberto: Esse campo é informativo. Caso o applet apresente erro ao<br />
carregar, este texto será mostrado ao usuário como resposta ao erro ocorrido.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 344
Applet<br />
Figura 239. VPN SSL - Applet.<br />
Usar o logo customizado: Ao habilitar essa opção, permite ao usuário apresentar<br />
o seu logotipo no applet.<br />
Alterar arquivo: Este botão permite trocar o logotipo apresentado.<br />
Porta: Esta opção permite definir a porta na qual o applet vai se conectar no firewall<br />
para fazer o túnel SSL.<br />
Timeout da Conexão: Este campo informa o tempo em segundos que pode ficar<br />
sem trafegar nenhum dado no túnel SSL. Ao expirar esse tempo o túnel será<br />
fechado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 345
Usando a applet: Este campo mostra informações gerais de utilização do applet. O<br />
texto não pode ser em formato HTML e não possui tamanho definido.<br />
Visualização: Nesta área podem ser visualizadas todas as configurações visuais<br />
aplicadas ao applet, sendo incluso o título e os logotipos da <strong>Aker</strong> e do Cliente.<br />
Cliente<br />
O cliente necessita de um browser e do Java virtual Machine instalado para ter<br />
acesso, que é realizado através da seguinte url:<br />
https://<br />
O usuário após aceitar os certificados aparecerá uma tela de autenticação, onde o<br />
usuário e senha definirá qual o perfil de acesso e quais portas de comunicação terá<br />
permissão na VPN.<br />
Figura 240. Perfil de acesso – Permissão VPN.<br />
Após a auteticação ser realizada com sucesso teremos o Applet rodando com as<br />
informações que foram configuradas na sessão Applet que vimos a pouco:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 346
Figura 241. VPN SSL – Instruções gerais.<br />
O acesso aos serviços atravé da VPN são realizados através do IP:<br />
127.0.0.1:<br />
Esta porta de comunicação é configurada em Configuração do Firewall, Perfis na<br />
aba VPN-SSL (Proxy SSL).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 347
Configurando o Proxy SSL<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 348
11. Configurando criptografia Cliente-Firewall<br />
Este capítulo mostrará para que servem e como configurar a Proxy SSL no <strong>Aker</strong><br />
Firewall.<br />
O que é um Proxy SSL?<br />
Um Proxy SSL é uma VPN cliente-firewall, feita através do protocolo SSL, e que tem<br />
como principal característica a utilização do suporte nativo a este protocolo que está<br />
presente em várias aplicações: navegadores, leitores de e-mail, emuladores de<br />
terminal, etc. Devido ao suporte nativo destas aplicações, não é necessária a<br />
instalação de nenhum cliente para o estabelecimento da VPN.<br />
O seu funcionamento é simples: de um lado o cliente se conecta ao firewall através<br />
do protocolo SSL, autenticando-se através de certificados X.509 (caso seja o desejo<br />
do administrador que a autenticação seja demandada) e o firewall então se conecta<br />
em claro ao servidor interno. Dessa forma, o cliente enxerga uma conexão SSL com<br />
o servidor e, este, enxerga uma conexão em claro (transparente) com o cliente.<br />
Utilizando um Proxy SSL<br />
Para utilizar um Proxy SSL em uma comunicação, é necessário executar uma<br />
seqüência de 2 passos:<br />
Criar um serviço que será interceptado pelo proxy SSL e edita-se os<br />
parâmetros do contexto a ser usado por este serviço (para maiores<br />
informações, veja o capítulo intitulado Cadastrando Entidades).<br />
Acrescentar regras de filtragem de perfis SSL, permitindo o uso do serviço<br />
criado no passo 1, para as redes ou máquinas desejadas (para maiores<br />
informações, veja o item Configurando regras de Proxy SSL).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 349
Figura 242. Utilização do Proxy SSL.<br />
11.1. Editando os parâmetros de um contexto SSL<br />
A janela de propriedades de um contexto SSL será mostrada quando a opção Proxy<br />
SSL for selecionada. Através dela é possível definir o comportamento do proxy SSL<br />
quando este for lidar com o serviço em questão.<br />
A janela de propriedades de um contexto SSL<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 350
Figura 243. Edição dos paramentros de um contexto SSL.<br />
Na janela de propriedades são configurados todos os parâmetros de um contexto<br />
associado a um determinado serviço. Ela consiste de duas abas distintas: a primeira<br />
permite a configuração dos parâmetros e a segunda a definição do certificado que<br />
será apresentado ao cliente no estabelecimento da VPN.<br />
Aba Geral<br />
Porta do servidor: Este campo indica a porta que o servidor estará esperando<br />
receber a conexão, em claro, para o serviço em questão.<br />
Permitir autenticação de usuário: Este campo, se estiver marcado, indica que os<br />
usuários podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja<br />
desmarcado, somente sessões anônimas serão autorizadas, o que implica na<br />
utilização do perfil de acesso padrão sempre.<br />
Forçar autenticação de usuário: Se este campo estiver marcado, não serão aceitas<br />
sessões de Proxy SSL nas quais o usuário não tenha apresentado um certificado<br />
X.509 válido.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 351
Inatividade do cliente: Este campo indica o tempo máximo em segundos que o<br />
firewall manterá a sessão de Proxy SSL ativa (desde que a sessão já tenha sido<br />
estabelecida) sem o recebimento de dados por parte do cliente.<br />
Conexão: Este campo indica o tempo máximo em segundos que o firewall<br />
aguardará pelo estabelecimento da conexão com o servidor.<br />
Autenticação SSL: Este campo indica o tempo máximo em segundos que o firewall<br />
aguardará para que o cliente realize, com sucesso, uma autenticação SSL.<br />
Avançado: Este botão permite o acesso a parâmetros de configuração que não são<br />
normalmente<br />
utilizados.<br />
São eles:<br />
Permitir um usuário acessar de IPs diferentes ao mesmo tempo: Este campo, se<br />
estiver marcado, permite que um mesmo usuário estabeleça sessões simultâneas a<br />
partir de máquinas diferentes. Caso esteja desmarcado, se um usuário já possuir<br />
uma sessão em uma máquina, tentativas de abertura a partir de outras máquinas<br />
serão recusadas.<br />
Tempo de manutenção de sessão: Como não existe o conceito de sessão em uma<br />
Proxy SSL, é necessário que o proxy simule uma sessão, mantendo um usuário<br />
logado por algum tempo após o fechamento da última conexão, caso seja<br />
necessário impedir que um mesmo usuário acesse simultaneamente de máquinas<br />
diferentes. O que este campo especifica é por quanto tempo, em segundos, o<br />
firewall deve considerar um usuário como logado após o fechamento da última<br />
conexão.<br />
Permitir o uso de SSL v2: Este campo indica se o firewall deve ou não aceitar uma<br />
conexão SSL usando a versão 2 deste protocolo.<br />
A versão 2 do protocolo SSL possui sérios problemas de segurança e<br />
recomenda-se que ela não seja utilizada, a não ser que isso seja estritamente<br />
necessário.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 352
Aba Certificado<br />
Figura 244. Exibição do certificado do proprietário – X.509.<br />
Esta aba é utilizada para especificar o certificado X.509 que será apresentado ao<br />
cliente quando ele tentar estabelecer uma Proxy SSL. É possível criar uma<br />
requisição que posteriormente será enviada para ser assinada por uma CA ou<br />
importar um certificado X.509 já assinado, em formato PKCS#12.<br />
Criar requisição:<br />
Este botão permite que seja criada uma requisição que posteriormente será enviada<br />
a uma CA para ser assinada. Ao ser clicado, serão mostrados os campos do novo<br />
certificado a ser gerado e que devem ser preenchidos.<br />
Após o preenchimento deve-se clicar no botão OK, que fará com que a janela seja<br />
alterada para mostrar os dados da requisição recém criada, bem como dois botões<br />
para manipulá-la: O botão Salvar em arquivo permite salvar a requisição em um<br />
arquivo para que ela seja então enviada a uma CA que irá assiná-la. O botão<br />
Instalar esta requisição permite importar o certificado já assinado pela CA.<br />
Importar certificado PKCS#12:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 353
Este botão provocará o aparecimento de um diálogo onde pode especificar o nome<br />
do arquivo com o certificado X.509 que será importado.<br />
11.2. Configurando regras de Proxy SSL<br />
Após a definição de um ou mais contextos SSL, mostrados no tópico anterior, é<br />
necessário configurar os perfis de acesso dos usuários de modo a definir que<br />
serviços eles podem acessar através de sessões de VPN SSL. Esta configuração<br />
fica na aba SSL, dentro de cada perfil de acesso.<br />
Para maiores informações de como realizar o cadastramento das regras, consultar o<br />
tópico Cadastrando perfis de acesso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 354
Integração dos Módulos do<br />
Firewall<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 355
12. Integração dos Módulos do Firewall<br />
Neste capítulo será mostrada a relação entre os três grandes módulos do <strong>Aker</strong><br />
Firewall: o filtro de pacotes, o conversor de endereços e o módulo de criptografia e<br />
autenticação. Será mostrado também o fluxo pelo qual os pacotes atravessam<br />
desde sua chegada no Firewall até o momento de serem aceitos ou rejeitados.<br />
12.1. O fluxo de pacotes no <strong>Aker</strong> Firewall<br />
Nos capítulos anteriores deste manual foram mostrados separadamente os três<br />
grandes módulos do <strong>Aker</strong> Firewall e todos os detalhes pertinentes à configuração de<br />
cada um. Será mostrado agora como um pacote os atravessam e quais alterações<br />
ele pode sofrer em cada um deles.<br />
Basicamente, existem dois fluxos distintos: um para pacotes que são emitidos pela<br />
rede interna e tem como destino alguma máquina da rede externa (fluxo de dentro<br />
para fora) ou pacotes que são gerados na rede externa e tem como destino alguma<br />
máquina da rede interna (fluxo de fora para dentro).<br />
O fluxo de dentro para fora<br />
Todo o pacote da rede interna ao atingir o firewall passa pelos módulos na seguinte<br />
ordem: módulo de montagem, filtro de pacotes, conversor de endereços e módulo<br />
de encriptação.<br />
O módulo de montagem<br />
Figura 245. Fluxo do pacote da rede interna ao atingir o firewall.<br />
O módulo de montagem é o responsável por armazenar todos os fragmentos de<br />
pacotes IP recebidos até que estes possam ser montados e convertidos em um<br />
pacote completo. Este pacote será então entregue para os demais módulos.<br />
O filtro de pacotes<br />
O filtro de pacotes possui a função básica de validar um pacote de acordo com as<br />
regras definidas pelo administrador, e a sua tabela de estados, e decidir se este<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 356
deve ou não ser autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode<br />
trafegar, este será repassado para os demais módulos, caso contrário será<br />
descartado e o fluxo terminado.<br />
O conversor de endereços<br />
O conversor de endereços recebe um pacote já autorizado a trafegar e verifica, de<br />
acordo com sua configuração, se este deve ter o endereço de origem convertido.<br />
Em caso positivo, ele o converte do contrário o pacote não sofre quaisquer<br />
alterações.<br />
Independente de ter sido convertido ou não, o pacote será repassado para o módulo<br />
de criptografia.<br />
O módulo de encriptação<br />
O módulo de encriptação recebe um pacote validado e com os endereços<br />
convertidos e decide baseado em sua configuração, se este pacote deve ser<br />
encriptado ou autenticado antes de ser enviado ao destino. Em caso positivo, o<br />
pacote será autenticado, encriptado, e sofrerá o acréscimo de cabeçalhos<br />
específicos destas operações.<br />
Independentemente de ter sido encriptado/autenticado ou não, o pacote será<br />
enviado pela rede.<br />
O fluxo de fora para dentro<br />
Todo o pacote proveniente da rede externa, em direção à rede interna, ao atingir o<br />
firewall passa pelos módulos na seguinte ordem: módulo de montagem, módulo de<br />
decriptação, conversor de endereços e filtro de pacotes.<br />
O módulo de montagem<br />
Figura 246. Fluxo do pacote da rede externa em direção a rede interna.<br />
O módulo de montagem é o responsável por armazenar todos os fragmentos de<br />
pacotes IP recebidos até que estes possam ser montados e convertidos em um<br />
pacote completo. Este pacote será então entregue para os demais módulos.<br />
O módulo de decriptação<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 357
O módulo de decriptação tem a função de remover os cabeçalhos adicionados pelo<br />
módulo de encriptação, verificar a assinatura de autenticação do pacote e decriptálo.<br />
Caso a autenticação ou a criptografia apresentem erro, o pacote será<br />
descartado.<br />
A outra função deste módulo é assegurar que todos os pacotes que cheguem de<br />
uma rede para a qual existe um canal seguro estejam vindo criptografados. Caso<br />
um pacote venha de uma rede para a qual existe um canal de criptografia ou<br />
autenticação e se este pacote não estiver autenticado ou criptografado, ele será<br />
descartado.<br />
Caso o pacote tenha sido validado com sucesso, este será repassado para o<br />
conversor de endereços.<br />
O conversor de endereços<br />
O conversor de endereços recebe um pacote e verifica se o endereço destino deste<br />
pacote é um dos IP's virtuais. Em caso positivo, este endereço é convertido para um<br />
endereço real.<br />
Independente de ter sido convertido ou não, o pacote será repassado para o filtro de<br />
pacotes.<br />
O filtro de pacotes<br />
O filtro de pacotes é o último módulo do fluxo de fora para dentro. Ele possui a<br />
função básica de validar os pacotes recebidos de acordo com as regras definidas<br />
pelo administrador, e a sua tabela de estados, e decidir se este deve ou não ser<br />
autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este<br />
será repassado para a máquina destino, caso contrário ele será descartado.<br />
12.2. Integração do filtro com a conversão de endereços<br />
Quando vai configurar as regras de filtragem para serem usadas com máquinas<br />
cujos endereços serão convertidos surge a seguinte dúvida: Deve-se usar os<br />
endereços reais das máquinas ou os endereços virtuais?<br />
Esta dúvida é facilmente respondida ao analisar o fluxo dos pacotes:<br />
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depois<br />
possuem seus endereços convertidos (se for o caso), ou seja, o filtro recebe os<br />
endereços reais das máquinas.<br />
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversor<br />
de endereços que converte os endereços destino dos IPs virtuais para os endereços<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 358
eais. Após isso os pacotes são enviados para o filtro de pacotes, ou seja,<br />
novamente o filtro de pacotes recebe os pacotes com os endereços reais.<br />
Em ambos os casos, o filtro não sabe da existência dos endereços virtuais, o que<br />
nos leva a fazer a seguinte afirmação:<br />
Ao criar regras de filtragem deve-se ignorar a conversão de endereços. As<br />
regras devem ser configuradas como se as máquinas origem e destino estivessem<br />
conversando diretamente entre si, sem o uso de qualquer tipo de conversão de<br />
endereços<br />
12.3. Integração do filtro com a conversão e a criptografia<br />
No tópico anterior, mostramos como configurar as regras de filtragem para<br />
máquinas cujos endereços serão convertidos. A conclusão foi de que deveria<br />
trabalhar apenas com os endereços reais, ignorando a conversão de endereços.<br />
Agora, pode-se acrescentar mais uma pergunta: ao configurar os fluxos de<br />
criptografia para máquinas que sofrerão conversão de endereços, deve-se usar os<br />
endereços reais destas máquinas ou os endereços virtuais?<br />
Para responder esta pergunta, novamente deve-se analisar o fluxo dos pacotes:<br />
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro, depois<br />
possuem seus endereços convertidos (se for o caso) e por fim são repassados para<br />
o módulo de encriptação. Devido a isso, o módulo de encriptação recebe os pacotes<br />
como se eles fossem originados dos endereços virtuais.<br />
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo módulo de<br />
decriptação e são decriptados (se for o caso). A seguir são enviados para o<br />
conversor de endereços, que converte os IP's virtuais para reais, e por fim são<br />
enviados para o filtro de pacotes. O módulo de decriptação recebe os pacotes antes<br />
de eles terem seu endereço convertido e, portanto, com os endereços virtuais.<br />
Em ambos os casos, o módulo de criptografia recebe os pacotes como se eles<br />
tivessem origem ou destino nos IP's virtuais, o que nos leva à seguinte afirmação:<br />
Ao se criar fluxos de criptografia, deve-se prestar atenção à conversão de<br />
endereços. Os endereços de origem e destino devem ser colocados como se o fluxo<br />
se originasse ou tivesse como destino IP's virtuais.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 359
Configurando a Segurança<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 360
13. Configurando a Segurança<br />
Este capítulo mostrará como configurar a proteção contra ataques no módulo de<br />
segurança do <strong>Aker</strong> Firewall.<br />
13.1. Proteção contra SYN Flood<br />
O que é um ataque de SYN flood?<br />
SYN Flood é um dos mais populares ataques de negação de serviço (denial of<br />
service). Esses ataques visam impedir o funcionamento de uma máquina ou de um<br />
serviço específico. No caso do SYN Flood, é possível inutilizar quaisquer serviços<br />
baseados no protocolo TCP.<br />
Para entender este ataque, é necessário primeiro entender o funcionamento do<br />
protocolo TCP, no que diz respeito ao estabelecimento de conexões:<br />
O protocolo TCP utiliza um esquema de 3 pacotes para estabelecer uma conexão:<br />
1. A máquina cliente envia um pacote para a máquina servidora com um flag<br />
especial, chamado de flag de SYN. Este flag indica que a máquina cliente deseja<br />
estabelecer uma conexão.<br />
2. A máquina servidora responde com um pacote contendo os flags de SYN e ACK.<br />
Isto significa que ela aceitou o pedido de conexão e está aguardando uma<br />
confirmação da máquina cliente para marcar a conexão como estabelecida.<br />
3. A máquina cliente, ao receber o pacote com SYN e ACK, responde com um<br />
pacote contendo apenas o flag de ACK. Isto indica para a máquina servidora que<br />
a conexão foi estabelecida com sucesso.<br />
Todos os pedidos de abertura de conexões recebidas por um servidor ficam<br />
armazenadas em uma fila especial, que tem um tamanho pré-determinado e<br />
dependente do sistema operacional, até que o servidor receba a comunicação da<br />
máquina cliente de que a conexão está estabelecida. Caso o servidor receba um<br />
pacote de pedido de conexão e a fila de conexões em andamento estiver cheia, este<br />
pacote é descartado.<br />
O ataque consiste basicamente em enviar um grande número de pacotes de<br />
abertura de conexão, com um endereço de origem forjado, para um determinado<br />
servidor. Este endereço de origem é forjado para o de uma máquina inexistente<br />
(muitas vezes usa um dos endereços reservados descritos no capítulo sobre<br />
conversão de endereços). O servidor, ao receber estes pacotes, coloca uma entrada<br />
na fila de conexões em andamento, envia um pacote de resposta e fica aguardando<br />
uma confirmação da máquina cliente. Como o endereço de origem dos pacotes é<br />
falso, esta confirmação nunca chega ao servidor.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 361
O que acontece é que em um determinado momento, a fila de conexões em<br />
andamento do servidor fica lotada. A partir daí, todos os pedidos de abertura de<br />
conexão são descartados e o serviço inutilizado. Esta inutilização persiste durante<br />
alguns segundos, pois o servidor ao descobrir que a confirmação está demorando<br />
demais, remove a conexão em andamento da lista. Entretanto, se o atacante<br />
persistir em mandar pacotes seguidamente, o serviço ficará inutilizado enquanto ele<br />
assim o fizer.<br />
Nem todas as máquinas são passíveis de serem atingidas por ataques de SYN<br />
Flood. Implementações mais modernas do protocolo TCP possuem mecanismos<br />
próprios para inutilizarem ataques deste tipo.<br />
Como funciona a proteção contra SYN flood do <strong>Aker</strong> Firewall?<br />
O <strong>Aker</strong> Firewall possui um mecanismo que visa impedir que um ataque de SYN<br />
flood seja bem sucedido. Seu funcionamento baseia-se nos seguintes passos:<br />
1. Ao chegar um pacote de abertura de conexão (pacote com flag de SYN,<br />
mostrado no tópico acima) para uma máquina servidora a ser protegida, o<br />
firewall registra isso em uma tabela e deixa o pacote passar (evidentemente, ele<br />
só deixará o pacote passar se este comportamento for autorizado pelas regras<br />
de filtragem configuradas pelo administrador. Para maiores detalhes veja o<br />
capítulo intitulado O filtro de estados);<br />
2. Quando chegar a resposta do servidor dizendo que a conexão foi aceita (pacote<br />
com os flags SYN e ACK), o firewall imediatamente enviará um pacote para o<br />
servidor em questão confirmando a conexão e deixará o pacote de resposta<br />
passar em direção à máquina cliente. A partir deste momento, será acionado um<br />
relógio interno no firewall que marcará o intervalo de tempo máximo em que o<br />
pacote de confirmação do cliente deverá chegar;<br />
3. Se a abertura de conexão for uma abertura normal, dentro de um intervalo de<br />
tempo menor que o máximo permitido, a máquina cliente responderá com um<br />
pacote confirmando o estabelecimento da conexão. Este pacote fará o firewall<br />
considerar válido o pedido de abertura de conexão e desligar o relógio interno;<br />
4. Caso a máquina cliente não responda dentro do tempo máximo permitido, o<br />
firewall mandará um pacote especial para a máquina servidora que fará com que<br />
a conexão seja derrubada.<br />
Com estes procedimentos, o firewall consegue impedir que a fila de conexões em<br />
andamento na máquina servidora fique cheia, já que todas as conexões pendentes<br />
serão estabelecidas tão logo os pacotes de reposta atinjam o firewall. O ataque de<br />
SYN flood, portando, não será efetivado.<br />
Cabe enfatizar que todo o funcionamento desta proteção baseia-se no intervalo<br />
de tempo máximo de espera pelos pacotes de confirmação dos clientes. Se o<br />
intervalo de tempo for muito pequeno, conexões válidas podem ser recusadas. Se o<br />
intervalo for muito grande, a máquina servidora, no caso de um ataque, ficará com<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 362
um grande número de conexões abertas o que poderá provocar problemas ainda<br />
maiores.<br />
13.2. Utilizando a interface gráfica para Proteção contra SYN Flood<br />
Para ter acesso a janela de configuração dos parâmetros de proteção contra SYN<br />
Flood, basta:<br />
Figura 247. Janela de acesso - SYN Flood.<br />
Clicar no menu Segurança na janela do Firewall que deseja administrar.<br />
Escolher o item SYN Flood.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 363
A janela de configuração da proteção contra SYN flood<br />
Figura 248. SYN Flood – Ativação de proteção SYN Flood.<br />
O botão OK fará com que os parâmetros de configuração sejam atualizados e a<br />
janela fechada.<br />
O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela fechada.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta.<br />
Significado dos campos da janela:<br />
Ativar proteção SYN flood: Esta opção deve estar marcada para ativar a<br />
proteção contra SYN flood e desmarcada para desativá-la. (ao desabilitar a<br />
proteção contra SYN flood, as configurações antigas continuam<br />
armazenadas, mas não podem ser alteradas).<br />
Duração máxima do handshake do TCP: Esta opção define o tempo<br />
máximo, em unidades de 500 ms, que o firewall espera por uma confirmação<br />
do fechamento das conexões por parte do cliente. Se este intervalo de tempo<br />
for atingido, será enviado um pacote para as máquinas servidoras derrubando<br />
a conexão.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 364
O valor ideal deste campo pode variar para cada instalação, mas sugere-se<br />
valores entre 3 e 10, que correspondem a intervalos de tempo entre 1,5 e 5<br />
segundos.<br />
A lista de máquinas e redes a proteger<br />
Esta lista define as máquinas ou redes que serão protegidos pelo firewall.<br />
Para incluir uma nova entidade na lista de proteção, deve-se proceder de um dos<br />
seguintes modos:<br />
Executar uma operação de drag-n-drop (arrastar e soltar) da janela de entidades<br />
diretamente para a lista de hosts e redes a proteger<br />
Abrir o menu de contexto na janela na lista de hosts e redes a proteger com o<br />
botão direito do mouse ou com a tecla correspondente no teclado e seleciona-se<br />
Adicionar entidades, para então escolher aquelas que serão efetivamente<br />
incluídas na lista.<br />
Para remover uma entidade da lista de proteção, deve-se marcá-la e pressionar a<br />
tecla delete, ou escolher a opção correspondente no menu de contexto, acionado<br />
com o botão direito do mouse ou com a tecla correspondente:<br />
Deve-se colocar na lista de entidades a serem protegidas todas as máquinas<br />
servidoras de algum serviço TCP passível de ser utilizado por máquinas externas.<br />
Não se deve colocar o endereço do próprio firewall nesta lista, uma vez que o<br />
sistema operacional Linux não é suscetível a ataques de SYN flood.<br />
13.3. Proteção de Flood<br />
O que é um ataque de Flood?<br />
Os ataques de Flood se caracterizam por existir um elevado número de conexões<br />
abertas e estabelecidas contra servidores web, ftp, smtp e etc, a partir de outras<br />
máquinas existentes na Internet que foram invadidas e controladas para perpetrar<br />
ataques de negação de serviço (DoS).<br />
A proteção também é útil para evitar abuso do uso de determinados serviços (sites<br />
de download, por exemplo) e evitar estragos maiores causados por vírus, como o<br />
NIMDA, que fazia com que cada máquina infectada abrisse centenas de conexões<br />
simultaneamente.<br />
Como funciona a proteção contra Flood do <strong>Aker</strong> Firewall?<br />
O <strong>Aker</strong> Firewall possui um mecanismo que visa impedir que um ataque de Flood<br />
seja bem sucedido. Seu funcionamento baseia na limitação de conexões que<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 365
possam ser abertas simultaneamente a partir de uma mesma máquina para uma<br />
entidade que está sendo protegida.<br />
O administrador do firewall deve estimar este limite dentro do funcionamento<br />
cotidiano de cada servidor ou rede a ser protegida.<br />
13.4. Utilizando a interface gráfica para Proteção de Flood<br />
Figura 249. Janela de acesso - Proteção de Flood.<br />
Clicar no menu Segurança na janela do Firewall.<br />
Escolher o item Proteção de Flood.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 366
A janela de configuração da proteção de Flood<br />
Figura 250. Proteção de Flood - Configuração.<br />
O botão OK fará com que os parâmetros de configuração sejam atualizados e a<br />
janela fechada.<br />
O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela fechada.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta.<br />
Significado dos campos da janela:<br />
Número: Corresponde ao número da regra de Proteção de Flood.<br />
Origem: Neste campo pode ser uma rede ou máquina de onde poderá ser<br />
originado um ataque de DDoS.<br />
Destino: Incluir neste campo máquinas ou redes que deseja proteger.<br />
Serviços: Portas de serviços que desejam-se proteger. Poderá ser incluído<br />
no campo mais de uma entidade.<br />
Conexões Máximas: Campo numérico onde deve informar o número<br />
máximo de conexões que a entidade pode receber a partir de uma mesma<br />
origem.<br />
A quantidade máxima de conexões nas regras de proteção de flood não é a<br />
quantidade agregada de conexões a partir da origem especificada, mas sim a<br />
quantidade, por endereço IP único que encaixa na origem informada, de conexões<br />
simultâneas. Desta forma, por exemplo, havendo a necessidade de limitar o número<br />
de downloads simultâneos por usuário em 2, esse número dever ser 2,<br />
independentemente do número de usuários que façam os downloads.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 367
13.5. Proteção Anti Spoofing<br />
O que é um Spoofing?<br />
O spoofing do IP envolve o fornecimento de informações falsas sobre uma pessoa<br />
ou sobre a identidade de um host para obter acesso não-autorizado a sistemas e/ou<br />
aos sistemas que eles fornecem. O spoofing interfere na forma como um cliente e<br />
um servidor estabelecem uma conexão. Apesar do spoofing poder ocorrer com<br />
diversos protocolos específicos, o spoofing do IP é o mais conhecido dentre todos<br />
os ataques de spoofing.<br />
A primeira etapa de um ataque de spoofing é identificar duas máquinas de destino,<br />
que chamaremos de A e B. Na maioria dos casos, uma máquina terá um<br />
relacionamento confiável com a outra. É esse relacionamento que o ataque de<br />
spoofing tentará explorar. Uma vez que os sistemas de destino tenham sido<br />
identificados, o violador tentará estabelecer uma conexão com a máquina B de<br />
forma que B acredite que tem uma conexão com A, quando na realidade a conexão<br />
é com a máquina do violador, que chamaremos de X. Isso é feito através da criação<br />
de uma mensagem falsa (uma mensagem criada na máquina X, mas que contém o<br />
endereço de origem de A) solicitando uma conexão com B. Mediante o recebimento<br />
dessa mensagem, B responderá com uma mensagem semelhante que reconhece a<br />
solicitação e estabelece números de seqüência.<br />
Em circunstâncias normais, essa mensagem de B seria combinada a uma terceira<br />
mensagem reconhecendo o número de seqüência de B. Com isso, o "handshake"<br />
seria concluído, e a conexão poderia prosseguir. No entanto, como acredita que<br />
está se comunicando com A, B envia sua resposta a A, e não para X. Com isso, X<br />
terá de responder a B sem conhecer os números de seqüência gerados por B.<br />
Portanto, X deverá adivinhar com precisão números de seqüência que B utilizará.<br />
Em determinadas situações, isso é mais fácil do que possa imaginar.<br />
No entanto, além de adivinhar o número de seqüência, o violador deverá impedir<br />
que a mensagem de B chegue até A. Se a mensagem tivesse de chegar a A, A<br />
negaria ter solicitado uma conexão, e o ataque de spoofing falharia. Para alcançar<br />
esse objetivo, normalmente o intruso enviaria diversos pacotes à máquina A para<br />
esgotar sua capacidade e impedir que ela respondesse à mensagem de B. Essa<br />
técnica é conhecida como "violação de portas". Uma vez que essa operação tenha<br />
chegado ao fim, o violador poderá concluir a falsa conexão.<br />
O spoofing do IP, como foi descrito, é uma estratégia desajeitada e entediante. No<br />
entanto, uma análise recente revelou a existência de ferramentas capazes de<br />
executar um ataque de spoofing em menos de 20 segundos. O spoofing de IP é<br />
uma ameaça perigosa, cada vez maior, mas, por sorte, é relativamente fácil criar<br />
mecanismos de proteção contra ela. A melhor defesa contra o spoofing é configurar<br />
roteadores de modo a rejeitar qualquer pacote recebido cuja origem alegada seja<br />
um host da rede interna. Essa simples precaução impedirá que qualquer máquina<br />
externa tire vantagem de relacionamentos confiáveis dentro da rede interna.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 368
Como funciona a proteção contra Spoofing do <strong>Aker</strong> Firewall?<br />
O <strong>Aker</strong> Firewall possui um mecanismo que visa impedir que um ataque de Spoofing<br />
seja bem sucedido. Seu funcionamento baseia-se no cadastramento das redes que<br />
estão sendo protegidas pelo firewall ou seja, atrás de cada interface de rede do<br />
firewall.<br />
Nas redes internas, só serão aceitos pacotes das entidades cadastradas e, das<br />
externas, somente pacotes cujo IP origem não se encaixe em nenhuma entidade<br />
cadastrada nas redes internas (todas).<br />
O administrador do firewall deve então fazer o levantamento destas redes, criar as<br />
entidades correspondentes e utilizar a interface gráfica para montar a proteção.<br />
13.6. Utilizando a interface gráfica para Anti Spoofing<br />
Figura 251. Janela de acesso - Anti Spoofing.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 369
Clicar no menu Segurança na janela do Firewall.<br />
Escolher o item Anti Spoofing.<br />
A janela de configuração de Anti Spoofing<br />
Figura 252. Anti Spoofing – Ativação do controle.<br />
O botão OK fará com que os parâmetros de configuração sejam atualizados e a<br />
janela fechada.<br />
O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela fechada.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta.<br />
Significado dos campos da janela:<br />
Ativação do controle anti-spoofing: A marcação da caixa ativa a proteção<br />
Anti Spoofing.<br />
Interface: Corresponde a interface cadastrada no firewall pelo administrador.<br />
Status: Neste campo é mostrado o estado da interface, ou seja, se está ativa<br />
ou não. Este campo não pode ser editado.<br />
Tipo: Por padrão este campo é marcado como Externa. Ao clicar com o<br />
botão direito do mouse poderá ser trocado o tipo para Protegida, passando o<br />
campo Entidades para a condição de editável.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 370
Protegida significa que a interface está conectada a uma rede interna e somente<br />
serão aceitos pacotes com endereços IP originados em alguma das entidades<br />
especificadas na regra. Externa significa que é uma interface conectada a Internet<br />
da qual serão aceitos pacotes provenientes de quaisquer endereços origem, exceto<br />
os pertencentes a entidades listadas nas regras de interfaces marcadas como<br />
Protegidas.<br />
Entidades: Ao definir uma interface Protegida, deve-se incluir neste campo a lista<br />
de todas as redes e/ou máquinas que encontram-se conectadas a esta interface.<br />
13.7. Utilizando a interface texto - Syn Flood<br />
A interface texto de configuração da proteção contra SYN flood é bastante simples<br />
de ser usada e tem as mesmas capacidades da interface gráfica.<br />
Localização do programa:/aker/bin/firewall/fwflood<br />
Sintaxe:<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
fwflood - Configura parametros de protecao contra SYN Flood<br />
Uso: fwflood [ativa | desativa | mostra | ajuda]<br />
fwflood [inclui | remove] <br />
fwflood tempo <br />
Ajuda do programa:<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
fwflood - Configura parametros de protecao contra SYN Flood<br />
Uso: fwflood [ativa | desativa | mostra | ajuda]<br />
fwflood [inclui | remove] <br />
fwflood tempo <br />
ativa = ativa protecao contra SYN Flood<br />
desativa = desativa protecao contra SYN Flood<br />
mostra = mostra a configuracao atual<br />
inclui = inclui uma entidade a ser protegida<br />
remove = remove uma das entidades a serem protegidas<br />
tempo = configura o tempo maximo de espera para fechar conexao<br />
ajuda = mostra esta mensagemPara inclui / remove temos:<br />
nome = nome da entidade a ser protegida ou removida da protecaoPara<br />
tempo temos:<br />
valor = tempo maximo de espera em unidades de 500ms<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 371
Exemplo 1: (visualizando a configuração)<br />
#/aker/bin/firewall/fwflood mostraParametros de configuracao:<br />
-------------------------------------<br />
Protecao contra SYN Flood: ativada<br />
Tempo limite de espera : 6 (x 500 ms)<br />
Lista de entidades a serem protegidas:<br />
-------------------------------------<br />
NT1<br />
(Maquina)<br />
NT3<br />
(Maquina)<br />
13.8. Utilizando a interface texto - Proteção de Flood<br />
Localização do programa:/aker/bin/firewall/fwmaxconn<br />
Sintaxe:<br />
Firewall <strong>Aker</strong> - Versao 6.5<br />
Uso: fwmaxconn ajuda<br />
fwmaxconn mostra<br />
fwmaxconn inclui <br />
fwmaxconn remove <br />
fwmaxconn < habilita | desabilita > <br />
os parametros sao:<br />
pos: posicao da regra na tabela<br />
origem: maquina/rede de onde se origina as conexoes<br />
destino: maquina/rede a que se destinam as conexoes<br />
servico: servico de rede para o qual existe a conexao<br />
n_conns: numero maximo de conexoes simultaneas de mesma origem<br />
Exemplo 1: (visualizando a configuração)<br />
#/aker/bin/firewall/fwmaxconn mostraRegra 01<br />
--------<br />
Origem: Rede_Internet<br />
Destino: NT1<br />
Servicos: HTTP<br />
Conexoes: 5000<br />
Regra 02<br />
--------<br />
Origem: Rede_Internet<br />
Destino: NT3<br />
Servicos: FTP<br />
Conexoes : 10000<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 372
Regra 03<br />
--------<br />
Origem: Rede_Internet<br />
Destino: Rede_Interna<br />
Servicos: Gopher<br />
Conexoes: 100<br />
13.9. Utilizando a interface texto - Anti Spoofing<br />
Localização do programa:/aker/bin/firewall/fwifnet<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
Uso: fwifnet [ajuda | mostra]<br />
fwifnet inclui interface [externa]<br />
fwifnet inclui rede [rede1] [rede2] ...<br />
fwifnet remove [-f] interface <br />
fwifnet remove rede <br />
fwifnet <br />
Ajuda do programa:<br />
Uso: fwifnet [ajuda | mostra]<br />
fwifnet inclui interface [externa]<br />
fwifnet inclui rede [rede1] [rede2] ...<br />
fwifnet remove [-f] interface <br />
fwifnet remove rede <br />
para inclui/remove temos:<br />
interface: o nome da interface de rede a ser controlada<br />
externa: se esta palavra estiver presente, a interface será considerada externa<br />
pelo firewall<br />
rede: uma rede permitida em uma interface nao externa<br />
Exemplo 1: (visualizando a configuração)<br />
#/aker/bin/firewall/fwifnet mostra<br />
Firewall <strong>Aker</strong> - Versao 6.5<br />
Status do modulo anti-spoofing: habilitado<br />
Interface cadastrada: Interf_DMZ<br />
Rede permitida: Rede_DMZInterface<br />
cadastrada: Interf_externa (externa)<br />
Interface cadastrada: Interf_interna<br />
Rede permitida: Rede_Interna<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 373
13.10. Bloqueio por excesso de tentativas de login inválidas<br />
Figura 253. Bloqueio de excesso de tentativas de login inválidas - Eventos.<br />
O firewall, por padrão, vem com bloqueio de excesso de tentativas de login inválidas<br />
via control center. Caso um IP realize três tentativas de conexões com usários e/ou<br />
senhas inválidos, o firewall não permite mais conexões por um período de tempo.<br />
São criados eventos de log que podem ser vistos na janela de log, eles contêm<br />
informações sobre o horário do bloqueio e o IP que realizou a tentativa.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 374
Configurando as Ações do<br />
Sistema<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 375
14. Configurando Ações de Sistema<br />
Este capítulo mostrará como configurar as respostas automáticas do sistema para<br />
situações pré-determinadas.<br />
O que são as ações do sistema?<br />
O <strong>Aker</strong> Firewall possui um mecanismo que possibilita a criação de respostas<br />
automáticas para determinadas situações. Estas respostas automáticas são<br />
configuradas pelo administrador em uma série de possíveis ações independentes<br />
que serão executadas quando uma situação pré-determinada ocorrer.<br />
Para que servem as ações do sistema?<br />
O objetivo das ações é possibilitar um alto grau de interação do Firewall com o<br />
administrador. Com o uso delas, é possível, por exemplo, que seja executado um<br />
programa capaz de chamá-lo através de um pager quando a máquina detectar que<br />
um ataque está em andamento. Desta forma, o administrador poderá tomar uma<br />
ação imediata, mesmo que ele não esteja no momento monitorando o<br />
funcionamento do Firewall.<br />
14.1. Utilizando a interface gráfica<br />
Para ter acesso a janela de configuração das ações deve-se:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 376
Expandir o item Configurações do Sistema;<br />
Selecionar o item Ações.<br />
A janela de configuração das ações<br />
Figura 254. Janela de acesso - Ações.<br />
Ao selecionar esta opção será mostrada a janela de configuração das ações a<br />
serem executadas pelo sistema. Para cada mensagem de log e de eventos e para<br />
os pacotes que não se enquadrarem em nenhuma regra é possível determinar<br />
ações independentes. A janela mostrada terá a seguinte forma:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 377
Figura 255. Ações – Mensagens de logs.<br />
Para selecionar as ações a serem executadas para as mensagens mostradas na<br />
janela, deve-se clicar com o botão direito do mouse sobre as mensagens. A cada<br />
opção selecionada aparecerá um ícone correspondente.<br />
Figura 256. Ações a serem executadas para mensagens exibidas.<br />
Se a opção estiver marcada com o ícone aparente, a ação correspondente será<br />
executada pelo Firewall quando a mensagem ocorrer. São permitidas as seguintes<br />
ações:<br />
Logar: Ao selecionar essa opção, todas as vezes que a mensagem<br />
correspondente ocorrer, ela será registrada pelo firewall;<br />
Enviar email: Ao selecionar essa opção, será enviado um e-mail todas as vezes<br />
que a mensagem correspondente ocorrer (a configuração do endereço de e-mail<br />
será mostrada no próximo tópico);<br />
Executar programa: Ao marcar essa opção, será executado um programa<br />
definido pelo administrador todas as vezes que a mensagem correspondente<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 378
ocorrer (a configuração do nome do programa a ser executado será mostrada no<br />
próximo tópico);<br />
Disparar mensagens de alarme: Ao selecionar essa opção, o firewall mostrará<br />
uma janela de alerta todas as vezes que a mensagem correspondente ocorrer.<br />
Esta janela de alerta será mostrada na máquina onde a interface gráfica remota<br />
estiver aberta e, se a máquina permitir, será emitido também um aviso sonoro.<br />
Caso a interface gráfica não esteja aberta, não será mostrada nenhuma<br />
mensagem e esta opção será ignorada (esta ação é particularmente útil para<br />
chamar a atenção do administrador quando ocorrer uma mensagem importante);<br />
Enviar trap SNMP: Ao selecionar essa opção, será enviada uma Trap SNMP<br />
para o gerente SNMP todas as vezes que a mensagem correspondente ocorrer<br />
(a configuração dos parâmetros de configuração para o envio das traps será<br />
mostrada no próximo tópico).<br />
Não é possível alterar as ações para a mensagem de inicialização do firewall<br />
(mensagem número 43). Esta mensagem sempre terá como ações configuradas<br />
apenas a opção Loga.<br />
Significado dos botões da janela de ações<br />
O botão OK fará com que a janela de ações seja fechada e as alterações<br />
efetuadas aplicadas;<br />
O botão Cancelar fará com que a janela seja fechada porém as alterações<br />
efetuadas não serão aplicadas;<br />
O botão Aplicar fará com que as alterações sejam aplicadas sem que a janela<br />
feche.<br />
A janela de configuração dos parâmetros<br />
Para que o sistema consiga executar as ações deve-se configurar certos<br />
parâmetros (por exemplo, para o Firewall enviar um e-mail, o endereço tem que ser<br />
configurado). Estes parâmetros são configurados através da janela de configuração<br />
de parâmetros para as ações.<br />
Esta janela é mostrada ao selecionar Parâmetros na janela de Ações. Ela tem o<br />
seguinte formato:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 379
Figura 257. Ações: Parametros.<br />
Significado dos parâmetros:<br />
Parâmetros para executar um programa<br />
Arquivo de Programa: Este parâmetro configura o nome do programa que será<br />
executado pelo sistema quando ocorrer uma ação marcada com a opção<br />
Programa. Deve ser colocado o nome completo do programa, incluindo o<br />
caminho. Deve-se atentar para o fato de que o programa e todos os diretórios do<br />
caminho devem ter permissão de execução pelo usuário que irá executá-lo (que<br />
é configurado na próxima opção).<br />
O programa receberá os seguintes parâmetros pela linha de comando (na ordem<br />
em que serão passados):<br />
1. Nome do próprio programa sendo executado (isto é um padrão do sistema<br />
operacional Unix);<br />
2. Tipo de mensagem (1 - para log ou 2- para evento);<br />
3. Prioridade (7 - depuração, 6 - informação, 5 - notícia, 4 - advertência ou 3<br />
- erro);<br />
4. Número da mensagem que provocou a execução do programa ou 0 para<br />
indicar a causa não foi uma mensagem. (neste caso, a execução do<br />
programa foi motivada por uma regra);<br />
5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta<br />
cadeia de caracteres pode conter o caractere de avanço de linha no meio<br />
dela).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 380
No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de<br />
um programa. Isto pode causar confusão para quem estiver acostumado com o<br />
ambiente DOS/Windows, que usa a barra invertida "\".<br />
Nome efetivo do usuário: Este parâmetro indica a identidade com a qual o<br />
programa externo será executado. O programa terá os mesmos privilégios deste<br />
usuário.<br />
Este usuário deve ser um usuário válido, cadastrado no Linux. Não se deve<br />
confundir com os usuários do <strong>Aker</strong> Firewall, que servem apenas para a<br />
administração do Firewall.<br />
Parâmetros para enviar traps SNMP<br />
Endereço IP do servidor SNMP: Este parâmetro configura o endereço IP da<br />
máquina gerente SNMP para a qual o firewall deve enviar as traps.<br />
Comunidade SNMP: Este parâmetro configura o nome da comunidade SNMP<br />
que deve ser enviada nas traps.<br />
As traps SNMP enviadas terão o tipo genérico 6 (enterprise specific) e o tipo<br />
específico 1 para log ou 2 para eventos. Elas serão enviadas com o número de<br />
empresa (enterprise number) 2549, que é o número designado pela IANA para a<br />
<strong>Aker</strong> Consultoria e Informática.<br />
Parâmetros para enviar e-mail<br />
Endereço de e-mail: Este parâmetro configura o endereço de e-mail do usuário<br />
para o qual devem ser enviados os e-mails. Este usuário pode ser um usuário da<br />
própria máquina ou não (neste caso deve-se colocar o endereço completo, por<br />
exemplo user@aker.com.br).<br />
Caso queira enviar e-mails para vários usuários, pode-se criar uma lista e<br />
colocar o nome da lista neste campo.<br />
É importante notar que caso algum destes parâmetros esteja em branco, a ação<br />
correspondente não será executada, mesmo que ela esteja marcada para tal.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 381
14.2. Utilizando a interface texto<br />
A interface texto para a configuração das ações possui as mesmas capacidades da<br />
interface gráfica, porém, é de fácil uso.<br />
Localização do programa: /aker/bin/firewall/fwaction<br />
Sintaxe:<br />
fwaction ajuda<br />
fwaction mostra<br />
fwaction atribui [loga] [mail] [trap] [programa] [alerta]<br />
fwaction [nome]<br />
fwaction ip [endereco IP]<br />
fwaction e-mail [endereco]<br />
Ajuda do programa:<br />
fwaction - Interface texto para a configuracao das acoes do sistema<br />
Uso: fwaction ajuda<br />
fwaction mostra<br />
fwaction atribui [loga] [mail] [trap] [programa] [alerta]<br />
fwaction [nome]<br />
fwaction ip [endereco IP]<br />
fwaction e-mail [endereco]<br />
ajuda = mostra esta mensagem<br />
mostra = lista as mensagens e as acoes configuradas para cada uma<br />
atribui = configura as acoes para uma determinada mensagem<br />
programa = define o nome do programa a ser executado<br />
usuario = define o nome do usuario que executara o programa<br />
comunidade = define o nome da comunidade SNMP para o envio das traps<br />
ip = define o endereco IP do servidor SNMP que recebera as traps<br />
e-mail = define o nome do usuario que recebera os e-mails<br />
Para atribui temos:<br />
numero = numero da mensagem a atribuir as acoes<br />
(o numero de cada mensagem aparece na esquerda ao se<br />
selecionar a opcao mostra)<br />
loga = Loga cada mensagem que for gerada<br />
mail = Manda um e-mail para cada mensagem que for gerada<br />
trap = Gera trap SNMP para cada mensagem que for gerada<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 382
programa = Executa programa para cada mensagem que for gerada<br />
alerta = Abre janela de alerta para cada mensagem que for gerada<br />
Exemplo 1: (configurando os parâmetros para envio de e-mail e execução de<br />
programa)<br />
#fwaction e-mail root<br />
#fwaction programa /aker/bin/pager<br />
#fwaction usuario nobody<br />
Exemplo 2: (mostrando a configuração completa das ações do sistema)<br />
#fwaction mostra<br />
Condicoes Gerais:<br />
00 - Pacote fora das regras<br />
>>>> Loga<br />
Mensagens do log:<br />
01 - Possivel ataque de fragmentacao<br />
>>>> Loga<br />
02 - Pacote IP direcionado<br />
>>>> Loga<br />
03 - Ataque de land<br />
>>>> Loga<br />
04 - Conexao nao consta na tabela dinamica<br />
>>>> Loga<br />
05 - Pacote proveniente de interface invalida<br />
>>>> Loga<br />
06 - Pacote proveniente de interface nao determinada<br />
>>>> Loga<br />
07 - Conexao de controle nao esta aberta<br />
>>>> Loga<br />
(...)<br />
237 - O Secure Roaming encontrou um erro<br />
>>>> Loga<br />
238 - O Secure Roaming encontrou um erro fatal<br />
>>>> Loga<br />
239 - Usuarios responsaveis do Configuration Manager<br />
>>>> Loga<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 383
Parametros de configuracao:<br />
programa: /aker/bin/pager<br />
usuario: nobody<br />
e-mail: root<br />
comunidade:<br />
ip:<br />
Devido ao grande número de mensagens, só estão sendo mostradas as<br />
primeiras e as últimas. O programa real mostrará todas ao ser executado.<br />
Exemplo 3: (atribuindo as ações para os Pacotes fora das regras e mostrando as<br />
mensagens)<br />
#fwaction atribui 0 loga mail alerta<br />
#fwaction mostra<br />
Condicoes Gerais:<br />
00 - Pacote fora das regras<br />
>>>> Loga Mail Alerta<br />
Mensagens do log:<br />
01 - Possivel ataque de fragmentacao<br />
>>>> Loga<br />
02 - Pacote IP direcionado<br />
>>>> Loga<br />
03 - Ataque de land<br />
>>>> Loga<br />
04 - Conexao nao consta na tabela dinamica<br />
>>>> Loga<br />
05 - Pacote proveniente de interface invalida<br />
>>>> Loga<br />
06 - Pacote proveniente de interface nao determinada<br />
>>>> Loga<br />
07 - Conexao de controle nao esta aberta<br />
>>>> Loga<br />
(...)<br />
237 - O Secure Roaming encontrou um erro<br />
>>>> Loga<br />
238 - O Secure Roaming encontrou um erro fatal<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 384
Loga<br />
239 - Usuarios responsaveis do Configuration Manager<br />
>>>> Loga<br />
Parametros de configuracao:<br />
programa : /aker/bin/pager<br />
usuario : nobody<br />
e-mail : root<br />
comunidade:<br />
ip :<br />
Devido ao grande número de mensagens, só estão sendo mostradas as<br />
primeiras e as últimas. O programa real mostrará todas as mensagens, ao ser<br />
executado.<br />
Exemplo 4: (cancelando todas as ações para a mensagem de Pacote IP<br />
direcionado e mostrando as mensagens)<br />
#fwaction atribui 2<br />
#fwaction mostra<br />
Condicoes Gerais:<br />
00 - Pacote fora das regras<br />
>>>> Loga Mail Alerta<br />
Mensagens do log:<br />
01 - Possivel ataque de fragmentacao<br />
>>>> Loga Mail<br />
02 - Pacote IP direcionado<br />
>>>><br />
03 - Ataque de land<br />
>>>> Loga<br />
04 - Conexao nao consta na tabela dinamica<br />
>>>> Loga<br />
05 - Pacote proveniente de interface invalida<br />
>>>> Loga<br />
06 - Pacote proveniente de interface nao determinada<br />
>>>> Loga<br />
07 - Conexao de controle nao esta aberta<br />
>>>> Loga<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 385
(...)<br />
237 - O Secure Roaming encontrou um erro<br />
>>>> Loga<br />
238 - O Secure Roaming encontrou um erro fatal<br />
>>>> Loga<br />
239 - Usuarios responsaveis do Configuration Manager<br />
>>>> Loga<br />
Parametros de configuracao:<br />
programa: /aker/bin/pager<br />
usuario: nobody<br />
e-mail: root<br />
comunidade:<br />
ip:<br />
Devido ao grande número de mensagens, só estão sendo mostradas as<br />
primeiras e as últimas. O programa real mostrará todas ao ser executado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 386
Visualizando o Log do Sistema<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 387
15. Visualizando o log do Sistema<br />
Este capítulo mostrará como visualizar o log do sistema, um recurso imprescindível<br />
na detecção de ataques, no acompanhamento e monitoramento do firewall e na fase<br />
de configuração do sistema.<br />
O que é o log do sistema?<br />
O log é o local onde o firewall guarda todas as informações relativas aos pacotes<br />
recebidos. Nele podem aparecer registros gerados por qualquer um dos três<br />
grandes módulos: filtro de pacotes, conversor de endereços e<br />
criptografia/autenticação. O tipo de informação guardada no log depende da<br />
configuração realizada no firewall, mas basicamente ele inclui informações sobre os<br />
pacotes que foram aceitos, descartados e rejeitados, os erros apresentados por<br />
certos pacotes e as informações sobre a conversão de endereços.<br />
De todos estes dados, as informações sobre os pacotes descartados e rejeitados<br />
são possivelmente as de maior importância, já que são através delas que se pode<br />
determinar possíveis tentativas de invasão, tentativa de uso de serviços não<br />
autorizados, erros de configuração, etc.<br />
O que é um filtro de log?<br />
Mesmo que o sistema tenha sido configurado para registrar todo o tipo de<br />
informação, muitas vezes está interessado em alguma informação específica (por<br />
exemplo, suponha que queira ver as tentativas de uso do serviço POP3 de uma<br />
determinada máquina que foram rejeitadas em um determinado dia, ou ainda, quais<br />
foram aceitas). O filtro de log é um mecanismo oferecido pelo <strong>Aker</strong> Firewall para se<br />
criar visões do conjunto total de registros, possibilitando que se obtenham as<br />
informações desejadas facilmente.<br />
O filtro só permite a visualização de informações que tiverem sido registradas no<br />
log. Caso queira obter uma determinada informação, é necessário inicialmente<br />
configurar o sistema para registrá-la e então utilizar um filtro para visualizá-la.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 388
15.1. Utilizando a interface gráfica<br />
Para ter acesso a janela de visualização do log basta:<br />
Figura 258. Janela de acesso - Log.<br />
Clicar no menu Auditoria do firewall que se deseja ver o log;<br />
Selecionar a opção Log.<br />
A barra de ferramentas do Log<br />
Todas as vezes que a opção Log for selecionada é mostrada automaticamente a<br />
barra de ferramentas de Log. Esta barra, que estará ao lado das outras barras,<br />
poderá ser arrastada e ficar flutuando acima das informações do Log. Ela tem o<br />
seguinte formato:<br />
Figura 259. Barra de ferramentas de log.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 389
Significado dos Ícones:<br />
Abre a janela de filtragem do firewall;<br />
Este ícone somente irá aparecer quando o firewall estiver fazendo uma<br />
procura no Log. Ele permite interromper a busca do firewall;<br />
Exporta o log para diversos formatos de arquivos;<br />
Apaga o Log do firewall;<br />
Realiza uma resolução reversa dos IP que estão sendo mostrados pelo<br />
Log;<br />
Permite fazer uma atualização da tela de logs dentro de um<br />
determinado período definido no campo seguinte;<br />
Define o tempo que o firewall irá atualizar a janela com informações de<br />
log;<br />
Percorre o Log para frente e para trás;<br />
Expande as mensagens de Log, mostrando as mesmas com o máximo<br />
de informação;<br />
Ao clicar no ícone de filtro a janela abaixo irá aparecer:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 390
A Janela de Filtragem de Log<br />
Figura 260. Filtro de log.<br />
Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo.<br />
Permite gravar um perfil de pesquisa que poderá ser usado posteriormente pelo<br />
administrador.<br />
Para salvar um filtro de log, deve-se proceder da seguinte forma:<br />
1. Preencher todos os seus campos da forma desejada.<br />
2. Definir, no campo Filtros, o nome pelo qual ele será referenciado.<br />
3. Clicar no botão Salvar.<br />
Para aplicar um filtro salvo, basta selecionar seu nome no campo Filtros e todos os<br />
campos serão automaticamente preenchidos com os dados salvos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 391
Para excluir um filtro, deve-se proceder da seguinte forma:<br />
1. Selecionar o filtro a ser removido, no campo Filtros.<br />
2. Clicar no botão Remover.<br />
O filtro padrão é configurado para mostrar todos os registros do dia atual. Para<br />
alterar a visualização para outros dias, na janela <strong>Data</strong>/Hora, pode-se configurar os<br />
campos De e Até para os dias desejados (a faixa de visualização compreende os<br />
registros da data inicial à data final, inclusive).<br />
Caso queira ver os registros cujos endereços origem e/ou destino do pacote<br />
pertençam a um determinado conjunto de máquinas, pode-se utilizar os campos IP /<br />
Máscara ou Entidade para especificá-lo.<br />
O botão permite a escolha do modo de filtragem a ser realizado: caso o botão<br />
esteja selecionado, serão mostrados na janela os campos, chamados de IP,<br />
Máscara (para origem do pacote) e IP, Máscara (para Destino do pacote). Estes<br />
campos poderão ser utilizados para especificar o conjunto origem e/ou o conjunto<br />
destino. Neste caso, pode-se selecionar uma entidade em cada um destes campos<br />
e estas serão utilizadas para especificar os conjuntos origem e destino. O botão<br />
pode ser usado independente um do outro, ou seja pode-se optar que seja<br />
selecionado pela entidade na origem e por IP e Máscara para o destino.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 392
Figura 261. Filtro de log.<br />
Para monitorar um serviço específico deve-se colocar seu número no campo Porta.<br />
A partir deste momento só serão mostradas entradas cujo serviço especificado for<br />
utilizado. É importante também que seja selecionado o protocolo correspondente ao<br />
serviço desejado no campo protocolo, mostrado abaixo.<br />
No caso dos protocolos TCP e UDP, para especificar um serviço, deve-se<br />
colocar o número da porta destino, associada ao serviço, neste campo. No caso do<br />
ICMP deve-se colocar o tipo de serviço. Para outros protocolos, coloca-se o número<br />
do protocolo desejado.<br />
Além destes campos, existem outras opções que podem ser combinadas para<br />
restringir ainda mais o tipo de informação mostrada:<br />
Ação:<br />
Representa qual ação o sistema tomou ao lidar com o pacote em questão. Existem<br />
as seguintes opções possíveis, que podem ser selecionadas independentemente:<br />
Aceito: Mostra os pacotes que foram aceitos pelo firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 393
Rejeitado: Mostra os pacotes que foram rejeitados pelo firewall.<br />
Descartado: Mostra os pacotes que foram descartados pelo firewall.<br />
Convertido: Mostra as mensagens relacionadas à conversão de endereços.<br />
Prioridade:<br />
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for a<br />
prioridade associada a um determinado registro, mais importância deve-se dar a ele.<br />
Abaixo está a lista com todas as prioridades possíveis, ordenada da mais importante<br />
para a menos (caso tenha configurado o firewall para mandar uma cópia do log para<br />
o syslogd, as prioridades com as quais as mensagens serão geradas no syslog são<br />
as mesmas apresentadas abaixo):<br />
Aviso<br />
Os registros que se enquadram nesta prioridade normalmente indicam que<br />
algum tipo de ataque ou situação bastante séria (como por exemplo, um erro na<br />
configuração dos fluxos de criptografia) está ocorrendo. Este tipo de registro<br />
sempre vem precedido de uma mensagem que fornece maiores explicações<br />
sobre ele.<br />
Nota<br />
Normalmente se enquadram nesta prioridade os pacotes que foram rejeitados ou<br />
descartados pelo sistema, em virtude destes terem se encaixado em uma regra<br />
configurada para rejeitá-los ou descartá-los ou por não terem se encaixado em<br />
nenhuma regra. Em algumas situações eles podem ser precedidos por<br />
mensagens explicativas.<br />
Informação<br />
Os registros desta prioridade acrescentam informações úteis mas não tão<br />
importantes para a administração do Firewall. Estes registros nunca são<br />
precedidos por mensagens explicativas. Normalmente se enquadram nesta<br />
prioridade os pacotes aceitos pelo firewall.<br />
Depuração<br />
Os registros desta prioridade não trazem nenhuma informação realmente útil,<br />
exceto quando se está configurando o sistema. Se enquadram nesta prioridade<br />
as mensagens de conversão de endereços.<br />
Módulo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 394
Esta opção permite visualizar independentemente os registros gerados por cada<br />
um dos três grandes módulos do sistema: filtro de pacotes, conversor de<br />
endereços, módulo de criptografia, IPSEC e Clustering.<br />
Protocolo:<br />
Este campo permite especificar o protocolo dos registros a serem mostrados. As<br />
seguintes opções são permitidas:<br />
TCP<br />
Serão mostrados os registros gerados a partir de pacotes TCP. Se esta<br />
opção for marcada, a opção TCP/SYN será automaticamente desmarcada.<br />
TCP/SYN<br />
Serão mostrados os registros gerados a partir de pacotes TCP de abertura de<br />
conexão (pacotes com o flag de SYN ativo). Se esta opção for marcada, a<br />
opção TCP será automaticamente desmarcada.<br />
UDP<br />
Serão mostrados os registros gerados a partir de pacotes UDP.<br />
ICMP<br />
Serão mostrados os registros gerados a partir de pacotes ICMP.<br />
Outro<br />
Serão mostrados registros gerados a partir de pacotes com protocolo diferente de<br />
TCP, UDP e ICMP. Pode-se restringir mais o protocolo a ser mostrado,<br />
especificando seu número através do campo Porta destino ou Tipo de Serviço.<br />
O botão OK aplicará o filtro escolhido e mostrará a janela de log, com as<br />
informações selecionadas.<br />
O botão Cancelar fará com que a operação de filtragem seja cancelada e a<br />
janela de log mostrada com as informações anteriores.<br />
A janela de log<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 395
Figura 262. Lista com várias entradas de log.<br />
A janela de log será mostrada após a aplicação de um filtro novo. Ela consiste de<br />
uma lista com várias entradas. Todas as entradas possuem o mesmo formato,<br />
entretanto, dependendo do protocolo do pacote que as gerou, alguns campos<br />
podem estar ausentes. Além disso, algumas entradas serão precedidas por uma<br />
mensagem especial, em formato de texto, que trará informações adicionais sobre o<br />
registro (o significado de cada tipo de registro será mostrado no próximo tópico).<br />
Observações importantes:<br />
Os registros serão mostrados de 100 em 100.<br />
Só serão mostrados os primeiros 10.000 registros que se enquadrem no filtro<br />
escolhido. Os demais podem ser vistos exportando o log para um arquivo ou<br />
utilizando um filtro que produza um número menor de registros.<br />
No lado esquerdo de cada mensagem, será mostrado um ícone colorido<br />
simbolizando sua prioridade. As cores têm o seguinte significado:<br />
Azul<br />
Verde<br />
Amarelo<br />
Depuração<br />
Informação<br />
Nota<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 396
Vermelho<br />
Aviso<br />
Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte<br />
inferior da tela uma linha com informações adicionais sobre o registro.<br />
Ao se apagar todo o log, não existe nenhuma maneira de recuperar as<br />
informações anteriores. A única possibilidade de recuperação é a restauração de<br />
uma cópia de segurança.<br />
Se a opção Expande mensagens estiver marcada e se tiver escolhido a opção<br />
de exportação em formato texto, o log será exportado com as mensagens<br />
complementares; caso contrário, o log será exportado sem elas.<br />
Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa,<br />
para guardar uma cópia em formato texto de informações importantes ou para<br />
importar o log por um analisador de log citados acima. Ao ser clicado, será mostrada<br />
a seguinte janela:<br />
Figura 263. Exportador de log.<br />
Figura 264. Barra de exportação de log – porcentagem realizada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 397
Para exportar o conteúdo do log, basta fornecer o nome do arquivo a ser criado,<br />
escolher seu formato e clicar no botão Salvar. Para cancelar a operação, clique em<br />
Cancelar.<br />
Se já existir um arquivo com o nome informado ele será apagado.<br />
O botão Próximos, representado como uma seta para a direita na barra de<br />
ferramentas, mostrará os próximos 100 registros selecionados pelo filtro. Se não<br />
existirem mais registros, esta opção estará desabilitada.<br />
O botão Últimos, representado como uma seta para a esquerda na barra de<br />
ferramentas, mostrará os 100 registros anteriores. Se não existirem registros<br />
anteriores, esta opção estará desabilitada.<br />
O botão Ajuda mostrará a janela de ajuda específica para a janela de log.<br />
15.2. Formato e significado dos campos dos registros do log<br />
Abaixo segue a descrição do formato de cada registro, seguido de uma descrição de<br />
cada um dos campos. O formato dos registros é o mesmo para a interface gráfica e<br />
para a interface texto.<br />
Registros gerados pelo filtro de pacotes ou pelo módulo de criptografia<br />
Qualquer um destes registros pode vir precedido de uma mensagem especial. A<br />
listagem completa de todas as possíveis mensagens especiais e seus significados<br />
se encontra no apêndice A.<br />
Protocolo TCP<br />
Formato do registro:<br />
- TCP <br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 398
Descrição dos campos:<br />
<strong>Data</strong>: <strong>Data</strong> em que o registro foi gerado.<br />
Hora: Hora em que o registro foi gerado.<br />
Repetição: Número de vezes em que o registro se repetiu seguidamente. Este<br />
campo é mostrado entre parênteses na interface texto.<br />
Status: Este campo, que aparece entre parênteses na interface texto, consiste de<br />
uma a três letras, independentes, que possuem o significado abaixo:<br />
A: Pacote autenticado<br />
E: Pacote encriptado<br />
S: Pacote usando troca de chaves via SKIP ou AKER-CDP<br />
Ação: Este campo indica qual foi a ação tomada pelo firewall com relação ao<br />
pacote. Ele pode assumir os seguintes valores:<br />
A: Indica que o pacote foi aceito pelo firewall<br />
D: Indica que o pacote foi descardado<br />
R: Indica que o pacote foi rejeitado<br />
IP origem: Endereço IP de origem do pacote que gerou o registro.<br />
Porta origem: Porta de origem do pacote que gerou o registro.<br />
IP destino: Endereço IP destino do pacote que gerou o registro.<br />
Porta destino: Porta destino do pacote que gerou o registro.<br />
Flags: Flags do protocolo TCP presentes no pacote que gerou o registro. Este<br />
campo consiste de uma a seis letras independentes. A presença de uma letra,<br />
indica que o flag correspondente a ela estava presente no pacote. O significado das<br />
letras é o seguinte:<br />
S: SYN<br />
F: FIN<br />
A: ACK<br />
P: PUSH<br />
R: RST (Reset)<br />
U: URG (Urgent Pointer)<br />
Interface: Interface de rede do firewall por onde o pacote foi recebido.<br />
Protocolo UDP<br />
Formato do registro:<br />
- UDP <br />
<br />
Descrição dos campos:<br />
<strong>Data</strong>: <strong>Data</strong> em que o registro foi gerado.<br />
Hora: Hora em que o registro foi gerado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 399
Repetição: Número de vezes em que o registro se repetiu seguidamente. Este<br />
campo é mostrado entre parênteses na interface texto.<br />
Status: Este campo, que aparece entre parênteses na interface texto, consiste de<br />
uma a três letras, independentes, que possuem o significado abaixo:<br />
A: Pacote autenticado<br />
E: Pacote encriptado<br />
S: Pacote usando troca de chaves via SKIP ou AKER-CDP<br />
Ação: Este campo indica qual foi a ação tomada pelo firewall com relação ao<br />
pacote. Ele pode assumir os seguintes valores:<br />
A: Indica que o pacote foi aceito pelo firewall<br />
D: Indica que o pacote foi descartado<br />
R: Indica que o pacote foi rejeitado<br />
IP origem: Endereço IP de origem do pacote que gerou o registro.<br />
Porta origem: Porta de origem do pacote que gerou o registro.<br />
IP destino: Endereço IP destino do pacote que gerou o registro.<br />
Porta destino: Porta destino do pacote que gerou o registro.<br />
Interface: Interface de rede do firewall por onde o pacote foi recebido.<br />
Protocolo ICMP<br />
Formato do registro:<br />
- ICMP <br />
<br />
Descrição dos campos:<br />
<strong>Data</strong>: <strong>Data</strong> em que o registro foi gerado.<br />
Hora: Hora em que o registro foi gerado.<br />
Repetição: Número de vezes em que o registro se repetiu seguidamente. Este<br />
campo é mostrado entre parênteses na interface texto.<br />
Status: Este campo, que aparece entre parênteses na interface texto, consiste de<br />
uma a três letras, independentes, que possuem o significado abaixo:<br />
A: Pacote autenticado<br />
E: Pacote encriptado<br />
S: Pacote usando troca de chaves via SKIP ou AKER-CDP<br />
Ação: Este campo indica qual foi a ação tomada pelo firewall com relação ao<br />
pacote. Ele pode assumir os seguintes valores:<br />
A: Indica que o pacote foi aceito pelo firewall<br />
D: Indica que o pacote foi descartado<br />
R: Indica que o pacote foi rejeitado<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 400
IP origem: Endereço IP de origem do pacote que gerou o registro.<br />
IP destino: Endereço IP destino do pacote que gerou o registro.<br />
Tipo de serviço: Tipo de serviço ICMP do pacote que gerou o registro.<br />
Interface: Interface de rede do firewall por onde o pacote foi recebido.<br />
Outros procotolos<br />
Formato do registro:<br />
- <br />
Descrição dos campos:<br />
<strong>Data</strong>: <strong>Data</strong> em que o registro foi gerado.<br />
Hora: Hora em que o registro foi gerado.<br />
Repetição: Número de vezes em que o registro se repetiu seguidamente. Este<br />
campo é mostrado entre parênteses na interface texto.<br />
Status: Este campo, que aparece entre parênteses na interface texto, consiste de<br />
uma a três letras, independentes, que possuem o significado abaixo:<br />
A: Pacote autenticado<br />
E: Pacote encriptado<br />
S: Pacote usando troca de chaves via SKIP ou AKER-CDP<br />
Ação: Este campo indica qual foi a ação tomada pelo firewall com relação ao<br />
pacote. Ele pode assumir os seguintes valores:<br />
A: Indica que o pacote foi aceito pelo firewall<br />
D: Indica que o pacote foi descardado<br />
R: Indica que o pacote foi rejeitado<br />
Protocolo: Nome do protocolo do pacote que gerou o registro (caso o firewall não<br />
consiga resolver o nome do protocolo, será mostrado o seu número).<br />
IP origem: Endereço IP de origem do pacote que gerou o registro.<br />
IP destino: Endereço IP destino do pacote que gerou o registro.<br />
Interface: Interface de rede do firewall por onde o pacote foi recebido.<br />
Registros gerados pelo conversor de endereços<br />
Formato do registro:<br />
- C <br />
Descrição dos campos dos registros<br />
<strong>Data</strong>: <strong>Data</strong> em que o registro foi gerado.<br />
Hora: Hora em que o registro foi gerado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 401
Repetição: Número de vezes que o registro se repetiu seguidamente. Este campo é<br />
mostrado entre parênteses na interface texto.<br />
Protocolo: É o protocolo do pacote que gerou o registro. Pode ser TCP ou UDP.<br />
IP origem: Endereço IP de origem do pacote que gerou o registro.<br />
Porta origem: Porta de origem do pacote que gerou o registro.<br />
IP convertido: Endereço IP para o qual o endereço de origem do pacote foi<br />
convertido.<br />
Porta convertida: Porta para qual a porta de origem do pacote foi convertida.<br />
15.3. Utilizando a interface texto<br />
A interface texto para o acesso ao log tem funcionalidade similar à da interface<br />
gráfica, porém possui opções de filtragem bem mais limitadas. Além disso, através<br />
da interface texto, não se tem acesso às informações complementares que são<br />
mostradas quando se seleciona uma entrada do log na interface gráfica ou quando<br />
se ativa a opção Expande mensagens.<br />
Localização do programa: /aker/bin/firewall/fwlog<br />
Sintaxe:<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
fwlog apaga [log | log6 | eventos] [ ]<br />
fwlog mostra [log | log6 | eventos] [local | cluster] [ ]<br />
[prioridade]<br />
Ajuda do programa:<br />
Uso: fwlog ajuda<br />
fwlog apaga [log | log6 | eventos] [ ]<br />
fwlog mostra [log | log6 | eventos] [local | cluster] [ ]<br />
[prioridade]<br />
fwlog - Interface texto para visualizar log e eventos<br />
mostra = lista o conteudo do log ou dos eventos. Ele pode mostra<br />
apenas o log local ou todo o log do cluster<br />
apaga = apaga todos os registro do log ou dos eventos<br />
ajuda = mostra esta mensagem<br />
Para "mostra" temos: data_inicio = data a partir da qual os registros serão<br />
mostrados<br />
data_fim = data ate onde mostrar os registros<br />
(As datas devem estar no formato dd/mm/aaaa<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 402
(Se nao forem informadas as datas, mostra os registros de<br />
hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes<br />
valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO<br />
(Ao selecionar uma prioridade, somente serão listados<br />
registros cuja prioridade for igual a informada)<br />
Exemplo 1: (mostrando o log do dia 07/07/2003)<br />
#fwlog mostra log 07/07/2003 07/07/2003<br />
07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0<br />
07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0<br />
07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0<br />
07/07/2003 19:06:22 (01) A TCP 10.4.1.24 1027 10.5.1.1 23 de0<br />
07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0<br />
07/07/2003 19:06:21 (01) A ICMP 10.5.1.134 10.4.1.12 8 de1<br />
07/07/2003 19:06:20 (01) A ICMP 10.4.1.12 137 10.5.1.134 0 de0<br />
07/07/2003 19:06:02 (01) A UDP 10.4.1.59 1050 10.7.1.25 53 de0<br />
Exemplo 2: (mostrando o log do dia 07/07/2003, apenas prioridade notícia)<br />
#fwlog mostra log 07/07/2003 07/07/2003 noticia<br />
07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0<br />
07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0<br />
07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0<br />
07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0<br />
Exemplo 3: (apagando o arquivo de log)<br />
#fwlog apaga log 21/10/2003 23/10/2003 Remocao dos registros foi solicitada ao<br />
servidor de log<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 403
Visualizando Eventos do<br />
Sistema<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 404
16. Visualizando Eventos do Sistema<br />
Este capítulo mostrará como visualizar os eventos do sistema, um recurso muito útil<br />
para acompanhar o funcionamento do firewall e detectar possíveis ataques e erros<br />
de configuração.<br />
O que são os eventos do sistema?<br />
Eventos são as mensagens do firewall de nível mais alto, ou seja, não relacionadas<br />
diretamente a pacotes (como é o caso do log). Nos eventos, podem aparecer<br />
mensagens geradas por qualquer um dos três grandes módulos (filtro de pacotes,<br />
conversor de endereços e autenticação/criptografia) e por qualquer outro<br />
componente do firewall, como por exemplo, os proxies e os processos servidores<br />
encarregados de tarefas específicas.<br />
Basicamente, o tipo de informação mostrada varia desde mensagens úteis para<br />
acompanhar o funcionamento do sistema (uma mensagem gerada todas as vezes<br />
que a máquina é reiniciada, todas as vezes que alguém estabelece uma sessão<br />
com o firewall, etc) até mensagens provocadas por erros de configuração ou de<br />
execução.<br />
O que é um filtro de eventos?<br />
Mesmo que o sistema tenha sido configurado para registrar todos os possíveis<br />
eventos, muitas vezes está interessado em alguma informação específica (por<br />
exemplo, suponha que queira ver todas as mensagens do dia de ontem). O filtro de<br />
eventos é um mecanismo oferecido pelo <strong>Aker</strong> Firewall para criar visões do conjunto<br />
total de mensagens, possibilitando que obtenha as informações desejadas<br />
facilmente.<br />
O filtro só permite a visualização de informações que tiverem sido registradas nos<br />
eventos. Caso queira obter uma determinada informação deve-se inicialmente<br />
configurar o sistema para registrá-la e então utilizar um filtro para visualizá-la.<br />
16.1. Utilizando a interface gráfica<br />
Para ter acesso a janela de eventos deve-se:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 405
Figura 265. Janela de acesso - Eventos.<br />
Clicar no menu Auditoria do firewall que se deseja visualizar os eventos;<br />
Selecionar a opção Eventos.<br />
A barra de ferramentas de Eventos<br />
Todas as vezes que a opção Eventos é selecionada, é mostrada automaticamente a<br />
barra de ferramentas de Eventos. Esta barra, que estará ao lado das outras barras,<br />
poderá ser arrastada e ficar flutuando acima das informações dos Eventos. Ela tem<br />
o seguinte formato:<br />
Significado dos Ícones:<br />
Figura 266. Barra de ferramentas: Eventos.<br />
Abre a janela de filtragem dos Eventos;<br />
Este ícone somente irá aparecer quando o firewall estiver fazendo uma<br />
procura no Evento. Ele permite interromper a busca do firewall;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 406
Exporta os Eventos para diversos formatos de arquivos;<br />
Apaga os Eventos do firewall;<br />
Permite fazer uma atualização da tela de eventos dentro de um<br />
determinado período definido no campo seguinte;<br />
Define o tempo que o firewall irá atualizar a janela com informações de<br />
eventos;<br />
Percorre os Eventos para frente e para trás;<br />
Expande as mensagens de Evento, mostrando as mesmas com o<br />
máximo de informação;<br />
Ao clicar no ícone de filtragem a seguinte janela será mostrada:<br />
A janela de filtro de eventos<br />
Figura 267. Filtro de eventos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 407
Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. O<br />
botão Salvar permite que seja salvo os campos de um filtro de forma a facilitar sua<br />
aplicação posterior e o botão excluir permite que seja excluído um filtro salvo não<br />
mais desejado.<br />
Para salvar um filtro de eventos, deve-se proceder da seguinte forma:<br />
1. Preencher todos os seus campos da forma desejada.<br />
2. Definir, no campo Filtros, o nome pelo qual ele será referenciado.<br />
3. Clicar no botão Salvar.<br />
Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos<br />
os campos serão automaticamente preenchidos com os dados salvos.<br />
Para excluir um filtro que não mais seja desejado, deve-se proceder da seguinte<br />
forma:<br />
1. Selecionar o filtro a ser removido, no campo Filtros.<br />
2. Clicar no botão Excluir.<br />
O filtro padrão é configurado para mostrar todos as mensagens do dia atual. Para<br />
alterar a visualização para outros dias, pode-se configurar a <strong>Data</strong> Inicial e a <strong>Data</strong><br />
Final para os dias desejados (a faixa de visualização compreende os registros da<br />
data inicial à data final, inclusive).<br />
Além de especificar as datas, é possível também determinar quais mensagens<br />
devem ser mostradas. A opção Filtrar por permite escolher entre a listagem de<br />
mensagens ou de prioridades.<br />
Filtragem por mensagens<br />
Ao selecionar filtragem por mensagens, seram mostrados na lista do lado<br />
esquerdo da janela os nomes de todos os módulos que compõem o firewall. Ao<br />
clicar em um destes módulos, seram mostradas na lista à direita as diferentes<br />
mensagens que podem ser geradas por ele.<br />
Dica: Para selecionar todas as mensagens de um módulo, deve-se clicar sobre a<br />
caixa à esquerda do nome do módulo.<br />
Filtragem por prioridade<br />
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for<br />
a prioridade associada a um determinado registro, mais importância deve-se dar<br />
a ele.<br />
Ao selecionar filtragem por prioridade, será mostrado na lista do lado esquerdo<br />
da janela o nome de todos os módulos que compõem o firewall. Ao clicar em um<br />
destes módulos, seram mostradas na lista à direita as diferentes prioridades das<br />
mensagens que podem ser geradas por ele.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 408
Abaixo, está a lista com todas as prioridades possíveis, ordenadas das mais<br />
importantes para as menos importantes (caso tenha configurado o firewall para<br />
mandar uma cópia dos eventos para o syslog, as prioridades com as quais as<br />
mensagens serão geradas no syslog são as mesmas apresentadas abaixo):<br />
Erro<br />
Os registros que se enquadrem nesta prioridade indicam algum tipo de erro de<br />
configuração ou de operação do sistema (por exemplo, falta de memória).<br />
Mensagens desta prioridade são raras e devem ser tratadas imediatamente.<br />
Alerta<br />
Os registros que se enquadrarem nesta prioridade indicam que algum tipo de<br />
situação séria e não considerada normal ocorreu (por exemplo, uma falha na<br />
validação de um usuário ao estabelecer uma sessão de administração remota).<br />
Aviso<br />
Enquadram-se nesta prioridade os registros que trazem informações que são<br />
consideradas importantes para o administrador do sistema, mas estão<br />
associadas a uma situação normal (por exemplo, um administrador iniciou uma<br />
sessão remota de administração).<br />
Informação<br />
Os registros desta prioridade acrescentam informações úteis mas não tão<br />
importantes para a administração do Firewall (por exemplo, uma sessão de<br />
administração remota foi finalizada).<br />
Depuração<br />
Os registros desta prioridade não trazem nenhuma informação realmente<br />
importante, exceto no caso de uma auditoria. Nesta prioridade se encaixam as<br />
mensagens geradas pelo módulo de administração remota todas as vezes que é<br />
feita uma alteração na configuração do firewall e uma mensagem gerada todas<br />
as vezes que o firewall é reinicializado.<br />
Como última opção de filtragem, existe o campo Filtrar no complemento por.<br />
Este campo permite que seja especificado um texto que deve existir nos<br />
complementos de todas as mensagens para que elas sejam mostradas. Desta<br />
forma, é possível, por exemplo, visualizar todas as páginas WWW acessadas por<br />
um determinado usuário, bastando para isso colocar seu nome neste campo.<br />
O botão OK aplicará o filtro escolhido e mostrará a janela de eventos, com as<br />
informações selecionadas.<br />
O botão Cancelar fará com que a operação de filtragem seja cancelada e a<br />
janela de eventos será mostrada com as informações anteriores.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 409
A janela de eentos<br />
Figura 268. Descrição dos Eventos.<br />
A janela de eventos será mostrada após a aplicação de um novo filtro. Ela consiste<br />
de uma lista com várias mensagens. Normalmente, cada linha corresponde a uma<br />
mensagem distinta, porém existem mensagens que podem ocupar 2 ou 3 linhas. O<br />
formato das mensagens será mostrado na próxima seção.<br />
Observações importantes:<br />
As mensagens serão mostradas de 100 em 100.<br />
Só serão mostradas as primeiras 10.000 mensagens que são enquadradas no<br />
filtro escolhido. As demais podem ser vistas exportando os eventos para um<br />
arquivo ou utilizando um filtro que produza um número menor de mensagens.<br />
No lado esquerdo de cada mensagem, será mostrado um ícone colorido<br />
simbolizando sua prioridade. As cores têm o seguinte significado:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 410
Azul<br />
Verde<br />
Amarelo<br />
Vermelho<br />
Preto<br />
Depuração<br />
Informação<br />
Notícia<br />
Advertência<br />
Erro<br />
Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte<br />
inferior da tela uma linha com informações adicionais sobre ela.<br />
Ao apagar todos os eventos, não existe nenhuma maneira de recuperar as<br />
informações anteriores. A única possibilidade de recuperação é a restauração de<br />
uma cópia de segurança.<br />
O botão Salvar, localizado na barra de ferramentas, gravará todas as<br />
informações selecionadas pelo filtro atual em um arquivo em formato texto ou em<br />
formatos que permitem sua importação pelos analisadores de log da <strong>Aker</strong> e da<br />
WebTrends (R) . Os arquivos consistirão de várias linhas de conteúdo igual ao<br />
mostrado na janela.<br />
Se a opção Expande mensagens estiver marcada e se tiver escolhido a opção<br />
de exportação em formato texto, os eventos serão exportados com as mensagens<br />
complementares; caso contrário, os eventos serão exportados sem elas.<br />
Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa,<br />
para guardar uma cópia em formato texto de informações importantes ou para<br />
importar os eventos por um analisador de log citado acima. Ao ser clicado, será<br />
mostrada a seguinte janela:<br />
Figura 269. Exportar log de eventos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 411
Para exportar o conteúdo dos eventos, basta fornecer o nome do arquivo a ser<br />
criado, escolher seu formato e clicar no botão Salvar. Para cancelar a operação,<br />
clique em Cancelar.<br />
Se já existir um arquivo com o nome informado ele será apagado.<br />
O botão Próximos 100, representado como uma seta para a direita na barra de<br />
ferramentas mostrará as últimas 100 mensagens selecionadas pelo filtro. Se não<br />
existirem mais mensagens, esta opção estará desabilitada.<br />
O botão Últimos 100, representado como uma seta para a esquerda na barra de<br />
ferramentas mostrará as 100 mensagens anteriores. Se não existirem<br />
mensagens anteriores, esta opção estará desabilitada.<br />
O botão Ajuda mostrará a janela de ajuda específica para a janela de eventos.<br />
16.2. Formato e significado dos campos das mensagens de eventos<br />
Abaixo segue a descrição do formato das mensagens, seguido de uma descrição de<br />
cada um de seus campos. A listagem completa de todas as possíveis mensagens e<br />
seus significados se encontra no apêndice A.<br />
Formato do registro:<br />
[Complemento]<br />
[Mensagem complementar 1]<br />
[Mensagem complementar 2]<br />
Descrição dos campos:<br />
<strong>Data</strong>: <strong>Data</strong> em que o registro foi gerado.<br />
Hora: Hora em que o registro foi gerado.<br />
Mensagem: Mensagem textual que relata o acontecimento.<br />
Complemento: Este campo traz informações complementares e pode ou não<br />
aparecer, dependendo da mensagem. Na interface texto, caso ele apareça, virá<br />
entre parênteses.<br />
Mensagem complementar 1 e 2: Estes complementos só existem no caso de<br />
mensagens relacionadas às conexões tratadas pelos proxies transparentes e nãotransparentes<br />
e são mostrados sempre na linha abaixo da mensagem a que se<br />
referem. Nestas mensagens complementares, se encontram o endereço origem da<br />
conexão e, no caso dos proxies transparentes, o endereço destino.<br />
16.3. Utilizando a interface texto<br />
A interface texto para o acesso aos eventos tem funcionalidade similar à da<br />
interface gráfica. Todas as funções da interface gráfica estão disponíveis, exceto a<br />
opção de filtragem de mensagens e o fato de que através da interface texto não tem<br />
acesso às informações complementares que são mostradas quando selecionada<br />
uma mensagem de eventos na interface gráfica ou quando se ativa a opção<br />
Expande mensagens.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 412
O programa que faz a interface texto com os eventos é o mesmo usado para a<br />
interface com o log e foi mostrado também no capítulo anterior.<br />
Localização do programa: /aker/bin/firewall/fwlog<br />
Sintaxe:<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
fwlog apaga [log | eventos] [ ]<br />
fwlog mostra [log | eventos] [local | cluster] [ ] [prioridade]<br />
Ajuda do programa:<br />
Uso: fwlog ajuda<br />
fwlog apaga [log | eventos] [ ]<br />
fwlog mostra [log | eventos] [local | cluster] [ ] [prioridade]<br />
fwlog - Interface texto para visualizar log e eventos<br />
mostra = lista o conteudo do log ou dos eventos. Ele pode mostra<br />
apenas o log local ou todo o log do cluster<br />
apaga = apaga todos os registro do log ou dos eventos<br />
ajuda = mostra esta mensagem<br />
Para mostra temos: data_inicio = data a partir da qual os registros serao mostrados<br />
data_fim = data ate onde mostrar os registros<br />
(As datas devem estar no formato dd/mm/aaaa<br />
(Se nao forem informadas as datas, mostra os registros de<br />
hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes<br />
valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO<br />
(Ao selecionar uma prioridade, somente serão listados<br />
registros cuja prioridade for igual a informada)<br />
Exemplo 1: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006)<br />
#fwlog mostra eventos 05/01/2006 06/01/2006<br />
06/01/2006 11:39:35 Sessao de administracao finalizada<br />
06/01/2006 09:13:09 Sessao de administracao estabelecida (administrador, CF CL<br />
GU)<br />
06/01/2006 09:13:09 Pedido de conexao de administracao (10.4.1.14)<br />
06/01/2006 09:09:49 Operacao sobre o arquivo de log (Compactar)<br />
05/01/2006 10:27:11 <strong>Aker</strong> Firewall v6.0 - Inicializacao completa<br />
05/01/2006 08:57:11 Tabela de conversão UDP cheia<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 413
Exemplo 2: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006, apenas<br />
prioridade depuração)<br />
#fwlog mostra eventos 05/01/2006 06/01/2006 depuracao<br />
06/01/2006 09:09:49 Operacao sobre o arquivo de log (Compactar)<br />
05/01/2006 10:27:11 <strong>Aker</strong> Firewall v6.0 - Inicializacao completa<br />
Exemplo 3: (removendo todo o conteúdo do arquivo de eventos)<br />
#fwlog apaga eventos 21/01/2006 23/01/2006<br />
Remocao dos registros foi solicitada ao servidor de log<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 414
Visualizando Estatísticas<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 415
17. Visualizando Estatísticas<br />
Este capítulo mostrará sobre o que é a janela de estatística e suas características.<br />
O que é a janela de estatísticas do <strong>Aker</strong> Firewall?<br />
No Firewall, a estatística é um método de medir o tráfego de dados através de suas<br />
interfaces. Este tráfego é traduzido em números que mostram a quantidade de<br />
pacotes enviados ou recebidos, além do tamanho total de bytes trafegados.<br />
Utilizando-se destas informações, o administrador consegue verificar o fluxo de<br />
dados de seus serviços podendo, assim saber se o ambiente físico da rede precisa<br />
ser melhorado ou expandido.<br />
Outra utilização para este tipo de informação é a realização de bilhetagem da rede.<br />
Tendo-se conhecimento da quantidade de bytes que cada máquina transferiu na<br />
rede, calcula-se o quanto que cada uma deve ser taxada.<br />
Para realizar bilhetagem de rede, deve ser criado uma regra de filtragem com um<br />
acumulador diferente para cada máquina a ser taxada. Todos os acumuladores<br />
devem ter regras de estatísticas associados a eles. Estas regras são configuradas<br />
na janela de visualização de estatística.<br />
Como funcionam as estatísticas do <strong>Aker</strong> Firewall?<br />
O funcionamento das estatísticas do <strong>Aker</strong> Firewall é baseado em três etapas<br />
distintas:<br />
Criação de Acumuladores:<br />
Nesta etapa, cadastramos os acumuladores que serão associados a regras de<br />
filtragem. Eles servem apenas como totalizadores de uma ou mais regras de<br />
filtragem. Para maiores informações sobre a criação de acumuladores e sua<br />
associação com regras de filtragem, vejam os capítulos Cadastrando Entidades<br />
e O Filtro de Estados.<br />
Criação de regras de estatística:<br />
Após a criação dos acumuladores e sua associação com as regras de filtragem<br />
desejadas, devemos criar regras de estatística que definem os intervalos de<br />
coleta e quais acumuladores serão somados para gerar o valor da estatística em<br />
um dado momento. Esta etapa será explicada neste capítulo.<br />
Visualização das estatísticas:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 416
Após a criação das regras de estatísticas, podemos ver os valores associados a<br />
cada uma delas, exportá-los ou traçar gráficos. Esta etapa também será<br />
mostrada neste capítulo.<br />
17.1. Utilizando a interface gráfica<br />
Para ter acesso a janela de configuração de estatística deve-se:<br />
Figura 270. Janelas de eventos - Estatística.<br />
Clicar no menu Auditoria da janela do firewall que queira administrar.<br />
Selecionar o item Estatísticas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 417
A janela de regras de estatística<br />
Figura 271. Regras de estatística.<br />
A janela de estatísticas contém todas as regras de estatística definidas no <strong>Aker</strong><br />
Firewall. Cada regra será mostrada em uma linha separada, composta de diversas<br />
células. Caso uma regra esteja selecionada, ela será mostrada em uma cor<br />
diferente:<br />
O botão OK fará com que o conjunto de estatísticas seja atualizado e passe a<br />
funcionar imediatamente.<br />
O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela seja fechada.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 418
A barra de rolagem do lado direito serve para visualizar as regras que não<br />
couberem na janela.<br />
Cada regra de estatística é composta dos seguintes campos:<br />
Nome: Nome da estatística, utilizada para facilitar a sua referência. Deve possuir<br />
um nome único entre o conjunto de regras;<br />
Intervalo: Corresponde ao intervalo de tempo que fará a totalização da regra, ou<br />
seja, a soma dos valores de todos os acumuladores presentes na regra;<br />
Acumulador: Este campo define quais os acumuladores farão parte da regra;<br />
Hora: Esta tabela define as horas e dias da semana em que a regra é aplicável.<br />
As linhas representam os dias da semana e as colunas as horas. Caso queira<br />
que a regra seja aplicável em determinada hora o quadrado deve ser<br />
preenchido, caso contrário o quadrado deve ser deixado em branco.<br />
Para interagir com a janela de regras, utilize a barra de ferramentas localizada na<br />
parte superior da janela ou clicar com o botão direito sobre ela.<br />
Figura 272. Barra de ferramentas - Regras de estatística.<br />
Inserir: Permite a inclusão de uma nova regra na lista.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver<br />
selecionada, a nova será copiada para a posição da regra selecionada. Caso<br />
contrário ela será copiada para o final da lista.<br />
Excluir: Remover da lista a regra selecionada.<br />
Habilitar/Desabilitar: Ativar ou desativar a regra selecionada da lista.<br />
Visualização: Exibe a janela de visualização de estatísticas relativa a regra<br />
selecionada.<br />
Visualizando estatísticas<br />
Ao clicar no botão Visualização ou clicar duas vezes sobre uma regra de<br />
estatística, a seguinte janela será mostrada:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 419
Figura 273. Visualizar estatísticas.<br />
Nesta janela, os dados computados para a estatística selecionada serão mostrados<br />
em formato gráfico ou texto . Estas informações são relativas a data de<br />
início e fim especificadas na parte superior da janela. Para alterar esta data deve-se<br />
escolher os campos de <strong>Data</strong>, colocando as datas de início e de finalização da<br />
pesquisa.<br />
Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro refere a<br />
contabilização dos acumuladores da estatística em um determinado tempo.<br />
O botão Remover<br />
especificado.<br />
desta pasta irá remover o conjunto de registros com o tempo<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 420
Gráfico: Representa os dados contidos na pasta Leitura em formato gráfico. O<br />
gráfico é gerado ao ser pressionado o botão na barra de ferramentas.<br />
Este gráfico também permite que o usuário selecione qual linha deve ser<br />
mostrada pressionando-se os rótulos dos mesmos.<br />
Figura 274. Visualizar estatísticas – Gráfico.<br />
Ao pressionar o botão de salvar estatísticas a janela abaixo irá aparecer de<br />
modo a escolher o nome do arquivo. Este arquivo é gravado no formato CSV que<br />
permite sua manipulação através de planilhas de cálculo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 421
Figura 275. Exportar estatística.<br />
A barra de ferramentas da visualização das estatísticas<br />
A barra de ferramentas da visualização das estatísticas terá as seguintes funções:<br />
Figura 276. Barra de ferramentas: visualização das estatísticas.<br />
O botão salvar registros permite a exportação dos dados gerados<br />
pelos contadores;<br />
Este botão irá excluir os registros selecionados gerados pelos<br />
contadores;<br />
Este é o botão de navegação dos dados registrados pelos<br />
contadores e que estão sendo exibidos pelas estatísticas.<br />
17.2. Utilizando a interface texto<br />
A interface texto para o acesso às estatísticas tem funcionalidade similar à da<br />
interface gráfica. Todas as funções da interface gráfica estão disponíveis, exceto a<br />
opção de verificar os dados através de gráfico e de se verificar em quais regras os<br />
acumuladores de uma determinada estatística estão presentes.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 422
A tabela de horário é visualizada da seguinte forma:<br />
O símbolo “:” (dois pontos) informa que a regra é valida para os dois dias da<br />
semana que aparecem separados por / .Ex: Dom/Seg<br />
O símbolo “.” (ponto) informa que a regra so é válida para o dia da semana que<br />
segue o caractere / .Ex: Dom/Seg - Seg<br />
O símbolo “ ' ” (acento) informa que a regra so é válida para o dia da semana que<br />
antecede o caractere / .Ex: Dom/Seg - Dom<br />
Localização do programa: /aker/bin/firewall/fwstat<br />
Sintaxe:<br />
fwstat ajuda<br />
mostra [[-c] [ ]]<br />
inclui [ [acumulador2] ...]<br />
remove <br />
desabilita [ ]<br />
habilita [ ]<br />
Ajuda do programa:<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
Uso: fwstat ajuda mostra [[-c] [ ]]<br />
inclui [ [acumulador2] ...]<br />
remove <br />
desabilita [ ]<br />
habilita [ ]<br />
ajuda = mostra esta mensagem<br />
mostra = sem parametros, mostra as estatisticas cadastradas com, mostra os dados<br />
coletados para estatistica = nome da estatistica<br />
-c = resultado no formato CSV (comma separated value) (util para importar dados<br />
em planilhas eletronicas) datas = dadas limite para mostrar dados<br />
inclui = adiciona uma estatistica de nome "estatistica"<br />
remove = remove uma estatistica de nome "estatistica"<br />
periodo = periodo de captura dos dados (segundos)<br />
acumulador_ = nome das entidades acumulador para ler<br />
desabilita = desabilita uma estatistica<br />
habilita = habilita uma estatistica dia<br />
hora = se especificado (sempre ambos), habilita ou desabilita apenas para a hora<br />
especificada. 'dia' pertence a {dom, seg, ter, ...} e 'hora' a {0..23}<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 423
Exemplo 1: (mostrando as estatísticas)<br />
#fwstat mostra<br />
Nome : estatistica1 (habilitada)<br />
----<br />
Periodo : 17400 segundo(s)<br />
Acumuladores: a1<br />
Horario :<br />
Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23<br />
-------------------------------------------------------------------------------<br />
Dom/Seg |: : : : : : : : : : : : : : : :<br />
Ter/Qua |: : : : : : : : : : : : : : : :<br />
Qui/Sex |: : : : : : : : : : : : : : : :<br />
Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' '<br />
Nome : estatistica2<br />
(habilitada)<br />
----<br />
Periodo : 100 segundo(s)<br />
Acumuladores: a1 a11<br />
Horario :<br />
Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23<br />
-------------------------------------------------------------------------------<br />
Dom/Seg |: : : : : : : : : : : : : : : : : : : : : : : :<br />
Ter/Qua |: : : : : : : : : : : : : : : : : : : : : : : :<br />
Qui/Sex |: : : : : : : : : : : : : : : : : : : : : : : :<br />
Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' '<br />
Exemplo 2: (mostrando a estatística do dia 28/10/2001 ao dia 29/10/2001)<br />
#fwstat mostra estatistica 28/10/2001 29/10/2001<br />
Dia Hora Enviados (bytes/pacotes) Recebidos (bytes/pacotes)<br />
-----------------------------------------------------------------------<br />
29/10/2001 17:24:54 320/1 321/1<br />
29/10/2001 17:23:14 652/6 654/6<br />
29/10/2001 17:21:34 234/2 980/9<br />
29/10/2001 17:19:54 324/3 650/6<br />
29/10/2001 17:18:14 325/3 150/1<br />
29/10/2001 17:16:34 985/9 240/2<br />
29/10/2001 17:14:54 842/8 840/8<br />
29/10/2001 17:13:14 357/3 289/2<br />
29/10/2001 16:58:14 786/7 261/2<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 424
Visualizando e Removendo<br />
Conexões<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 425
18. Visualizando e Removendo conexões<br />
Neste capítulo mostrará como visualizar e remover conexões TCP e sessões UDP<br />
em tempo real.<br />
O que são conexões ativas?<br />
Conexões ativas são conexões TCP ou sessões UDP que estão ativas através do<br />
firewall. Cada uma destas conexões foi validada através de uma regra do filtro de<br />
estados, acrescentada pelo administrador do sistema, ou por uma entrada na tabela<br />
de estados, acrescentada automaticamente pelo <strong>Aker</strong> Firewall.<br />
Para cada uma destas conexões, o firewall mantém diversas informações em suas<br />
tabelas de estado. Algumas destas informações são especialmente úteis para o<br />
administrador e podem ser visualizadas a qualquer momento através da janela de<br />
conexões ativas. Dentre estas informações, pode-se citar a hora exata do<br />
estabelecimento da conexão e o tempo em que ela se encontra parada, isto é, sem<br />
que nenhum pacote trafegue por ela.<br />
18.1. Utilizando a interface gráfica<br />
Para ter acesso a janela de conexões ativas deve-se:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 426
Figura 277. Janela de acesso - Conexões TCP.<br />
Clicar no menu Informação do firewall que queira visualizar.<br />
Selecionar Conexões TCP ou Conexões UDP.<br />
A janela de conexões ativas<br />
A janela de conexões ativas é onde são mostradas todas as conexões IPv4 e IPv6,<br />
que estão passando pelo firewall em um determinado instante. As janelas para os<br />
protocolos TCP e UDP são exatamente iguais, com a exceção do campo chamado<br />
Status que somente existe na janela de conexões TCP.<br />
Para simplificar o entendimento, fala-se de conexões TCP e UDP, entretanto, isto<br />
não é totalmente verdadeiro devido ao protocolo UDP ser um protocolo não<br />
orientado à conexão. Na verdade, quando se fala em conexões UDP refere-se às<br />
sessões onde existe tráfego nos dois sentidos. Cada sessão pode ser vista como<br />
um conjunto dos pacotes de requisição e de resposta que fluem através do firewall<br />
para um determinado serviço provido por uma determinada máquina e acessado por<br />
outra.<br />
Essa janela é composta de quatro pastas: nas duas primeiras são mostradas<br />
uma lista com as conexões ativas tanto IPv4 como IPv6 e as duas últimas permitem<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 427
visualizar gráficos em tempo real das máquinas e serviços mais acessados, das<br />
conexões IPv4e IPv6.<br />
Pasta de conexões IPv4<br />
Figura 278. Conexões TCP – Conexões IPv4.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 428
Pasta de conexões IPV6<br />
Figura 279. Conexões TCP – Conexões IPv6.<br />
As pastas, conexão IPv4 e conexão IPv6, consistem de uma lista com uma entrada<br />
para cada conexão ativa. Na parte inferior da janela é mostrada uma mensagem<br />
informando o número total de conexões ativas em um determinado instante. As<br />
velocidades, total e média, são exibidas na parte inferior da janela.<br />
O botão OK faz com que a janela de conexões ativas seja fechada.<br />
Caixa Filtro exibe as opções de filtragem sendo possível selecionar os<br />
endereços origem ou destino e/ou portas para serem exibidos na janela.<br />
A opção Mostrar itens selecionados no topo coloca as conexões selecionadas<br />
no topo da janela para melhor visualização.<br />
A opção Remover, que aparece ao clicar com o botão direito sobre uma<br />
conexão, permite remover uma conexão.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 429
Ao remover uma conexão TCP, o firewall envia pacotes de reset para as<br />
máquinas participantes da conexão, efetivamente derrubando-a, e remove a entrada<br />
de sua tabela de estados. No caso de conexões UDP, o firewall simplesmente<br />
remove a entrada de sua tabela de estados, fazendo com que não sejam mais<br />
aceitos pacotes para a conexão removida.<br />
Figura 280. Barra de ferramentas: conexões TCP.<br />
Todas as alterações efetuadas na barra de ferramentas, quando a opção conexão<br />
ipv4 ou a opção gráfico ipv4, estiverem selecionadas, também serão realizados nas<br />
opções, conexão ipv6 ou gráfico ipv6, e assim respectivamente.<br />
O botão Atualizar, localizado na barra de ferramentas faz com que as<br />
informações mostradas sejam atualizadas periodicamente de forma automática<br />
ou não. Ao clicar sobre ele permite alternar entre os dois modos de operação. O<br />
intervalo de atualização pode ser configurado mudando o valor logo à direita<br />
deste campo.<br />
O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes<br />
(DNS) para resolver os nomes das máquinas cujos endereços IP's aparecem<br />
listados. Cabe ser observado, os seguintes pontos:<br />
1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, a<br />
tradução dos nomes é feita em segundo plano.<br />
2. Muitas vezes, devido aos problemas de configuração do DNS reverso<br />
(que é o utilizado para resolver nomes a partir de endereços IP), não será<br />
possível a resolução de certos endereços. Neste caso, os endereços não<br />
resolvidos serão mantidos na forma original e será indicado ao seu lado<br />
que eles não possuem DNS reverso configurado.<br />
A opção Desabilitar gráficos desabilita o desenho do gráfico de conexões,<br />
sendo indicada para máquinas especialmente lentas.<br />
A opção Mostrar velocidade das conexões, se ativa, faz com que a interface<br />
calcule e mostre a velocidade de cada conexão em bits/s.<br />
É possível ordenar a lista das conexões por qualquer um de seus campos,<br />
bastanto para isso clicar no título do campo. O primeiro click produzirá uma<br />
ordenação ascendente e o segundo uma ordenação descendente.<br />
Pasta Gráfico de Conexões IPv4 e IPv6<br />
As pastas, gráfico IPv4 e gráfico IPv6, consistem de dois gráficos: o gráfico superior<br />
mostram os serviços mais utilizados e o gráfico inferior mostram as máquinas que<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 430
mais acessam serviços ou que mais são acessadas. No lado direito existe uma<br />
legenda mostrando qual máquina ou serviço correspondem a qual cor do gráfico.<br />
Figura 281. Conexões TCP – Gráfico de conexões IPv4.<br />
O intervalo de tempo no qual o gráfico é atualizado é o mesmo configurado na<br />
pasta de conexões.<br />
Significado dos campos de uma conexão ativa IPv6 e IPv4<br />
Cada linha presente na lista de conexões ativas representa uma conexão. O<br />
significado de seus campos é mostrado a seguir:<br />
IP origem: Endereço IP da máquina que iniciou a conexão.<br />
Porta origem: Porta usada pela máquina de origem para estabelecer a conexão.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 431
IP destino: Endereço IP da máquina para a qual a conexão foi efetuada.<br />
Porta destino: Porta para qual a conexão foi estabelecida. Esta porta normalmente<br />
está associada a um serviço específico.<br />
Início: Hora de abertura da conexão.<br />
Inativo: Número de minutos e segundos de inatividade da conexão.<br />
Estado Atual: Este campo só aparece no caso de conexões TCP. Ele representa o<br />
estado da conexão no instante mostrado e pode assumir um dos seguintes valores:<br />
SYN Enviado: Indica que o pacote de abertura de conexão (pacote com flag de<br />
SYN) foi enviado, porém a máquina servidora ainda não respondeu.<br />
SYN Trocados: Indica que o pacote de abertura de conexão foi enviado e a<br />
máquina servidora respondeu com a confirmação de conexão em andamento.<br />
Estabelecida: Indica que a conexão está estabelecida.<br />
Escutando Porta: Indica que a máquina servidora está escutando na porta<br />
indicada, aguardando uma conexão a partir da máquina cliente. Isto só ocorre no<br />
caso de conexões de dados FTP.<br />
Bytes Enviados/Recebidos: Estes campos só aparecem no caso de conexões<br />
TCP, e indicam o número de bytes trafegados por esta conexão em cada um dos<br />
dois sentidos.<br />
Pacotes Enviados/Recebidos: Estes campos só aparecem no caso de conexões<br />
TCP, e indicam o número de pacotes IP trafegados por esta conexão em cada um<br />
dos dois sentidos.<br />
18.2. Utilizando a interface texto<br />
A interface texto para acesso à lista de conexões ativas possui as mesmas<br />
capacidades da interface gráfica. O mesmo programa trata as conexões TCP e<br />
UDP.<br />
Localização do programa: /aker/bin/firewall/fwlist<br />
Sintaxe:<br />
Uso: fwlist ajuda<br />
fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]<br />
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino<br />
fwlist remove sessao IP_origem<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 432
Ajuda do programa:<br />
fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas<br />
Uso: fwlist ajuda<br />
fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]<br />
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino<br />
fwlist remove sessao IP_origem<br />
ajuda = mostra esta mensagem<br />
mostra = lista as conexoes ou sessoes ativas<br />
remove = remove uma conexao ou sessao ativa<br />
Exemplo 1: (listando as conexões ativas TCP)<br />
#fwlist mostra TCP<br />
Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado<br />
-------------------------------------------------------------------------------<br />
10.4.1.196:1067 10.4.1.11:23 15:35:19 00:00 Estabelecida<br />
10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida<br />
Exemplo 2: (listando as conexões ativas UDP)<br />
#fwlist mostra UDP<br />
Origem (IP:porta) Destino (IP:porta) Inicio Inativo<br />
-----------------------------------------------------------<br />
10.4.1.1:1099 10.4.1.11:53 15:35:19 00:00<br />
10.4.1.18:1182 10.5.2.1:111 15:36:20 00:10<br />
Exemplo 3: (removendo uma conexão TCP e listando as conexões)<br />
#fwlist remove tcp 10.4.1.196 1067 10.4.1.11 23<br />
#fwlist mostra TCP<br />
Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado<br />
-------------------------------------------------------------------------------<br />
10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 433
Utilizando o Gerador de<br />
Relatórios<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 434
19. Utilizando o Gerador de Relatórios<br />
Este capítulo mostrará para que serve e como configurar os Relatórios no <strong>Aker</strong><br />
Firewall.<br />
Visando disponibilizar informações a partir de dados presentes nos registros de log<br />
e eventos, bem como apresentar uma visão sumarizada dos acontecimentos para a<br />
gerência do Firewall, foi desenvolvida mais esta ferramenta. Neste contexto<br />
trataremos dos relatórios que nutrirão as informações gerenciais.<br />
Os relatórios são gerados nos formatos HTML, TXT ou PDF, publicados via FTP em<br />
até três sites distintos ou enviados através de e-mail para até três destinatários<br />
distintos. Podem ser agendados das seguintes formas: "Diário", "Semanal",<br />
"Quinzenal", "Mensal", "Específico" e também em tempo real de execução.<br />
19.1. Acessando Relatórios<br />
Para ter acesso à janela de Relatórios deve-se:<br />
Figura 282. Janela de acesso - Relatório.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 435
Clicar no menu Auditoria da janela de administração do firewall.<br />
Selecionar o item Relatório.<br />
19.2. Configurando os Relatórios<br />
Figura 283. Configurando relatório - Diário.<br />
Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal", "Mensal",<br />
"Quinzenal", "Específico" e em tempo real. Em todos será necessário escolher quais<br />
sub-relatórios serão incluídos.<br />
Para executar qualquer relatório, deve-se clicar com o botão direito do mouse sobre<br />
ele. Aparecerá o seguinte menu: (este menu será acionado sempre que for<br />
pressionado o botão direito, mesmo que não exista nenhum relatório selecionado.<br />
Neste caso, somente as opção Inserir estará habilitada); inclusive podendo ser<br />
executada a partir da barra de ferramentas.<br />
Inserir: Esta opção permite incluir um novo relatório.<br />
Ao tentar inserir um novo relatório constará três abas:<br />
Aba geral<br />
Nesta aba serão configurados os seguintes campos:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 436
Figura 284. Configuração do relatório - geral.<br />
Título do Relatório: Atribuir nome ao relatório.<br />
Agendamento: Definir hora que será gerado o relatório.<br />
Formato do Relatório: Define em qual formato será gerado o relatório. As<br />
opções de formato são:<br />
TXT: Ao selecionar esta opção é gerado um arquivo chamado report.txt<br />
que contém o relatório.<br />
HTML: Ao selecionar esta opção é gerado um arquivo chamado<br />
index.html que contém o relatório.<br />
PDF: Ao selecionar esta opção é gerado um arquivo chamado report.pdf<br />
que contém o relatório.<br />
Em ambos os casos, o navegador será aberto automaticamente, exibindo o<br />
conteúdo do arquivo correspondente ao relatório.<br />
Aba Sub-relatório<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 437
Um sub-relatório é oferecido para que os níveis de detalhamento possam ser<br />
evidenciados e a informação que compõe o relatório seja mais objetiva.<br />
Figura 285. Configuração do relatório – sub-relatório.<br />
Esta aba é composta por duas colunas, onde será necessário indicar filtros para<br />
ambas.<br />
Na coluna de "Sub-relatório" deverá ser incluído qual tipo de sub-relatório e como<br />
será agrupado, por exemplo: "Não agrupar", "Quota", "Usuário". Esta opção varia<br />
conforme o tipo de sub-relatório selecionado. É possível definir relacionamentos<br />
com lógica "E" ou "OU" e um limite para TOP.<br />
Na coluna de "Filtros" haverá mais uma possibilidade de filtro de acordo com o tipo<br />
de dado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 438
Métodos de Publicação<br />
Método FTP<br />
Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os<br />
relatórios via ftp.<br />
Como utilizar:<br />
Selecione o(s) servidor (es);<br />
Digite o usuário;<br />
Digite a senha de acesso;<br />
Digite o caminho de destino do relatório.<br />
Figura 286. Configuração do relatório – método de publicação.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 439
Método SMTP<br />
Nesta aba o usuário poderá indicar até três destinatários, para onde serão enviados<br />
os relatórios através de e-mail.<br />
Como utilizar:<br />
Digite o endereço do remetente ("De");<br />
Digite o endereço do destinatário ("Para");<br />
Digite o "Assunto";<br />
Caso deseje é possível incluir uma mensagem, no campo "Mensagem".<br />
Figura 287. Configuração do relatório – método de SMTP.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 440
Método Tempo Real<br />
Esta opção permite a geração de relatório em tempo real, ou seja, o administrador<br />
do firewall pode gerar relatórios no momento em que desejar. O produto continuará<br />
funcionando normalmente. Quando o relatório estiver pronto, salve-o em um<br />
diretório conforme desejado, logo em seguida será exibido uma janela mostrando o<br />
relatório.<br />
19.3. Lista dos Relatórios disponíveis<br />
Abaixo segue os tipos de relatórios possíveis de serem gerados:<br />
1. Quantidade de acessos web por usuários do autenticador;<br />
2. Quantidade de acessos web por grupos do autenticador;<br />
3. Quantidade de acessos web por perfis de acesso;<br />
4. Quantidade de acessos web por endereço IP origem;<br />
5. Quantidade de acessos web por endereço IP destino;<br />
6. Quantidade de acessos TCP e UDP (cada serviço) por grupos do<br />
autenticador;<br />
7. Quantidade de acesso por páginas Web (domínio), com possibilidade de<br />
seleção das N páginas mais acessadas;<br />
8. Quantidade de acesso por páginas Web (domínio), com possibilidade de<br />
seleção das N páginas mais acessadas por grupos do autenticador;<br />
9. Quantidade de acesso, relacionando conjunto de usuários e respectivas<br />
páginas web mais acessadas;<br />
10. Quantidade de acessos bloqueados por usuários, com possibilidade de<br />
seleção dos N usuários com maior número de requisições a páginas<br />
proibidas;<br />
11. Quantidade de downloads realizados (HTTP e FTP), com possibilidade de<br />
seleção dos N arquivos mais baixados;<br />
12. Volume de tráfego (kbps ou Mbps) processado pelo Firewall, em médias de<br />
períodos de cinco minutos;<br />
13. Categoria dos sites;<br />
14. <strong>Download</strong>s;<br />
15. Sites bloqueados;<br />
16. Categorias bloqueadas;<br />
17. <strong>Download</strong>s bloqueados;<br />
18. IPs web;<br />
19. IPs web bloqueados;<br />
20. IPs destino;<br />
21. IPs destino bloqueados;<br />
22. IPs e Serviços;<br />
23. IPs e Serviços bloqueados;<br />
24. Serviços;<br />
25. Serviços bloqueados;<br />
26. Tráfego que entrou;<br />
27. Tráfego que saiu;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 441
28. Destinatários de e-mails entregues;<br />
29. Destinatários de e-mails rejeitados;<br />
30. Endereço IP de e-mails entregues;<br />
31. Endereço IP de e-mails rejeitados;<br />
32. Domínios dos destinatários de e-mails entregues;<br />
33. Domínios dos destinatários de e-mails bloqueados;<br />
34. Quota - consumo de bytes;<br />
35. Quota - consumo de tempo;<br />
36. MSN - duração do chat;<br />
37. MSN – chat log;<br />
38. Contabilidade de tráfego web - upload consumido;<br />
39. Contabilidade de tráfego web - download consumido;<br />
40. Contabilidade de tráfego web - tempo consumido;<br />
41. Contabilidade de tráfego de downloads - upload consumido;<br />
42. Contabilidade de tráfego de downloads - download consumido;<br />
43. Contabilidade de tráfego de downloads - tempo consumido;<br />
44. Contabilidade de tráfego de FTP - upload consumido;<br />
45. Contabilidade de tráfego de FTP - download consumido;<br />
46. Usuários que acessaram um site;<br />
47. Usuários que foram bloqueados tentando acessar um site.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 442
Exportação Agendada de Logs<br />
e Eventos<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 443
20. Exportação Agendada de Logs e Eventos<br />
Este capítulo mostrará como configurar a Exportação Agendada de Logs e Eventos.<br />
Os registros de Logs e/ou Eventos são exportados nos formatos TXT ou CSV,<br />
publicados via FTP em até três sites distintos ou localmente em uma pasta do<br />
próprio Firewall. Podem ser agendados das seguintes formas: "Diário", "Semanal"<br />
e/ou “Mensal”.<br />
20.1. Acessando a Exportação Agendada de Logs e Eventos<br />
Para ter acesso à janela de Exportação Agendada de Logs e Eventos deve-se:<br />
Figura 288. Janela de acesso - Exportação Agendada de Logs e Eventos..<br />
Clicar no menu Auditoria da janela de administração do <strong>Aker</strong> Firewall;<br />
Selecionar o item Exportação Agendada de Logs e Eventos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 444
20.2. Configurando a Exportação Agendada de Logs e Eventos<br />
Figura 289. Exportação Agendada de Logs e Eventos - diário.<br />
Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal" e<br />
"Mensal".<br />
Para executar qualquer exportação, deve-se clicar com o botão direito do mouse<br />
sobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre que for<br />
pressionado o botão direito, mesmo que não exista nenhum relatório selecionado.<br />
Neste caso, somente as opção Inserir estará habilitada); inclusive podendo ser<br />
executada a partir da barra de ferramentas.<br />
Inserir: Esta opção permite incluir um novo relatório.<br />
Ao tentar inserir um novo relatório constará duas abas:<br />
Aba Geral<br />
Nesta aba serão configurados os seguintes campos:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 445
Figura 290. Configuração da Exportação Agendada de Logs e Eventos - geral.<br />
Título: Atribuir nome a exportação.<br />
Formato do Relatório: Define em qual formato será gerado o relatório. As<br />
opções de formato são:<br />
TXT;<br />
CSV.<br />
Tipo: Define qual informação será exportada:<br />
Logs;<br />
Eventos.<br />
Agendamento: Definir hora que será realizada a exportação.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 446
Aba Método de Publicação<br />
FTP:<br />
Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os<br />
dados via ftp.<br />
Como utilizar:<br />
Selecione o(s) servidor (es);<br />
Digite o usuário;<br />
Digite a senha de acesso;<br />
Digite o caminho de destino do relatório<br />
Figura 291. Configuração da Exportação Agendada de Logs e Eventos – método de publicação.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 447
Local:<br />
Nesta aba, o usuário poderá indicar em qual pasta local do <strong>Aker</strong> Firewall deseja<br />
salvar os dados exportados.<br />
Figura 292. Configuração da Exportação Agendada de Logs e Eventos – tipo de publicação.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 448
Trabalhando com proxies<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 449
21. Trabalhando com Proxies<br />
Neste capítulo mostrará toda a base de conhecimento necessária, para entender o<br />
funcionamento dos proxies do <strong>Aker</strong> Firewall. Os detalhes específicos de cada proxy<br />
serão mostrados nos próximos capítulos.<br />
21.1. Planejando a instalação<br />
O que são proxies?<br />
Proxies são programas especializados que geralmente rodam em firewalls e que<br />
servem como ponte entre a rede interna de uma organização e os servidores<br />
externos. Seu funcionamento é simples: eles ficam esperando por uma requisição<br />
da rede interna, repassam esta requisição para o servidor remoto na rede externa, e<br />
devolvem sua resposta de volta para o cliente interno.<br />
Na maioria das vezes os proxies são utilizados por todos os clientes de uma subrede<br />
e devido a sua posição estratégica, normalmente eles implementam um<br />
sistema de cache para alguns serviços. Além disso, como os proxies trabalham com<br />
dados das aplicações, para cada serviço é necessário um proxy diferente.<br />
Proxies tradicionais<br />
Para que uma máquina cliente possa utilizar os serviços de um proxy é necessário<br />
que a mesma saiba de sua existência, isto é, que ela saiba que ao invés de<br />
estabelecer uma conexão com o servidor remoto, ela deve estabelecer a conexão<br />
com o proxy e repassar sua solicitação ao mesmo.<br />
Existem alguns clientes que já possuem suporte para proxies embutidos neles<br />
próprios (como exemplo de clientes deste tipo, pode-se citar a maioria dos browsers<br />
existentes atualmente). Neste caso, para utilizar as funções de proxy, basta<br />
configurá-los para tal. A grande maioria dos clientes, entretanto, não está preparada<br />
para trabalhar desta forma. A única solução possível neste caso, é alterar a pilha<br />
TCP/IP em todas as máquinas clientes de modo a fazer com que transparentemente<br />
as conexões sejam repassadas para os proxies.<br />
Esta abordagem traz inúmeras dificuldades, já que além de ser extremamente<br />
trabalhoso alterar todas as máquinas clientes, muitas vezes não existe forma de<br />
alterar a implementação TCP/IP de determinadas plataformas, fazendo com que<br />
clientes nestas plataformas não possam utilizar os proxies.<br />
Um outro problema dos proxies tradicionais, é que eles só podem ser utilizados para<br />
acessos de dentro para fora (não pode solicitar para que clientes externos repassem<br />
suas solicitações para o seu proxy para que este repasse para seu servidor interno).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 450
A figura abaixo ilustra o funcionamento básico de um proxy tradicional:<br />
Proxies transparentes<br />
Figura 293. Funcionamento básico de um Proxy tradicional.<br />
O <strong>Aker</strong> Firewall introduz um novo conceito de firewall com a utilização de proxies<br />
transparentes. Estes proxies transparentes são capazes de serem utilizados sem<br />
nenhuma alteração nas máquinas clientes e nas máquinas servidoras,<br />
simplesmente porque nenhuma delas sabe de sua existência.<br />
Seu funcionamento é simples, todas as vezes que o firewall decide que uma<br />
determinada conexão deve ser tratada por um proxy transparente, esta conexão é<br />
desviada para o proxy em questão. Ao receber a conexão, o proxy abre uma nova<br />
conexão para o servidor remoto e repassa as requisições do cliente para este<br />
servidor.<br />
A grande vantagem desta forma de trabalho, é que torna possível oferecer uma<br />
segurança adicional para certos serviços sem perda da flexibilidade e sem a<br />
necessidade de alteração de nenhuma máquina cliente ou servidora. Além disso, é<br />
possível utilizar proxies transparentes em requisições de dentro para fora e de fora<br />
para dentro, indiferentemente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 451
Proxies transparentes e contextos<br />
Figura 294. Funcionamento básico de um Proxy trasparênte.<br />
O <strong>Aker</strong> Firewall introduz uma novidade com relação aos proxies transparentes: os<br />
contextos. Para entendê-los, vamos inicialmente analisar uma topologia de rede<br />
onde sua existência é necessária.<br />
Suponha que exista um <strong>Aker</strong> Firewall conectado a três redes distintas, chamadas de<br />
redes A, B e C, e que as redes A e B sejam redes de dois departamentos de uma<br />
mesma empresa e a rede C a Internet. Suponha ainda que na rede A exista um<br />
servidor SMTP que seja utilizado também pela rede B para enviar e receber correio<br />
eletrônico. Isto está ilustrado no desenho abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 452
Figura 295. Proxie transparentes e contextos.<br />
Suponha agora que queira configurar o firewall para desviar todas as conexões<br />
SMTP para o proxy SMTP, de modo a assegurar uma maior proteção e um maior<br />
controle sobre este tráfego.<br />
É importante que exista um meio de tratar diferentemente as conexões para A com<br />
origem em B e C: a rede B utilizará o servidor SMTP de A como relay ao enviar seus<br />
e-mails, entretanto este mesmo comportamento não deve ser permitido a partir da<br />
rede C. Pode-se também querer limitar o tamanho máximo das mensagens<br />
originadas na rede C, para evitar ataques de negação de serviço baseados em falta<br />
de espaço em disco, sem ao mesmo tempo querer limitar também o tamanho das<br />
mensagens originadas na rede B.<br />
Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos.<br />
Contextos nada mais são que configurações diferenciadas para os proxies<br />
transparentes de modo a possibilitar comportamentos diferentes para conexões<br />
distintas.<br />
No exemplo acima, poderia criar dois contextos: um para ser usado em conexões de<br />
B para A e outro de C para A.<br />
Os proxies do <strong>Aker</strong> Firewall<br />
O <strong>Aker</strong> Firewall implementa proxies transparentes para os serviços FTP, Telnet,<br />
SMTP, POP3, HTTP, HTTPS, RPC, DCE-RPC, SIP, H323, MSN e proxies não<br />
transparentes para os serviços acessados através de um browser WWW (FTP,<br />
Gopher, HTTP e HTTPS) e para clientes que suportem o protocolo SOCKS. Para<br />
utilizar os proxies não transparentes é necessário um cliente que possa ser<br />
configurado para tal. Dentre os clientes que suportam este tipo de configuração,<br />
pode-se citar o Mozilla Firefox (Tm) e o Internet Explorer (Tm) .<br />
Os proxies transparentes podem ser utilizados tanto para controlar acessos<br />
externos às redes internas quanto acessos de dentro para fora. Os proxies não<br />
transparentes somente podem ser usados de dentro para fora.<br />
O <strong>Aker</strong> Firewall permite ainda implementar Proxies criados pelo usuário que são<br />
proxies criados por terceiros utilizando a API de desenvolvimento que a <strong>Aker</strong><br />
<strong>Security</strong> <strong>Solutions</strong> provê. O objetivo é possibilitar que instituições que possuam<br />
protocolos específicos possam criar suporte no firewall para estes protocolos.<br />
Os autenticadores do <strong>Aker</strong> Firewall<br />
Os proxies SOCKS, Telnet e WWW do <strong>Aker</strong> Firewall suportam autenticação de<br />
usuários, isto é, podem ser configurados para só permitir que uma determinada<br />
sessão seja estabelecida caso o usuário se identifique para o firewall, através de um<br />
nome e uma senha, e este tenha permissão para iniciar a sessão desejada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 453
O grande problema que surge neste tipo de autenticação é como o firewall irá<br />
validar os nomes e as senhas recebidas. Alguns produtos exigem que todos os<br />
usuários sejam cadastrados em uma base de dados do próprio firewall ou que<br />
sejam usuários válidos da máquina que o firewall estiver rodando. Ambos os<br />
métodos possuem o grande inconveniente de não aproveitar a base de usuários<br />
normalmente presente em uma rede local.<br />
No <strong>Aker</strong> Firewall, optou-se por uma solução mais versátil e simples de ser<br />
implantada: ao invés de exigir um cadastramento de usuários no firewall, estes são<br />
validados nos próprios servidores da rede local, sejam estes Unix ou Windows<br />
Server tm .<br />
Para que seja possível ao firewall saber em quais máquinas ele deve autenticar os<br />
usuários, e também para possibilitar uma comunicação segura com estas máquinas,<br />
foi criado o conceito de autenticadores. Autenticadoras são máquinas Unix ou<br />
Windows Server tm , que rodam um pequeno programa chamado de Agente de<br />
autenticação. Este programa é distribuído como parte do Firewall <strong>Aker</strong> e tem como<br />
função básica servir de interface entre o firewall e a base de dados remota.<br />
Para que o <strong>Aker</strong> Firewall utilize uma base de dados em um servidor remoto, deve-se<br />
efetuar os seguintes procedimentos:<br />
1. Instalar e configurar o agente de autenticação na máquina onde reside a<br />
base de dados de usuários (este procedimento será descrito nos tópicos<br />
intitulados Instalando o agente de autenticação no Unix e Instalando o<br />
agente de autenticação no Windows Server tm ).<br />
2. Cadastrar uma entidade do tipo autenticador com o endereço da máquina<br />
onde o agente foi instalado e com a senha de acesso correta (para maiores<br />
informações de como cadastrar entidades, veja o capítulo intitulado<br />
Cadastrando Entidades).<br />
3. Indicar para o firewall que ele deve utilizar o autenticador cadastrado no<br />
passo 2 para realizar a autenticação de usuários (este procedimento será<br />
descrito no capítulo intitulado Configurando parâmetros de autenticação).<br />
O <strong>Aker</strong> Firewall 6.1 é incompatível com versões anteriores à 4.0 dos agentes de<br />
autenticação. Caso tenha feito upgrade de uma versão anterior e esteja utilizando<br />
autenticação, é necessário reinstalar os autenticadores.<br />
É possível também realizar autententicações através dos protocolos LDAP e<br />
RADIUS. Neste caso, não existe a necessidade de instalação dos autenticadores<br />
nas máquinas servidoras, bastando-se criar os autenticadores dos tipos<br />
correspondentes e indicar ao firewall que eles devem ser utilizados, de acordo com<br />
os passos 2 e 3 listados acima.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 454
21.2. Instalando o agente de autenticação em plataformas Unix<br />
Para instalar o agente de autenticação é necessário efetuar o download do Agente<br />
de autenticação adequado ao seu sistema no site da <strong>Aker</strong> (http://www.aker.com.br),<br />
após o download descompacte o arquivo e execute o seguinte comando:<br />
#/ ./aginst<br />
O símbolo # representa o prompt do shell quando executado como root, ele não<br />
deve ser digitado como parte do comando.<br />
O programa de instalação copiará o executável do agente (fwagaut) para o diretório<br />
/usr/local/bin e copiará um modelo do arquivo de configuração (fwagaut.cfg) para o<br />
diretório /etc/. Após a instalação, é necessário personalizar este arquivo, como<br />
descrito na próxima seção.<br />
Caso tenha respondido "Sim" quando o programa de instalação perguntou se o<br />
agente deveria ser iniciado automaticamente, uma chamada será criada em um<br />
arquivo de inicialização da máquina de modo a carregar automaticamente o agente.<br />
O nome deste arquivo de inicialização é dependente da versão de Unix utilizada.<br />
A sintaxe do arquivo de configuração do agente de autenticação<br />
Após instalar o agente de autenticação é necessário criar um arquivo de<br />
configuração com o endereço dos firewalls que poderão utilizá-lo e a senha de<br />
acesso de cada um. Este arquivo é em formato texto e pode ser criado por qualquer<br />
editor.<br />
O arquivo de configuração do agente de autenticação deve ter seus direitos<br />
configurados de forma que só o usuário root possa ler ou alterar seu conteúdo. Para<br />
fazer isso, pode-se usar o comando chmod, com a seguinte sintaxe: # chmod 600<br />
nome_do_arquivo.<br />
A sua sintaxe é a seguinte:<br />
Cada linha deve conter o endereço IP de um <strong>Aker</strong> Firewall que irá utilizar o<br />
agente, um ou mais espaços em branco ou caracteres tab e a senha de acesso<br />
que o firewall irá utilizar para a comunicação.<br />
Linhas começadas pelo caractere #, bem como linhas em branco, são ignoradas.<br />
Um exemplo de um possível arquivo de configuração é mostrado a seguir:<br />
# Arquivo de configuracao do agente de autenticacao do Firewall <strong>Aker</strong> 6.1<br />
#<br />
# Sintaxe: Endereco IP do Firewall e senha de acesso (em cada linha)<br />
#<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 455
# Obs: A senha não pode conter espaços e deve ter até 31 caracteres<br />
#<br />
# Linhas começadas pelo caractere '#' sao consideradas comentários<br />
# Linhas em branco são permitidas<br />
10.0.0.1 teste_de_senha<br />
10.2.2.2 123senha321<br />
O local padrão para o arquivo de configuração do agente é /etc/fwagaut.cfg,<br />
entretanto é possível criá-lo com qualquer outro nome ou em outro diretório, desde<br />
que seja informado isso ao agente no momento de sua execução. Isto será<br />
mostrado no tópico abaixo.<br />
Sintaxe de execução do agente de autenticação<br />
O agente de autenticação para Unix possui a seguinte sintaxe de execução:<br />
fwagaut [-?] [-c NOME_ARQUIVO] [-s ] [-q]<br />
Onde:<br />
-? Mostra esta mensagem retorna ao prompt do shell<br />
-c Especifica o nome de um arquivo de configuracao alternativo<br />
-s Especifica a fila do syslog para onde devem ser enviadas as<br />
mensagens do autenticador. 0 = local0, 1 = local1, ...<br />
-r Aceita validacao do usuario root<br />
-e Aceita usuarios com senhas em branco<br />
-q Nao mostra mensagem na hora da entrada<br />
Suponha que o agente esteja localizado no diretório /usr/local/bin e que se tenha<br />
criado o arquivo de configuração com o nome /usr/local/etc/fwagaut.cfg. Neste caso,<br />
para executar o agente, a linha de comando seria:<br />
/usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg<br />
Caso queira executar o agente com o arquivo de configuração no local padrão, não<br />
é necessário a utilização da opção -c , bastando simplesmente executá-lo com o<br />
comando:<br />
/usr/local/bin/fwagaut<br />
O agente de autenticação deve ser executado pelo o usuário root<br />
Quando for feito alguma alteração no arquivo de configuração é necessário informar<br />
isso ao agente, se ele estiver rodando. Para tal, deve-se executar o seguinte<br />
comando:<br />
#kill -1 pid<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 456
Onde pid é o número do processo do agente de autenticação. Para ser obtido este<br />
número, pode-se executar o comando.<br />
#ps -ax | grep fwagaut , em máquinas baseadas em Unix BSD, ou<br />
#ps -ef | grep fwagaut, em máquinas baseadas em Unix System V.<br />
O agente de autenticação escuta requisições na porta 1021/TCP. Não pode<br />
existir nenhuma outra aplicação utilizando esta porta enquanto o agente estiver<br />
ativo.<br />
21.3. Instalando o agente de autenticação em Windows Server tm<br />
A instalação do agente de autenticação para Windows Server tm é bastante simples.<br />
Efetue o download do Agente de Autenticação adequado ao seu sistema no site da<br />
<strong>Aker</strong> (http://www.aker.com.br), Para instalá-lo, clique duas vezes no arquivo salvo.<br />
O programa inicialmente mostrará uma janela pedindo uma confirmação para<br />
prosseguir com a instalação. Deve-se responder Sim para continuar com a<br />
instalação. A seguir será mostrada uma janela com a licença e por fim a janela onde<br />
pode especificar o diretório de instalação. Essa janela possui o formato mostrado<br />
abaixo:<br />
Figura 296. Instalação do agente de autenticação do Windows Server – pasta de destino.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 457
Após selecionar o diretório de instalação, deve-se pressionar o botão Copiar<br />
arquivos, que realizará toda a instalação do agente. Esta instalação consiste na<br />
criação de um diretório chamado de fwntaa, dentro do diretório Arquivos de<br />
Programas, com os arquivos do agente, a criação de um grupo chamado de<br />
Firewall <strong>Aker</strong> com as opções de configuração e remoção do agente e a criação de<br />
um serviço chamado de Agente de autenticação do <strong>Aker</strong> Firewall. Este serviço é<br />
um serviço normal do Windows Server tm e pode ser interrompido ou iniciado através<br />
do Painel de Controle, no ícone serviços.<br />
O agente de autenticação escuta requisições nas portas 1016/TCP e 1021/TCP.<br />
Não pode existir nenhuma outra aplicação utilizando estas portas enquanto o agente<br />
estiver ativo.<br />
21.4. Configuração do agente de autenticação para Windows Server tm<br />
Após realizada a instalação do agente, é necessário proceder com a sua<br />
configuração. Esta configuração permite fazer o cadastramento de todos os<br />
firewalls que irão utilizá-lo, bem como a definição de quais mensagens serão<br />
produzidas pelo agente, durante seu funcionamento. Ao contrário do agente de<br />
autenticação para Unix, esta configuração é feita através de um programa separado.<br />
Para ter acesso ao programa de configuração, deve-se clicar no menu Iniciar,<br />
selecionar o grupo Firewall <strong>Aker</strong> e dentro deste grupo a opção Configurar agente de<br />
autenticação. Ao ser feito isso, será mostrada a janela de configuração do agente,<br />
que está distribuída em três pastas:<br />
Pasta de configuração dos firewalls<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 458
Figura 297. Agente de autenticação - <strong>Aker</strong>.<br />
Esta pasta consiste em todas as opções de configuração do agente. Na parte<br />
superior existem dois botões que permitem testar a autenticação de um determinado<br />
usuário, a fim de verificar se o agente está funcionando corretamente. Na parte<br />
inferior da pasta existe uma lista com os firewalls autorizados a se conectarem ao<br />
agente de autenticação.<br />
Para incluir um novo firewall na lista, basta clicar no botão Incluir, localizado na<br />
barra de ferramentas. Para remover ou editar um firewall, basta selecionar o firewall<br />
a ser removido ou editado e clicar na opção correspondente da barra de<br />
ferramentas.<br />
No caso das opções Incluir ou Editar será mostrada a seguinte janela:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 459
Figura 298. Agente de autenticação – Firewall <strong>Aker</strong>.<br />
IP: É o endereço IP do firewall que se conectará ao agente.<br />
Descrição: É um campo livre, utilizado apenas para fins de documentação.<br />
Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia<br />
usadas na comunicação com o firewall. Esta senha deve ser igual à configurada<br />
na entidade do firewall. Para maiores informações, veja o capítulo intitulado<br />
Cadastrando Entidades.<br />
Confirmação: Este campo é utilizado apenas para verificar se a senha foi<br />
digitada corretamente. Deve-se digitá-la exatamente como no campo Senha.<br />
Autenticação de usuários suportada: Esse campo indica quais formas de<br />
autenticação de usuários serão permitidas. Ela consiste de duas opções que<br />
podem ser selecionadas independentemente:<br />
Domínio Windows NT/2000: Se essa opção estiver marcada, o agente realizará<br />
autenticação de usuários utilizando a base de usuários do Windows NT/2000.<br />
SecurID ACE/Server: Se essa opção estiver marcada, o agente realizará<br />
autenticação de usuários consultando o servidor SecurID.<br />
Pasta de log<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 460
Figura 299. Agente de autenticação - Log.<br />
Esta pasta é muito útil para acompanhar o funcionamento do agente de<br />
autenticação. Ela consiste de uma lista com diversas mensagens ordenadas pela<br />
hora. Ao lado de cada mensagem existe um ícone colorido, simbolizando sua<br />
prioridade. As cores têm o seguinte significado:<br />
Verde<br />
Azul<br />
Amarelo<br />
Vermelho<br />
Preto<br />
Depuração<br />
Informação<br />
Notícia<br />
Advertência<br />
Erro<br />
Caso não queira que uma determinada prioridade de mensagens seja gerada, basta<br />
desmarcar a opção a sua esquerda.<br />
A opção Usar visualizador de eventos, se estiver marcada, faz com que as<br />
mensagens sejam enviadas para o visualizador de eventos do Windows.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 461
Pasta de sobre<br />
Figura 300. Agente de autenticação - Sobre.<br />
Esta é uma pasta meramente informativa e serve para obter algumas informações<br />
do cliente. Dentre as informações úteis se encontram sua versão e release.<br />
Remoção do agente de autenticação para Windows Server tm<br />
Para facilitar a remoção do agente de autenticação para NT, existe um utilitário que<br />
a realiza automaticamente. Para iniciá-lo, deve-se clicar no menu Iniciar, selecionar<br />
o grupo Firewall <strong>Aker</strong> e dentro deste grupo a opção Remover agente de<br />
autenticação. Ao ser feito isso, será mostrada uma janela de confirmação.<br />
Caso deseje desinstalar o agente, deve-se clicar no botão Sim, caso contrário,<br />
deve-se clicar no botão Não, que cancelará o processo de remoção.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 462
Configurando parâmetros de<br />
autenticação<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 463
22. Configurando parâmetros de autenticação<br />
Este capítulo mostrará quais são e como devem ser configurados os parâmetros de<br />
autenticação, essenciais para que seja possível a autenticação de usuários pelo<br />
firewall.<br />
O que são os parâmetros de autenticação?<br />
Os parâmetros de autenticação servem para informar ao firewall quais as formas de<br />
autenticação que são permitidas, quais autenticadores devem ser pesquisados na<br />
hora de autenticar um determinado usuário e em qual ordem. Além disso, eles<br />
controlam a forma com que a pesquisa é feita, permitindo uma maior ou menor<br />
flexibilidade para as autenticações.<br />
22.1. Utilizando a interface gráfica<br />
Para ter acesso a janela de parâmetros de autenticação deve-se:<br />
Figura 301. Janela de acesso - Autenticação.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 464
Clicar no menu Configuração do Firewall da janela Firewalls.<br />
Selecionar o item Autenticação.<br />
Essa janela consiste de cinco partes distintas: a primeira aba corresponde ao<br />
Controle de Acesso onde os usuários e grupos de autenticadores são associados<br />
com perfis de acesso. A configuração desta aba será vista em detalhes em Perfis<br />
de Acesso de Usuários, na segunda aba escolhe-se os Métodos de autenticação<br />
onde se determina os parâmetros relativos à autenticação de usuários por meio de<br />
nomes/senhas e se configuram os parâmetros de autenticação por token (SecurID)<br />
e Autoridade Certificadora (PKI), a terceira aba configura-se a Autenticação para<br />
Proxies. Na quarta aba "Autenticação local", na quinta e última aba são<br />
configuradas o Controle de Acesso por IP que também será visto com mais detalhes<br />
em Perfis de Acesso de Usuários.<br />
O botão OK fará com que a janela de configuração de parâmetros seja fechada e<br />
as alterações efetuadas aplicadas.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta<br />
O botão Cancelar fará com que a janela seja fechada porém as alterações<br />
efetuadas não sejam aplicadas.<br />
Aba de Controle de Acesso<br />
Figura 302. Autenticação de acesso: Controle de acesso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 465
A janela de controle de acesso permite que seja criada a associação de<br />
usuários/grupos com um perfil de acesso.<br />
Na parte inferior da janela existe um campo chamado Perfil Padrão onde é possível<br />
selecionar o perfil que será associado aos usuários, que não se enquadrem em<br />
nenhuma regra de associação.<br />
A última coluna, quando preenchida, especifica redes e máquinas onde a<br />
associação é válida. Se o usuário se encaixar na regra, mas estiver em um<br />
endereço IP fora das redes e máquinas cadastradas, então a regra será pulada,<br />
permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útil<br />
para permitir acesso à áreas sensíveis da rede apenas de alguns locais físicos com<br />
segurança aumentada.<br />
Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se<br />
proceder da seguinte maneira:<br />
1. Clicar com o botão direito do mouse na lista de regras e selecionar a opção<br />
Inserir;<br />
2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos,<br />
clicando-se com o botão direito no campo Autenticador;<br />
3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecionar entre<br />
listagem de usuários ou grupos e sua lista será montada automaticamente a<br />
partir do autenticador selecionado. A partir da lista selecionar o usuário ou grupo<br />
desejado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 466
Figura 303. Autenticação de acesso: Listagem de grupos ou usuários.<br />
4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado,<br />
conforme o menu abaixo:<br />
Figura 304. Autenticação de acesso: Escolha do perfil desejado.<br />
5. Caso queira, arraste algumas entidades máquina, rede ou conjuntos para o<br />
campo entidades. Se o usuário estiver fora dessas entidades, a regra será<br />
pulada.<br />
Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da<br />
seguinte maneira:<br />
1. Clicar na regra a ser removida, na lista da janela;<br />
2. Clicar no botão Apagar.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 467
Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte<br />
forma:<br />
1. Clicar na regra a ser movida de posição;<br />
2. Arrastar para a posição desejada.<br />
A ordem das associações na lista é de fundamental importância. Quando um<br />
usuário se autenticar, o <strong>Aker</strong> Firewall pesquisará a lista a partir do início procurando<br />
pelo nome desse usuário ou por um grupo de que ele faça parte. Tão logo um<br />
desses seja encontrado, o perfil associado ao mesmo será utilizado.<br />
Aba Métodos<br />
Figura 305. Autenticação de acesso: Métodos.<br />
Habilita autenticação usuário/senha: Essa opção indica se o firewall aceitará ou<br />
não autenticação de usuários por meio de nomes/senhas. Caso ela esteja ativa,<br />
deve-se configurar os demais parâmetros relativos a esse tipo de autenticação:<br />
Pesquisar todos autenticadores: Este parâmetro indica se o firewall deve tentar<br />
validar um usuário nos próximos autenticadores da lista no caso de um autenticador<br />
retornar uma mensagem de senha inválida.<br />
Se esta opção estiver marcada, o firewall percorre todos os autenticadores da lista,<br />
um a um, até receber uma resposta de autenticação correta ou até a lista terminar.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 468
Caso ela não esteja marcada, a pesquisa será encerrada no primeiro autenticador<br />
que retornar uma mensagem de autenticação correta ou de senha inválida.<br />
Esta opção só é usada para respostas de senha inválida. Caso um autenticador<br />
retorne uma resposta indicando que o usuário a ser validado não está cadastrado<br />
na base de dados de sua máquina, o firewall continuará a pesquisa no próximo<br />
autenticador da lista, independentemente do valor desta opção.<br />
Pesquisar autenticador interno: Este parâmetro indica se a base de usuários<br />
locais do firewall - definida na pasta Autenticação Local - deve ser consultada para<br />
validar a senha dos usuários. Se sim, também deve escolher no combo box ao lado<br />
se essa base deve ser consultada antes ou depois dos demais autenticadores.<br />
Permitir domínios especificados pelo usuário: Este parâmetro indica se o<br />
usuário na hora de se autenticar pode informar ao firewall em qual autenticador ele<br />
deseja ser validado.<br />
Se esta opção estiver marcada, o usuário pode acrescentar juntamente ao seu<br />
nome, um sufixo formado pelo símbolo / e um nome de autenticador, fazendo com<br />
que a requisição de autenticação seja enviada diretamente para o autenticador<br />
informado. Caso ela não esteja marcada, a autenticação será feita na ordem dos<br />
autenticadores configurada pelo administrador.<br />
O uso desta opção não obriga que o usuário informe o nome do autenticador,<br />
apenas permite que ele o faça, se desejar. Caso o usuário não informe, a<br />
autenticação seguirá na ordem normal.<br />
Para ilustrar a especificação de domínio, pode-se tomar como base um sistema no<br />
qual existam dois autenticadores configurados, chamados de Unix e Windows<br />
Server. Neste sistema, se um usuário chamado administrador desejar se autenticar<br />
na máquina Windows Server, então ele deverá entrar com o seguinte texto, quando<br />
lhe for solicitado seu login ou username: administrador/Windows Server. Caso ele<br />
não informe o sufixo, o <strong>Aker</strong> Firewall tentará autenticá-lo inicialmente pela máquina<br />
Unix e caso não exista nenhum usuário cadastrado com este nome ou a opção<br />
Pesquisa em todos os autenticadores estiver marcada, ele então tentará autenticar<br />
pela máquina Windows Server.<br />
O nome do autenticador informado pelo usuário deve estar obrigatoriamente na<br />
lista de autenticadores a serem pesquisados.<br />
Autenticadores a pesquisar<br />
Para incluir um autenticador na lista de autenticadores a serem consultados, devese<br />
proceder da seguinte forma:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 469
1. Clicar com o botão direito do mouse onde aparecerá um menu suspenso<br />
(figura abaixo) ou arrastando a entidade autenticador para o local<br />
indicado;<br />
Figura 306. Autenticação de acesso: Adicionar entidades.<br />
2. Seleciona-se o a opção Adicionar entidades e o autenticador a ser<br />
incluído, na lista mostrada à direita.<br />
Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinte<br />
forma:<br />
1. Selecionar o autenticador a ser removido e apertar a tecla delete ou;<br />
2. Clicar no botão direito do mouse e selecionar no menu suspenso o item<br />
Apagar<br />
Figura 307. Autenticação de acesso: Remover entidades.<br />
Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte<br />
forma:<br />
1. Selecionar o autenticador a ser mudado de posição na ordem de<br />
pesquisa;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 470
2. Clicar em um dos botões à direita da lista: o botão com o desenho da seta<br />
para cima fará com que o autenticador selecionado suba uma posição na<br />
lista. O botão com a seta para baixo fará com que ele seja movido uma<br />
posição para baixo na lista.<br />
Dica: A adição ou remoção dos autenticadores pode ser feita diretamente com o<br />
mouse, bastando clicar e arrastar os mesmos para a janela correspondente,<br />
soltando em seguida.<br />
Os autenticadores serão pesquisados na ordem que se encontram na lista, de<br />
cima para baixo.<br />
Habilitar autenticação PKI: Essa opção indica se o firewall aceitará ou não a<br />
autenticação de usuários por meio de smart cards. Caso ela esteja ativa, deve-se<br />
configurar as autoridades certificadoras nas quais o firewall confia.<br />
Autoridades Certificadoras Confiáveis<br />
Figura 308. Autenticação de acesso: Métodos.<br />
Para incluir uma autoridade certificadora na lista de autoridades certificadoras<br />
confiáveis, deve-se proceder da seguinte forma:<br />
1. Clicar com o botão direito do mouse e escolher a opção Incluir Entidades;<br />
2. Selecionar a autoridade a ser incluída;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 471
3. Clique em Incluir;<br />
4. Pode-se também clicar em uma autoridade certificadora e arrastá-la para<br />
posição desejada<br />
Para remover uma autoridade certificadora da lista de autoridades confiáveis, devese<br />
proceder da seguinte forma:<br />
1. Selecionar a autoridade a ser removida e apertar a tecla delete ou<br />
2. Clicar no botão direito do mouse sobre a entidade a ser removida e escolher<br />
a opção Apagar<br />
Habilitar autenticação por token: Essa opção indica se o firewall aceitará ou não a<br />
autenticação de usuários por meio de tokens. Caso ela esteja ativa, deve-se configurar o<br />
nome do autenticador token a ser consultado para validar os dados recebidos.<br />
Figura 309. Autenticação de acesso: Métodos (habilitar autenticação do Token).<br />
Autenticador token a pesquisar: Este campo indica o autenticador token para o<br />
qual os dados a serem validados serão repassados.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 472
Aba Autenticação para Proxies<br />
Figura 310. Autenticação de acesso: Autenticação para proxies.<br />
Estes parâmetros indicam que tipos de autenticação serão aceitas nos proxies e em<br />
que ordem serão validadas. Isso é importante pois quando um usuário é autenticado<br />
através de um browser, por exemplo, não é possível que ele especifique se está<br />
utilizando token ou usuário/senha. As opções possíveis de configuração são:<br />
Autenticação Token antes da autenticação usuário/senha;<br />
Autenticação usuário/senha antes da autenticação Token;<br />
Autenticação Token somente;<br />
Autenticação usuário/senha somente;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 473
Aba Autenticação Local<br />
Figura 311. Autenticação de acesso: Autenticação local.<br />
Nessa pasta, pode cadastrar uma série de usuários e associar um grupo a cada um<br />
deles. Se a opção de usar a base local de usuários estiver habilitada, então esses<br />
usuários também serão verificados como se estivessem em um autenticador<br />
remoto. Eles compõem o autenticador local.<br />
Para incluir um usuário, clique com o botão da direita e escolha inserir, ou então use<br />
o toolbar e clique no botão inserir. Pode-se usar o botão Inserir no seu teclado.<br />
Figura 312. Aba para inclusão de usuário.<br />
Para alterar o nome do usuário e seu nome completo, basta dar um duplo clique no<br />
campo correspondente:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 474
Figura 313. Autenticação – Autenticação local.<br />
Para alterar a senha ou o grupo a que está associado o usuário, use o menu de<br />
contexto sobre o item, clicando com o botão direito do mouse.<br />
Figura 314. Autenticação – alteração de senha ou grupo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 475
Para criar ou remover grupos, o procedimento é o mesmo, mas na lista lateral<br />
direita.<br />
Figura 315. Autenticação local – criar ou remover grupos.<br />
Grupos vazios não serão mantidos pelo firewall, apenas aqueles que contiverem<br />
ao menos um usuário.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 476
Aba Controle de acesso por IP<br />
Figura 316. Controle de acesso por IP.<br />
O <strong>Aker</strong> Firewall pode controlar os acessos por intermédio de endereços IP<br />
conhecidos juntamente com perfis criados para este fim. Esta aba permite a habilitar<br />
e a desabilitar individual das regras que configuram a autenticação por Ip, não<br />
sendo mais necessário ter que removê-las para desabilitá-las, podendo ser<br />
habilitada ou desabilitada por meio da opção no menu suspenso ou por meio do<br />
botão<br />
localizado na barra de tarefas.<br />
É preciso escolher uma entidade rede ou uma entidade máquina, que definirão a<br />
origem do tráfego e associá-las ao perfil, de forma que o tráfego originário dessas<br />
entidades não precisará de autenticação por usuário.<br />
O Acesso por IP estará habilitado sempre que houver pelo menos uma regra<br />
habilitada nesta aba.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 477
Aba NTLM<br />
Figura 317. Configuração NTLM.<br />
A janela acima tem a função de configurar a integração do <strong>Aker</strong> Firewall ao<br />
Microsoft Active Directory (AD) e utilizar o login automaticamente, sem que seja<br />
solicitada a digitação no browser.<br />
Esta integração é realizada através do Kerberos, Winbind e Samba e o<br />
comportamento deste autenticador será idêntico aos outros tipos de autenticações<br />
suportadas pelo <strong>Aker</strong> Firewall podendo listar os usuários e grupos para a vinculação<br />
com os perfis de acesso.<br />
Habilitar NTLM: ativando esta opção, uma entidade com o nome NTLM_Auth,<br />
estará disponível para a configuração na Aba Métodos da janela de Autenticação.<br />
Active directory:<br />
Endereço IPv4: endereço IP do servidor com o Microsoft Active Directory;<br />
Hostname: nome netbius do servidor com o Microsoft Active Directory, obtido<br />
a partir do comando hostname executado neste servidor.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 478
Autenticação<br />
Usuário: usuário com privilégios de administração do domínio para<br />
integração.<br />
Senha: senha do usuário citado acima.<br />
Status/Atualizar status: Informa o status da integração e logs em caso de falhas.<br />
Para o bom funcionamento da integração o <strong>Aker</strong> Firewall e o servidor com o<br />
Microsoft Active Directory devem estar com a data e horas sincronizados através de<br />
um servidor NTP.<br />
Para que a integração funcione o domínio configurado no <strong>Aker</strong> Firewall na janela<br />
Configuração do Sistema, TCP/IP, aba DNS, deve ser o mesmo domínio do<br />
Microsoft Active Directory.<br />
Esta integração está disponível somente para o Filtro Web, em próximas versões<br />
a integração se estenderá para todas as funcionalidades do <strong>Aker</strong> Firewall.<br />
Os usuários que não estiverem cadastrados no domínio do Microsoft Active<br />
Directory a autenticação será realizada através de um POP-UP no browser do<br />
usuário que será solicitada a cada 15 minutos. A janela que será apresentada a<br />
estes usuários:<br />
Figura 318. Segurança do Window – solicitação de usuário e senha.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 479
A autenticação transparente está disponível somente para o Filtro Web e Modo<br />
PROXY ATIVO, em próximas versões a integração se estenderá para todas as<br />
funcionalidades do <strong>Aker</strong> Firewall.<br />
22.2. Utilizando a interface texto<br />
A interface texto permite configurar qual o tipo de autenticação será realizada e a<br />
ordem de pesquisa dos autenticadores.<br />
Localização do programa: /aker/bin/firewall/fwauth<br />
Sintaxe:<br />
Uso: fwauth [mostra | ajuda]<br />
fwauth [inclui | remove] [ca | token | autenticador] <br />
fwauth [dominio | pesquisa_todos] [sim | nao]<br />
fwauth proxy [token | senha] [sim | nao]<br />
fwauth proxy primeiro [token | senha]<br />
Ajuda do programa:<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
fwauth - Configura parametros autenticacao<br />
Uso: fwauth [mostra | ajuda]<br />
fwauth [inclui | remove] [ca | token | autenticador] <br />
fwauth [dominio | pesquisa_todos] [sim | nao]<br />
fwauth proxy [token | senha] [sim | nao]<br />
fwauth proxy primeiro [token | senha]<br />
mostra = mostra a configuracao atual<br />
ajuda = mostra esta mensagem<br />
inclui = inclui entidade na lista de autenticadores ativos<br />
remove = remove entidade da lista de autenticadores ativos<br />
dominio = configura se o usuario pode ou nao especificar dominio<br />
pesquisa_todos = configura se deve pesquisar em todos os autenticadores<br />
proxy senha = habilita autenticacao por proxies do tipo usuario/senha<br />
proxy token = habilita autenticacao por proxies do tipo Token<br />
proxy primeiro = configura qual o primeiro tipo de autenticacao a ser usado<br />
Exemplo 1: (mostrando os parâmetros de autenticação)<br />
#fwauth mostraAUTENTICACAO USUARIO/SENHA:<br />
---------------------------<br />
Pesquisa em todos autenticadores: sim<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 480
Usuario pode especificar dominio: nao<br />
Autenticadores cadastrados:<br />
aut_local<br />
AUTENTICACAO PKI:<br />
-----------------<br />
Nao ha autenticadores cadastrados<br />
AUTENTICACAO SECURY ID:<br />
-----------------------<br />
Nao ha autenticadores cadastrados<br />
Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos)<br />
#fwauth inclui autenticador "agente 10.0.0.12"<br />
Autenticador incluído<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 481
Perfis de acesso de Usuários<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 482
23. Perfis de acesso de Usuários<br />
Neste capítulo mostrará para que servem e como configurar perfis de acesso no<br />
<strong>Aker</strong> Firewall.<br />
23.1. Planejando a instalação<br />
O que são perfis de acesso?<br />
Firewalls tradicionais baseiam suas regras de proteção e controle de acesso a partir<br />
de máquinas, através de seus endereços IP. Além do <strong>Aker</strong> Firewall permitir este tipo<br />
de controle, ele também permite definir o controle de acesso por usuários. Desta<br />
forma, é possível que determinados usuários tenham seus privilégios e restrições<br />
garantidos, independentemente de qual máquina estejam utilizando em um<br />
determinado momento. Isso oferece o máximo em flexibilidade e segurança.<br />
Para possibilitar este controle de acesso em nível de usuários, o <strong>Aker</strong> Firewall<br />
introduziu o conceito de perfis de acesso. Perfis de acesso representam os direitos<br />
a serem atribuídos a um determinado usuário no firewall. Estes direitos de acesso<br />
englobam todos os serviços suportados pelo firewall, o controle de páginas WWW e<br />
o controle de acesso através do proxy SOCKS. Desta forma, a partir de um único<br />
local, consegue definir exatamente o que pode e não pode ser acessado.<br />
Como funciona o controle com perfis de acesso?<br />
Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados e<br />
posteriormente associa-se estes perfis com usuários e grupos de um ou mais<br />
autenticadores. A partir deste momento, todas as vezes que um usuário se logar no<br />
firewall com o <strong>Aker</strong> Client ou outro produto que ofereça funcionalidade equivalente,<br />
o firewall identificará o perfil de acesso correspondente a este usuário e configurará<br />
as permissões de acesso de acordo com este perfil. Tudo é feito de forma<br />
completamente transparente para o usuário final.<br />
Para que seja possível o uso de perfis de acesso é necessário que o <strong>Aker</strong> Client<br />
estejam instalado em todas as máquinas clientes ou que se use a opção de<br />
autenticação por Java no Filtro Web. Caso contrário, só será possível a utilização de<br />
controle de acesso a páginas WWW ou a serviços através do proxy SOCKS. A<br />
autenticação de usuários através do Filtro Web (sem Java) e SOCKS são possíveis<br />
na medida em que eles solicitarão um nome de usuário e uma senha e pesquisarão<br />
o perfil correspondente quando não identificarem uma sessão ativa para uma<br />
determinada máquina.<br />
23.2. Cadastrando perfis de acesso<br />
Os perfis de acesso do <strong>Aker</strong> Firewall definem quais páginas WWW podem ser<br />
visualizadas e quais tipos de serviço podem ser acessados. Para cada página<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 483
WWW ou serviço, existe uma tabela de horários associada, através da qual é<br />
possível definir os horários nos quais o serviço ou página podem ser acessados.<br />
Para ter acesso à janela de perfis de acesso deve-se:<br />
Figura 319. Janela de acesso - Perfis.<br />
Clicar no menu Configuração do Firewall da janela de administração do firewall.<br />
Selecionar o item Perfis.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 484
A janela de Perfis<br />
Figura 320. Perfis – <strong>Aker</strong> Firewall.<br />
A janela de perfis contém todos os perfis de acesso definidos no Firewall. Ela<br />
consiste de uma lista onde cada perfil é mostrado em uma linha separada.<br />
O botão OK fará com que a janela de perfis seja fechada;<br />
O botão Aplicar enviará para o firewall todas as alterações feitas, porém<br />
manterá a janela aberta;<br />
Para executar qualquer operação sobre um determinado perfil, deve-se clicar sobre<br />
ele e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes<br />
opções estão disponíveis:<br />
Figura 321. Janela de configuração de perfil (inserir e excluir).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 485
Inserir perfil filho: Incluir um novo perfil que é filho do perfil atual, i.e.,<br />
estabelece uma hierarquia de perfis.<br />
Inserir: Permitir a inclusão de um novo perfil na lista.<br />
Copiar: Copiar o perfil selecionado para uma área temporária.<br />
Colar: Copiar o perfil da área temporária para a lista.<br />
Excluir: Remover da lista o perfil selecionado.<br />
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de<br />
ferramentas, bem como a opção de relatório dos Perfis, todos localizados logo<br />
acima da lista. Neste caso, primeiro selecionam-se os itens para relatório, e em<br />
seguida indica o caminho e clique no botão Gerar.<br />
Relatório dos perfis: Gera relatório da lista de perfis em um documento HTML.<br />
Recomenda-se a não utilização de caracteres especiais (espaços, traços, sinais,<br />
acentos, aspas e etc..) na criação ou edição dos "perfis de acesso" do Firewall,<br />
exemplo: "Perfil Administração", a forma correta é "Perfil_Administracao”.<br />
Para excluir um perfil de acesso, ele não poderá estar associado a nenhum<br />
usuário (para maiores informações veja o tópico Associando Usuários com Perfis<br />
de Acesso)<br />
O perfil filho, criado com a opção Inserir perfil filho herdará automaticamente as<br />
configurações do perfil pai.<br />
Na parte superior de ambas as pastas se encontram o campo Nome, que serve<br />
para especificar o nome que identificará unicamente o perfil de acesso. Este nome<br />
será mostrado na lista de perfis e na janela de controle de acesso. Não podem<br />
existir dois perfis com o mesmo nome.<br />
Cada perfil de acesso é composto de sete tópicos diferentes. Dependendo do tópico<br />
selecionado em um momento, a parte direita da janela mudará de modo a mostrar<br />
as diferentes opções. Os tópicos de configuração são:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 486
23.3. Regras<br />
Figura 322. Regras: regras de filtragem para o perfil de acesso.<br />
A pasta de regras permite especificar regras de filtragem para o perfil de acesso.<br />
Seu formato é exatamente igual à janela de regras de filtragem com a única<br />
exceção de que não se devem especificar entidades origem para a regra. Aqui<br />
também é possível trabalhar com Políticas de Regras de Filtragem. (para maiores<br />
informações, consulte o capítulo intitulado O Filtro de Estados).<br />
As regras de filtragem para os perfis de acesso consideram como origem a<br />
máquina na qual a sessão foi estabelecida. Devido a isso, é necessário apenas<br />
especificar as entidades destino e serviços que podem ser acessados.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 487
23.4. Regras SOCKS<br />
Figura 323. Perfis: Socks.<br />
A pasta de regras SOCKS permite especificar regras de filtragem para o acesso<br />
através do proxy SOCKS. Seu formato é exatamente igual à janela de regras de<br />
filtragem com a única exceção de que não se deve especificar entidades origem<br />
para a regra (para maiores informações, consulte o capítulo intitulado Filtro de<br />
Estados).<br />
As regras de filtragem para o proxy SOCKS consideram como origem a máquina<br />
na qual a sessão foi estabelecida. Devido a isso é necessário apenas especificar as<br />
entidades destino e serviços que podem ser acessados.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 488
23.5. Geral<br />
Figura 324. Perfis: Geral.<br />
As opções gerais de filtragem são definidas pelos seguintes campos:<br />
Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as<br />
regras de seus perfis filhos.<br />
Configura a prioridade para as regras dos perfis filhos: Se esta opção<br />
estiver marcada, as regras dos perfis filhos irão aparecer acima das regras<br />
dos perfis pais, isto é, elas terão prioridade sobre as regras do pai. Caso<br />
contrário, as regras do perfil pai terão prioridade sobre as regras dos seus<br />
perfis filhos. Ou seja, nos perfis filhos, as regras herdadas do pai irão<br />
aparecer acima de suas regras.<br />
Horário padrão: Esta tabela define o horário padrão para as regras de filtragem<br />
WWW. Posteriormente, ao se incluir regras de filtragem WWW, existe a opção de se<br />
utilizar este horário padrão ou especificar um horário diferente.<br />
As linhas representam os dias da semana e as colunas as horas. Caso queria que a<br />
regra seja aplicável em determinada hora então o quadrado deve ser preenchido,<br />
caso contrário o quadrado deve ser deixado em branco. Para facilitar sua<br />
configuração, pode-se clicar com o botão esquerdo do mouse sobre um quadrado e<br />
a seguir arrastá-lo, mantendo o botão pressionado. Isto faz com que o a tabela seja<br />
alterada na medida em que o mouse se move.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 489
23.6. FTP e GOPHER<br />
Figura 325. Perfis: FTP e Gopher.<br />
A pasta de filtragem FTP e GOPHER permitem a definição de regras de filtragem de<br />
URLs para os protocolos FTP e Gopher. Ela consiste de uma lista onde cada regra<br />
é mostrada em uma linha separada.<br />
Na parte inferior da pasta existe um grupo que define a ação a ser executado caso o<br />
endereço que o cliente desejou acessar não se encaixe em nenhuma regra de<br />
filtragem. Este grupo é chamado de Ação padrão para o protocolo e consiste de<br />
três opções.<br />
Permitir: Se esta opção for a selecionada, então o firewall aceitará as URLs que<br />
não se enquadrarem em nenhuma regra.<br />
Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLs que<br />
não se enquadrarem em nenhuma regra.<br />
Para executar qualquer operação sobre uma determinada regra, basta clicar sobre<br />
ela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes<br />
opções estão disponíveis:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 490
Figura 326. Janela de acesso - perfis (inseir e desabilitar).<br />
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver<br />
selecionada, a nova será inserida na posição da regra selecionada. Caso<br />
contrário, a nova regra será incluída no final da lista.<br />
Excluir: Remover da lista a regra selecionada.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver<br />
selecionada, a nova será copiada para a posição da regra selecionada. Caso<br />
contrário ela será copiada para o final da lista.<br />
Desabilitar: Ativar ou desativar a regra selecionada na lista.<br />
Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a<br />
mesma para a nova posição desejada, soltando em seguida. Observe que o cursor<br />
de indicação do mouse irá mudar para uma mão segurando um bastão.<br />
A ordem das regras na lista de regras de filtragem é de fundamental importância.<br />
Ao receber uma solicitação de acesso a um endereço, o firewall pesquisará a lista a<br />
partir do início, procurando por uma regra na qual o endereço se encaixe. Tão logo<br />
uma seja encontrada, a ação associada a ela será executada.<br />
Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisa<br />
será feita e, o texto a ser pesquisado. As seguintes opções operação estão<br />
disponíveis:<br />
CONTÉM: A URL deve conter o texto informado em qualquer posição.<br />
NÃO CONTÉM: A URL não pode conter o texto informado.<br />
É: O conteúdo da URL deve ser exatamente igual ao texto informado.<br />
NÃO É: O conteúdo da URL deve ser diferente do texto informado.<br />
COMEÇA COM: O conteúdo da URL deve começar com o texto informado.<br />
NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto<br />
informado.<br />
TERMINA COM: O conteúdo da URL deve terminar com o texto informado.<br />
NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto<br />
informado.<br />
EXPRESSÃO REGULAR: O campo a ser pesquisado deverá ser uma expressão<br />
regular.<br />
Seguem as definições dos campos da janela:<br />
N: Número da regra de filtragem.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 491
Limite de busca: Esse campo permite escolher em qual parte da URL será feito a<br />
busca, sendo que os parâmetros a serem pesquisados foram definidos no campo<br />
Text Patterns.<br />
Padrões de texto: Ao clicar com o botão direito do mouse nesse campo, permite<br />
selecionar uma entidade lista de padrões criada anteriormente. Com isso, será<br />
possível associar a regra à uma entidade padrão de pesquisa, permitindo definir<br />
qual será a string ou os parâmetros que serão pesquisados na URL acessada e<br />
qual operação a ser efetuada.<br />
Ação: Define a ação a ser executado caso o endereço que o usuário desejou<br />
acessar não se encaixe em nenhuma regra de filtragem. Consiste em<br />
duas opções.<br />
Permitir: Se esta opção for a selecionada, então o firewall aceitará as URLs que<br />
não se enquadrarem em nenhuma regra.<br />
Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLs que<br />
não se enquadrarem em nenhuma regra.<br />
Categorias: Nesse campo, permite associar alguma entidade categoria à regra que<br />
está sendo criada.<br />
Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de<br />
determinados serviços, máquinas, redes e/ou usuários.<br />
Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos<br />
funcionários, com acesso à sites da WEB. Assim as quotas são os limites em<br />
termos de tempo de acesso e volume de dados, por usuário. Nessa opção permite<br />
associar ao usuário alguma entidade quota criada.<br />
Time: Período em que a regra é aplicada. Dia da semana e horário. Exemplo:<br />
Permite definir que nas segundas-feiras e nas quartas-feiras o usuário terá acesso a<br />
internet somente das 12:00 às 14:00.<br />
Período de Validade: Período de validade e aplicação da regra. É definido em mês<br />
e ano.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 492
23.7. HTTP/HTTPS<br />
Aba Geral<br />
Figura 327. Geral: HTTP e HTTPS.<br />
Bloquear: Este campo define as opções de bloqueio em sites WWW. São elas:<br />
URLs com endereço IP: Se esta opção estiver marcada, não será permitido o<br />
acesso a URLs com endereços IP ao invés de nome (por exemplo,<br />
http://10.0.1.6), ou seja, somente será possível se acessar URLs por nomes.<br />
Caso tenha configurado o Filtro Web para fazer filtragem de URLs, deve-se<br />
configurar esta opção de modo que o usuário não possa acessar através de<br />
endereços IP, caso contrário, mesmo com o nome bloqueado, o usuário continuará<br />
podendo acessar a URL através de seu endereço IP. É possível acrescentar<br />
endereços IP nas regras de filtragem WWW do perfil (caso queria realizar filtragem<br />
com esta opção ativa), entretanto, devido a estes sofrerem mudanças e ao fato de<br />
muitos servidores terem mais de um endereço IP, isto se torna extremamente difícil.<br />
Por outro lado, muitos administradores percebem que sites mal configurados<br />
(especialmente os de webmail) utilizam redirecionamento para servidores pelo seu<br />
endereço IP, de forma que, com esta opção desmarcada, tais sites ficam<br />
inacessíveis.<br />
Java, Javascript e Activex: Este campo permite definir uma filtragem especial<br />
para páginas WWW, bloqueando, ou não, tecnologias consideradas perigosas ou<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 493
incômodas para alguns ambientes. Ela possui quatro opções que podem ser<br />
selecionadas independentemente: Javascript, Java e ActiveX.<br />
A filtragem de Javascript, Java e ActiveX é feita de forma com que a página<br />
filtrada seja visualizada como se o browser da máquina cliente não tivesse suporte<br />
para a(s) linguagem(ns) filtrada(s). Em alguns casos, isto pode fazer com que as<br />
páginas percam sua funcionalidade.<br />
Bloqueio de Banners: Esta opção realiza o bloqueio de banners publicitários<br />
em páginas Web. Caso ela esteja marcada, o firewall substituirá os banners por<br />
espaços vazios na página, diminuindo o seu tempo de carga.<br />
Uma vez configurado que se deve realizar o bloqueio, o mesmo será feito através<br />
de regras globais, iguais para todos os perfis. Para configurar estas regras de<br />
bloqueio de banners, basta:<br />
Figura 328. Janela de acesso - Bloqueio de Banners.<br />
Clicar no menu Aplicação da janela principal.<br />
Selecionar o item Bloqueio de banners.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 494
A janela abaixo irá ser mostrada:<br />
Figura 329. Bloqueio de Banners (URL de banners).<br />
Esta janela é formada por uma série de regras no formado de expressão regular.<br />
Caso uma URL se encaixe em qualquer regra, a mesma será considerada um<br />
banner e será bloqueada.<br />
A pasta de filtragem HTTP/HTTPS permite a definição de regras de filtragem de<br />
URLs para os protocolos HTTP/HTTPS. Ela consiste de uma lista onde cada regra é<br />
mostrada em uma linha separada.<br />
O protocolo HTTPS, para a URL inicial é filtrado como se fosse o protocolo HTTP.<br />
Além disso, uma vez estabelecida à comunicação não é mais possível para o<br />
firewall filtrar qualquer parte de seu conteúdo, já que a criptografia é realizada<br />
diretamente entre o cliente e o servidor.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 495
Aba Filtro de URL<br />
Figura 330. Perfis: bloqueio de URL.<br />
Na parte inferior da pasta existe um grupo que define a ação a ser executado caso o<br />
endereço que o cliente desejou acessar não se encaixe em nenhuma regra de<br />
filtragem. Este grupo é chamado de Ação padrão para o protocolo e consiste de<br />
três opções.<br />
Permitir: Se esta opção for a selecionada, então o firewall aceitará as URLs que<br />
não se enquadrarem em nenhuma regra.<br />
Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLs que<br />
não se enquadrarem em nenhuma regra.<br />
Para executar qualquer operação sobre uma determinada regra, basta clicar sobre<br />
ela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes<br />
opções estão disponíveis:<br />
Figura 331. Barra de ferramentas (inserir ou desabilitar).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 496
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver<br />
selecionada, a nova será inserida na posição da regra selecionada. Caso<br />
contrário, a nova regra será incluída no final da lista.<br />
Excluir: Remover da lista a regra selecionada.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver<br />
selecionada, a nova será copiada para a posição da regra selecionada. Caso<br />
contrário ela será copiada para o final da lista.<br />
Desabilitar: Ativar ou desativar a regra selecionada na lista.<br />
Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a<br />
mesma para a nova posição desejada, soltando em seguida. Observe que o cursor<br />
de indicação do mouse irá mudar para uma mão segurando um bastão.<br />
A ordem das regras na lista de regras de filtragem WWW é de fundamental<br />
importância. Ao receber uma solicitação de acesso a um endereço, o firewall<br />
pesquisará a lista a partir do início, procurando por uma regra na qual o endereço se<br />
encaixe. Tão logo uma seja encontrada, a ação associada a ela será executada.<br />
Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisa<br />
será feita e, o texto a ser pesquisado. As seguintes opções operação estão<br />
disponíveis:<br />
CONTÉM: A URL deve conter o texto informado em qualquer posição.<br />
NÃO CONTÉM: A URL não pode conter o texto informado.<br />
É: O conteúdo da URL deve ser exatamente igual ao texto informado.<br />
NÃO É: O conteúdo da URL deve ser diferente do texto informado.<br />
COMEÇA COM: O conteúdo da URL deve começar com o texto informado.<br />
NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto<br />
informado.<br />
TERMINA COM: O conteúdo da URL deve terminar com o texto informado.<br />
NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto<br />
informado.<br />
EXPRESSÃO REGULAR: O campo a ser pesquisado deverá ser uma expressão<br />
regular.<br />
Seguem as definições dos campos da janela:<br />
N: Número da regra de filtragem.<br />
Limite de busca: Esse campo permite escolher em qual parte da URL será feito<br />
a busca, sendo que os parâmetros a serem pesquisados foram definidos<br />
no campo Text Patterns.<br />
Padrões de texto: Ao clicar com o botão direito do mouse nesse campo, permite<br />
selecionar uma entidade lista de padrões criada anteriormente. Com isso, será<br />
possível associar a regra à uma entidade padrão de pesquisa, permitindo definir<br />
qual será a string ou os parâmetros que serão pesquisados na URL acessada<br />
e qual operação a ser efetuada.<br />
Ação: Define a ação a ser executado caso o endereço que o usuário desejou<br />
acessar não se encaixe em nenhuma regra de filtragem. Consiste em<br />
duas opções.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 497
Permitir: Se esta opção for a selecionada, então o firewall aceitará as URLs que<br />
não se enquadrarem em nenhuma regra.<br />
Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLs<br />
que não se enquadrarem em nenhuma regra.<br />
Categorias: Nesse campo, permite associar alguma entidade categoria à regra<br />
que está sendo criada.<br />
Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de<br />
determinados serviços, máquinas, redes e/ou usuários.<br />
Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos<br />
pelos funcionários, com acesso à sites da WEB. Assim as quotas são os<br />
limites em termos de tempo de acesso e volume de dados, por usuário. Nessa<br />
opção permite associar ao usuário alguma entidade quota criada.<br />
Time:Período em que a regra é aplicada. Dia da semana e horário. Exemplo:<br />
Permite definir que nas segundas-feiras e nas quartas- feiras o usuário<br />
terá acesso a internet somente das 12:00 às 14:00.<br />
Período de Validade: Período de validade e aplicação da regra. É definido em<br />
mês e ano.<br />
Aba Arquivos Bloqueados<br />
Figura 332. Perfis: Arquivos bloqueados.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 498
Especificar os arquivos que serão bloqueados pelo perfil juntamente com o Filtro<br />
Web.<br />
É possível utilizar dois critérios complementares para decidir se um arquivo<br />
transferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um<br />
destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver<br />
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre<br />
aqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo firewall.<br />
O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta<br />
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo<br />
e o segundo indica o subtipo. O navegador usa esta informação para decidir como<br />
mostrar a informação que ele recebeu do mesmo modo como o sistema operacional<br />
usa a extensão do nome do arquivo.<br />
Sites Excluídos:<br />
Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se<br />
enquadrarem na lista de excluídos não serão analisados.<br />
As escolhas dos operadores podem ser vistas abaixo:<br />
Figura 333. Escolhas de operadores.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 499
URL Bloqueada:<br />
Permitir a configuração de qual ação deve ser executada pelo firewall quando um<br />
usuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções:<br />
Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o<br />
firewall mostrará uma mensagem de erro informando que a URL que se<br />
tentou acessar se encontra bloqueada.<br />
Redireciona URL bloqueada: Ao selecionar essa opção, o firewall<br />
redirecionará todas as tentativas de acesso a URLs bloqueadas para uma<br />
URL especificada pelo administrador. Nesse caso, deve-se especificar a URL<br />
para quais os acessos bloqueados serão redirecionados (sem o prefixo<br />
http://) no campo abaixo.<br />
Mostrar: Essa opção permite definir a página que será mostrada ao usuário,<br />
quando a tentativa de acesso a uma URL for bloqueada. Então pode-se optar<br />
em mostrar a página padrão ou redirecionar para a página escolhida, que<br />
será personalizada de acordo com os chekboxs selecionados. Segue abaixo<br />
a descrição de cada opção e o detalhamento das variáveis criadas.<br />
Cada um desses checkbox selecionado, é um parâmetro. Isso é utilizado para<br />
identificar aonde e porque a página foi bloqueada, por exemplo, se a página<br />
foi bloqueada porque caiu em alguma categoria, passar por parâmetro qual a<br />
categoria que causou o bloqueio da página.<br />
Domínio: Ao selecionar essa opção será mostrada o domínio da URL.<br />
Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br.<br />
Ao selecionar o domínio, é criada a variável domain.<br />
Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT,<br />
POST. Ao selecionar o Método é criada a variável method.<br />
Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar<br />
essa opção é criada a variável perfil.<br />
Ip do usuário: Endereço IP do usuário que tentou acessar a URL que foi<br />
bloqueada. Ao selecionar o Método é criada a variável ip.<br />
Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa<br />
opção será mostrada a razão do bloqueio do site. Por exemplo, temos as<br />
seguintes razões:<br />
"categoria da URL",<br />
"regra de bloqueio",<br />
"quota bytes excedidos",<br />
"quota bytes insuficientes",<br />
"quota tempo excedido",<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 500
"tipo de objeto nao permitido",<br />
"tipo de arquivo nao permitido globalmente",<br />
"tipo de arquivo nao permitido no perfil",<br />
"connect para a porta especificada nao permitido"<br />
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao<br />
selecionar a Categoria é criada a variável cats.<br />
Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao<br />
selecionar o nome do usuário é criada a variável user.<br />
Número da regra: Número da Regra de Filtragem que a URL se enquadrou.<br />
Ao selecionar o número da regra é criada a variável rule.<br />
Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi<br />
bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url.<br />
No preview, aparece como será a URL e o que será enviado via método GET.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 501
23.8. Secure Roaming<br />
Aba Configuração<br />
Figura 334. Perfis: <strong>Security</strong> Roaming.<br />
Essa pasta permite que sejam configuradas as opções de acesso do Secure<br />
Roaming que variam de acordo com as permissões do cliente que está conectado.<br />
Para as demais configurações, veja o capítulo Configurações do Secure<br />
Roaming.<br />
Permite Secure Roaming: Habilita a fazer uso do secure roaming do<br />
Firewall.<br />
Permite o envio de pacotes broadcast aos clientes: Pacotes broadcast<br />
são utilizados por protocolos que precisam, em algum ponto de seu<br />
funcionamento, uma comunicação entre um hosts e todos os outros de<br />
uma sub-rede de modo eficiente. Esse é o caso do protocolo Netbios<br />
sobre IP. Infelizmente, o abuso no uso desse tipo de pacote pode causar o<br />
congestionamento de um link lento, como uma conexão dial-up.<br />
Alterar o gateway padrão durante a sessão VPN: Ao alterar a rota<br />
padrão dos hosts que se conectam via Secure Roaming, eles passam a<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 502
não conseguir acessar outros destinos na Internet sem passar por dentro<br />
da rede com os endereços virtuais do Secure Roaming. Isso significa que,<br />
para conexões bidirecionais, eles ficam protegidos pelo firewall<br />
coorporativo e também sujeitos às políticas nele definidas.<br />
Servidores DNS: Configura até três servidores DNS a serem usados<br />
durante a sessão criptográfica. Usado para o caso de haver um servidor<br />
de DNS interno na corporação.<br />
Servidores WINS: Configura até três servidores WINS a serem usados<br />
durante a sessão criptográfica. Da mesma forma, essa configuração será<br />
útil no caso de a corporação usar servidores WINS internos. É ignorada<br />
pelos clientes que não sejam Windows.<br />
Domínio: Acrescenta um domínio às configurações de nomes da máquina<br />
cliente durante a sessão criptográfica. Geralmente usado em conjunto<br />
com a alteração dos servidores DNS.<br />
Rotas: Durante a sessão do cliente, algumas rotas podem ser<br />
necessárias para acessar diversos serviços da rede interna. Elas se<br />
cadastram uma a uma nesse campo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 503
Aba Conjunto de Endereços<br />
Figura 335. Perfis: <strong>Security</strong> Roaming (conjunto de endereços).<br />
Permite definir um IP ou um range de IPs aos clientes que se conectarem ao<br />
Firewall e estiverem vinculados a este perfil. Caso não tenha uma configuração<br />
nesta “Aba”, será utilizado as configurações padrões do Secure Roaming.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 504
23.9. VPN SSL (Proxy SSL)<br />
Figura 336. Perfis: VPN-SSL (Proxy SSL).<br />
Esta pasta permite configurar os serviços para que possam ser acessados através<br />
de Proxy SSL e/ou VPN SSL pelos usuários que se enquadrarem neste perfil de<br />
acesso. Seu formato é exatamente igual à janela de regras de filtragem com as<br />
exceções de que não se deve especificar entidades origem para a regra e de que<br />
nem todas as opções estão disponíveis (acumulador, canal, etc). Aqui também é<br />
possível trabalhar com Políticas de Regras de Filtragem. (para maiores informações,<br />
consulte o capítulo intitulado O Filtro de Estados).<br />
N.: Número da regra de filtragem.<br />
Destino: Nesta coluna pode-se controlar o destino da conexão.<br />
Serviços: Permite indicar a porta de comunicação do protocolo.<br />
Tipo: Indica o tipo de conexão SSL. Pode ser direta ou por meio do applet.<br />
A conexão direta é denominada Proxy Reverso SSL, que possibilita a utilização de<br />
certificados X.509 com tamanhos de chaves 1024, 2048 ou 4096 bits. O Cliente abre<br />
uma conexão SSL com o Firewall e o Firewall abre uma conexão normal com o<br />
servidor.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 505
Figura 337. Conexão Direta: Proxy Reverso SSL.<br />
Na conexão via applet o cliente abre uma conexão via SSL com o Firewall por meio<br />
de uma página WEB. O Firewall disponibiliza um applet de redirecionamento que o<br />
cliente irá baixá-lo em sua máquina. Esse applet inicia uma conexão com o Firewall<br />
via SSL e o Firewall inicia uma conexão com o servidor.<br />
Figura 338. Conexão Via Apllet.<br />
Figura 339. Conexão Cliente Applet / SSL / Normal.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 506
Serviço de Bind: Permite indicar a porta de comunicação onde o applet (dará um<br />
bind) iniciará o serviço. Para isso deve-se inserir uma ou mais entidades do tipo<br />
serviço.<br />
Ação: Este campo define qual a ação a ser tomada para todos os pacotes que se<br />
encaixem nesta regra. Ela consiste nas seguintes opções:<br />
Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem<br />
através do firewall;<br />
Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram<br />
nesta regra. Assim será enviado um pacote ICMP para a máquina de<br />
origem do pacote dizendo que o destino é inatingível. Esta opção não<br />
funciona para alguns tipos de serviço ICMP, devido a uma característica<br />
inerente a este protocolo.<br />
Log: Definir quais tipos de ações serão executadas pelo sistema quando um pacote<br />
se encaixar na regra. Ele consiste em várias opções que podem ser selecionadas<br />
independentemente uma das outras.<br />
Hora: Definir as horas e dias da semana em que a regra será aplicável. As linhas<br />
representam os dias da semana e as colunas representam as horas. Caso queira<br />
que a regra seja aplicável em determinada hora o quadrado deve ser preenchido,<br />
caso contrário o quadrado deve ser deixado em branco.<br />
As regras de filtragem para os perfis de acesso consideram como origem a<br />
máquina na qual a sessão foi estabelecida. Devido a isso é necessário apenas<br />
especificar as entidades destino e serviços que podem ser acessados.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 507
23.10. MSN Messenger<br />
Figura 340. Perfis – MSN Messenger.<br />
Essa pasta permite configurar as opções de uso do MSN Messenger e seus<br />
serviços. Para mais informações, veja o capítulo Configurando o Proxy MSN. As<br />
seguintes opções estão disponíveis:<br />
Permite Messenger: Se esta opção estiver desmarcada, os usuários que<br />
pertencerem a este perfil não poderão acessar o Messenger, mesmo que exista<br />
uma regra de filtragem permitindo este acesso.<br />
É fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP,<br />
caso contrário poderá ser possível acessar o Messenger através deste serviço. Esta<br />
opção de bloqueio já vem configurada como padrão, mas é importante atentar a isso<br />
caso se realize configurações no proxy HTTP.<br />
Não Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger<br />
esteja ativa. Ela indica que o usuário poderá usar MSN Messenger, sem nenhum<br />
tipo de filtragem (ex: tempo de conversação, etc.).<br />
Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger esteja<br />
ativa. Ela indica que o usuário poderá usar o MSN Messenger, porém de forma<br />
controlada, ou seja, definida através das regras de filtragem para este serviço.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 508
Permite notificações do Hotmail: Esta opção (que só estará ativa caso o acesso<br />
filtrado ao MSN Messenger tenha sido selecionado) permite que o usuário receba<br />
notificações de mensagens disponíveis no Hotmail.<br />
Incluir conversas nos registros de log: Esta opção registrará todas as conversas<br />
entre os usuários.<br />
Bloquear versão: Estas opções permitem que sejam bloqueadas as versões<br />
específicas do cliente MSN Messenger.<br />
Caso tenha selecionado a opção de acesso controlado ao Messenger, é necessário<br />
criar uma ou mais regras para definir que tipo de acesso será permitido. Para<br />
executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão<br />
direito e a seguir escolher a opção desejada no menu que irá aparecer. As<br />
seguintes opções estão disponíveis:<br />
Figura 341. Menu (inserir/desabilitar) para executar qualquer operação sobre a regra.<br />
Inserir: Permitir a inclusão de uma nova regra na lista.<br />
Excluir: Remover da lista a regra selecionada.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista.<br />
Desabilitar: Ativar ou desativar a regra selecionada na lista.<br />
Cada regra MSN consiste das seguintes opções:<br />
Origem: Endereço de e-mail do usuário que enviou a mensagem, ou seja que<br />
iniciou a conversa.<br />
Destino: Nesta coluna pode-se controlar com quem os usuários internos irão<br />
conversar, para isso deve-se inserir uma ou mais entidades do tipo Lista de e-mails<br />
(para maiores informações veja o capítulo (Cadastrando entidades), contendo a<br />
lista de e-mails ou domínios liberados.<br />
Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos<br />
podem ser enviados/recebidos através do Messenger. Para isso deve-se inserir uma<br />
ou mais entidades do tipo Lista de Tipo de Arquivo (para maiores informações veja o<br />
capítulo Cadastrando entidades), contendo a lista de tipos de arquivos permitidos.<br />
Serviços Permitidos: Nesta coluna pode-se especificar quais serviços adicionais<br />
podem ser utilizados através do Messenger. A definição dos tipos de serviços<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 509
possíveis é feita dentro da configuração do proxy MSN. Para maiores informações<br />
veja o capítulo Configurando o proxy MSN.<br />
Log: Se estiver marcado, informação sobre as conversas de todos os usuários<br />
serão registradas. Os seguintes dados estarão disponíveis no log: logon/logoff de<br />
usuário, transferência de arquivos, utilização de serviço adicional e início e fim de<br />
conversa.<br />
Pastas compartilhadas: Nesta opção opta por permitir ou não que o usuário<br />
compartilhe pastas no MSN.<br />
Tabela de Horários: Horário em que o usuário poderá utilizar o serviço Messenger,<br />
dividido nas 24 horas do dia. Caso seja desejado é possível copiar o horário padrão<br />
do perfil de acesso, clicando-se com o botão direito sobre a tabela de horários e<br />
selecionando-se a opção Usar tabela de horário padrão do perfil.<br />
Ação: Define a ação a ser executado caso o endereço que o usuário desejou<br />
acessar não se encaixe em nenhuma regra de filtragem. Consiste em duas opções.<br />
Permitir: Se esta opção for a selecionada, então o firewall aceitará as URLs que<br />
não se enquadrarem em nenhuma regra.<br />
Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLs que<br />
não se enquadrarem em nenhuma regra.<br />
Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gasto pelos<br />
funcionários, com acesso à sites da WEB. Assim as quotas são os limites em<br />
termos de tempo de acesso e volume de dados, por usuário. Nessa opção permite<br />
associar ao usuário alguma entidade quota criada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 510
23.11. Filtros de Aplicação<br />
Figura 342. Perfis: Filtragem de aplicação.<br />
Essa pasta permite configurar as regras para filtros de aplicação. Estas regras<br />
permitem, por exemplo, que determinados tipos de arquivos sejam bloqueados de<br />
acordo com seu tipo real, independentemente de sua extensão ou protocolo que<br />
esteja sendo utilizado para enviá-los. É possível também ao invés de bloquear,<br />
simplesmente mudar a prioridade de um serviço ou tipo de arquivo sendo<br />
transmitido.<br />
Uma das grandes utilizações destes filtros é para otimizar o acesso à Internet. É<br />
possível, por exemplo, que todos os usuários tenham um acesso rápido a Internet,<br />
porém quando estes tentarem baixar arquivos cujos tipos não sejam considerados<br />
importantes, i.e, mp3, vídeos, etc, a conexão sendo utilizada para transferir estes<br />
arquivos automaticamente fique com uma largura de banda bastante reduzida.<br />
Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o<br />
botão direito e a seguir escolher a opção desejada no menu que irá aparecer. As<br />
seguintes opções estão disponíveis:<br />
Figura 343. Menu (inserir/desabilitar) para executar qualquer operação sobre a regra.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 511
Inserir: Permitir a inclusão de uma nova regra na lista.<br />
Excluir: Remover da lista a regra selecionada.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista.<br />
Desabilitar: Ativar ou desativar a regra selecionada na lista.<br />
Cada regra consiste dos seguintes campos:<br />
Destino: Especificar os destinos da comunicação que o filtro estará inspecionando,<br />
para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ou<br />
conjuntos (para maiores informações veja o capítulo Cadastrando entidades).<br />
Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando,<br />
para isso deve-se inserir uma ou mais entidades do tipo serviço (para maiores<br />
informações veja o capítulo Cadastrando entidades).<br />
Filtros de Aplicação: Indicar quais os filtros que estarão ativos para as conexões<br />
que forem em direção a um dos destinos especificados na regra e utilizando um dos<br />
serviços também especificados. A definição dos filtros é feita na janela de Filtragem<br />
de Aplicações. Para maiores informações veja o capítulo Configurando Filtragem<br />
de Aplicações.<br />
Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtros<br />
especificados seja aplicado. Ela consiste das seguintes opções:<br />
Aceita: Significa que a conexão será autorizada a passar através do firewall.<br />
Rejeita: Significa que a conexão não passará pelo firewall e será enviado um<br />
pacote de reset para a máquina originária da comunicação.<br />
Descarta: Significa que a conexão não passará pelo firewall, mas não será enviado<br />
nenhum pacote para a máquina de origem.<br />
Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridade<br />
diferente, que deverá ser especificada na coluna Canal.<br />
Bloqueia origem: Indica que a máquina que originou a conexão deverá ser<br />
bloqueada por algum tempo (isso significa que todas as conexões originadas nela<br />
serão recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto<br />
tempo a máquina permanecerá bloqueada.<br />
Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sido<br />
selecionada. Ela indica qual a nova prioridade que será atribuída à conexão. Devese<br />
inserir uma entidade do tipo canal (para maiores informações veja o capítulo<br />
Cadastrando entidades).<br />
Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueia<br />
origem tenha sido selecionada. Ela indica por quanto tempo a máquina origem será<br />
bloqueada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 512
23.12. Associando Usuários com Perfis de Acesso<br />
Uma vez que os perfis de acesso estão criados, torna-se necessário associá-los<br />
com usuários e grupos de um ou mais autenticadores ou autoridades certificadoras<br />
do firewall. Isto é feito através da janela de controle de acesso.<br />
Para ter acesso a janela de controle de acesso deve-se:<br />
Figura 344. Janela de acesso - Autenticação.<br />
Clicar no menu Configurações do Firewall da janela principal.<br />
Selecionar o item Autenticação.<br />
Selecionar a pasta Controle de Acesso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 513
A pasta de Controle de Acesso<br />
Figura 345. Autenticação: Controle de acesso.<br />
A janela de controle de acesso permite que seja criada a associação de<br />
usuários/grupos com um perfil de acesso.<br />
Na parte inferior da janela existe um campo chamado Perfil Padrão onde se pode<br />
selecionar o perfil que será associado aos usuários que não se enquadrem em<br />
nenhuma regra de associação.<br />
A última coluna, quando preenchida, especifica redes e máquinas onde a<br />
associação é válida. Se o usuário se encaixar na regra, mas estiver em um<br />
endereço IP fora das redes e máquinas cadastradas, então a regra será pulada,<br />
permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útil<br />
para permitir acesso à áreas sensíveis da rede apenas de alguns locais físicos com<br />
segurança aumentada.<br />
Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se<br />
proceder da seguinte maneira:<br />
1. Clicar com o botão direito do mouse na lista de regras e selecionar a opção<br />
Inserir;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 514
2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos,<br />
clicando-se com o botão direito no campo Autenticador. Para maiores<br />
informações sobre os autenticadores, veja o capítulo intitulado Configurando<br />
parâmetros de autenticação.<br />
3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecionar entre<br />
listagem de usuários ou grupos e sua lista será montada automaticamente a<br />
partir do autenticador selecionado. A partir da lista selecionar o usuário ou grupo<br />
desejado.<br />
Figura 346. Menu de escolha do usuário.<br />
4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado,<br />
conforme o menu abaixo:<br />
Figura 347. Menu de escolha do perfil.<br />
5. Caso deseje, arraste algumas entidades máquina, rede ou conjuntos para o<br />
campo entidades. Se o usuário estiver fora dessas entidades, a regra será<br />
pulada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 515
Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da<br />
seguinte maneira:<br />
1. Clicar na regra a ser removida, na lista da janela.<br />
2. Clicar no botão Apagar.<br />
Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte<br />
forma:<br />
1. Clicar na regra a ser movida de posição.<br />
2. Arrastar para a posição desejada.<br />
A ordem das associações na lista é de fundamental importância. Quando um<br />
usuário se autenticar, o firewall pesquisará a lista a partir do início procurando pelo<br />
nome desse usuário ou por um grupo de que ele faça parte. Tão logo um desses<br />
seja encontrado, o perfil associado ao mesmo será utilizado.<br />
A aba Controle de Acesso por IP<br />
Figura 348. Controle de acesso por IP.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 516
O firewall pode controlar os acessos por intermédio de endereços IP conhecidos<br />
juntamente com perfis criados para este fim. Basta o administrador cadastrar a rede<br />
conhecida e arrastar para a posição Entidades de Origem, em seguida incluir na<br />
coluna Perfil o perfil ou perfis necessários na regra.<br />
A caixa Ativar controle de acesso por endereço IP origem deverá estar<br />
marcada para que o firewall use esta facilidade.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 517
Autenticação de Usuários<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 518
24. Autenticação de Usuários<br />
Este capítulo mostrará o que é o Cliente de Autenticação <strong>Aker</strong> e para que serve<br />
essa ferramenta que propicia grande nível de segurança.<br />
24.1. Visualizando e Removendo Usuários Conectados no Firewall<br />
É possível visualizar a qualquer momento os usuários que possuem sessão<br />
estabelecida com o firewall, através do cliente de autenticação, e remover uma<br />
destas sessões. Isto é feito através da janela de usuários logados.<br />
Para ter acesso a janela de usuários logados deve-se:<br />
Figura 349. Janela de acesso - usuários conectados.<br />
Clicar no menu Informação da janela de administração do firewall.<br />
Selecionar Usuários Conectados.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 519
A janela de Usuários Conectados<br />
Figura 350. Usuários conectados (máquina, nome, domínio, perfil, inicio, TPC e nº de usuários<br />
conectados.)<br />
Esta janela consiste de uma lista com uma entrada para cada usuário. Na parte<br />
inferior da janela é mostrada uma mensagem informando o número total de usuários<br />
com sessões estabelecidas um determinado instante. Para os usuários logados via<br />
Secure Roaming, serão mostrados também os dados da conexão (endereço IP e<br />
portas) junto com o estado de estabelecimento da mesma.<br />
O botão OK faz com que a janela de usuários seja fechada.<br />
O botão Cancelar fecha a janela.<br />
A caixa Itens selecionados no topo coloca os itens que foram selecionados<br />
para o topo da janela de usuários conectados.<br />
Barra de Ferramentas de Usuários Conectados:<br />
Figura 351. Barra de ferramentas: usuários conectados.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 520
O botão Atualiza faz com que as informações mostradas sejam atualizadas<br />
periodicamente de forma automática ou não. Clicando-se sobre ele, alterna-se<br />
entre os dois modos de operação. O intervalo de atualização pode ser<br />
configurado mudando-se o valor logo a direita deste campo.<br />
O botão Buscar, localizado na barra de ferramentas, permite remover uma<br />
sessão de usuário. Para tal deve-se primeiro clicar sobre a sessão que deseja<br />
remover e a seguir clicar neste botão (ele estará desabilitado enquanto não<br />
existir nenhuma sessão selecionada).<br />
O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes<br />
(DNS) para resolver os nomes das máquinas cujos endereços IPs aparecem<br />
listados. Cabem ser observados os seguintes pontos:<br />
1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, a<br />
tradução dos nomes é feita em segundo plano.<br />
2. Muitas vezes, devido a problemas de configuração do DNS reverso (que é<br />
o utilizado para resolver nomes a partir de endereços IP), não será<br />
possível a resolução de certos endereços. Neste caso, os endereços não<br />
resolvidos serão mantidos na forma original e será indicado ao seu lado<br />
que eles não possuem DNS reverso configurado.<br />
É possível ordenar a lista das sessões por qualquer um de seus campos,<br />
bastanto para isso clicar no título do campo. O primeiro click produzirá uma<br />
ordenação ascendente e o segundo uma ordenação descendente.<br />
Significado dos campos de uma sessão de usuário ativa<br />
Cada linha presente na lista de sessões de usuários representa uma sessão. O<br />
significado de seus campos é mostrado a seguir:<br />
Ícone: É mostrado a esquerda do nome de cada usuário e pode assumir três formas<br />
distintas:<br />
Cadeado: Este ícone indica que o usuário se logou através do cliente de criptografia<br />
apenas.<br />
Usuário: Este ícone indica que o usuário se logou através do cliente de<br />
autenticação apenas.<br />
Usuário dentro do cadeado: Este ícone indica que o usuário se logou através do<br />
cliente de autenticação e de criptografia.<br />
Máquina: Endereço IP ou nome (caso o DNS esteja ativo) da máquina na qual a<br />
sessão foi estabelecida.<br />
Nome: Nome do usuário que estabeleceu a sessão.<br />
Domínio: Nome do domínio, i.e. autenticador, no qual o usuário se autenticou. Caso<br />
o usuário não tenha especificado domínio ao se logar, este campo aparecerá em<br />
branco.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 521
Perfil: Qual o perfil de acesso correspondente a esta sessão. Se este campo está<br />
em branco, o usuário se autenticou antes de a tabela de perfis ser alterada, de<br />
forma que ele está utilizando um perfil que não existe mais.<br />
Início: Hora de abertura da sessão.<br />
24.2. Utilizando a Interface Texto<br />
A interface texto para acesso à lista de usuários logados possui as mesmas<br />
capacidades da interface gráfica e é simples de ser utilizado. Ele é o mesmo<br />
programa que produz a lista de conexões ativas TCP e UDP, mostrado<br />
anteriormente.<br />
Localização do programa: /aker/bin/firewall/fwlist<br />
Sintaxe:<br />
Uso: fwlist ajuda<br />
fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]<br />
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino<br />
fwlist remove sessao IP_origem<br />
Ajuda do programa:<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas<br />
Uso: fwlist ajuda<br />
fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]<br />
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino<br />
fwlist remove sessao IP_origem<br />
ajuda = mostra esta mensagem<br />
mostra = lista as conexoes ou sessoes ativas<br />
remove = remove uma conexao ou sessao ativa<br />
Exemplo 1: (listando as sessões de usuários logados no firewall)<br />
#fwlist mostra sessoes<br />
Nome/Dominio Perfil IP origem Inicio<br />
-------------------------------------------------------------------------------<br />
administrador/BSB Admin 10.20.1.1 08:11:27<br />
jose.silva/GOA Padrao5 10.45.1.1 07:39:54<br />
joao.souza/POA Padrao3 10.57.1.1 07:58:10<br />
josemaria/GRU Padrao3 10.78.1.1 08:01:02<br />
angelam/BSB 1 Restrito 10.22.1.1 08:48:31<br />
marciam/POA Restrito 10.235.1.1 10:49:44<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 522
antonioj/POA Especial 10.42.2.1 06:02:19<br />
operador/BSB Padrao 10.151.2.1 20:44:34<br />
Exemplo 2: (removendo a sessão do usuário logado a partir da máquina 10.19.1.1)<br />
#fwlist remove sessao 10.19.1.1<br />
A remoção da sessão foi solicitada ao servidor de usuários.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 523
Configurando o Proxy SMTP<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 524
25. Configurando o Proxy SMTP<br />
Este capítulo mostrará quais as funções oferecidas pelo proxy SMTP e como<br />
realizar sua configuração.<br />
O que é o proxy SMTP?<br />
O proxy SMTP é um programa especializado do <strong>Aker</strong> Firewall feito para trabalhar<br />
com correio eletrônico (SMTP é um anagrama para Simple Mail Transfer Protocol,<br />
que é o nome completo do serviço de transferência de correio eletrônico na<br />
Internet). Este proxy possibilita que sejam realizadas filtragens de e-mails baseadas<br />
em seu conteúdo ou em qualquer campo de seu cabeçalho. Ele também atua como<br />
uma barreira protegendo o servidor SMTP contra diversos tipos de ataques.<br />
Ele é um proxy transparente (para maiores informações veja o capítulo intitulado<br />
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de<br />
sua existência.<br />
Descrição de uma mensagem SMTP<br />
Para entender o funcionamento da filtragem de campos do proxy SMTP, é<br />
necessário algumas informações sobre as mensagens de correio eletrônico.<br />
Uma mensagem de e-mail é formada por três partes distintas: envelope, cabeçalho<br />
e corpo. Cada uma destas partes possui um papel específico:<br />
Envelope<br />
O envelope é chamado desta forma por ser análogo a um envelope de uma carta<br />
comum. Nele se encontram as informações do emissor e dos destinatários de<br />
uma mensagem. Para cada recipiente de um domínio diferente é gerado um<br />
novo envelope. Desta forma, um servidor SMTP recebe no envelope de uma<br />
mensagem o nome de todos os recipientes da mensagem que se encontram no<br />
seu domínio.<br />
O envelope não é visto pelos destinatários de uma mensagem. Ele somente é<br />
usado entre os servidores SMTP.<br />
Cabeçalho<br />
No cabeçalho da mensagem se encontram informações sobre a mensagem,<br />
como o assunto, data de emissão, nome do emissor, etc. O cabeçalho<br />
normalmente é mostrado ao destinatário da mensagem.<br />
Corpo<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 525
O corpo é composto pela mensagem propriamente dita, da forma com que foi<br />
produzida pelo emissor.<br />
Ataques contra um servidor SMTP<br />
Existem diversos ataques passíveis de serem realizados contra um servidor SMTP.<br />
São eles:<br />
Ataques explorando bugs de um servidor<br />
Neste caso, o atacante procura utilizar um comando ou parâmetros de um<br />
comando que conhecidamente provocam falhas de segurança.<br />
O proxy SMTP do <strong>Aker</strong> Firewall impede estes ataques na medida em que só<br />
permite a utilização de comandos considerados seguros e validando os<br />
parâmetros de todos os comandos.<br />
Ataques explorando estouro de áreas de memória (buffer overflows)<br />
Estes ataques consistem em enviar linhas de comando muito grandes, fazendo<br />
com que um servidor que não tenha sido corretamente desenvolvido apresente<br />
falhas de segurança.<br />
O proxy SMTP do <strong>Aker</strong> Firewall impede estes ataques na medida em que limitam<br />
o tamanho máximo das linhas de comando que podem ser enviadas para o<br />
servidor.<br />
Ataques de relay<br />
Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar<br />
suas mensagens de correio eletrônico. Desta forma, utiliza-se os recursos<br />
computacionais que deveriam estar disponíveis para requisições válidas.<br />
O proxy SMTP do <strong>Aker</strong>Firewall impede ataques de relay desde que corretamente<br />
configurado.<br />
Utilizando o proxy SMTP<br />
Para se utilizar o proxy SMTP em uma comunicação, é necessário executar uma<br />
seqüência de 2 passos:<br />
1. Criar um serviço que será desviado para o proxy SMTP e editar os<br />
parâmetros do contexto a ser usado por este serviço (para maiores<br />
informações, veja o capítulo intitulado Cadastrando Entidades).<br />
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no<br />
passo 1, para as redes ou máquinas desejadas (para maiores informações,<br />
veja o capítulo intitulado O Filtro de Estados).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 526
25.1. Editando os parâmetros de um contexto SMTP<br />
A janela de propriedades de um contexto SMTP será mostrada quando a opção<br />
Proxy SMTP for selecionada. Através dela é possível definir o comportamento do<br />
proxy SMTP quando este for lidar com o serviço em questão.<br />
A janela de propriedades de um contexto SMTP.<br />
Figura 352. Serviço: relay.<br />
Na janela de propriedades são configurados todos os parâmetros de um contexto<br />
associado a um determinado serviço. Ela consiste de diversas pastas, cada uma<br />
responsável por uma das diferentes características de proteção.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 527
Aba Geral<br />
Figura 353. Serviço: geral.<br />
Tamanho máximo da mensagem: Este campo indica o tamanho máximo, em<br />
bytes ou kbytes, de uma mensagem para que ela possa ser aceita pelo proxy. Caso<br />
não queira definir um tamanho máximo, basta marcar a opção Sem Limite,<br />
localizada à direita deste campo.<br />
Registrar na lista de eventos: Este campo indica se as mensagens que não se<br />
enquadrarem em nenhuma regra SMTP deste contexto devem ser registradas na<br />
lista de eventos.<br />
Envia cópia de todas as mensagens: Independente de uma mensagem ter sido<br />
aceita ou rejeitada, é possível enviar uma cópia completa dela para um endereço de<br />
e-mail qualquer. Este campo indica se deve ou não ser enviada esta cópia.<br />
Checagem de DNS reverso habilitada: O firewall fará a checagem para determinar<br />
a existência do DNS reverso cadastrado para o servidor SMTP para aceitar a<br />
mensagem baseado nas regras da pasta DNS.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 528
E-mail padrão: Indica o endereço de e-mail padrão, para o qual serão enviadas as<br />
cópias das mensagens que não se enquadrarem em nenhuma regra SMTP deste<br />
contexto (se a opção Envia Cópia de todas as mensagens estiver marcada). Este e-<br />
mail também pode ser referenciado em qualquer regra de filtragem do contexto.<br />
Aba de Relay<br />
Figura 354. Serviço: relay.<br />
Esta pasta serve para especificar uma lista de domínios válidos para recebimento<br />
de e-mails. E-mails destinados a quaisquer domínios não listados serão rejeitados<br />
antes mesmo que se comece sua transmissão.<br />
Caso a lista de domínios esteja em branco o firewall não fará controle de relay,<br />
ou seja, aceitará e-mails destinados a quaisquer domínios.<br />
Diferentemente do controle de relay de servidores SMTP, o firewall apenas pode<br />
basear seu controle no destinatário dos e-mails, e não no remetente, uma vez que<br />
não possui a lista de usuários válidos do servidor SMTP protegido.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 529
Aba de Regras<br />
Figura 355. Serviço: regras.<br />
Nesta pasta são mostradas todas as regras de filtragem para o contexto. Estas<br />
regras possibilitam que o administrador configure filtros de e-mails baseados em seu<br />
conteúdo.<br />
Para executar qualquer operação sobre uma determinada regra, basta clicar com o<br />
botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será<br />
acionado sempre que pressionar o botão direito, mesmo que não exista nenhuma<br />
regra selecionada. Neste caso, somente as opções Incluir e Colar estarão<br />
habilitadas).<br />
Figura 356. Menu (inserir, copiar, editar, excluir ou renomear).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 530
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver<br />
selecionada, a nova será inserida na posição da regra selecionada. Caso<br />
contrário, a nova regra será incluída no final da lista.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver<br />
selecionada, a nova será copiada para a posição da regra selecionada. Caso<br />
contrário ela será copiada para o final da lista.<br />
Editar: Abrir a janela de edição para a regra selecionada.<br />
Excluir: Remover da lista a regra selecionada.<br />
Renomear: Renomear a regra selecionada da lista.<br />
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de<br />
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a<br />
regra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.<br />
A ordem das regras na lista de regras de filtragem SMTP é de fundamental<br />
importância. Ao receber uma mensagem, o firewall pesquisará a lista a partir do<br />
início procurando uma regra na qual a mensagem se enquadre. Tão logo uma seja<br />
encontrada, a ação associada a ela será executada.<br />
No caso de inclusão ou edição de regras, será mostrada a janela de edição,<br />
mostrada abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 531
A janela de edição de regras SMTP<br />
Figura 357. Edição de regra: SMTP.<br />
Nesta janela são configurados todos os parâmetros relativos a uma regra de<br />
filtragem para um contexto SMTP. Cada regra consiste basicamente de 3 condições<br />
independentes que podem ou não estar preenchidas (ou seja, é possível criar<br />
regras com apenas uma ou duas condições).<br />
Para criar uma regra, é necessário preencher os seguintes campos:<br />
Nome: Nome que define unicamente a regra dentro do contexto. Este nome será<br />
mostrado na lista de regras do contexto SMTP. Não podem existir duas regras com<br />
o mesmo nome.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 532
Campo: Definir o nome do campo dentro da mensagem SMTP onde será feita a<br />
pesquisa. Ele pode assumir um dos seguintes valores (alguns valores são<br />
mostrados em inglês devido ao fato de serem nomes de campos fixos de uma<br />
mensagem):<br />
NENHUM: Não será feita pesquisa.<br />
PARA (Todos): A pesquisa é feita no endereço de destino da mensagem (todos<br />
os recipientes devem se encaixar na regra).<br />
PARA (Qualquer): A pesquisa é feita no endereço de destino da mensagem<br />
(pelo menos um recipiente deve se encaixar na regra).<br />
DE: A pesquisa é feita no endereço de origem da mensagem.<br />
CC: A pesquisa é realizada sobre a lista de endereços que irão receber uma<br />
cópia da mensagem.<br />
REPLY-TO: A pesquisa é feita no campo REPLY-TO, que indica o endereço<br />
para o qual a mensagem deve ser respondida.<br />
ASSUNTO: A pesquisa é feita no campo que define o assunto da mensagem.<br />
CABEÇALHO: A pesquisa é realizada sobre todos os campos que compõem o<br />
cabeçalho da mensagem.<br />
CORPO: A pesquisa é feita no corpo da mensagem (onde existe efetivamente a<br />
mensagem).<br />
Os campos TO e CC são tratados de forma diferente pelo proxy SMTP: o campo<br />
TO é tratado com uma lista dos vários recipientes da mensagem, retirados do<br />
envelope da mensagem. O campo CC é tratado como um texto simples, retirado do<br />
cabeçalho da mensagem, e sua utilidade é bastante limitada.<br />
Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. São elas:<br />
CONTÉM: O campo a ser pesquisado deve conter o texto informado em<br />
qualquer posição.<br />
NÃO CONTÉM: O campo a ser pesquisado não pode conter o texto informado.<br />
É: O conteúdo do campo a ser pesquisado deve ser exatamente igual ao texto<br />
informado.<br />
NÃO É: O conteúdo do campo a ser pesquisado deve ser diferente do texto<br />
informado.<br />
COMEÇA COM: O conteúdo do campo a ser pesquisado deve começar com o<br />
texto informado.<br />
NÃO COMEÇA COM: O conteúdo do campo a ser pesquisado não pode<br />
começar com o texto informado.<br />
TERMINA COM: O conteúdo do campo a ser pesquisado deve terminar com o<br />
texto informado<br />
NÃO TERMINA COM: O conteúdo do campo a ser pesquisado não pode<br />
terminar com o texto informado.<br />
CONTÉM PALAVRAS: Neste tipo de pesquisa, o texto informado é considerado<br />
como formado por palavras individuais (separadas por espaços), ao invés de um<br />
texto contínuo. Para se enquadrar na pesquisa, o campo em questão deve<br />
conter todas as palavras informadas, independente de sua posição.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 533
Texto: Texto a ser pesquisado. Este campo é tratado como um texto contínuo que<br />
será comparado com o campo especificado, exceto no caso da pesquisa CONTÉM<br />
PALAVRAS, quando ele é tratado como diversas palavras separadas por espaços.<br />
Em ambos os casos, letras maiúsculas e minúsculas são consideradas como<br />
sendo iguais.<br />
Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma, é<br />
possível definir até 3 condições distintas que uma mensagem deve cumprir para que<br />
seja enquadrada pela regra. Caso não queira especificar três condições, basta<br />
deixar as demais com o valor NENHUM no parâmetro campo.<br />
Ativação dos filtros: Este campo só tem sentido quando especifica mais de uma<br />
condição. Ele indica que tipo de operação será usada para relacioná-las:<br />
Somente se todos são verdadeiros: Para que uma mensagem enquadre na<br />
regra, é necessário que ela satisfaça todas as condições.<br />
Se qualquer um for verdadeiro: Para que uma mensagem enquadre na regra,<br />
basta ela satisfazer uma das condições.<br />
Ação: Este campo indica se as mensagens que se enquadrarem na regra devem<br />
ser aceitas ou rejeitadas pelo proxy SMTP.<br />
Registrar na lista de eventos: Este campo indica se as mensagens que se<br />
enquadrarem na regra devem ou não ser registradas na lista de eventos.<br />
Enviar cópia: Para toda mensagem que se enquadrar na regra,<br />
independentemente de ter sido aceita ou rejeitada, é possível enviar uma cópia<br />
completa dela para um endereço de e-mail qualquer. Este campo indica se deve ou<br />
não ser enviada esta cópia. Caso ele esteja marcado, deve-se escolher uma das<br />
seguintes opções de envio:<br />
Padrão: A cópia da mensagem é enviada para o e-mail padrão.<br />
e-mail: A cópia da mensagem é enviada para o endereço especificado no campo<br />
à direita.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 534
Aba de DNS<br />
Figura 358. Serviço: DNS.<br />
Nesta pasta são mostradas todas as regras de filtragem de DNS para o contexto.<br />
Estas regras possibilitam que o administrador configure filtros de e-mails baseados<br />
no nome retornado pelo DNS reverso do servidor SMTP que estiver enviando a<br />
mensagem.<br />
Para executar qualquer operação sobre uma determinada regra, basta clicar com o<br />
botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será<br />
acionado sempre que se pressionar o botão direito, mesmo que não exista nenhuma<br />
regra selecionada. Neste caso, somente as opções Incluir e Colar estarão<br />
habilitadas).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 535
Figura 359. Menu (inserir, copiar, editar, excluir ou renomear)..<br />
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver<br />
selecionada, a nova será inserida na posição da regra selecionada. Caso<br />
contrário, a nova regra será incluída no final da lista.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver<br />
selecionada, a nova será copiada para a posição da regra selecionada. Caso<br />
contrário ela será copiada para o final da lista.<br />
Editar: Abrir a janela de edição para a regra selecionada.<br />
Excluir: Remover da lista a regra selecionada.<br />
Renomear: Renomear a regra selecionada da lista.<br />
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de<br />
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a<br />
regra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.<br />
No caso de inclusão ou edição de regras, será mostrada a janela de edição,<br />
mostrada abaixo:<br />
A janela de edição de regras DNS reverso<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 536
Figura 360. Serviço: DNS.<br />
Para criar uma regra deve-se preencher os seguintes campos:<br />
Nome: Nome que define unicamente a regra dentro do contexto. Este nome será<br />
mostrado na lista de regras do contexto SMTP. Não podem existir duas regras com<br />
o mesmo nome.<br />
Operador de pesquisa: Os mesmos operadores utilizados nas regras de filtragem<br />
SMTP podem ser utilizados para a filtragem do DNS reverso.<br />
Texto: Definir o texto a ser pesquisado.<br />
Registrar na lista de eventos: Registrar no log de eventos do firewall caso a regra<br />
tenha sido executada.<br />
Verificar alias: Se esta opção estiver marcada, o firewall comparará todos os<br />
nomes retornados pelo DNS para verificar se algum deles se encaixa na regra.<br />
Ação: Ação a ser executada pelo firewall caso a regra seja atendida. Ela pode ser<br />
Aceita ou Rejeitada.<br />
Aba de Anexos<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 537
Figura 361. Serviço: anexos.<br />
Nessa pasta são especificadas as regras de tratamento de arquivos anexados.<br />
Essas regras permitem que, caso uma mensagem tenha sido aceita, ela tenha seus<br />
arquivos anexados removidos ou checados contra vírus. Elas permitem também que<br />
se rejeite uma mensagem por completo, caso ela contenha um arquivo anexo<br />
inaceitável (com vírus, por exemplo).<br />
Agente de antivírus para checagem dos arquivos: Esse campo indica o agente<br />
antivírus que será utilizado para checar vírus dos arquivos anexados a mensagens<br />
de e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Para<br />
maiores informações veja o capítulo intitulado Cadastrando entidades.<br />
Permitir a passagem de anexos mal codificados: Se esta opção estiver marcada,<br />
anexos que apresentem erros de codificação serão aceitos pelo firewall, caso<br />
contrário a mensagem será recusada.<br />
Para executar qualquer operação sobre uma determinada regra, basta clicar com o<br />
botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será<br />
acionado sempre que se pressionar o botão direito, mesmo que não exista nenhuma<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 538
egra selecionada. Neste caso, somente as opções Incluir e Colar estarão<br />
habilitadas).<br />
Figura 362. Menu (inserir, copiar, editar, excluir ou renomear)..<br />
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver<br />
selecionada, a nova será inserida na posição da regra selecionada. Caso<br />
contrário, a nova regra será incluída no final da lista.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver<br />
selecionada, a nova será copiada para a posição da regra selecionada. Caso<br />
contrário ela será copiada para o final da lista.<br />
Editar: Abrir a janela de edição para a regra selecionada.<br />
Excluir: Remover da lista a regra selecionada.<br />
Renomear: Renomear a regra selecionada da lista.<br />
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de<br />
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a<br />
regra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.<br />
A ordem das regras na lista de regras de filtragem de arquivos anexados é de<br />
fundamental importância. Para cada arquivo anexado de uma mensagem, o firewall<br />
pesquisará a lista a partir do início procurando uma regra na qual ele se enquadre.<br />
Tão logo uma seja encontrada, a ação associada a ela será executada.<br />
No caso de inclusão ou edição de regras, será mostrada a janela de edição,<br />
mostrada abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 539
A janela de edição de regras de anexos<br />
Figura 363. Regra: edição de regras e anexos.<br />
Nesta janela são configurados todos os parâmetros relativos a uma regra de<br />
filtragem de arquivos para um contexto SMTP. Ela consiste dos seguintes campos:<br />
Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado na<br />
lista de regras de arquivos. Não podem existir duas regras com o mesmo nome.<br />
Filtrar por tipo MIME: Permitir a definição de uma regra de filtragem de arquivos<br />
baseando-se em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu<br />
subtipo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 540
Filtrar por nome: Permitir a realização de filtragens a partir (de parte) do nome, do<br />
arquivo anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser<br />
efetuada e o texto a ser pesquisado. Estes campos são análogos aos campos de<br />
mesmo nome da regra de filtragem SMTP, descrita acima.<br />
Operador de pesquisa: Este campo é análogo ao campo de mesmo nome da regra<br />
de filtragem SMTP, descrita acima.<br />
Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo se<br />
enquadrar na regra. Ela consiste de três opções:<br />
Aceita o anexo: Se essa opção for selecionada o firewall irá manter o arquivo<br />
anexado na mensagem.<br />
Remove o anexo: Se essa opção for selecionada o firewall irá remover o arquivo<br />
anexado da mensagem.<br />
Descarta mensagem: Se essa opção for selecionada o firewall recusará a<br />
mensagem completa.<br />
Remove anexo infectado: Se essa opção for selecionada o firewall irá verificar<br />
o arquivo anexado da mensagem contra vírus. Caso exista vírus o firewall<br />
tomará uma das seguintes ações: se o arquivo puder ser desinfectado, o vírus<br />
será removido e o arquivo re-anexado à mensagem. Caso o arquivo não possa<br />
ser desinfectado, o firewall o removerá e acrescentará uma mensagem<br />
informando ao destinatário desse fato.<br />
Descarta mensagem infectada: Se essa opção for selecionada o firewall irá<br />
verificar o arquivo anexado da mensagem contra vírus. Caso exista vírus o<br />
firewall tomará uma das seguintes ações: se o arquivo puder ser desinfectado, o<br />
vírus será removido e o arquivo re-anexado à mensagem. Caso o arquivo não<br />
possa ser desinfectado, o firewall recusará a mensagem.<br />
Recomenda-se utilizar as ações que removem os arquivos anexados nos emails<br />
recebidos pela companhia e as que bloqueiam a mensagem por completo nas<br />
regras aplicadas aos emails que saem.<br />
Remove arquivos encriptados: Se essa opção estiver marcada, o firewall<br />
removerá os arquivos anexados que estejam cifrados, de forma que não possam ser<br />
checados quanto a presença de vírus.<br />
Remove arquivos corrompidos: Se essa opção estiver marcada, o firewall<br />
removerá os arquivos anexados que estejam corrompidos.<br />
Notifica emissor no caso de remoção do arquivo anexado: Se essa opção<br />
estiver marcada, o firewall enviará uma mensagem para o emissor de um e-mail<br />
todas as vezes que um ou mais de seus arquivos anexados for removido.<br />
Envia cópia para o administrador do arquivo anexado for removido: Se essa<br />
opção estiver marcada, o firewall enviará uma cópia de todos os arquivos removidos<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 541
para o administrador. Caso ela esteja marcada, deve-se escolher uma das<br />
seguintes opções de envio:<br />
Padrão: A cópia da mensagem é enviada para o e-mail padrão.<br />
E-mail: A cópia da mensagem é enviada para o endereço especificado no<br />
campo à direita.<br />
Aba RBL (Real-time Black List)<br />
Figura 364. Serviço: RBL.<br />
Esta pasta contém opções de bloqueio de sites considerados fontes de SPAM. O<br />
bloqueio é feito em tempo real, mediante consulta a uma ou mais listas de bloqueio<br />
dinâmicas, mantidas por terceiros. Ela consiste das seguintes opções:<br />
Black list padrão: São cinco listas negras que contém vários relays acusados de<br />
fazer SPAM (envio de mensagem não desejada). Elas são gerenciadas por<br />
organizações e o firewall simplesmente consultam-nas, antes de aceitar os e-mails.<br />
Marque as opções correspondentes se desejar utilizar esta facilidade.<br />
SBL: Para saber mais acesse o endereço http://www.mail-abuse.org/rbl/<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 542
CBL: Para saber mais acesse o endereço http://www.orbs.org/<br />
ORBL Brasil: Para saber mais acesse o endereço http://www.orbl.org/<br />
DSBL: Para saber mais acesse o endereço http://www.ordb.org/<br />
Black list do usuário: São listas negras configuráveis pelo administrador do<br />
firewall. Ela consiste de uma lista de listas negras, cada uma com os seguintes<br />
campos:<br />
Nome: Nome pelo qual deseja chamar a blacklist.<br />
URL: URL explicativa para ser mostrada para o usuário que tiver seus e-mails<br />
recusados.<br />
Zona de DNS: É a zona completa de DNS que deverá ser consultada pelo firewall.<br />
Caso um endereço IP esteja presente nessa zona, e-mails vindos dele serão<br />
recusados.<br />
Alguns serviços de black list costumam ter seu funcionamento interrompido<br />
temporariamente devido aos problemas de natureza judicial. Quando isto acontece, ou<br />
eles se tornam inefetivos ou bloqueiam mais e-mails do que deveriam. Por favor<br />
verifique o funcionamento correto da black-list desejada antes de colocá-la em uso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 543
Aba de Spam Meter<br />
Figura 365. Serviço: Spam Meter.<br />
Esta aba contém as opções de configuração da comunicação do firewall com o<br />
Spam Meter, um produto criado pela <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> com o objetivo de<br />
atribuir notas a mensagens de e-mail, de acordo com a probabilidade destas serem<br />
ou não SPAM. Ela consiste das seguintes opções:<br />
Habilitar Spam Meter: Habilita o uso do Spam Meter pelo firewall.<br />
Agente de Spam Meter a usar: Esse campo indica o Spam Meter que será<br />
utilizado para se atribuir notas a mensagens de e-mail. Esse agente deve ter sido<br />
previamente cadastrado no firewall. Para maiores informações veja o capítulo<br />
intitulado Cadastrando entidades.<br />
Base a usar: O Spam Meter permite a utilização de diversas bases para realizar a<br />
classificação de mensagens. A idéia por trás disso é permitir que cada pessoa ou<br />
grupo de pessoas com características semelhantes possam ter suas mensagens<br />
classificadas por uma base que melhor reflita sua definição de SPAM. O <strong>Aker</strong><br />
Firewall não permite a utilização de bases distintas por pessoas ou grupos, porém é<br />
possível utilizar uma base distinta para cada contexto SMTP. Este campo serve<br />
para especificar o nome da base que será utilizada por este contexto.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 544
Níveis de Spam: Este controle permite a definição de dois limites de notas (entre 0<br />
e 100) para a filtragem de mensagens: Limite 1 e Limite 2.<br />
Limite 1: Define o limite, faixa verde, até o qual as mensagens são consideradas<br />
como não SPAM.<br />
Limite 2: Define, junto com o Limite 1, as faixas amarelas e vermelhas. A faixa<br />
amarela indica e-mails que potencialmente são SPAM mas que o SPAM Meter não<br />
tem certeza suficiente. A faixa vermelha indica mensagens que foram consideradas<br />
SPAM.<br />
Detecção de SPAM aprimorada: Se esta opção estiver selecionada o Spam Meter<br />
tentará detectar a maior quantidade possível de mensagens SPAM, com o<br />
inconveniente de eventualmente poder gerar mais falsos positivos, ou seja,<br />
mensagens que seriam válidas classificadas como potenciais SPAM.<br />
Redução de Falso-positivo: Se esta opção estiver selecionada, o Spam Meter<br />
tentará reduzir ao máximo os falsos positivos, com o inconveniente de<br />
eventualmente classificar como inofensiva uma mensagem que seria SPAM.<br />
Ação: Este campo indica as ações que devem ser executadas pelas mensagens<br />
que se enquadrarem em cada uma das áreas definidas pelos limites 1 e 2. As<br />
seguintes opções estão disponíveis:<br />
Aceitar: As mensagens que se enquadrarem nesta faixa serão aceitas sem<br />
qualquer modificação. Normalmente esta ação é associada à faixa verde.<br />
Descartar: As mensagens que se enquadrarem nesta faixa serão descartadas pelo<br />
firewall, isto é, elas serão recebidas por ele e o servidor que as enviou será<br />
informado do sucesso no envio, no entanto elas nunca serão reenviadas aos<br />
usuários que as deveriam receber. Esta ação deve ser utilizada apenas na faixa<br />
vermelha e seu objetivo é impedir que potenciais emissores de SPAM saibam se<br />
conseguiram ou não enviar suas mensagens.<br />
Rejeitar: As mensagens que se enquadrarem nesta faixa serão rejeitadas pelo<br />
firewall, isto é, o servidor que as enviou será informado que elas foram recusadas e<br />
que ele não deve tentar enviá-las novamente. Esta ação deve ser utilizada apenas<br />
na faixa vermelha.<br />
Adicionar assunto: As mensagens que se enquadrarem nesta faixa serão aceitas<br />
porém terão seu assunto precedido de um texto qualquer definido pelo<br />
administrador. O campo à direita serve para o administrador definir o texto que será<br />
adicionado ao assunto. Esta ação normalmente é utilizada na faixa amarela, mas<br />
pode também ser utilizada na vermelha. A idéia é configurar um filtro, para o texto a<br />
ser adicionado, nos leitores de e-mail de modo a fazer com que as mensagens<br />
suspeitas ou consideradas SPAM sejam automaticamente separadas em uma outra<br />
caixa postal.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 545
Enviar cópia: Para toda mensagem, independentemente de ter sido aceita ou<br />
rejeitada, é possível enviar uma cópia completa dela para um endereço de e-mail<br />
qualquer. Este campo indica se deve ou não ser enviada esta cópia. Caso ele esteja<br />
marcado, deve-se escolher uma das seguintes opções de envio:<br />
Padrão: A cópia da mensagem é enviada para o e-mail padrão.<br />
E-mail: A cópia da mensagem é enviada para o endereço especificado no<br />
campo à direita.<br />
Modificar mensagem para treinamento: Uma das características fundamentais do<br />
Spam Meter é sua possibilidade de aprender novas características de SPAM, de<br />
modo a sempre oferecer um ótimo nível de acerto. Os campos contidos nesta opção<br />
indicam quais usuários podem realizar treinamento da base de dados do contexto e<br />
de que forma as mensagens devem ser modificadas para possibilitar este<br />
treinamento. As seguintes opções estão disponíveis:<br />
Usar plugin: Esse campo indica os destinatários que treinarão mensagens através<br />
do plugin de treinamento disponibilizado pela <strong>Aker</strong> (disponível inicialmente para<br />
Outlook e Thunderbird). Neste caso, as mensagens não serão modificadas em<br />
nenhuma forma, apenas alguns campos novos serão acrescentados no cabeçalho.<br />
Ele especifica uma entidade do tipo de e-mails que deve ter sido previamente<br />
cadastrada no firewall (para maiores informações veja o capítulo intitulado<br />
Cadastrando entidades).<br />
Usar sub-mensagens (.eml): Os destinatários que estiverem neste campo<br />
receberão suas mensagens originais encapsuladas em outra, que conterá botões<br />
que os possibilitará de realizar o treinamento (a mensagem inicial virá sem nenhuma<br />
modificação, porém em alguns leitores de e-mail será necessário clicar sobre ela<br />
para pode visualizá-la). Ele especifica uma entidade do tipo de e-mail que deve ter<br />
sido previamente cadastrada no firewall (para maiores informações veja o capítulo<br />
intitulado Cadastrando entidades).<br />
Usar layout HTML: Os destinatários que estiverem neste campo receberão suas<br />
mensagens originais acrescidas de um novo layout HTML, que conterá botões que<br />
os possibilitará de realizar o treinamento. Ele especifica uma entidade do tipo de e-<br />
mails que deve ter sido previamente cadastrada no firewall (para maiores<br />
informações veja o capítulo intitulado Cadastrando entidades).<br />
Ajustar mensagens: Se umas das opções Usar sub-mensagens ou Usar Layout<br />
HTML for selecionada, este botão será habilitado e permitirá a definição das<br />
mensagens que serão mostradas aos usuários para que eles possam realizar o<br />
treinamento.<br />
Endereço para treinamento: Este campo deve ser preenchido com o nome ou<br />
endereço IP da máquina na qual o firewall está rodando, de modo a que os leitores<br />
de e-mails dos clientes saibam para onde enviar o resultado do treinamento.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 546
As listas serão pesquisadas pelo firewall na ordem em que aparecem, isto é, se<br />
um destinatário estiver em duas ou mais listas, a mensagem será modificada de<br />
acordo com a lista superior.<br />
Caso um usuário não apareça em nenhuma lista ele não poderá realizar<br />
treinamento da base.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 547
Aba Avançado<br />
Figura 366. Serviço: Avançado.<br />
Esta pasta permite o acesso às opções de configuração avançadas do proxy SMTP.<br />
Elas permitem um ajuste fino do funcionamento do proxy. As opções são:<br />
Permite cabeçalho incompleto: Se esta opção estiver marcada como NÃO, não<br />
serão aceitas mensagens cujos cabeçalhos não contenham todos os campos<br />
obrigatórios de uma mensagem SMTP.<br />
Número de processos: Este campo indica o número máximo de cópias do proxy<br />
que poderão estar ativas em um determinado momento. Como cada processo trata<br />
uma conexão, este número também representa o número máximo de mensagens<br />
que podem ser enviadas simultaneamente para o contexto em questão. Caso o<br />
número de conexões ativas atinja este limite, os clientes que tentarem enviar novas<br />
mensagens serão informados que o servidor se encontra temporariamente<br />
impossibilitado de aceitar novas conexões e que devem tentar novamente mais<br />
tarde.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 548
É possível utilizar este número de processos como uma ferramenta para<br />
controlar o número máximo de mensagens simultâneas passando pelo link, de<br />
forma a não saturá-lo.<br />
Tempo limite de resposta do cliente: Este parâmetro indica o tempo máximo, em<br />
segundos, que o proxy espera entre cada comando do cliente que está enviando a<br />
mensagem SMTP. Caso este tempo seja atingido, sem receber nenhum comando<br />
do cliente, o proxy assume que este caiu e derruba a conexão.<br />
Tempo limite de resposta para servidor: Para cada um dos possíveis comandos<br />
válidos do protocolo SMTP, existe um tempo máximo de espera por uma resposta<br />
do servidor. Caso não receba nenhuma resposta dentro deste período, o proxy<br />
assume que o servidor caiu e derruba a conexão. Neste grupo é possível configurar<br />
o tempo máximo de espera, em segundos, para cada um destes comandos.<br />
Todos os demais parâmetros se referem aos tempos limites de resposta para cada<br />
comando SMTP e não devem ser modificados a não ser que haja uma razão<br />
específica para fazê-lo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 549
Configurando o Proxy Telnet<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 550
26. Configurando o Proxy Telnet<br />
Este capítulo mostrará como configurar o proxy telnet para realizar autenticação de<br />
usuários.<br />
O que é o proxy Telnet?<br />
O proxy Telnet é um programa especializado do <strong>Aker</strong> Firewall feito para trabalhar<br />
com o protocolo Telnet, que é o protocolo utilizado para emulação de terminais<br />
remotos. A sua função básica é possibilitar a realização de uma autenticação a nível<br />
de usuário para as sessões telnet a serem estabelecidas. Este tipo de autenticação<br />
permite uma grande flexibilidade e um elevado nível de segurança.<br />
Ele é um proxy transparente (para maiores informações veja o capítulo intitulado<br />
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de<br />
sua existência.<br />
Utilizando o proxy Telnet<br />
Para utilizar o proxy Telnet para realizar autenticações em uma comunicação, é<br />
necessário executar uma seqüência de 2 passos:<br />
1. Criar um serviço que será desviado para o proxy Telnet e editar os parâmetros<br />
do contexto a ser usado por este serviço (para maiores informações, veja o<br />
capítulo intitulado Cadastrando Entidades).<br />
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo<br />
1, para as redes ou máquinas desejadas (para maiores informações, veja o<br />
capítulo intitulado O Filtro de Estados).<br />
A partir deste momento, todas as vezes que uma sessão telnet enquadrar na regra<br />
criada que foi estabelecida, o firewall solicitará uma identificação do usuário e uma<br />
senha. Se a identificação e a senha forem válidas e o usuário em questão tiver<br />
permissão, a sessão será estabelecida. Caso contrário o usuário será informado do<br />
erro e a sessão cancelada.<br />
26.1. Editando os parâmetros de um contexto Telnet<br />
A janela de propriedades de um contexto Telnet será mostrada quando a opção<br />
Proxy Telnet for selecionada. Através dela é possível definir o comportamento do<br />
proxy Telnet quando este for lidar com o serviço em questão.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 551
A janela de propriedades de um contexto Telnet<br />
Figura 367. Serviço: propriedade de um contexto Telnet.<br />
Na janela de propriedades são configurados todos os parâmetros de um contexto<br />
associado a um determinado serviço. Ela consiste dos seguintes campos:<br />
Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionar<br />
essa opção, somente serão aceitas conexões de máquinas cujo DNS reverso esteja<br />
configurado e aponte para um nome válido.<br />
Permissão Padrão: Indicar a permissão que será aplicada a todos os usuários que<br />
não estiverem presentes e que não façam parte de nenhum grupo presente na lista<br />
de permissões. O valor aceita permite que a sessão de telnet seja estabelecida e o<br />
valor rejeita impede sua realização.<br />
Número máximo de sessões simultâneas: Definir o número máximo de sessões<br />
telnet que podem estar ativas simultaneamente neste contexto. Caso o número de<br />
sessões abertas atinja este limite, os usuários que tentarem estabelecer novas<br />
conexões serão informados que o limite foi atingido e que devem tentar novamente<br />
mais tarde.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 552
Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxy<br />
pode ficar sem receber dados da sessão Telnet e ainda considerá-la ativa.<br />
O valor deste campo deve ser menor ou igual ao valor configurado no campo<br />
Tempo limite TCP, nos parâmetros de configuração globais. (para maiores<br />
informações, veja o capítulo intitulado Configurando os parâmetros do sistema)<br />
Lista de permissões: Definir de forma individual, as permissões de acesso para<br />
usuários ou grupos.<br />
Para executar qualquer operação sobre um usuário ou grupo na lista de permissões,<br />
basta clicar com o botão direito do mouse sobre ele. Aparecerá o seguinte menu:<br />
(este menu será acionado sempre que se pressionar o botão direito, mesmo que<br />
não exista nenhum usuário/grupo selecionado. Neste caso, somente as opções<br />
Incluir e Colar estarão habilitadas).<br />
Figura 368. Menu (inserir).<br />
Inserir: Permitir a inclusão de um novo usuário/grupo na lista. Se algum<br />
usuário/grupo estiver selecionado, o novo será inserido na posição selecionada.<br />
Caso contrário, o novo usuário/grupo será incluído no final da lista.<br />
Editar: Permite alterar a permissão de acesso do usuário/grupo selecionado.<br />
Excluir: Remover da lista o usuário/grupo selecionado.<br />
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de<br />
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se o<br />
usuário/grupo, clicando-o com o botão esquerdo, e em seguida clica-se na opção<br />
desejada.<br />
A ordem dos usuários e grupos na lista de permissões é de fundamental<br />
importância. Quando um usuário se autenticar, o firewall pesquisará a lista a partir<br />
do início procurando pelo nome desse usuário ou por um grupo de que ele faça<br />
parte. Tão logo um desses seja encontrado, a permissão associada ao mesmo será<br />
utilizada.<br />
Para alterar a posição de um usuário ou grupo dentro da lista, deve-se proceder da<br />
seguinte forma:<br />
1. Selecionar o usuário ou grupo a ser movido de posição.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 553
2. Clicar em um dos botões em formato de seta, localizados a direita da lista. O<br />
botão com o desenho da seta para cima fará com que o usuário/grupo<br />
selecionado seja movido uma posição para cima. O botão com a seta para baixo<br />
fará com que este seja movido uma posição para baixo.<br />
No caso de inclusão de usuários/grupos, será mostrada a seguinte janela:<br />
A janela de inclusão de usuários/grupos<br />
Figura 369. Janela de inclusão de usuários ou grupos.<br />
A janela de inclusão permite definir a permissão de acesso para um usuário ou um<br />
grupo de um determinado autenticador. Para fazê-lo, deve-se proceder da seguinte<br />
forma:<br />
Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos,<br />
clicando-se com o botão esquerdo sobre seu nome na lista superior da janela (se o<br />
autenticador desejado não aparecer na lista, é necessário acrescentá-lo na lista de<br />
autenticadores a serem pesquisados. Para maiores informações, veja o capítulo<br />
intitulado Configurando parâmetros de autenticação).<br />
1. Selecionar entre listagem de usuários ou grupos, clicando-se nos botões<br />
correspondentes localizados entre as duas listas.<br />
2. Clicar com o botão esquerdo sobre o nome do usuário ou grupo que queira<br />
incluir, na lista inferior da janela.<br />
3. Definir a permissão de acesso para o usuário ou grupo, escolhendo entre os<br />
valores aceita (que possibilitará o estabelecimento da sessão) ou rejeita (que<br />
impedirá seu estabelecimento).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 554
4. Clicar no botão OK, o que provocará o fechamento da janela e a inclusão do<br />
usuário ou grupo na lista de permissões da janela de propriedades do contexto.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 555
Configurando o Proxy FTP<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 556
27. Configurando o Proxy FTP<br />
Este capítulo mostrará como configurar o proxy FTP, de forma a bloquear<br />
determinados comandos da transferência de arquivos.<br />
O que é o proxy FTP?<br />
O proxy FTP é um programa especializado do <strong>Aker</strong> Firewall feito para trabalhar com<br />
o protocolo FTP, que é o protocolo utilizado para a transferência de arquivos pela<br />
Internet. A sua função básica é possibilitar que o administrador defina os comandos<br />
que podem ser aceitos e impedir, por exemplo, a criação de novos arquivos ou de<br />
diretórios.<br />
Ele é um proxy transparente (para maiores informações veja o capítulo intitulado<br />
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de<br />
sua existência.<br />
Utilizando o proxy FTP<br />
Para utilizar o proxy FTP para realizar o controle de uma transferência de arquivos é<br />
necessário executar uma seqüência de 2 passos:<br />
1. Criar um serviço que será desviado para o proxy FTP e editar os parâmetros do<br />
contexto a ser usado por este serviço (para maiores informações, veja o capítulo<br />
intitulado Cadastrando Entidades).<br />
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1,<br />
para as redes ou máquinas desejadas (para maiores informações, veja o capítulo<br />
intitulado O Filtro de Estados).<br />
O proxy FTP não realiza autenticação de usuários. Para possibilitar que certos<br />
usuários tenham privilégios diferentes é necessário criar serviços do proxy FTP com<br />
contextos distintos e associar cada um destes serviços com um perfil de acesso. Para<br />
maiores informações sobre perfis de acesso, verifique o capítulo chamado Perfis de<br />
acesso de usuários.<br />
27.1. Editando os parâmetros de um contexto FTP<br />
A janela de propriedades de um contexto FTP será mostrada quando selecionar a<br />
opção Proxy FTP, na janela de edição de serviços. Através dela é possível definir o<br />
comportamento do proxy FTP quando este for lidar com o serviço em questão.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 557
A janela de propriedades de um contexto FTP<br />
Figura 370. Serviços: propriedades de um contexto SMTP.<br />
Na janela de propriedades são configurados todos os parâmetros de um contexto<br />
associado a um determinado serviço. Ela consiste dos seguintes campos:<br />
Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionar<br />
essa opção, somente serão aceitas conexões de máquinas cujo DNS reverso esteja<br />
configurado e aponte para um nome válido.<br />
Permitir que o servidor abra conexões em qualquer porta com o cliente: Esta<br />
opção permite que o servidor FTP comunique-se com o cliente por uma porta<br />
diferente da padrão que é TCP 20.<br />
Habilitar logs de downloads e uploads: Esta opção fará com que seja gerado um<br />
evento informando dados sobre os downloads e uploads realizados passando pelo<br />
proxy.<br />
Número máximo de conexões simultâneas: Definir o número máximo de sessões<br />
FTP que podem estar ativas simultaneamente neste contexto. Caso o número de<br />
sessões abertas atinja este limite, os usuários que tentarem estabelecer novas<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 558
conexões serão informados que o limite foi atingido e que devem tentar novamente<br />
mais tarde.<br />
Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxy<br />
pode ficar sem receber dados da sessão FTP e ainda considerá-la ativa.<br />
O valor deste campo deve ser menor ou igual ao valor configurado no campo<br />
Tempo limite TCP, nos parâmetros de configuração globais. (para maiores<br />
informações, veja o capítulo intitulado Configurando os parâmetros do sistema.<br />
Esta janela permite a criação de uma lista de regras que poderão ser aceitas ou<br />
não, de acordo com ícone na coluna Ação que terão as opções Aceita ou Rejeita.<br />
Para poder inserir um comando na coluna FTP é necessário clicar com o botão<br />
direito dentro do componente e selecionar a opção inserir, assim depois de inserida<br />
a regra, deve-se clicar na coluna FTP e selecionar a opção desejada ou digitar outro<br />
comando.<br />
Figura 371. Janela de lista de regras (aceitas ou não)..<br />
Abaixo segue a descrição de todas as opções:<br />
mkd - Criar diretório: Ao selecionar essa opção, será possível a criação de<br />
diretórios através das conexões FTP que se encaixarem neste contexto.<br />
xmkd - Criar diretório Estendido: Ao selecionar essa opção, será possível a<br />
criação de diretórios estendidos por meio das conexões FTP que se encaixarem<br />
neste contexto.<br />
&rmd - Apagar diretório: Ao selecionar essa opção, será possível a remoção de<br />
diretórios através das conexões FTP que se encaixarem neste contexto.<br />
xrmd - Apaga um diretório estendido: Ao selecionar essa opção, será possível<br />
remover diretórios através das conexões FTP que se encaixarem neste contexto.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 559
list - Listar diretório: Ao selecionar essa opção será possível a visualização do<br />
conteúdo de diretórios (comandos DIR ou LS) através das conexões FTP que se<br />
encaixarem neste contexto.<br />
nlst - Listar nomes dos diretórios: Ao selecionar essa opção será possível a<br />
visualização dos nomes dos diretórios, através das conexões FTP que se<br />
encaixarem neste contexto.<br />
retr - <strong>Download</strong> de arquivos: Ao selecionar essa opção, será possível fazer<br />
download de arquivos através das conexões FTP que se encaixarem neste<br />
contexto.<br />
stor - Upload de arquivos: Ao selecionar essa opção, será possível fazer upload<br />
de arquivos através das conexões FTP que se encaixarem neste contexto.<br />
stou - Upload de arquivos: Ao selecionar essa opção, será possível fazer upload<br />
de um arquivo com o nome único no diretório corrente.<br />
appe - Concatenar Dados: Ao selecionar essa opção, será possível concatenar os<br />
dados no fim de um arquivo. Caso o arquivo não exista ele será criado.<br />
rest - Recomeçar download/upload: Ao selecionar essa opção, será possível<br />
recomeçar o download ou upload do ponto de onde foi interrompido.<br />
dele - Apagar arquivos: Ao desmarcar essa opção, não será possível remover<br />
arquivos através das conexões FTP que se encaixarem neste contexto.<br />
rnfr - Renomear arquivos: Se esta opção estiver desmarcada, não será possível<br />
renomear arquivos através das conexões FTP que se encaixarem neste contexto.<br />
As regras que não forem listadas obedecerão a "ação padrão".<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 560
Configurando o Proxy POP3<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 561
28. Configurando o Proxy POP3<br />
Este capítulo mostrará quais as funções oferecidas pelo proxy POP3 e como<br />
realizar a sua configuração.<br />
O que é o proxy POP3?<br />
O proxy POP3 é um programa especializado do <strong>Aker</strong> Firewall feito para trabalhar<br />
com correio eletrônico. Este proxy possibilita realizar filtragens de e-mails baseadas<br />
em seus arquivos anexos. Ele também atua como uma barreira protegendo o<br />
servidor POP3 contra diversos tipos de ataques.<br />
Ele é um proxy transparente (para maiores informações veja o capítulo intitulado<br />
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de<br />
sua existência.<br />
POP3 é um anagrama para Post Office Protocol, que é o nome completo do<br />
serviço de download de mensagens de correio eletrônico na Internet.<br />
Ataques contra um servidor POP3<br />
Existem diversos ataques passíveis de serem realizados contra um servidor POP3.<br />
São eles:<br />
Ataques explorando bugs de um servidor<br />
Neste caso, o atacante procura utilizar um comando ou parâmetros de um<br />
comando que conhecidamente provocam falhas de segurança.<br />
O proxy POP3 do <strong>Aker</strong> Firewall impede estes ataques na medida em que só<br />
permitem a utilização de comandos considerados seguros e validando os<br />
parâmetros de todos os comandos.<br />
Ataques explorando estouro de áreas de memória (buffer overflows)<br />
Estes ataques consistem em enviar linhas de comando muito grandes, fazendo<br />
com que um servidor que não tenha sido corretamente desenvolvido apresente<br />
falhas de segurança.<br />
O proxy POP3 do <strong>Aker</strong> Firewall impede estes ataques na medida em que limita o<br />
tamanho máximo das linhas de comando que podem ser enviadas para o<br />
servidor.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 562
Utilizando o proxy POP3<br />
Para utilizar o proxy POP3 em uma comunicação, é necessário executar uma<br />
seqüência de 2 passos:<br />
1. Criar um serviço que será desviado para o proxy POP3 e editar os parâmetros<br />
do contexto a ser usado por este serviço (para maiores informações, veja o<br />
capítulo intitulado Cadastrando Entidades).<br />
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo<br />
1, para as redes ou máquinas desejadas (para maiores informações, veja o<br />
capítulo intitulado O Filtro de Estados).<br />
28.1. Editando os parâmetros de um contexto POP3<br />
A janela de propriedades de um contexto POP3 será mostrada quando a opção<br />
Proxy POP3 for selecionada. Através dela é possível definir o comportamento do<br />
proxy POP3 quando este for lidar com o serviço em questão.<br />
A janela de propriedades de um contexto POP3<br />
Figura 372. Propriedades de um contexto POP3.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 563
Na janela de propriedades são configurados todos os parâmetros de um contexto<br />
associado a um determinado serviço. São eles:<br />
Configurações: É formado por diversos campos que indicam as ações a serem<br />
executadas pelo proxy POP3:<br />
Agente de antivírus: Indicar o agente antivírus que será utilizado para<br />
checar vírus dos arquivos anexados a mensagens de e-mail. Esse agente<br />
deve ter sido previamente cadastrado no firewall. Para maiores informações<br />
veja o capítulo intitulado Cadastrando entidades.<br />
E-mail padrão: Indicar o endereço de e-mail padrão, para o qual serão<br />
enviadas as cópias das mensagens que não se enquadrarem em nenhuma<br />
regra deste contexto (se a opção Envia Cópia estiver marcada). Este e-mail<br />
também pode ser referenciado em qualquer regra de filtragem do contexto.<br />
Número máximo de processos: Indicar o número máximo de cópias do<br />
proxy que poderão estar ativas em um determinado momento. Como cada<br />
processo trata uma conexão, este número também representa o número<br />
máximo de mensagens que podem ser transmitidas simultaneamente para o<br />
contexto em questão. Caso o número de conexões ativas atinja este limite, os<br />
clientes que tentarem enviar novas mensagens deverão repetir a tentativa<br />
posteriormente.<br />
Tempo limite de resposta: Indicar o tempo máximo, em segundos, que o<br />
proxy espera a conexão em inatividade. Caso este tempo seja atingido o<br />
proxy encerra a conexão.<br />
Permitir a passagem de anexos mal codificados: Permitir que anexos que<br />
estejam mal codificados passem pelo firewall e sejam entregues aos clientes<br />
de email.<br />
Lista de regras: Nessa lista são especificadas as regras de tratamento de arquivos<br />
anexados que permitem que uma mensagem tenha seus arquivos anexados<br />
removidos ou checados contra vírus.<br />
Para executar qualquer operação sobre uma determinada regra, deve-se clicar com<br />
o botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será<br />
acionado sempre que pressionar o botão direito, mesmo que não exista nenhuma<br />
regra selecionada. Neste caso, somente as opções Incluir e Colar estarão<br />
habilitadas).<br />
Figura 373. Operações sobre determinada regra.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 564
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra<br />
estiver selecionada, a nova será inserida na posição da regra selecionada.<br />
Caso contrário, a nova regra será incluída no final da lista.<br />
Editar: Abrir a janela de edição para a regra selecionada.<br />
Excluir: Remover da lista a regra selecionada.<br />
Renomear: Renomear a regra selecionada.<br />
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de<br />
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a<br />
regra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.<br />
A ordem das regras na lista de regras de filtragem de arquivos anexados é de<br />
fundamental importância. Para cada arquivo anexado de uma mensagem, o firewall<br />
pesquisará a lista a partir do início procurando uma regra na qual ele se enquadre.<br />
Tão logo uma seja encontrada, a ação associada a ela será executada.<br />
No caso de inclusão ou edição de regras, será mostrada a janela de edição,<br />
mostrada abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 565
A janela de edição de regras de arquivos<br />
Figura 374. Edição de regras de arquivos.<br />
Nesta janela são configurados todos os parâmetros relativos a uma regra de<br />
filtragem de arquivos para um contexto POP3. Ela consiste dos seguintes campos:<br />
Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado na<br />
lista de regras de arquivos. Não podem existir duas regras com o mesmo nome.<br />
Filtrar por tipo MIME: Permitir definir uma regra de filtragem de arquivos baseandose<br />
em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 566
Filtrar por nome: Permitir realizar filtragens a partir (de parte) do nome, do arquivo<br />
anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o<br />
texto a ser pesquisado. As seguintes opções de pesquisa estão disponíveis:<br />
CONTÉM: O nome deve conter o texto informado em qualquer posição.<br />
NÃO CONTÉM: O nome não pode conter o texto informado.<br />
É: O conteúdo do nome deve ser exatamente igual ao texto informado.<br />
NÃO É: O conteúdo do nome deve ser diferente do texto informado.<br />
COMEÇA COM: O conteúdo do nome deve começar com o texto informado.<br />
NÃO COMEÇA COM: O conteúdo do nome não pode começar com o texto<br />
informado.<br />
TERMINA COM: O conteúdo do nome deve terminar com o texto informado.<br />
NÃO TERMINA COM: O conteúdo do nome não pode terminar com o texto<br />
informado.<br />
CONTÉM PALAVRAS: Neste tipo de pesquisa, o texto informado é considerado<br />
como formado por palavras individuais (separadas por espaços), ao invés de um<br />
texto contínuo. Para enquadrar na pesquisa, o nome deve conter todas as<br />
palavras informadas, independente de sua posição.<br />
Ativação do filtro: Caso tenha especificado filtragem por tipo MIME e por nome,<br />
esse campo permite especificar se a regra deve ser aplicada Somente se ambos<br />
são verdadeiros (valor E) ou Se qualquer um for verdadeiro (valor OU).<br />
Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo se<br />
enquadrar na regra. Ela consiste em três opções:<br />
Aceita o anexo: Ao selecionar essa opção o firewall irá manter o arquivo<br />
anexado na mensagem.<br />
Remove o anexo: Ao selecionar essa opção o firewall irá remover o arquivo<br />
anexado da mensagem.<br />
Remove anexo infectado: Ao selecionar essa opção o firewall irá verificar o<br />
arquivo anexado da mensagem contra vírus. Caso exista vírus o firewall tomará<br />
uma das seguintes ações: se o arquivo puder ser desinfectado, o vírus será<br />
removido e o arquivo re-anexado à mensagem. Caso o arquivo não possa ser<br />
desinfectado, o firewall o removerá e acrescentará uma mensagem informando o<br />
destinatário desse fato.<br />
Caso a caixa Registrar na lista de eventos estiver marcado, quando a regra for<br />
atendida a mesma será registrada no log de eventos.<br />
Remover arquivos encriptados: Ao selecionar essa opção, o firewall removerá os<br />
arquivos anexados que estejam compactados e cifrados, porque não poderá<br />
examiná-los para testar a presença de vírus.<br />
Remover arquivos corrompidos: Ao selecionar essa opção, o firewall removerá os<br />
arquivos anexados que estejam compactados, porém corrompidos, porque não<br />
poderá examiná-los para testar a presença de vírus.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 567
Notifica emissor no caso de remoção do arquivo anexado: Ao selecionar essa<br />
opção, o firewall enviará uma mensagem para o emissor de um e-mail todas as<br />
vezes que um ou mais de seus arquivos anexados for removido.<br />
Envia cópia para o administrador se o arquivo anexado for removido: Ao<br />
marcar essa opção, o firewall enviará uma cópia de todos os arquivos removidos<br />
para o administrador. Caso ela esteja marcada, deve-se escolher uma das<br />
seguintes opções de envio:<br />
E-mail Padrão: A cópia da mensagem é enviada para o e-mail padrão, definido<br />
na janela de propriedades do contexto.<br />
outro: A cópia da mensagem é enviada para o endereço especificado no campo<br />
à direita.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 568
Utilizando as Quotas<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 569
29. Utilizando as Quotas<br />
Este capítulo mostrará como são utilizadas as quotas.<br />
O que são quotas?<br />
A produtividade dos funcionários é de fundamental importância para o<br />
desenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos de<br />
rede devem ser utilizados de forma racional. A partir dessa necessidade, o <strong>Aker</strong><br />
Firewall tornou-se uma ferramenta indispensável para o controle de acesso às<br />
páginas web, que são visitadas pelos empregados de uma corporação. Com o uso<br />
desse produto, os usuários só terão acesso à sites dentro dos limites estabelecidos<br />
pelas quotas de acesso. As Quotas são utilizadas para controlar e racionalizar o<br />
tempo gasto pelos funcionários, com acesso à sites da WEB. Assim as quotas são<br />
os limites em termos de tempo de acesso e volume de dados, por usuário. Estes<br />
limites são definidos na seguinte forma:<br />
Quanto à periodicidade de acesso, pode ser definido diariamente, semanalmente<br />
e mensalmente;<br />
Quanto à quantidade de horas e de dias disponíveis;<br />
Quanto ao volume de dados de bytes trafegados.<br />
Observação 1: A contagem do tempo funciona da seguinte forma: quando o usuário<br />
acessa uma página, conta um relógio de 31 segundos, se o usuário acessar uma<br />
outra página, começa a contar do zero, mas não deixar de contar, por exemplo, os<br />
10 segundos que o usuário gastou ao acessar a página anterior.<br />
Observação 2: Para o consumo de quota, funciona da seguinte forma: no MSN,<br />
para cada janela de conversação, o tempo é contato separadamente, já na WEB ser<br />
tiver acessando 10 sites, será contato somente o tempo de um.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 570
29.1. Editando os parâmetros do Uso de Quota<br />
Figura 375. Janela de acesso - Uso de quotas.<br />
Clicar no menu Informação da janela do firewall.<br />
Selecionar o item Uso de Quotas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 571
Visualização do Usuário<br />
Figura 376. Uso de quotas: viasualização do usuário.<br />
Esta janela permite mostrar todas as informações de quota de acesso, especificadas<br />
por usuário.<br />
Reiniciar o tempo do usuário: Ao clicar com o botão direito do mouse em cima do<br />
usuário e ao selecionar essa opção zera toda a quota de tempo de acesso para<br />
todas as quotas desse usuário. Caso clique em cima da quota, só será zerado<br />
aquela quota específica referente a esse usuário.<br />
Reiniciar o tráfego do usuário: Ao clicar com o botão direito do mouse em cima do<br />
usuário e ao selecionar essa opção opta em zerar todas as quotas de volume de<br />
dados desse usuário. Caso clique em cima da quota, só será zerado aquela quota<br />
específica referente a esse usuário.<br />
Reiniciar hora e tráfego do usuário: Ao clicar com o botão direito do mouse em<br />
cima do usuário e ao selecionar essa opção opta em zerar toda quota de tempo de<br />
acesso e a quota de volume, para esse usuário.Caso clique em cima da quota, só<br />
será zerado aquela quota específica referente a esse usuário.<br />
Usuário: Usuário para qual foi aplicado a quota.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 572
Quota: Nome da quota criada.<br />
Time: Tempo gasto da quota.<br />
Volume: Quantidade de bytes trafegados.<br />
Regularidade: Período que a quota vai ser aplicada se é diariamente,<br />
semanalmente ou mensalmente.<br />
Mostra valores relativos: Mostra os valores das quotas gastas em forma de<br />
porcentagem.<br />
Visualização da Quota<br />
Figura 377. Uso de quotas: viasualização da quota.<br />
Esta janela permite mostrar todas as informações de quota de acesso, especificados<br />
por quota.<br />
Reinicia o tempo do usuário: Ao clicar com o botão direito do mouse em cima do<br />
usuário e ao selecionar essa opção zera toda a quota de tempo de acesso para<br />
todas as quotas desse usuário. Caso clique em cima da quota, só será zerado<br />
aquela quota específica referente a esse usuário.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 573
Reinicia o tráfego do usuário: Ao clicar com o botão direito do mouse em cima do<br />
usuário e ao selecionar essa opção opta em zerar todas as quotas de volume de<br />
dados desse usuário. Caso clique em cima da quota, só será zerado aquela quota<br />
específica referente a esse usuário.<br />
Reinicia hora e tráfego do usuário: Ao clicar com o botão direito do mouse em<br />
cima do usuário e ao selecionar essa opção opta em zerar toda quota de tempo de<br />
acesso e a quota de volume, para esse usuário. Caso clique em cima da quota, só<br />
será zerado aquela quota específica referente a esse usuário.<br />
Mostra valores relativos: Mostra os valores das quotas em forma de porcentagem.<br />
Quota: Nome da quota criada.<br />
Usuário: Usuário para qual foi aplicado à quota.<br />
Tempo: Tempo gasto da quota.<br />
Volume: Quantidade de bytes trafegados.<br />
Regularidade: Período que a quota vai ser aplicada se é diariamente,<br />
semanalmente ou mensalmente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 574
Configurando o Filtro Web<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 575
30. Configurando o Filtro Web<br />
Este capítulo mostrará para que serve e como configurar o Filtro Web.<br />
30.1. Planejando a instalação<br />
O que é o Filtro Web do <strong>Aker</strong> Firewall?<br />
O filtro web é um programa especializado do <strong>Aker</strong> Firewall feito para trabalhar com<br />
os protocolos que compõem a chamada WWW (World Wide Web). Dentre entre<br />
estes protocolos, estão o HTTP, HTTPS, FTP e Gopher.<br />
Este produto possui como principal função controlar o acesso dos usuários internos<br />
à Internet, definindo quais páginas os usuários poderão acessar e se podem ou não<br />
transferir arquivos, por exemplo. Além disso, ele pode bloquear tecnologias<br />
consideradas perigosas para algumas instalações como o Active-X TM , scripts<br />
(JavaScript) e até applets Java TM . Mais ainda, ele possibilita a remoção dos banners<br />
das páginas, de forma a aumentar a sua velocidade de carga e reduzir a utilização<br />
do link.<br />
Ele é um proxy simultaneamente transparente (apenas para HTTP) e não<br />
transparente (para maiores informações, veja o capítulo intitulado Trabalhando<br />
com proxies), facilitando a instalação do sistema.<br />
Quando utilizado da forma transparente, o proxy é normalmente mais rápido do<br />
que quando utilizado como um proxy normal, além de não necessitar configuração<br />
extra nos clientes. Por outro lado, a capacidade de filtrar URLs para os protocolos<br />
HTTPS, FTP e GOPHER só existe no proxy normal.<br />
Para que o proxy não transparente tenha a mesma performance do transparente,<br />
é necessário que os browsers suportem o envio de requisições HTTP 1.1 via<br />
proxies.<br />
O que é um servidor de cache WWW?<br />
Um servidor de cache é um programa que visa aumentar a velocidade de acesso às<br />
páginas da Internet. Para conseguir isso, ele armazena internamente as páginas<br />
mais utilizadas pelas diversas máquinas clientes e todas as vezes que recebe uma<br />
nova solicitação, ele verifica se a página desejada já se encontra armazenada. Caso<br />
a página esteja disponível, ela é retornada imediatamente, sem a necessidade de<br />
consultar o servidor externo, caso contrário a página é carregada normalmente do<br />
servidor desejado e armazenada, fazendo com que as próximas requisições a esta<br />
página sejam atendidas rapidamente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 576
O filtro web do <strong>Aker</strong> Firewall trabalhando com um servidor de cache<br />
O <strong>Aker</strong> Firewall implementa por si só um servidor de cache no seu Filtro Web,<br />
entretanto ele pode ser configurado para trabalhar com qualquer um que siga os<br />
padrões de mercado. Este servidor de cache pode estar rodando na própria<br />
máquina onde o firewall se encontra ou em uma máquina separada.<br />
Caso utilize-se de um servidor de cache em uma máquina separada (modo de<br />
instalação recomendado), esta máquina deve ficar em uma sub-rede diferente de<br />
onde estão as máquinas clientes, caso contrário, todo o controle de segurança pode<br />
ser facilmente ultrapassado. Este tipo de configuração pode ser visualizado na<br />
seguinte figura:<br />
Figura 378. Conexão (internet, rede interna, firewall e DMZ).<br />
Neste tipo de instalação, para assegurar uma total proteção, basta configurar o filtro<br />
de estados (para maiores informações, veja o capítulo intitulado O Filtro de<br />
Estados) de forma a permitir que a máquina com o cache seja a única que possa<br />
acessar os serviços ligados ao WWW, e que as máquinas clientes não possam abrir<br />
nenhuma conexão em direção à máquina onde se encontra o cache. Feito isso,<br />
configura-se todas as máquinas clientes para utilizarem o Filtro Web do firewall e<br />
configura-se o firewall para utilizar o cache na máquina desejada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 577
Utilizando o Filtro Web<br />
Para se utilizar o filtro web do <strong>Aker</strong> Firewall no modo não transparente (normal), é<br />
necessária a seguinte seqüência de passos:<br />
1. Criar os perfis de acesso desejados e os associar com os usuários e grupos<br />
desejados. (Isso foi descrito no capítulo chamado Perfis de acesso de<br />
usuários);<br />
2. Editar os parâmetros de configuração do Filtro Web (isso será mostrado no<br />
tópico chamado Editando os parâmetros do filtro web);<br />
3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenham<br />
acesso ao proxy (para maiores informações, veja o capítulo intitulado O Filtro<br />
de Estados).<br />
O filtro web não transparente escuta conexões na porta 80, utilizando o protocolo<br />
TCP. Caso seja necessário, pode-se alterar este valor para qualquer porta,<br />
bastando para isso acrescentar o parâmetro -p porta, onde porta é o número da<br />
porta que queira que ele escute, na hora de iniciá-lo. Esta chamada se encontra no<br />
arquivo /aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall<br />
/fwhttppd para /aker/bin/firewall/fwhttppd -p 8080, por exemplo.<br />
Para utilizar o filtro web no modo transparente é necessário executar uma seqüência<br />
de 2 passos:<br />
1. Criar um serviço que será desviado para o Filtro Web transparente (HTTP<br />
e/ou HTTPS) e editar os parâmetros do contexto a ser usado por este serviço<br />
(para maiores informações, veja o capítulo intitulado Cadastrando<br />
Entidades).<br />
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no<br />
passo 1, para as redes ou máquinas desejadas (para maiores informações,<br />
veja o capítulo intitulado O Filtro de Estados).<br />
30.2. Editando os parâmetros de Filtro Web<br />
Para utilizar o filtro web, é necessária a definição de alguns parâmetros que<br />
determinarão características básicas de seu funcionamento. Esta definição é feita<br />
na janela de configuração do Filtro Web. Para acessá-la, deve-se:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 578
Figura 379. Janela de acesso - filtro web.<br />
Clicar no menu Aplicação da janela do firewall.<br />
Selecionar o item Filtro Web.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 579
A janela de configuração de parâmetros do Filtro Web<br />
Aba geral<br />
Figura 380. Configuração dos parâmetros do filtro web (geral).<br />
O botão OK fará com que a janela de configuração do Filtro Web seja fechada e<br />
as alterações salvas.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas, porém<br />
manterá a janela aberta.<br />
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela seja fechada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 580
O botão Retornar à Configuração Inicial - Desconsidera as configurações<br />
personalizadas e retorna ao padrão; é aplicável em todas as abas e encontra-se na<br />
barra de ferramentas do Firewall, bem como o botão Assistente.<br />
Cache<br />
Habilitar cache: Esta opção permite definir se o Filtro Web irá redirecionar suas<br />
requisições para um servidor de cache. Caso esta opção esteja habilitada, todas<br />
as requisições recebidas serão repassadas para o servidor de cache, no<br />
endereço IP e porta especificada. Caso contrário, o Filtro Web atenderá todas as<br />
requisições.<br />
IP: Este campo especifica o endereço IP do servidor de cache para onde as<br />
requisições serão redirecionadas, caso a opção habilita cache estiver ativa.<br />
Porta: Este campo especifica a porta na qual o servidor de cache espera receber<br />
conexões, caso a opção habilita cache estiver ativa.<br />
Parâmetros<br />
Esta pasta possibilita ajustar o funcionamento do Filtro Web para situações<br />
especiais. Ela consiste dos seguintes campos:<br />
Autentica usuários WWW: Este campo ativa ou não a autenticação de usuários<br />
do Filtro Web. Caso ele esteja marcado, será solicitada ao usuário uma<br />
identificação e uma senha todas as vezes que ele tentar iniciar uma sessão e<br />
esta somente será iniciado caso ele seja autenticado por algum dos<br />
autenticadores.<br />
Utiliza cliente de autenticação em Java: Esta opção instrui o proxy a utilizar o<br />
cliente de autenticação em Java, mesmo quando operando de modo não<br />
transparente. A vantagem deste cliente é permitir que a autenticação do usuário<br />
seja completa (como quando se usa o cliente de autenticação para Windows, e<br />
não apenas para o Filtro Web).<br />
Caso o usuário esteja utilizando o Cliente de Autenticação <strong>Aker</strong> para Windows<br />
e esteja com uma sessão estabelecida com o Firewall, então não será solicitado<br />
nome nem senha, ou seja, o proxy se comportará como se não estivesse<br />
realizando autenticação de usuários, mas ele está de fato fazendo-o. Se a<br />
sessão do Cliente de Autenticação for finalizada, então o proxy solicitará um<br />
nome de usuário e senha no próximo acesso. Para maiores informações sobre o<br />
Cliente de Autenticação <strong>Aker</strong>, leia o capítulo (Autenticação de usuários).<br />
Para o cliente de autenticação em Java funcionar em seu browser, ele deve<br />
ter o suporte o Java instalado e habilitado, além de permitir o uso do protocolo<br />
UDP para applets Java.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 581
Forçar autenticação: Se esta opção estiver marcada o proxy obrigará a<br />
autenticação do usuário, ou seja, somente permitirá acesso para usuários<br />
autenticados. Se ela estiver desmarcada e um usuário desejar se autenticar, ele<br />
poderá fazê-lo (para ganhar um perfil diferente do padrão), mas acessos não<br />
identificados serão permitidos.<br />
Tempos Limites<br />
Leitura: Definir o tempo máximo, em segundos, que o proxy aguarda por uma<br />
requisição do cliente, a partir do momento que uma nova conexão for<br />
estabelecida. Caso este tempo seja atingido sem que o cliente faça uma<br />
requisição, a conexão será cancelada.<br />
Resposta: Definir o tempo máximo, em segundos, que o proxy aguarda por uma<br />
resposta de uma requisição enviado para o servidor WWW remoto ou para o<br />
servidor de cache, caso a opção habilita cache esteja ativa. Caso este tempo<br />
seja atingido sem que o servidor comece a transmitir uma resposta, a conexão<br />
com o servidor será cancelada e o cliente receberá uma mensagem de erro.<br />
HTTPS: Definir o tempo máximo, em segundos, que o proxy pode ficar sem<br />
receber dados do cliente ou do servidor em uma conexão HTTPS, sem que ele<br />
considere a conexão inativa e a cancele.<br />
Manter ativo: Definir quanto tempo um usuário pode manter uma conexão keepalive<br />
(HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o<br />
processo para outro usuário. Recomenda-se manter este tempo bastante baixo,<br />
para evitar o uso desnecessário de todos os processos do sistema.<br />
Timeout das sessões web: Indica quanto tempo uma sessão web vai ficar<br />
sendo monitorada, permitindo ao administrador do firewall saber quais são as<br />
sessões web ativas do seu firewall.<br />
Exemplo: Se for marcado 30 segundos nesse campo, a janela de sessões web<br />
(Informação -> Sessões Web) só vai mostrar as sessões ativas dos últimos 30<br />
segundos.<br />
Performance<br />
Número de processos: Definir o número de processos do Filtro Web que vão<br />
permanecer ativos aguardando conexões. Como cada processo atende uma<br />
única conexão, este campo também define o número máximo de requisições que<br />
podem ser atendidas simultaneamente.<br />
Não permitir a transferência de arquivos comprimidos: Permite que o<br />
Firewall não aceite transferências do filtro Web que tenham dados compactados.<br />
Em uma requisição HTTP e ou HTTPS, pode ser especificado que os dados<br />
venham compactados. Caso os dados venham comprimidos e caso exista<br />
activex, java ou javascript compactados, o firewall precisa descompactá-los para<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 582
fazer a análise dos dados, por isso que nesses casos, essa opção é bastante<br />
importante. O mais aconselhado é deixar esta opção desmarcada, pois é o<br />
padrão da janela.<br />
Logar toda URL aceita: Permite que o Firewall logue todas as URL que são<br />
realizadas um método (GET, POST e etc), sendo assim teremos um volume de<br />
logs muito maior para geração de relatórios e contabilização de Quotas.<br />
Exemplo: com esta opção desmarcado o acesso ao endereço<br />
http://www.terra.com.br será gerado apenas um log informando o acesso ao<br />
portal, já com a opção marcada será gerado logs para cada GET que o browser<br />
faz para receber todo o site.<br />
Por razões de performance, os processos do Filtro Web ficarão ativos sempre,<br />
independente de estarem ou não atendendo requisições. Isto é feito com o<br />
objetivo de aumentar a performance.<br />
Normalmente, deve-se trabalhar com valores entre 5 e 60 neste campo,<br />
dependendo do número de máquinas clientes que utilizarão o proxy (cabe<br />
ressaltar que uma única máquina costuma abrir até 4 conexões simultâneas ao<br />
acessar uma única página WWW). O valor 0 inviabiliza a utilização do proxy.<br />
Quotas<br />
Interromper a transferência quando a quota for excedida: Essa opção<br />
permite interromper a transferência dos arquivos caso a quota tenha excedido.<br />
Caso essa opção não esteja marcada o firewall vai verificar a quota do usuário<br />
antes dele começar a fazer o download.<br />
Exemplo: Se o usuário tiver 50 MB de quota, e quer fazer um download de um<br />
arquivo de 100 MB, com certeza ele não irá conseguir finalizar<br />
essa transferência. Todas às vezes que essa opção estiver marcada, e for mais<br />
de um download simultâneo ou um download que não foi informado o seu<br />
tamanho, o firewall permite o download, mas irá interromper antes do término.<br />
Contabilizar duração do download: Permite que o tempo da quota seja "gasto"<br />
enquanto durar o tempo do download, por exemplo, se o usuário quiser fazer o<br />
download de um arquivo de 100 MB e esse download levar 30 minutos, vão ser<br />
gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opção<br />
não esteja marcada, só vão ser gastos 100 MB, e não os 30 minutos.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 583
Normalmente o tempo de quota só é utilizado quando o usuário fica navegando,<br />
mandando mensagens pelo MSN e etc. Quando ele está fazendo o download de<br />
um arquivo grande, não é gasto o tempo de sua quota, somente o volume de<br />
bytes.<br />
Arquivos<br />
Permitir retomada de transferência: Está opção deverá ser selecionada caso o<br />
usuário queira permitir, que um download continue de onde havia parado.<br />
Aba Cliente de Autenticação<br />
Figura 381. Filtro Web: cliente de autenticação.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 584
Esta aba serve para compor o Layout da janela de autenticação do <strong>Aker</strong> Firewall.<br />
Crie um título para a janela de autenticação.<br />
Autenticação - Este campo é composto por duas opções que serão disponibilizadas<br />
para o usuário quando do logon no Firewall; e poderá se conectar habilitando:<br />
Mostrar botão S/Key - Esta opção permite que os usuários se autentiquem<br />
usando S/Key.<br />
Mostrar campo domínio - O usuário informará o domínio para logar-se no Filtro<br />
Web.<br />
Logotipo<br />
Usar logo personalizada. Neste caso ao marcar esta opção, será preciso indicar<br />
o caminho que se encontra a logotipo.<br />
E é possível acompanhar as mudanças na Visualização.<br />
Mostrar tela de splash antes da janela de autenticação: Esta opção exibe uma<br />
janela com a URL especificada antes de solicitar a autenticação do usuário através<br />
do cliente de autenticação em Java.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 585
Aba controle de conteúdo<br />
Figura 382. Filtro Web: controle de conteúdo.<br />
Analisador de URL: Especificar o agente analisador de URLs que será utilizado<br />
para categorizar as páginas da Internet. Esse agente deve ter sido previamente<br />
cadastrado no firewall. Para maiores informações veja o capítulo intitulado<br />
Cadastrando entidades.<br />
URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelo<br />
firewall quando um usuário tentar acessar uma URL não permitida. Ela consiste das<br />
seguintes: opções:<br />
Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o<br />
firewall mostrará uma mensagem de erro informando que a URL que se<br />
tentou acessar se encontra bloqueada.<br />
Redireciona URL bloqueada: Ao selecionar essa opção, o firewall<br />
redirecionará todas as tentativas de acesso a URLs bloqueadas para uma<br />
URL especificada pelo administrador. Nesse caso, deve-se especificar a URL<br />
para quais os acessos bloqueados serão redirecionados (sem o prefixo<br />
http://) no campo abaixo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 586
Mostrar: Essa opção permite definir a página que será mostrada ao usuário,<br />
quando a tentativa de acesso a uma URL for bloqueada. Então pode optar em<br />
mostrar a página padrão ou redirecionar para a página escolhida, que<br />
será personalizada de acordo com os chekboxs selecionados. Segue abaixo a<br />
descrição de cada opção e o detalhamento das variáveis criadas.<br />
Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado para<br />
identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi<br />
bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria<br />
que causou o bloqueio da página.<br />
Domínio: Ao selecionar essa opção será mostrado o domínio da URL.<br />
Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br.<br />
Ao selecionar o domínio, é criada a variável domain.<br />
Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET,<br />
PUT, POST. Ao selecionar o Método é criada a variável method.<br />
Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar<br />
essa opção é criada a variável perfil.<br />
IP do usuário: Endereço IP do usuário que tentou acessar a URL que foi<br />
bloqueada. Ao selecionar o Método é criada a variável IP.<br />
Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa<br />
opção será mostrada a razão do bloqueio do site. Por exemplo, temos as<br />
seguintes razões:<br />
"categoria da URL",<br />
"regra de bloqueio",<br />
"quota bytes excedidos",<br />
"quota bytes insuficientes",<br />
"quota tempo excedido",<br />
"tipo de objeto não permitido",<br />
"tipo de arquivo não permitido globalmente",<br />
"tipo de arquivo não permitido no perfil",<br />
"connect para a porta especificada não permitida”<br />
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao<br />
selecionar a Categoria é criada a variável cats.<br />
Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao<br />
selecionar o nome do usuário é criada a variável user.<br />
Número da regra: Número da Regra de Filtragem que a URL se enquadrou.<br />
Ao selecionar o número da regra é criada a variável rule.<br />
Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi<br />
bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url.<br />
No preview, aparece como será a URL e o que será enviado via método GET.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 587
Aba tipos de arquivos<br />
Figura 383. Filtro Web: tipo de arquivo.<br />
Arquivos Bloqueados<br />
Especificar os arquivos que serão bloqueados pelo Filtro Web.<br />
É possível utilizar dois critérios complementares para decidir se um arquivo<br />
transferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um<br />
destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver<br />
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre<br />
aqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo firewall.<br />
O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta<br />
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo<br />
e o segundo indica o subtipo. O navegador usa esta informação para decidir como<br />
mostrar a informação que ele recebeu do mesmo modo como o sistema operacional<br />
usa a extensão do nome do arquivo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 588
URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelo<br />
firewall quando um usuário tentar acessar uma URL não permitida. Ela consiste das<br />
seguintes: opções:<br />
Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção,<br />
o firewall mostrará uma mensagem de erro informando que a URL que se<br />
tentou acessar se encontra bloqueada.<br />
Redireciona URL bloqueada: Ao selecionar essa opção, o firewall<br />
redirecionará todas as tentativas de acesso a URLs bloqueadas para uma<br />
URL especificada pelo administrador. Nesse caso, deve-se especificar a<br />
URL para quais os acessos bloqueados serão redirecionados (sem o<br />
prefixo http://) no campo abaixo.<br />
Mostrar: Essa opção permite definir a página que será mostrada ao usuário,<br />
quando a tentativa de acesso a uma URL for bloqueada. Então pode optar em<br />
mostrar a página padrão ou redirecionar para a página escolhida, que<br />
será personalizada de acordo com os chekboxs selecionados. Segue abaixo a<br />
descrição de cada opção e o detalhamento das variáveis criadas.<br />
Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado para<br />
identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi<br />
bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria<br />
que causou o bloqueio da página.<br />
Domínio: Ao selecionar essa opção será mostrado o domínio da URL.<br />
Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br.<br />
Ao selecionar o domínio, é criada a variável domain.<br />
Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET,<br />
PUT, POST. Ao selecionar o Método é criada a variável method.<br />
Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao<br />
selecionar essa opção é criada a variável perfil.<br />
IP do usuário: Endereço IP do usuário que tentou acessar a URL que foi<br />
bloqueada. Ao selecionar o Método é criada a variável IP.<br />
Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar<br />
essa opção será mostrada a razão do bloqueio do site. Por exemplo,<br />
temos as seguintes razões:<br />
"categoria da URL",<br />
"regra de bloqueio",<br />
"quota bytes excedidos",<br />
"quota bytes insuficientes",<br />
"quota tempo excedido",<br />
"tipo de objeto não permitido",<br />
"tipo de arquivo não permitido globalmente",<br />
"tipo de arquivo não permitido no perfil",<br />
"connect para a porta especificada não permitido"<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 589
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao<br />
selecionar a Categoria é criada a variável cats.<br />
Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao<br />
selecionar o nome do usuário é criada a variável user.<br />
Número da regra: Número da Regra de Filtragem que a URL se<br />
enquadrou. Ao selecionar o número da regra é criada a variável rule.<br />
Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi<br />
bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url.<br />
GET.<br />
No preview, aparece como será a URL e o que será enviado via método<br />
<strong>Download</strong>s<br />
Especificar os arquivos que serão analisados contra vírus pelo <strong>Download</strong> manager<br />
do <strong>Aker</strong> Firewall, ou seja, para os quais o firewall mostrará ao usuário uma página<br />
web com o status do download do arquivo e realizará seu download em background.<br />
Esta opção é interessante para arquivos potencialmente grandes (arquivos<br />
compactados, por exemplo) ou para arquivos que normalmente não são<br />
visualizáveis de forma on-line pelo navegador.<br />
É possível utilizar dois critérios complementares para decidir se um arquivo<br />
transferido deve ser analisado: a extensão do arquivo ou seu tipo MIME. Se um<br />
destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver<br />
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre<br />
aqueles a serem analisados, então o arquivo deverá ser analisado pelo firewall.<br />
O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta<br />
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo<br />
e o segundo indica o subtipo. O navegador usa esta informação para decidir como<br />
mostrar a informação que ele recebeu do mesmo modo como o sistema operacional<br />
usa a extensão do nome do arquivo.<br />
Sites Excluídos:<br />
Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se<br />
enquadrarem na lista de excluídos não serão analisados.<br />
As escolhas dos operadores podem ser vistas abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 590
Figura 384. Escolhas dos operadores.<br />
Configurações:<br />
Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo<br />
encriptado.<br />
Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo<br />
corrompido.<br />
Online<br />
Da mesma maneira que em downloads o administrador do firewall deve escolher os<br />
tipos MIME e as extensões.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 591
Aba Antivírus<br />
Figura 385. Filtro Web: antivírus.<br />
Habilitar antivírus: Ao selecionar essa caixa, permitirá que o firewall faça a<br />
verificação antivírus dos conteúdos que tiverem sendo baixados.<br />
O botão Retornar à configuração padrão restaura a configuração original do<br />
firewall para esta pasta.<br />
Agente antivírus utilizado: Permitir a escolha de um agente antivírus<br />
previamente cadastrado para realizar a verificação de vírus. Esse agente<br />
deve ter sido previamente cadastrado no firewall. Para maiores<br />
informações veja o capítulo intitulado Cadastrando entidades.<br />
Ignorar erros online do antivírus (podem permitir a passagem de<br />
anexos contaminados): Quando este campo estiver selecionado, se<br />
houver um erro de análise do antivírus no tráfego on-line, o mesmo não<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 592
loqueará o conteúdo, permitindo a transferência dos dados. Caso o<br />
campo não esteja marcado, a transferência de dados será bloqueada.<br />
Ignorar erros de download do antivírus (pode permitir a passagem de<br />
anexos contaminados): Quando este campo estiver selecionado, se<br />
houver erro de análise do antivírus no tráfego on-line, o mesmo não<br />
bloqueará o download, permitindo a transferência dos dados. Caso o<br />
campo não esteja marcado, o download será bloqueado.<br />
Habilitar janela de progresso do antivírus: Esta opção permite<br />
desabilitar o <strong>Download</strong> manager do <strong>Aker</strong> Firewall.<br />
Intervalo de atualização do status: Esta opção determina o tempo em a<br />
página de download exibida pelo firewall deve ser atualizada.<br />
Número de tentativas: Número máximo de tentativas de download para<br />
cada arquivo, caso seja necessário tentar mais de uma vez.<br />
Número máximo de downloads simultâneos: Configura o número<br />
máximo de downloads simultâneos que o firewall irá permitir.<br />
Analise de Vírus: Opção para mostrar uma página caso seja encontrado um vírus<br />
durante a análise do antivírus. A página poderá ser a do próprio firewall ou<br />
personalizada pelo usuário. É possível personalizar a mensagem para cada tipo de<br />
vírus encontrado, bastando utilizar a string {VIR} que será substituída pelo nome do<br />
vírus.<br />
Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção,<br />
o firewall mostrará uma mensagem de erro informando que a URL que se<br />
tentou acessar se encontra bloqueada.<br />
Redireciona URL bloqueada: Ao selecionar essa opção, o firewall<br />
redirecionará todas as tentativas de acesso a URLs bloqueadas para uma<br />
URL especificada pelo administrador. Nesse caso, deve-se especificar a<br />
URL para quais os acessos bloqueados serão redirecionados (sem o<br />
prefixo http://) no campo abaixo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 593
O <strong>Aker</strong> Antivirus Module suporta diversas opções de varredura de vírus, worms,<br />
dialers, hoax, cavalo de troia e analise heurísticas, abaixo segue uma lista de<br />
opções suportadas:<br />
Opções de análise: Utilizado para selecionar quais os tipos de bloqueio que devem<br />
ser realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se será ou não<br />
utilizado um método de detecção heurístico (caso seja marcado, poderá ser utilizado<br />
às opções baixo, médio ou alto);<br />
Habilitar análise heurística: A Heurística é um conjunto de regras e<br />
métodos que podem levar o parceiro instalado a detectar um vírus sem a<br />
necessidade de uma base de assinaturas de vírus, ou seja, é um algoritmo<br />
capaz de detectar programas maliciosos baseando-se em seu<br />
comportamento;<br />
Detectar Malware: Habilita a analise de programas maliciosos e ferramentas<br />
hackers.<br />
Varredura de Arquivos:<br />
Habilitado: Permite habilitar a análise do conteúdo de arquivos<br />
compactados;<br />
Nível Máximo de profundidade: Define o nível máximo de recursão ao<br />
analisar um arquivo compactado;<br />
Tamanho máximo do Arquivo: Define o tamanho máximo permitido de um<br />
arquivo a ser analisado dentro de um arquivo compactado;<br />
Número Máximo de Arquivos: Define a quantidade máxima de arquivos a<br />
serem analisados dentro de um arquivo compactado.<br />
O <strong>Aker</strong> Antivirus Module suporta a analise de arquivos compactados das<br />
seguintes extensões: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR,<br />
BZIP2, UPX, AsPack, PEPack, Petite, Telock, FSG, Crunch, WWWPack32, DOC,<br />
PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO, Gzip, MS OLE2, MS Cabinet Files (+<br />
SFX), MS SZDD compression format, BinHex, SIS (SymbianOS packages), AutoIt,<br />
NSIS, InstallShield.<br />
Aba SSL<br />
O proxy HTTPS é a parte do Filtro Web que trata as conexões TCP pela porta 443.<br />
O princípio de funcionamento é o de um ataque man-in-the-middle: as máquinas<br />
clientes que fazem o acesso através do <strong>Aker</strong> Firewall, e este com o servidor remoto,<br />
de forma transparente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 594
Entendendo um pouco de certificados<br />
O que é um certificado digital?<br />
Certificado digital é um documento fornecido pela Entidade Certificadora para cada<br />
uma das entidades que irá realizar uma comunicação, de forma a garantir sua<br />
autenticidade.<br />
Para os certificados utilizados na comunicação HTTPS o padrão utilizado é o X.509.<br />
Este comumente utiliza-se das extensões “pem”, “cer” e “crt”.<br />
Formato PKCS#12<br />
O formato PKCS#12 foi criado pela “RSA Laboratories” para armazenamento do<br />
certificado X.509 acompanhado da chave privada. Esse arquivo geralmente tem a<br />
extensão “pfx” e “p12”.<br />
Comunicação HTTPS<br />
A comunicação HTTPS utiliza-se do sistema de certificação digital.<br />
Quando o cliente acessa um site com HTTPS o servidor envia ao cliente o<br />
certificado X.509 (que contém sua chave pública).<br />
De posse deste certificado o navegador (cliente) faz algumas validações:<br />
Validade do certificado;<br />
Se o CN (Common Name) do certificado é o host da url;<br />
Se a autoridade certificadora que assinou o certificado é uma autoridade<br />
confiável.<br />
Após a validação ocorrer com sucesso o cliente efetua o processo de comunicação<br />
de requisições e respostas HTTP.<br />
Vejam o diagrama abaixo:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 595
Figura 386. Diagrama de certificados envolvidos no acesso.<br />
O diagrama mostra os certificados envolvidos no acesso:<br />
Certificado do servidor remoto: certificado original de onde alguns<br />
dados como data de expiração e common name são copiados para os<br />
certificados gerados no firewall.<br />
Certificado do proxy: certificado criado a cada requisição, que contém<br />
cópia daqueles dados do certificado original que identificam o site.<br />
Assinado pela CA inserida pelo administrador.<br />
Os clientes precisam confiar nessa CA inserida no <strong>Aker</strong> Firewall para que seu<br />
browser não detecte o ataque. Logo, dois certificados são necessários, um para os<br />
clientes e outro para o <strong>Aker</strong> Firewall.<br />
Outros certificados que aparecem são os utilizados pelo <strong>Aker</strong> Firewall para validar<br />
os sites remotos.<br />
Gerando certificado para utilização do Firewall<br />
Para o firewall poder gerar certificados ele atua como uma Autoridade certificadora<br />
(CA), ou seja, ele gera os certificados para os sites no qual é acessado através do<br />
Proxy. Para poder realizar este processo alguns pré-requisitos são necessários:<br />
O firewall necessita de um certificado digital no formato PKCS#12, pois somente<br />
este tem a chave privada;<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 596
O Certificado X.509 contido no PKCS#12 necessita ser um certificado com<br />
prerrogativas específicas para que este certificado possa assinar novos<br />
certificados, ou seja, atuar como uma CA.<br />
Para o processo de geração do certificado há várias possibilidades, neste FAQ<br />
serão explicadas duas delas. Para o correto funcionamento do firewall não é<br />
necessário realizar estas duas formas, portanto escolha uma delas e realize<br />
somente ela.<br />
1. Gerando um certificado auto-assinado com o OpenSSL;<br />
2. Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows.<br />
Ao final de qualquer um dos dois processos escolhidos haverá dois arquivos que<br />
serão utilizados no processo do Proxy HTTPS:<br />
1. Arquivo no formato X.509, com extensão .cer;<br />
2. Arquivo no formato PKCS#12, com extensão .pfx.<br />
O Arquivo PKCS#12 será utilizado na configuração do Proxy HTTPS. O arquivo<br />
X.509 precisa ser importado na seção de autoridades certificadoras raiz<br />
confiáveis dos navegadores conforme demonstrado posteriormente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 597
Configuração<br />
Figura 387. Filtro web: configuração.<br />
O proxy HTTPS ativo é habilitado por padrão e tem como opção a filtragem do<br />
serviço para determinadas portas e entidades.<br />
Controle SSL (proxy Ativo): Permitir a definição das portas de conexão segura<br />
(HTTPS) que serão aceitas pelo firewall. Caso um cliente tente abrir uma conexão<br />
para uma porta não permitida, o firewall mostrará uma mensagem de erro e não<br />
possibilitará o acesso.<br />
Permite HTTPS apenas para a porta padrão (443): caso queira utilizar<br />
apenas a porta padrão (443), deve-se selecionar a primeira opção. Essa é<br />
a configuração a ser utilizada na grande maioria dos firewalls.<br />
Permite HTTPS para todas as portas: indica ao firewall que ele deve<br />
aceitar conexões HTTPS para quaisquer portas. Essa configuração não é<br />
recomendada para nenhum ambiente que necessite de um nível de<br />
segurança razoável, já que é possível para um usuário utilizar o proxy<br />
para acessar serviços não permitidos simulando uma conexão HTTPS.<br />
Permite HTTPS para as entidades abaixo: que possibilita ao<br />
administrador definir exatamente quais portas será permitido. Nesse caso<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 598
devem ser cadastradas as entidades correspondentes aos serviços<br />
desejados. Para maiores informações, veja o capítulo intitulado<br />
Cadastrando Entidades.<br />
Para habilitar o proxy HTTPS transparente, crie uma regra de filtragem para o<br />
serviço HTTPS e habilite o proxy no combobox da entidade de serviço (da mesma<br />
forma como se faz para o proxy HTTP). Nesta janela, marque a caixa “Certificado<br />
local – proxy transparente”.<br />
Lista de exceção HTTPS: aqui vão entidades do novo tipo “Listas de<br />
Common Name SSL”, que ficam na aba listas no widget de entidades.<br />
Devem ser cadastrados os Common Names dos sites que não devem<br />
passar pelo proxy.<br />
A lista de Common Names não é tão simples. Por exemplo, “www.gmail.com” e<br />
“mail.google.com”, precisam estar na lista pra liberar o Gmail do proxy. Uma lista com<br />
“www.bb.com.br” também não é suficiente para proteger o Banco do Brasil, visto que já<br />
ao logar um novo certificado é apresentado, para “www2.bancobrasil.com.br”.<br />
Certificados utilizados para validação remota: como o proxy faz manin-the-middle,<br />
ele também precisa validar os certificados remotos como faz<br />
o browser, para detectar ataques de phishing, certificados expirados, etc.<br />
Neste campo devem ser inseridos certificados de CA (que não são<br />
entidades, por enquanto, para evitar lentidão).<br />
Utilizar um certificado customizado em caso de erro: caso o proxy<br />
detecte que o certificado da outra ponta não é válido, deve avisar o<br />
usuário, como faz o browser. Caso esta checkbox esteja marcada o Filtro<br />
Web assina o certificado da comunicação com uma CA de erro importada<br />
pelo administrador, para que seja possível adicionar exceções ao proxy<br />
em nível de usuário. Com a checkbox desmarcada o acesso é bloqueado,<br />
um evento é gerado e uma página de erro vai para o usuário.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 599
Figura 388. Certificado de errro do Firefox.<br />
Erro do Firefox ao detectar certificado assinado pela CA de erro.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 600
Certificado assinado pela CA de erro.<br />
Figura 389. Certificado assinado pela CA de erro.<br />
Figura 390. Erro de acesso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 601
Sem a CA de erro o acesso é bloqueado.<br />
Certificado da CA do proxy: aqui é possível importar/exportar a CA utilizada para<br />
assinar os certificados gerados. Siga os passos abaixo para gerar este certificado<br />
corretamente:<br />
Utilizando Open SSL<br />
1. Efetue a instalação do OpenSSL;<br />
2. Crie um diretório para utilizações durante este processo;<br />
3. Crie um arquivo, dentro deste diretório, vazio, com o nome “database.txt”;<br />
4. Crie um arquivo, dentro deste diretório, vazio, com o nome “serial.txt”;<br />
5. Crie um arquivo nomeado “autoassinado.conf” e adicione o seguinte<br />
conteúdo:<br />
RANDFILE<br />
= .rnd<br />
[ ca ]<br />
default_ca = CA_default<br />
[ CA_default ]<br />
certs = certs<br />
crl_dir<br />
= crl<br />
database = database.txt<br />
new_certs_dir = certs<br />
certificate = cacert.pem<br />
serial<br />
= serial.txt<br />
crl<br />
= crl.pem<br />
private_key = private\cakey.pem<br />
RANDFILE = private\private.rnd<br />
default_days = 365<br />
default_crl_days= 3<br />
default_md = sha1<br />
preserve = no<br />
policy<br />
= policy_match<br />
[ policy_match ]<br />
commonName = supplied<br />
emailAddress<br />
= optional<br />
countryName = optional<br />
stateOrProvinceName = optional<br />
localityName<br />
= optional<br />
organizationName = optional<br />
organizationalUnitName = optional<br />
[ req ]<br />
default_bits = 1024<br />
default_keyfile = privkey.pem<br />
distinguished_name = req_distinguished_name<br />
[ req_distinguished_name ]<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 602
commonName<br />
= Common Name (eg, your website's domain<br />
name)<br />
commonName_max = 64<br />
emailAddress<br />
= Email Address<br />
emailAddress_max = 40<br />
countryName<br />
= Country Name (2 letter code)<br />
countryName_min = 2<br />
countryName_max = 2<br />
countryName_default<br />
= BR<br />
stateOrProvinceName<br />
= State or Province Name (full name)<br />
localityName<br />
= Locality Name (eg, city)<br />
0.organizationName<br />
= Organization Name (eg, company)<br />
organizationalUnitName = Organizational Unit Name (eg,<br />
section)<br />
countryName_default<br />
= BR<br />
[ v3_ca ]<br />
certificatePolicies=2.5.29.32.0<br />
subjectKeyIdentifier=hash<br />
authorityKeyIdentifier=keyid:always,issuer<br />
basicConstraints=critical,CA:TRUE<br />
keyUsage = critical,cRLSign, keyCertSign, digitalSignature<br />
6. Crie a chave privada que será utilizada:<br />
openssl genrsa -des3 -out ca.key 1024<br />
Neste momento será solicitada a senha para armazenamento da chave, está<br />
senha será utilizada posteriormente para abertura da chave privada.<br />
Loading 'screen' into random state - done<br />
Generating RSA private key, 1024 bit long modulus<br />
..............++++++<br />
...............++++++<br />
e is 65537 (0x10001)<br />
Enter pass phrase for ca.key:<br />
7. Crie o certificado X.509. Este é o arquivo que será utilizado futuramente para<br />
instalação nos clientes:<br />
openssl req -extensions v3_ca -config autoassinado.conf -new -x509 -<br />
days 3650 -key ca.key -out firewall.cer<br />
Neste momento algumas informações serão solicitadas, a primeira delas é a<br />
senha da chave privada criada no passo anterior.<br />
Enter pass phrase for ca.key:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 603
Agora serão solicitados os dados do certificado, o único item obrigatório é o<br />
Common Name (CN), nele adicione o nome como deseja que a sua CA seja<br />
identificada.<br />
Após a finalização deste processo temos o nosso certificado conforme<br />
imagem abaixo:<br />
Figura 391. Certificado de informação.<br />
Porém temos dois arquivos, um para a chave privada e outro para o certificado,<br />
desta forma será necessário colocá-los em um único arquivo no formato PKCS#12,<br />
que é o formato reconhecido pelo firewall.<br />
8. Crie o arquivo PKCS#12 com a chave privada e o certificado<br />
openssl pkcs12 -export -out firewall.pfx -in firewall.cer -inkey<br />
ca.key<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 604
Neste processo serão solicitadas duas senhas, a primeira para abertura da<br />
chave privada e a segunda para a exportação do arquivo PKCS#12. Esta<br />
segunda senha será utilizada no momento da importação do arquivo<br />
PKCS#12 no firewall.<br />
Enter pass phrase for ca.key:<br />
Enter Export Password:<br />
Verifying - Enter Export Password:<br />
Utilizando CA Microsoft:<br />
Este item não demonstra como efetuar a instalação de uma autoridade certificadora<br />
(CA) no Windows, e sim como utilizar uma já instalada, sendo a instalação desta um<br />
pré-requisito para continuidade deste processo.<br />
1. Abra a console de gerenciamento de autoridade certificadora em Start ><br />
Administrative Tools > Certification Authority (Iniciar > Ferramentas<br />
Administrativas > Autoridade de certificação)<br />
Figura 392. Certificado de informação – como utilizar autoridade certificadora já cadastrada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 605
2. Selecione a sua CA<br />
Figura 393. Certificado CA – tela de acesso.<br />
3. Nestes próximos passos iremos exportar o certificado X.509 da CA.<br />
Clique com o botão direito do mouse e clique em Properties (Propriedades)<br />
Figura 394. Certificado CA – properties.<br />
4. Selecione o último certificado da CA e clique em View Certificate (Exibir<br />
certificado)<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 606
Figura 395. Certificado CA – General.<br />
5. Na tela de visualização do certificado clique em Details (detalhes) e depois<br />
em Copy to file (Copiar para arquivo)<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 607
Figura 396. Certificado CA – Details..<br />
6. Selecione um local para salvar o arquivo. Este é o arquivo que será utilizado<br />
futuramente para instalação nos clientes.<br />
7. Nestes próximos passos iremos Exportar o arquivo no formato PKCS#12<br />
para a utilização no firewall.<br />
8. Volte para a tela principal da autoridade certificadora. Clique com o botão<br />
direito do mouse no nome da CA e clique em All Tasks (Todas as tarefas) e<br />
clique em Back up CA (Fazer Backup da autoridade de cert...)<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 608
Figura 397. Certificado CA – All tasks / Back up Ca.<br />
9. Na próxima tela clique em Avançar. Na tela subseqüente selecione somente<br />
o item Private key and CA certificate (Chave particular e certificado de<br />
autoridade de certificação), indique o diretório onde será salvo o arquivo,<br />
clique em avançar.<br />
Figura 398. Certificado Authority Backup Wizard.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 609
10. Nesta tela (baixo) indique a senha de proteção do arquivo PKCS#12. Esta<br />
senha será utilizada no momento da importação do arquivo PKCS#12 no<br />
firewall.<br />
Figura 399. Certificado Authority Backup Wizard – senha e confirmação.<br />
Após este processo será gerado o arquivo PKCS#12 com a chave privada e o<br />
certificado desta CA.<br />
Usar um certificado de CA personalizado em caso de erro no proxy: aqui é<br />
possível importar/exportar CA utilizada quando há erro na validação do certificado<br />
remoto. Quando a opção de utilizar CA de erro é desmarcada, a opção de visualizar<br />
a CA de erro fica desabilitada.<br />
Importando certificado X.509 no Windows<br />
A importação deste certificado na base do Windows tem efeito em todos os<br />
aplicativos que consultam esta base como base dos certificados confiáveis desta<br />
forma os certificados gerados pelo Filtro Web serão validados nas estações de<br />
trabalho filtradas, sem apresentar as mensagens de segurança mostradas acima.<br />
Na lista destes aplicativos estão:<br />
Internet Explorer;<br />
Google Chrome;<br />
Windows live messager (MSN).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 610
1. Abra a Microsoft Managment Console. Acesse: Iniciar > Executar e digite<br />
mmc e clique em OK.<br />
Figura 400. Microsoft Management Console.<br />
2. Na tela do MMC clique em File (Arquivo) depois clique em Add/Remove<br />
snap-in... (Adicionar/remover snap-in...).<br />
3. Selecione a opção Certificates (Certificados) e clique em Add (Adicionar)<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 611
Figura 401. Adicionar ou remover Snap-is.<br />
4. Selecione a opção Computer account (Conta de computador), selecione a<br />
opção Local Computer (Computador local).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 612
5. Na opção Certificates > Trusted Root Certification Authorities ><br />
Certificates (Certificados > Autoridade de certificação raiz confiáveis ><br />
Certificados) clique com o botão direito e clique em All tasks > Import<br />
(Todas as tarefas > Importar).<br />
Figura 402. Microsoft Management Console – certificates, all taks, import).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 613
6. Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer.<br />
Figura 403. Escolha do diretório onde deseja importar o relatório.<br />
Importando certificado X.509 no Mozilla Firefox<br />
1. Clique em Ferramentas > Opções<br />
Figura 404. Mozila Firefox (importar certificado).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 614
2. Selecione a opção Avançado > Criptografia<br />
Figura 405. Mozila Firefox (criptografia).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 615
3. Selecione a opção Certificados, na tela de certificados selecione a aba<br />
Autoridades e clique no botão Importar.<br />
Figura 406. Gerenciador de certificados – autoridades.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 616
Aba Avançado<br />
4. Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer.<br />
Figura 407. Filtro Web: avançado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 617
30.3. Editando os parâmetros de Sessões Web<br />
Sessões Web<br />
Figura 408. Sessões Web.<br />
Esta janela permite ao administrador do Firewall, visualizar as sessões ativas,<br />
verificando o que foi acessado e por quem, no tempo definido na janela de Filtro<br />
Web, opção “Timeout das sessões web”.<br />
As informações serão visualizadas e distribuídas nos seguintes campos:<br />
Tempo: Indica o dia e horário e a URL que foi acessada.<br />
Host: Indica a máquina de onde foi acessada a URL.<br />
Usuário: Indica o usuário que acessou a URL.<br />
Perfil: Indica qual o perfil de acesso que o usuário caiu quando tentou acessar a<br />
URL.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 618
Regra: Indica qual a regra de acesso que a URL se enquadrou.<br />
Categoria: Indica qual a categoria que a URL se enquadrou.<br />
Ação: Indica se as sessões web que passaram pelo firewall foram aceitas ou<br />
rejeitadas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 619
Configurando o Proxy Socks<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 620
31. Configurando o Proxy Socks<br />
Este capítulo mostrará para que serve e como configurar o Proxy Socks.<br />
31.1. Planejando a instalação<br />
O que é o proxy SOCKS do <strong>Aker</strong> Firewall?<br />
O proxy SOCKS é um programa especializado do <strong>Aker</strong> Firewall feito para trabalhar<br />
com programas que suportem o protocolo SOCKS nas versões 4 ou 5.<br />
Este proxy possui como função principal prover uma melhor segurança para<br />
protocolos passarem através do firewall, principalmente protocolos complexos que<br />
utilizam mais de uma conexão. É possível através do uso do SOCKS 5 realizar<br />
autenticação de usuários para quaisquer serviços que passem pelo firewall, mesmo<br />
sem o uso do cliente de autenticação.<br />
Ele é um proxy não transparente (para maiores informações, veja o capítulo<br />
intitulado Trabalhando com proxies), desta forma, os clientes que forem utilizá-lo<br />
devem ter suporte para trabalhar com proxies e devem ser configurados para usá-lo.<br />
Utilizando o proxy SOCKS<br />
Para utilizar o proxy SOCKS do <strong>Aker</strong> Firewall, é necessário a seguinte seqüência de<br />
passos:<br />
1. Criar os perfis de acesso desejados e associá-los aos usuários e grupos<br />
desejados. (isso foi descrito no capítulo chamado Perfis de acesso de<br />
usuários);<br />
2. Editar os parâmetros de configuração do proxy SOCKS (isso será mostrado no<br />
tópico chamado Editando os parâmetros do proxy SOCKS);<br />
3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenham<br />
acesso ao proxy (para maiores informações, veja o capítulo intitulado O Filtro de<br />
Estados).<br />
O proxy SOCKS do <strong>Aker</strong> Firewall escuta conexões na porta 1080, utilizando o<br />
protocolo TCP. Caso seja necessário, pode-se alterar este valor para qualquer<br />
porta, bastando para isso acrescentar o parâmetro -p porta, onde porta é o número<br />
da porta que queira que ele escute, na hora de iniciá-lo. Esta chamada se encontra<br />
no arquivo /aker/bin/firewall/rc.aker, e deve ser alterada de<br />
/aker/bin/firewall/fwsocksd para /aker/bin/firewall/fwsocksd -p 8080, por<br />
exemplo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 621
31.2. Editando os parâmetros do Proxy SOCKS<br />
Para utilizar o Proxy SOCKS, é necessário a definição de alguns parâmetros que<br />
determinarão características básicas de seu funcionamento. Esta definição é feita<br />
na janela de configuração do proxy SOCKS. Para acessá-la, deve-se:<br />
Figura 409. Janela de acesso - Proxy Socks<br />
Clicar no menu Aplicação da janela de administração.<br />
Selecionar o item Proxy Socks.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 622
A janela de configuração de parâmetros do proxy SOCKS<br />
Figura 410. Autenticação dos usuários Socks.<br />
O botão OK fará com que a janela de configuração do proxy SOCKS seja<br />
fechada e as alterações salvas.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta.<br />
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela seja fechada.<br />
Significado dos parâmetros:<br />
Autentica usuários SOCKS: Este campo ativa ou não a autenticação de usuários<br />
do proxy SOCKS. Caso ele esteja marcado, será solicitada ao usuário uma<br />
identificação e uma senha todas as vezes que ele tentar iniciar uma sessão e esta<br />
somente será iniciado caso ele seja autenticado por algum dos autenticadores.<br />
Caso o usuário esteja utilizando o Cliente de Autenticação <strong>Aker</strong> e esteja com uma<br />
sessão estabelecida com o Firewall, então não será solicitado nome nem senha, ou<br />
seja, o proxy se comportará como se não estivesse realizando autenticação de<br />
usuários, mas ele está de fato fazendo-o. Se a sessão do Cliente de Autenticação<br />
for finalizada, então o proxy solicitará um nome de usuário e senha no próximo<br />
acesso. Para maiores informações sobre o Cliente de Autenticação <strong>Aker</strong>, leia o<br />
capítulo Autenticação de Usuários).<br />
A versão 4 do protocolo SOCKS não permite realizar autenticação de usuários,<br />
dessa forma, a única maneira de autenticar clientes utilizando essa versão do<br />
protocolo é com o uso do cliente de autenticação. Caso essa opção esteja marcada,<br />
a versão suportada pelo cliente for a 4 e não existir uma sessão de perfil de acesso<br />
ativa, então o firewall não permitirá acessos para o cliente.<br />
Tempo limite de resposta: Este parâmetro define o tempo máximo, em segundos,<br />
que o proxy aguarda por dados do cliente, a partir do momento que uma nova<br />
conexão for estabelecida. Caso este tempo seja atingido sem que o cliente envie os<br />
dados necessários, a conexão será cancelada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 623
Número máximo de processos: Este campo define o número máximo de<br />
processos do proxy SOCKS que poderão estar ativos simultaneamente. Como cada<br />
processo atende uma única conexão, este campo também define o número máximo<br />
de requisições que podem ser atendidas simultaneamente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 624
Configurando o Proxy RPC e o<br />
Proxy DCE-RPC<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 625
32. Configurando o Proxy RPC e o proxy DCE-RPC<br />
Este capítulo mostrará como configurar o proxy RPC e o proxy DCE-RPC.<br />
O que é o proxy RPC?<br />
O proxy RPC é um programa especializado do <strong>Aker</strong> Firewall feito para trabalhar com<br />
o protocolo RPC, mais especificamente, o SUN RPC, descrito na RFC1050. A sua<br />
função básica é fazer chamadas a funções remotas (Remote Procedure Call), ou<br />
seja, funções disponibilizadas por outras máquinas acessíveis através do firewall.<br />
Exemplos de protocolos que usam o RPC são os portmapper e o NFS.<br />
Quando um cliente deseja realizar uma chamada RPC para um determinado<br />
número de processo, o firewall verifica a ação relacionada àquele processo. Se<br />
permitir, o proxy insere as regras de liberação de portas direta e automaticamente<br />
no kernel. Caso contrário, o firewall bloqueia o processo como se ele estivesse<br />
indisponível.<br />
Ele é um proxy transparente (para maiores informações veja o capítulo intitulado<br />
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da<br />
sua existência.<br />
Utilizando o proxy RPC<br />
Para utilizar o proxy RPC, é necessário executar uma seqüência de 2 passos:<br />
Criar um serviço que será desviado para o proxy RPC e editar os parâmetros<br />
do contexto a ser usado por este serviço (para maiores informações, veja o<br />
capítulo intitulado Cadastrando Entidades);<br />
Acrescentar uma regra de filtragem permitindo o uso do serviço criado no<br />
passo 1, para as redes ou máquinas desejadas (para maiores informações,<br />
veja o capítulo intitulado Filtro de Estados).<br />
O que é o proxy DCE-RPC?<br />
O proxy DCE-RPC é um programa especializado do <strong>Aker</strong> Firewall feito para<br />
trabalhar com o protocolo RPC, mais especificamente, o DCE- RPC. A sua função<br />
básica é fazer chamada às funções remotas (Remote Procedure Call), ou seja,<br />
funções disponibilizadas por outras máquinas acessíveis através do firewall.<br />
Exemplos de protocolos que usam o DCE- RPC são os Transmission Control<br />
Protocol (TCP) e o HTTP.<br />
Quando um cliente deseja realizar uma chamada DCE-RPC para um determinado<br />
número de processo, o firewall verifica a ação relacionada àquele processo. Se<br />
permitir, o proxy insere as regras de liberação de portas direta e automaticamente<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 626
no kernel. Caso contrário, o firewall bloqueia o processo como se ele estivesse<br />
indisponível.<br />
Ele é um proxy transparente (para maiores informações veja o capítulo intitulado<br />
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da<br />
sua existência.<br />
Utilizando o proxy DCE-RPC<br />
Para utilizar o Proxy RPC, é necessário executar uma seqüência de 2 passos:<br />
Criar um serviço que será desviado para o proxy DCE-RPC e editar os parâmetros<br />
do contexto a ser usado por este serviço (para maiores informações, veja o capítulo<br />
intitulado Cadastrando Entidades).<br />
Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1,<br />
para as redes ou máquinas desejadas (para maiores informações, veja o capítulo<br />
intitulado O Filtro de Estados).<br />
32.1. Editando os parâmetros de um contexto RPC<br />
A janela de propriedades de um contexto DCE-RPC será mostrada quando for<br />
selecionado o protocolo UDP e a opção Proxy RPC na janela de edição de<br />
serviços. Através dela é possível definir o comportamento do proxy RPC quando<br />
este for lidar com o serviço em questão.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 627
A janela de propriedades de um contexto RPC<br />
Figura 411. Propriedades de um contexto RCP.<br />
Na janela de propriedades são configurados todos os parâmetros de um contexto<br />
associado a um determinado serviço. Ela consiste dos seguintes campos:<br />
Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos que<br />
não estiverem presentes na lista de permissões. O valor aceita permite que o<br />
serviço seja utilizado e o valor rejeita impede sua utilização.<br />
Lista de permissões: Definir, de forma individual, as permissões de acesso aos<br />
serviços remotos.<br />
Para executar qualquer operação sobre um serviço na lista de permissões, basta<br />
clicar com o botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguinte<br />
menu (Caso não exista nenhum serviço selecionado, somente as opções Inserir e<br />
Apagar estarão presentes):<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 628
Figura 412. Menu de execução da janela RPC.<br />
Inserir: Permitir a inclusão de um novo serviço na lista. Se algum serviço estiver<br />
selecionado, o novo será inserido na posição selecionada. Caso contrário, o novo<br />
serviço será incluído no final da lista.<br />
Excluir: Remover da lista o serviço selecionado.<br />
Lista de serviços: Contém uma lista pré-definida de serviços e seus respectivos<br />
números. É possível acrescentar serviços que não estejam presentes nessa lista.<br />
Para isso, basta clicar no campo logo abaixo da opção Apagar e digitar o código do<br />
novo serviço.<br />
Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito do<br />
mouse sobre ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita,<br />
que aparecerão no menu seguinte:<br />
Figura 413. Menu de execução da janela RPC (inseir, apagar, rejeitar ou aceitar).<br />
Editando os parâmetros de um contexto DCE-RPC<br />
A janela de propriedades de um contexto RPC será mostrada quando for selecionado o<br />
protocolo TCP e a opção Proxy DCE-RPC na janela de edição de serviços. Através<br />
dela é possível definir o comportamento do proxy DCE-RPC quando este for lidar com o<br />
serviço em questão.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 629
A janela de propriedades de um contexto DCE-RPC<br />
Figura 414. Propriedades de um contexto DCE-RPC.<br />
Na janela de propriedades são configurados todos os parâmetros de um contexto<br />
associado a um determinado serviço. Ela consiste dos seguintes campos:<br />
Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos que<br />
não estiverem presentes na lista de permissões. O valor aceita permite que o<br />
serviço seja utilizado e o valor rejeita impede sua utilização.<br />
Lista de permissões: Definir, de forma individual, as permissões de acesso aos<br />
serviços remotos.<br />
Para executar qualquer operação sobre um serviço na lista de permissões, basta<br />
clicar com o botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguinte<br />
menu (Caso não exista nenhum serviço selecionado, somente as opções Inserir e<br />
Apagar estarão presentes):<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 630
Figura 415. Menu de execução da janela DCE-RPC.<br />
Inserir: Permitir a inclusão de um novo serviço na lista. Se algum serviço estiver<br />
selecionado, o novo será inserido na posição selecionada. Caso contrário, o novo<br />
serviço será incluído no final da lista.<br />
Excluir: Remover da lista o serviço selecionado.<br />
Lista de serviços: Contém uma lista pré-definida de serviços e seus respectivos<br />
números. É possível acrescentar serviços que não estejam presentes nessa lista.<br />
Para isso, basta clicar no campo logo abaixo da opção Apagar e digitar o código do<br />
novo serviço.<br />
Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito do<br />
mouse sobre ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita,<br />
que aparecerão no menu seguinte:<br />
Figura 416. Menu de execução da janela DCE-RPC (inseir, apagar, rejeitar ou aceitar).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 631
Configurando o Proxy MSN<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 632
33. Configurando o Proxy MSN<br />
Este capítulo mostrará para que serve e como configurar o proxy MSN.<br />
33.1. Planejando a instalação<br />
O que é o MSN Messenger?<br />
MSN Messenger, ou apenas MSN, é um programa de mensagens instantâneas<br />
criado pela Microsoft Corporation. O programa permite que um usuário da Internet<br />
converse com outro que tenha o mesmo programa em tempo real por meio de<br />
conversas de texto, voz ou até com vídeo. Ele é uma ferramenta gratuita com um<br />
grande número de funcionalidades, algumas potencialmente prejudiciais ao<br />
ambiente coorporativo como a transferência de arquivos on-line, fazendo com que<br />
as empresas busquem soluções para melhor trabalhar com este serviço.<br />
O que é o proxy MSN - Messenger do <strong>Aker</strong> Firewall?<br />
Este proxy possui como função principal controlar um importante canal de trânsito<br />
de informações que é o MSN Messenger, possibilitando que não se abra mão de<br />
seu uso, ao mesmo tempo em que se evita a perda de produtividade. Integrado ao<br />
sistema de perfis de acesso, esse sistema se adaptará à realidade das corporações,<br />
onde cada usuário terá privilégios distintos.<br />
As funcionalidades do produto baseiam-se em:<br />
Estar integrado ao sistema de perfil de acesso (permitindo controle por usuários<br />
e grupos).<br />
Definir white-lists e black-lists, por perfil.<br />
Controlar o horário de uso.<br />
Controlar o tempo de uso por dia (configurado no perfil) para cada usuário.<br />
Controlar o envio/recebimento de arquivo (inclusive por tipo).<br />
Controlar convites para outros serviços (vídeo, áudio, games, etc..).<br />
Realizar um log de sessões.<br />
Utilizando o proxy MSN<br />
O MSN Messenger por padrão trabalha na porta TCP 1863, porém também pode se<br />
conectar aos servidores através do protocolo HTTP e SOCKS. O Proxy MSN da<br />
<strong>Aker</strong> controla os dados que trafegarão através de um proxy transparente (ver mais<br />
detalhes em Trabalhando com proxies).<br />
Para utilizar o proxy MSN do <strong>Aker</strong> Firewall é necessário a seguinte seqüência de<br />
passos:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 633
1. Definir os parâmetros genéricos do proxy MSN.<br />
2. Criar os perfis de acesso desejados e associá-los aos usuários e grupos<br />
desejados. (Isso foi descrito no capítulo chamado Perfis de acesso de<br />
usuários).<br />
3. Associar a uma regra de filtragem possibilitando que os usuários possam utilizar<br />
o serviço MSN (para maiores informações, veja o capítulo intitulado O Filtro de<br />
Estados).<br />
33.2. Editando os parâmetros do Proxy MSN<br />
Para utilizar o proxy MSN é necessário a definição de alguns parâmetros que<br />
determinarão características básicas de seu funcionamento. Esta definição é feita<br />
na janela de configuração do proxy MSN. Para acessá-la, deve-se:<br />
Figura 417. Janela de acesso - Proxy Messenger.<br />
Clicar no menu Aplicação da janela de administração do Firewall<br />
Selecionar o item Proxy Messenger<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 634
A janela de configuração de parâmetros do proxy MSN<br />
O botão OK fará com que a janela de configuração do proxy MSN seja fechada e<br />
as alterações salvas.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas, porém<br />
manterá a janela aberta.<br />
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela seja fechada.<br />
Esta janela é composta por quatro abas:<br />
Aba Tipos de Serviços<br />
Figura 418. Proxy Messenger – Aba Tipo Serviço.<br />
Esta aba define os serviços adicionais que poderão ser utilizados através de uma<br />
conexão MSN. Estes serviços poderão posteriormente ser controlados a partir das<br />
regras dos perfis de cada usuário.<br />
Para inserir um novo tipo de serviço, deve-se clicar com o botão direito e selecionar<br />
a opção Novo.<br />
Para remover um tipo de serviço, deve-se clicar com o botão direito sobre o serviço<br />
a ser removido e escolher a opção Remover.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 635
Para editar qualquer um dos campos de um serviço, basta clicar com o botão direito<br />
sobre a coluna cujo valor se deseja alterar e modificar o dado diretamente no menu<br />
que irá aparecer.<br />
É possível adicionar automaticamente vários serviços pré-configurados, bastando<br />
para isso clicar no botão Adicionar Serviços Padrão, localizado na barra de<br />
tarefas.<br />
Aba Mensagens<br />
Figura 419. Proxy Messenger – Aba Mensagens.<br />
Esta aba permite configurar as mensagens que serão mostradas aos usuários<br />
internos e externos quando eles não tiverem permissão de executar uma<br />
determinada ação através do proxy messenger.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 636
Aba Controle de Acesso<br />
Figura 420. Proxy Messenger – Controle de acesso.<br />
Essa aba controla o acesso dos usuários, por meio da vinculação de um passport a<br />
um perfil.<br />
No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa<br />
entidade será associada a algum perfil definido no Firewall.<br />
Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usuários<br />
que tiverem o login no MSN terminando por @aker.com.br irá automaticamente cair<br />
no perfil teste.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 637
Aba Configurações<br />
Figura 421. Proxy Messenger – Configurações.<br />
Essa aba permite configurar a quantidade máxima de descritores (socket) e/ou<br />
arquivos que o processo do proxy MSN pode abrir. O valor padrão é de 1024, mas<br />
pode chegar a até 8192 no máximo.<br />
O <strong>Aker</strong> Firewall 6.1 conta com a análise de vírus para arquivos transferidos. Para<br />
ativar essa verificação marque a opção “Habilitar Antivírus no MSN” caso deseje<br />
que o firewall analise os arquivos.<br />
A opção “Permitir a passagem de arquivos se ocorrer erro no Antivírus” permite<br />
transferência de arquivos infectados, caso o servidor de antivírus estiver<br />
indisponível.<br />
Marque "Usar Antivírus Local" para que o firewall utilize o antivírus já incluído nele,<br />
caso contrário, inclua a autenticação e o endereço de IP do seu servidor Antivírus.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 638
Configurando a Filtragem de<br />
Aplicações<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 639
34. Configurando a Filtragem de Aplicações<br />
Este capítulo mostrará para que serve e como configurar a Filtragem de Aplicações.<br />
34.1. Planejando a instalação<br />
O que é a Filtragem de Aplicações?<br />
Esta filtragem baseia-se no controle dos dados que estão passando através do <strong>Aker</strong><br />
Firewall. É possível analisar o conteúdo de protocolos e tipos reais de arquivos que<br />
estão trafegando, independentemente de que porta de comunicação esteja<br />
utilizando e automaticamente bloqueá-los ou colocá-los em uma prioridade de<br />
tráfego mais baixa, evitando o consumo de banda com recursos desnecessários.<br />
Esta filtragem pode ser realizada de forma global, tratando qualquer pacote que<br />
passe pelo firewall ou por perfis de acesso. Em especial, os seguintes tipos de<br />
tráfego podem ser identificados:<br />
<strong>Download</strong> de tipos de arquivos específicos via FTP, HTTP e aplicativos peer-topeer.<br />
Conexões de controle de aplicativos peer-to-peer (GNUTELLA, Napster, Kazaa,<br />
etc) e de comunicação (Messenger, ICQ, etc.) sobre qualquer mídia (TCP ou<br />
UDP direto e proxy HTTP).<br />
Utilizando as regras de Filtragem de Aplicação<br />
Para utilizar a Filtragem de Aplicação do <strong>Aker</strong> Firewall deve-se seguir a seguinte<br />
seqüência de passos:<br />
1. Criar os filtros desejados, o que está descrito no tópico Criando Filtros de<br />
Aplicações.<br />
2. Criar regras de filtragem de aplicações globais ou para os perfis de acesso<br />
desejados.<br />
34.2. Criando Regras de Filtragem de Aplicações<br />
Para acessar a janela de filtragem de aplicações deve-se:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 640
Figura 422. Janela de acesso - Filtragem de aplicações.<br />
Clicar no menu Aplicação da janela de administração do Firewall.<br />
Selecionar o item Filtragem de Aplicações.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 641
A janela de regras de Filtragem de Aplicações<br />
Figura 423. Filtragem de aplicações – Regras de filtragem de aplicações.<br />
Esta janela é composta por duas abas, uma com a definição das regras globais da<br />
filtragem de aplicações e outra que permite a criação dos filtros que serão utilizados<br />
nestas regras e nas regras de filtragem dos perfis de acesso.<br />
O botão OK fará com que a janela seja fechada e as alterações salvas.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas, porém<br />
manterá a janela aberta.<br />
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela seja fechada.<br />
Regras de Filtragem de Aplicação<br />
Esta aba disponibiliza as regras de aplicação que serão utilizadas pelo firewall de<br />
forma global. É possível também criar regras específicas para os perfis de acesso<br />
(para maiores informações veja Cadastrando perfis de acesso).<br />
Estas regras permitem, por exemplo, que determinados tipos de arquivos sejam<br />
bloqueados de acordo com seu tipo real, independentemente de sua extensão ou<br />
protocolo que esteja sendo utilizado para enviá-los. É possível também ao invés de<br />
bloqueá-lo, simplesmente mudar a prioridade de um serviço ou tipo de arquivo<br />
sendo transmitido.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 642
Uma das grandes utilizações destes filtros é para otimização do acesso à Internet. É<br />
possível, por exemplo, que todos os usuários tenham um acesso rápido a Internet,<br />
porém quando estes tentarem baixar arquivos cujos tipos não sejam considerados<br />
importantes, i.e, mp3, vídeos, etc, a conexão sendo utilizada para transferir estes<br />
arquivos automaticamente fique com uma largura de banda bastante reduzida.<br />
Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o<br />
botão direito e a seguir escolher a opção desejada no menu que irá aparecer. As<br />
seguintes opções estão disponíveis:<br />
Figura 424. Menu de operação sobre uma regra.<br />
Inserir: Permitir a inclusão de uma nova regra na lista.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista.<br />
Excluir: Remover da lista a regra selecionada.<br />
Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo<br />
com seu estado atual.<br />
Cada regra consiste dos seguintes campos:<br />
Origem: Especificar as origens da comunicação que o filtro estará inspecionando,<br />
para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ou<br />
conjuntos (para maiores informações veja o capítulo Cadastrando entidades).<br />
Destino: Especificar os destinos da comunicação que o filtro estará inspecionando,<br />
para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ou<br />
conjuntos (para maiores informações veja o capítulo Cadastrando entidades).<br />
Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando,<br />
para isso deve-se inserir uma ou mais entidades do tipo serviço (para maiores<br />
informações veja o capítulo Cadastrando entidades).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 643
Filtros de Aplicação: Indicar quais os filtros que estarão ativos para as conexões<br />
que forem em direção a um dos destinos especificados na regra e utilizando um dos<br />
serviços também especificados. A definição dos filtros é feita na janela de Filtragem<br />
de Aplicações. Para maiores informações veja o capítulo Configurando Filtragem<br />
de Aplicações.<br />
Ação: Indicar a ação que será tomada pelo firewall caso um dos filtros especificados<br />
seja aplicado. Ela consiste das seguintes opções:<br />
Aceita: Significa que a conexão será autorizada a passar através do firewall.<br />
Rejeita: Significa que a conexão não passará pelo firewall e será enviado um<br />
pacote de reset para a máquina originária da comunicação.<br />
Descarta: Significa que a conexão não passará pelo firewall, mas não será enviado<br />
nenhum pacote para a máquina de origem.<br />
Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridade<br />
diferente, que deverá ser especificada na coluna Canal.<br />
Bloqueia origem: Indica que a máquina que originou a conexão deverá ser<br />
bloqueada por algum tempo (isso significa que todas as conexões originadas nela<br />
serão recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto<br />
tempo a máquina permanecerá bloqueada.<br />
Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sido<br />
selecionada. Ela indica qual a nova prioridade que será atribuída à conexão. Devese<br />
inserir uma entidade do tipo canal (para maiores informações veja o capítulo<br />
Cadastrando entidades).<br />
Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueia<br />
origem tenha sido selecionada. Ela indica por quanto tempo a máquina origem será<br />
bloqueada.<br />
34.3. Criando Filtros de Aplicações<br />
Os filtros de aplicações informam ao firewall o que deve ser buscado em uma<br />
comunicação para possibilitar a identificação de um determinado protocolo ou tipo<br />
de arquivo. O produto já vem com vários filtros pré-configurados, porém é possível<br />
que o administrador configure novos filtros para atender às suas necessidades.<br />
Para acessar a janela de criação dos Filtros de Aplicações deve-se:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 644
Figura 425. Janela de acesso - Filtragem de aplicações.<br />
Clicar no menu Aplicação da janela de administração do Firewall.<br />
Selecionar o item Filtragem de Aplicações.<br />
Clicar na aba Filtros de Aplicações.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 645
A janela de criação de Filtros de Aplicações<br />
Figura 426. Filtragem de aplicações – Filtros de Aplicações.<br />
Esta janela está dividida em duas partes. Na parte superior aparece uma lista dos<br />
filtros atualmente criados. Ao selecionar um filtro, serão mostrados na parte inferior<br />
da janela as operações de pesquisa relacionadas a ele.<br />
Para executar qualquer operação sobre um filtro, basta clicar sobre ele com o botão<br />
direito e a seguir escolher a opção desejada no menu que irá aparecer. As<br />
seguintes opções estão disponíveis:<br />
Figura 427. Menu de operação sobre um filtro.<br />
Inserir: Permite a inclusão de um novo filtro na lista.<br />
Copiar: Copiar o filtro selecionado para uma área temporária.<br />
Colar: Copiar o filtro da área temporária para a lista.<br />
Excluir: Remover da lista o filtro selecionada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 646
Para alterar o nome do filtro ou a forma de concatenação das operações do mesmo,<br />
basta clicar com o botão direito sobre a coluna correspondente. Para incluir, editar<br />
ou excluir operações de um determinado filtro, deve-se selecioná-lo na parte<br />
superior da janela e a seguir clicar com o botão direito sobre qualquer uma das<br />
operações. O seguinte menu aparecerá:<br />
Figura 428. Menu de operação para acessar o nome do filtro ou forma de concatenação.<br />
Inserir: Permite a inclusão de uma nova operação para o filtro selecionado.<br />
Editar: Abrir a janela de edição para modificar a operação selecionada.<br />
Remover: Remover da lista a operação selecionada.<br />
Ao editar uma operação, a seguinte janela será mostrada:<br />
Figura 429. Operações de filtragem.<br />
O que filtrar: Neste campo deve-se colocar a seqüência de bytes que deve ser<br />
pesquisada na conexão.<br />
Seqüência de bytes: Especificar se a procura deve ser a partir do início do arquivo<br />
ou da comunicação ou em um ponto qualquer do mesmo.<br />
Iniciar em: Caso se tenha escolhido que a pesquisa deve ser feita a partir do meio<br />
do arquivo ou comunicação, este campo serve para especificar em que posição<br />
deve-se começar a pesquisa.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 647
Profundidade da procura (bytes): Indicar a quantidade de bytes que será<br />
analisada a partir da posição de início de pesquisa.<br />
Direção: Direção em que os dados serão analisados para verificar a existência da<br />
seqüência definida em O que filtrar.<br />
Onde pesquisar: Definir a seqüência de dados que será pesquisada nos dados do<br />
arquivo/protocolo ou nos metadados (cabeçalho).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 648
Configurando IDS/IPS<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 649
35. Configurando IDS/IPS<br />
Este capítulo mostrará as funções oferecidas pelo conjunto IPS/IDS e como realizar<br />
sua configuração.<br />
Sobre o módulo de IPS/IDS<br />
O módulo de IPS/IDS do <strong>Aker</strong> Firewall reúne diversas funções para identificação e<br />
bloqueio de ataques em tempo real. Este módulo trabalha de forma integrada com o<br />
firewall e consegue, com isso, oferecer um alto grau de proteção. O módulo interno<br />
vem com vários ataques pré-configurados, sendo possível sua atualização através<br />
da Internet. Além do módulo interno, é possível também utilizar um IDS externo, de<br />
forma a complementar ainda mais o nível de segurança da solução.<br />
35.1. Acessando IPS/IDS<br />
Para ter acesso a janela de configuração dos parâmetros de IPS/IDS, deve-se:<br />
Figura 430. Janela de acesso - IPS/IDS.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 650
Clicar no menu Segurança na janela do Firewall que queira administrar.<br />
Escolher o item IPS/IDS.<br />
A janela de configuração do IDS/IPS<br />
Esta janela é composta por quatro abas, cada uma responsável por um aspecto<br />
distinto da configuração do módulo de IDS.<br />
O botão OK fará com que a janela seja fechada e as alterações salvas.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta.<br />
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela seja fechada.<br />
Regras IDS<br />
Figura 431. IPS/IDS – Regras IDS.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 651
Esta aba contém todas as regras de IDS definidas no <strong>Aker</strong> Firewall. Cada regra será<br />
mostrada em uma linha separada, composta de diversas células. Caso uma das<br />
regras esteja selecionada, ela será mostrada em uma cor diferente.<br />
Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o<br />
botão direito e a seguir escolher a opção desejada no menu que irá aparecer. As<br />
seguintes opções estão disponíveis:<br />
Figura 432. Menu para execução de operação de regras..<br />
Inserir: Permitir a inclusão de uma nova regra na lista.<br />
Copiar: Copiar a regra selecionada para uma área temporária.<br />
Colar: Copiar a regra da área temporária para a lista.<br />
Excluir : Remover da lista a regra selecionada.<br />
Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo com<br />
seu estado atual.<br />
Cada regra consiste dos seguintes campos:<br />
Origem: Especificar as origens da comunicação que o filtro estará inspecionando,<br />
para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ou<br />
conjuntos (para maiores informações veja o capítulo Cadastrando entidades).<br />
Destino: Especificar os destinos da comunicação que o filtro estará inspecionando,<br />
para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ou<br />
conjuntos (para maiores informações veja o capítulo Cadastrando entidades).<br />
Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando,<br />
para isso deve-se inserir uma ou mais entidades do tipo serviço (para maiores<br />
informações veja o capítulo Cadastrando entidades).<br />
Filtros IDS: Nesta coluna deve-se inserir os filtros IDS que estarão ativos para esta<br />
comunicação. Deve-se escolher um dos grupos de filtros disponíveis e<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 652
posteriormente, caso seja desejado, habilitar individualmente os filtros dentro de<br />
cada grupo. Os seguintes grupos estão disponíveis:<br />
FTP: É composto de filtros contra ataques que visam servidores FTP.<br />
HTTP: É composto de filtros contra ataques que visam servidores WEB.<br />
HTTP Client: É composto de filtros contra ataques que visam<br />
navegadores.<br />
POP3: É composto de filtros contra ataques que visam leitores de e-mail.<br />
IMAP: É composto de filtros contra ataques que visam leitores de e-mail.<br />
SMTP: É composto de filtros contra ataques que visam servidores de e-<br />
mail.<br />
TCP: É composto de filtros contra ataques genéricos utilizando o protocolo<br />
TCP.<br />
UDP: É composto de filtros contra ataques genéricos utilizando o<br />
protocolo UDP.<br />
Uma vez inseridos os filtros, é possível clicar sobre esta mesma coluna com o botão<br />
direito, escolher o nome do grupo de filtros desejado e indicar se os ataques<br />
pertencentes a este grupo devem ser selecionados automaticamente, opção<br />
Selecionar todo o grupo, ou manualmente através da opção Seleção manual.<br />
Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtros<br />
especificados seja aplicado. Ela consiste das seguintes opções:<br />
Ignora: Significa que o ataque será ignorado pelo firewall.<br />
Bloqueia: Indica que a máquina que originou a conexão deverá ser bloqueada por<br />
algum tempo (isso significa que todas as conexões originadas nela serão<br />
recusadas).<br />
Tempo de Bloqueio: Esta coluna indica por quanto tempo uma máquina atacante<br />
permanecerá bloqueada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 653
Filtros IDS<br />
Figura 433. IPD/IDS – Filtros IDS.<br />
Esta janela serve para se ver os filtros de IDS que estão disponíveis no firewall bem<br />
como criar novos filtros. Ela consiste de uma lista com os filtros atualmente criados.<br />
É possível ver esta lista de três maneiras distintas: por grupo de filtros (conforme<br />
mostrado no tópico anterior), por classe de ameaça ou uma lista linear com todos os<br />
filtros. O campo Organizar por, localizado na parte superior da janela permite a<br />
escolha da forma de visualização mais adequada.<br />
Classes de ameaça:<br />
Ataque: ataques diretos que exploram bugs ou vulnerabilidades de<br />
aplicativos ou sistemas operacionais.<br />
Malware: ataques originados de vírus e cavalos-de-tróia.<br />
Sondagem: varredura de portas ou identificação de vulnerabilidades.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 654
Grupos dos filtros:<br />
FTP: É composto de filtros contra ataques que visam servidores FTP.<br />
HTTP: É composto de filtros contra ataques que visam servidores WEB.<br />
HTTP Client: É composto de filtros contra ataques que visam navegadores.<br />
POP3: É composto de filtros contra ataques que visam leitores de e-mail.<br />
SMTP: É composto de filtros contra ataques que visam servidores de e-mail.<br />
TCP: É composto de filtros contra ataques genéricos utilizando o protocolo<br />
TCP.<br />
UDP: É composto de filtros contra ataques genéricos utilizando o protocolo<br />
UDP.<br />
Ao selecionar um filtro é mostrada na parte inferior da janela uma URL de<br />
referência, que permite ao administrador obter maiores informações sobre o ataque.<br />
Para inserir um novo filtro, deve-se clicar com o botão direito sobre a lista de filtros e<br />
selecionar a opção Novo filtro. A seguinte janela será mostrada:<br />
A janela de criação/edição de filtros<br />
Figura 434. Filtros IDS – Configuração do filtro.<br />
O botão OK fará com que a janela seja fechada e as alterações salvas.<br />
O botão OK e novo fará com que a janela seja fechada, as alterações salvas<br />
porém a janela permaneça aberta. Isso é particularmente útil quando se deseja<br />
cadastrar vários ataques seguidamente.<br />
O botão Cancelar, fará com que todas as alterações feitas sejam desprezadas e<br />
a janela seja fechada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 655
Esta janela permite criar um novo filtro ou alterar os parâmetros de um filtro já<br />
existente. Ela consiste dos seguintes parâmetros:<br />
Nome do filtro: Nome pelo qual o filtro será referenciado no restante do firewall.<br />
Url de referência: URL que permite obter maiores informações sobre o ataque (este<br />
campo é puramente informativo).<br />
O que filtrar: Neste campo deve-se colocar a seqüência de bytes que identifica o<br />
ataque.<br />
Iniciar em: Este campo serve para especificar em que posição do fluxo de dados<br />
deve-se começar a pesquisa.<br />
Profundidade da procura (bytes): Este campo indica a quantidade de bytes que<br />
será analisada a partir da posição de início de pesquisa.<br />
Direção: Direção em que os dados serão analisados para verificar a existência da<br />
seqüência definida em O que filtrar.<br />
Protocolo: Indica em que protocolo o ataque será pesquisado. As seguintes opções<br />
estão disponíveis:<br />
UDP: Procura dados diretamente no protocolo UDP.<br />
TCP: Procura dados diretamente no protocolo TCP.<br />
Cabeçalho HTTP: Procura dados no cabeçalho do protocolo HTTP.<br />
URL HTTP: Procura dados em URLs do protocolo HTTP.<br />
Corpo do HTTP: Procura dados no corpo do protocolo HTTP.<br />
Comando SMTP: Procura dados em comandos do protocolo SMTP.<br />
Dados do SMTP: Procura dados no corpo do protocolo SMTP.<br />
Comando FTP: Procura dados em comandos do protocolo FTP.<br />
Dados do FTP: Procura dados no corpo do protocolo FTP.<br />
Comando POP3: Procura dados em comandos do protocolo POP3.<br />
Dados do POP3: Procura dados no corpo do protocolo POP3.<br />
Grupo: Este campo informa ao firewall em que grupo este ataque deve ser<br />
colocado.<br />
Classe de ameaça: Este campo informa ao firewall em que classe de ameaça este<br />
ataque deve ser colocada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 656
Portscan<br />
Figura 435. IPD/IDS - Portscan.<br />
Esta aba serve para configurar a proteção contra ataques de varreduras de portas.<br />
Estes ataques consistem em tentar acessar todas ou várias portas de comunicação<br />
em uma ou mais máquinas de uma rede. Ele é normalmente o primeiro ataque feito<br />
por um hacker, já que objetiva determinar quais os serviços e máquinas que estão<br />
ativos em uma rede.<br />
Para configurar a proteção contra varredura de portas, os seguintes parâmetros<br />
devem ser preenchidos:<br />
Detecção de portscan ativada: Esta opção deve estar marcada para ativar o<br />
suporte detecção de varreduras de portas e desmarcada para desativá-lo.<br />
Número permitido de portas varridas: Este campo indica o número máximo de<br />
portas que podem ser acessadas em uma mesma máquina. Tentativas de acesso<br />
de um número maior de portas farão que a máquina origem seja bloqueada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 657
Número permitido de máquinas x portas: Este campo indica o número máximo de<br />
portas que podem ser acessadas em uma ou mais máquinas. Para este parâmetro é<br />
a mesma coisa se um potencial atacante acessa duas portas em uma máquina ou<br />
uma porta em duas máquinas. Tentativas de acesso de um número maior de portas<br />
farão que a máquina origem seja bloqueada.<br />
Exemplo: Se o valor deste parâmetro for 12, uma pessoa qualquer poderia acessar<br />
as seguintes combinações sem ser considerado um ataque:<br />
12 portas por máquina em uma máquina<br />
6 portas por máquina em 2 máquinas<br />
4 portas por máquina em 3 máquinas<br />
3 portas por máquina em 4 máquinas<br />
1 porta por máquina em 12 máquinas<br />
Tempo limite de detecção: Este campo indica o tempo em que as informações de<br />
acesso serão mantidas pelo firewall. Valores muito baixos possibilitarão varreduras<br />
de portas muito lentas (por exemplo, 1 porta por hora). Valores muito altos ocuparão<br />
memória desnecessariamente.<br />
Bloquear a máquina do ataque por: No caso de detecção de um ataque de<br />
varredura de portas, esta coluna indica por quanto tempo a máquina atacante<br />
permanecerá bloqueado, sem poder iniciar nenhuma conexão através do firewall.<br />
Entidades protegidas: Esta lista indica as entidades (máquinas, redes ou<br />
conjuntos) que estarão protegidas contra ataques de varreduras de portas.<br />
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes<br />
modos:<br />
Executar uma operação de drag-n-drop (arrastar e soltar) da janela de<br />
entidades diretamente para a lista.<br />
Abrir o menu de contexto na lista entidades protegidas com o botão direito do<br />
mouse ou com a tecla correspondente no teclado e selecionar Adicionar<br />
entidades , para então escolher aquelas que serão efetivamente incluídas na<br />
lista.<br />
Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete ,<br />
ou escolher a opção correspondente no menu de contexto, acionado com o botão<br />
direito do mouse ou com a tecla correspondente:<br />
Entidades que podem fazer portscan: Esta lista indica as entidades (máquinas,<br />
redes ou conjuntos) que poderão executar ataques de varreduras de portas. Esta<br />
lista serve basicamente para liberar acesso a ferramentas de detecção de<br />
vulnerabilidades ou de monitoração.<br />
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes<br />
modos:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 658
Executar uma operação de drag-n-drop (arrastar e soltar) da janela de<br />
entidades diretamente para a lista.<br />
Abrir o menu de contexto na lista entidades que podem fazer portscan com o<br />
botão direito do mouse ou com a tecla correspondente no teclado e<br />
selecionar Adicionar entidades , para então escolher aquelas que serão<br />
efetivamente incluídas na lista.<br />
Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete ,<br />
ou escolher a opção correspondente no menu de contexto, acionado com o botão<br />
direito do mouse ou com a tecla correspondente:<br />
IDS Externo<br />
Figura 436. IPD/IDS – IDS Externo.<br />
Nessa aba são configurados todos os parâmetros que propiciam que agentes de<br />
IDS Externo acrescentem regras de bloqueio no Firewall. Os seguintes parâmetros<br />
estão disponíveis:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 659
Habilitar agente de IDS: Esta opção deve estar marcada para ativar o suporte a<br />
agentes IDS externos e desmarcada para desativá-lo. (ao se desabilitar o suporte a<br />
agentes IDS, as configurações antigas continuam armazenadas, mas não podem<br />
ser alteradas).<br />
Agente IDS a ser usado: Esse campo indica o agente IDS que estará habilitado a<br />
incluir regras de bloqueio no firewall. Esse agente deve ter sido previamente<br />
cadastrado no firewall. Para maiores informações veja o capítulo intitulado<br />
Cadastrando entidades.<br />
Status permite ao administrador verificar o status da conexão com o agente IDS.<br />
Um valor verde, com a palavra Conectados, indica que o firewall conseguiu<br />
autenticar-se e estabelecer com sucesso a comunicação com o agente.<br />
O botão Atualizar fará com que o status da conexão seja renovado.<br />
O botão Remover fará com que todas as regras cadastradas pelo agente IDS sejam<br />
excluídas do firewall.<br />
35.2. Visualizando os IPs bloqueados<br />
É possível a qualquer momento visualizar a lista de IPs que estão bloqueados no<br />
firewall, devido à inclusão de uma regra de bloqueio temporária do módulo de<br />
IDS/IPS.<br />
Para ter acesso a janela de IPs bloqueados, deve-se:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 660
Figura 437. Janela de acesso - IP’s bloquados.<br />
Clicar no menu Informação na janela do Firewall que queira administrar.<br />
Escolher o item IPs bloqueados.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 661
A janela de IPs bloqueados<br />
Figura 438. IPs bloquados.<br />
Esta janela consiste de uma lista onde cada IP bloqueado é mostrado em uma linha,<br />
com as seguintes informações:<br />
IP Bloqueado: Endereço IP de uma máquina que foi bloqueada;<br />
Inserido por: Módulo que inseriu a regra de bloqueio temporária;<br />
<strong>Data</strong> de expiração: Até quando este IP permanecerá bloqueado;<br />
Para remover um IP da lista, basta selecioná-lo e então clicar com o botão direito.<br />
Ao ser mostrado o menu pop-up , basta selecionar a opção Remover IP;<br />
Para atualizar a lista de IPs, basta clicar com o botão direito e selecionar a opção<br />
Atualizar no menu pop-up.<br />
35.3. Configurando a atualização de assinaturas<br />
É fundamental que qualquer IDS esteja sempre atualizado com as assinaturas dos<br />
ataques mais recentes, caso contrário, em pouco tempo ele se torna obsoleto. O<br />
<strong>Aker</strong> Firewall permite que configurar o seu IDS interno para automaticamente baixar<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 662
as novas assinaturas que forem disponibilizadas pela <strong>Aker</strong>, diretamente de nosso<br />
site web.<br />
Para ter acesso a janela de atualização de assinaturas deve-se:<br />
Figura 439. Janela de Acesso – atualização de assinaturas.<br />
Clicar no menu Configurações do sistema na janela do Firewall que queira<br />
administrar.<br />
Escolher o item Atualização de assinaturas.<br />
A janela de configuração de atualização de assinaturas:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 663
Figura 440. Atualização de assinaturas.<br />
Esta janela consiste de duas partes: no lado esquerdo pode configurar os dias da<br />
semana em que o download de assinaturas será realizado e em que horário. No<br />
lado direito, pode visualizar informações sobre a última atualização de assinaturas<br />
realizada: seu horário, se foi bem sucedida ou não, entre outras informações.<br />
O botão OK fará com que a janela seja fechada e as alterações salvas.<br />
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá<br />
a janela aberta.<br />
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e<br />
a janela seja fechada.<br />
35.4. Instalando o Plugin para IDS Externo no Windows<br />
No caso de se desejar utilizar um IDS externo, além da configuração mostrada em<br />
IDS Externo, faz-se necessário a instalação do plugin para possibilitar a<br />
comunicação deste IDS externo com o firewall. A instalação do plugin para IDS é<br />
bastante simples. Efetue o download no site da <strong>Aker</strong> (http://www.aker.com.br), inicie<br />
o programa que acabou de efetuar o download.<br />
O programa inicialmente mostrará uma janela pedindo uma confirmação para<br />
prosseguir com a instalação. Deve-se clicar no botão Continuar para prosseguir<br />
com a instalação. A seguir será mostrada uma janela com a licença de uso do<br />
produto e pedindo uma confirmação para continuar. Deve-se clicar no botão Eu<br />
Concordo para continuar com a instalação.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 664
Configuração do plugin do <strong>Aker</strong> Firewall para IDS Externo<br />
Após realizada a instalação do plugin é necessário proceder com a sua<br />
configuração. Esta configuração permite fazer o cadastramento de todos os firewalls<br />
que serão notificados, bem como a definição de que regras serão acrescentadas.<br />
Para ter acesso ao programa de configuração deve-se clicar no menu Iniciar, e<br />
selecionar o grupo <strong>Aker</strong> Firewall. Dentro deste selecionar o grupo Detecção de<br />
Intrusão e então a opção Detecção de Intrusão. A seguinte janela será mostrada:<br />
Figura 441. Configuração IDS – configuração.<br />
Esta janela consiste de 4 pastas. Na primeira, que está sendo mostrada acima, é<br />
onde é feita a configuração do plugin. Ela consiste de uma lista com o nome das<br />
diversas configurações criadas pelo administrador e que depois serão mostradas<br />
como opção de ação no console de administração do Real Secure. Pode-se<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 665
especificar o nome de uma das configurações quando na execução de um evento<br />
ou utilizar o botão Default para especificar uma configuração que será executada<br />
por padrão, isto é, quando não for especificada o nome de nenhuma configuração.<br />
Para criar uma nova configuração, basta clicar no botão Inserir , localizado na parte<br />
esquerda superior da janela. Fazendo isso, uma configuração em branco será<br />
criada. Para editar os parâmetros desta ou de qualquer outra configuração basta<br />
clicar sobre seu nome e a seguir modificar os parâmetros desejados.<br />
Significado dos parâmetros<br />
Nome da configuração: Este é o nome que será mostrado no console de<br />
administração do Real Secure, NFR, Dragon Enterasys e Snort. Quando<br />
selecionado, executará as ações definidas pelo administrador.<br />
Notificação: Este campo permite definir que ações serão executadas pelo firewall<br />
quando uma regra de bloqueio for acrescentada pela execução da configuração.<br />
Caso a opção Padrão seja selecionada, então as ações associadas à mensagem<br />
Regra de bloqueio IDS acrescentada serão executadas. Caso contrário pode-se<br />
especificar exatamente que ações devem ser tomadas. Para maiores informações<br />
sobre a configuração das ações, veja o capítulo Configurando as ações do<br />
sistema.<br />
Bloqueio: Este campo permite definir que tipo de bloqueio será realizado quando a<br />
configuração for executada. Existem três opções possíveis que podem ser<br />
selecionadas independentemente (quando mais de uma opção for selecionada, a<br />
regra bloqueará pacotes que se enquadrem em todas as opções marcadas e não<br />
em apenas algumas):<br />
Origem: Os pacotes que tiverem endereço origem igual ao da regra serão<br />
bloqueados.<br />
Destino: Os pacotes que tiverem endereço destino igual ao da regra serão<br />
bloqueados.<br />
Serviço: Os pacotes que utilizarem serviço igual ao da regra serão bloqueados. Se<br />
esta opção for marcada, deve-se selecionar quais protocolos estarão associados ao<br />
serviço através do campo Protocolo. Isto é necessário devido a uma limitação do<br />
Real Secure na medida em que não fornece o protocolo de um determinado serviço,<br />
apenas seu número. Como o NFR inspeciona apenas tráfego TCP, esse protocolo<br />
deve ser selecionado no caso desse IDS.<br />
Tempo de ativação da regra: Este campo permite definir por quanto tempo as<br />
regras acrescentadas por esta configuração ficarão ativas. Caso a opção Tempo de<br />
ativação esteja marcada, deve-se especificar o tempo, em segundos, que a regra<br />
ficará ativa. Caso esta opção não esteja marcada, a regra será mantida até a<br />
próxima reinicialização do firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 666
Firewalls Usados: Este campo serve para definir em quais firewalls as regras<br />
temporárias serão acrescentadas. Para cada firewall deve-se configurar uma senha<br />
de acesso e seu endereço IP. A senha de acesso deve ser a mesma configurada na<br />
definição da entidade do agente IDS (para maiores informações veja o capítulo<br />
Cadastrando Entidades). Ao clicar no botão incluir ou editar, a seguinte janela será<br />
mostrada:<br />
Figura 442. Firewalls usados.<br />
Os firewalls definidos acima devem ser adicionados às configurações fazendo-se os<br />
seguintes passos: Selecione os firewalls requeridos; Pressione o botão de seta -><br />
para que os firewall selecionados apareçam na lista da direita da janela.<br />
O botão de Flush é utilizado para apagar as regras dinâmicas adicionadas pelos<br />
IDS nos firewalls selecionados.<br />
Após realizar todas as modificações deve-se clicar no botão Aplicar. Caso esteja<br />
utilizando o Real Secure será então mostrada uma janela informando que os Global<br />
Responses do Real Secure serão alterados e pedindo uma confirmação para<br />
continuar. Deve-se clicar no botão Sim para salvar a nova configuração.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 667
Log<br />
Figura 443. Configuração de IDS – log.<br />
Todos os bloqueios enviados pelo IDS serão registrados nesta janela.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 668
Eventos<br />
Figura 444. Configuração de IDS – eventos.<br />
Esta pasta é muito útil para acompanhar o funcionamento do agente. Ela consiste<br />
de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada<br />
mensagem existe um ícone colorido, simbolizando sua prioridade.<br />
35.5. Utilizando a interface texto - Portscan<br />
A utilização da interface texto na configuração do suporte ao Portscan é bastante<br />
simples e possui todos os recursos da interface gráfica.<br />
Localização do programa: /aker/bin/firewall/fwportscan<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 669
Sintaxe:<br />
fwportscan [ajuda | mostra | ativa | desativa]<br />
fwportscan [max_portas | max_acessos] <br />
fwportscan [tempo_deteccao | tempo_bloqueio] <br />
fwportscan [inclui | remove] protegida <br />
fwportscan [inclui | remove] autorizada <br />
Ajuda do programa:<br />
fwportscan - Configura parametros da portscan<br />
Uso: fwportscan [ajuda | mostra | ativa | desativa]<br />
mostra = mostra a configuracao atual.<br />
ativa = ativa protecao contra portscan.<br />
desativa = desativa protecao contra portscan.<br />
max_portas = define o numero maximo de portas que podem ser acessadas por<br />
uma maquina em um mesmo servidor sem que isso seja considerado portscan.<br />
max_acessos = define o numero maximo de acessos distintos.<br />
(portas X No. de servidores) que podem ser acessadas por uma maquina, sem ser<br />
considerado portscan.<br />
tempo_deteccao = define o tempo, em segundos, que um acesso feito por uma<br />
maquina nao mais sera contabilizado em futuras deteccoes contra portscan<br />
tempo_bloqueio = define o tempo, em segundos, que uma maquina sera bloqueada<br />
apos se detectar um portscan.<br />
inclui = inclui uma nova entidade na lista especificada.<br />
remove = remove uma entidade da lista especificada.<br />
ajuda = mostra esta mensagem.<br />
Para inclui/remove temos:<br />
protegida = inclui/remove entidade da lista de entidades protegidas contra portscan.<br />
autorizada = inclui/remove entidade da lista de entidades que podem realizar<br />
portscan.<br />
Exemplo 1: (Ativando o suporte a detecção de portscan)<br />
#/aker/bin/firewall/fwportscan ativa<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 670
Exemplo 2: (Mostrando a configuração atual da proteção contra portscan)<br />
#/aker/bin/firewall/fwportscan mostra<br />
35.6. Utilizando a interface texto - IDS Externo<br />
A utilização da interface texto na configuração do suporte ao IDS Externo é bastante<br />
simples e possui todos os recursos da interface gráfica.<br />
Localização do programa: /aker/bin/firewall/fwids<br />
Sintaxe:<br />
fwids [habilita | desabilita | mostra | limpa | ajuda]<br />
fwids agente <br />
fwids bloqueia [origem ] [destino ]<br />
[servico ] [tempo]<br />
Ajuda do programa :<br />
fwids - Configura parametros do agente IDS externo<br />
Uso: fwids [habilita | desabilita | mostra | limpa | ajuda]<br />
fwids agente <br />
fwids bloqueia [origem ] [destino ]<br />
[servico ] [tempo]<br />
habilita = habilita o funcionamento de agentes IDS externos<br />
desabilita = desabilita o funcionamento de agentes IDS externos<br />
mostra = mostra a configuracao atual<br />
bloqueia = inclui uma regra de bloqueio temporaria<br />
limpa = remove todas as regras de bloqueio temporarias<br />
agente = especifica nome da entidade com dados do agente<br />
ajuda = mostra esta mensagemPara bloqueia temos:<br />
origem = Especifica que deve-se bloquear conexoes originadas no<br />
endereco IP especificado<br />
destino = Especifica que deve-se bloquear conexoes destinadas ao<br />
endereco IP especificado<br />
servico<br />
tempo<br />
= Especifica que deve-se bloquear conexoes que utilizem o<br />
servico especificado. Neste caso, deve-se especificar o<br />
servico como a porta, para os protocolos TCP e UDP, o<br />
tipo de servico, para ICMP, ou o numero do protocolo, no<br />
caso de outros protocolos (ex: 23/tcp, 53/udp, 57/outro)<br />
= tempo, em segundos, no qual a regra permanecera ativa. No<br />
caso de nao ser especificado, a regra ficara ativa ate a<br />
proxima inicializacao do firewall<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 671
Exemplo 1: (Habilitando o suporte a detecção de intrusão)<br />
#/aker/bin/firewall/fwids habilita<br />
Exemplo 2: (Definindo o agente IDS)<br />
#/aker/bin/firewall/fwids agente Agente_IDS<br />
A entidade Agente_IDS deve ter sido previamente cadastrada no sistema. Para<br />
maiores informações sobre como cadastrar entidades no <strong>Aker</strong> Firewall , veja o<br />
capítulo entitulado Cadastrando Entidades.<br />
Exemplo 3: (Mostrando a configuração atual)<br />
#/aker/bin /firewall/ fwids mostra<br />
Parametros de configuracao:<br />
---------------------------<br />
Agente IDS externo: habilitado<br />
Agente: Agente_IDS<br />
Exemplo 4: (Acrescentando uma regra de bloqueio da máquina 192.168.0.25 para<br />
a máquina 10.0.0.38, no serviço WWW, porta 80 do protocolo TCP, por uma hora)<br />
#/aker/bin/firewall/ fwids bloqueia origem 192.168.0.25 destino 10.0.0.38 servico 80/<br />
tcp 3600.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 672
Configurações TCP/IP<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 673
36. Configurações TCP/IP<br />
Este capitulo mostrará para que serve e como configurar a rede no <strong>Aker</strong> Firewall.<br />
36.1. Configuração TCP/IP<br />
Esta opção permite configurar todos os parâmetros de TCP/IP do firewall através da<br />
interface gráfica. É possível configurar os endereços de interfaces de rede, DNS e<br />
roteamento básico e avançado, bem como as opções de PPPoE, 3G e<br />
Servidor/Relay DHCP.<br />
Para ter acesso à janela de configuração TCP/IP deve-se:<br />
Figura 445. Janela de acesso - TCP/IP.<br />
Clicar no menu Configurações do Sistema da janela de administração do firewall.<br />
Selecionar o item TCP/IP.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 674
36.2. DHCP<br />
Figura 446. Servidor DHCP.<br />
Nesta pasta são definidas as opções do firewall em relação ao serviço DHCP. Ela<br />
consiste das seguintes opções:<br />
Não usar DHCP: Ao selecionar essa opção, o firewall não atuará como servidor<br />
DHCP nem efetuará relay entre redes conectadas a ele.<br />
Relay DHCP entre redes: Permitir que se defina que o firewall realizará o relay de<br />
pacotes DHCP entre as redes selecionadas. Ela é utilizada quando se possui<br />
apenas um servidor DHCP e se deseja que ele forneça endereços para máquinas<br />
localizadas em sub-redes distintas, conectadas diretamente ao firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 675
Figura 447. Relay DHCP entre redes.<br />
Ao selecioná-la, deve-se especificar em Interfaces de Escuta as interfaces nas<br />
quais o firewall escutará broadcasts DHCP e os encaminhará para os servidores,<br />
especificados em Servidores DHCP. No caso de haver mais de um servidor, o<br />
firewall encaminhará as requisições para todos e retornará ao cliente a primeira<br />
resposta recebida.<br />
Servidor DHCP Interno: Esta opção é designada para redes pequenas que não<br />
possuem um servidor DHCP ou que possuíam em um modem ADSL. Ela permite<br />
que o firewall atue como um servidor DHCP.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 676
Figura 448. Servidor DHCP interno.<br />
Ao selecioná-la, deve-se especificar um ou mais Escopos de endereços, i.e. a faixa<br />
de endereços, configurações DNS, Wins/NBT e WINS/NBT Node Type, exceções,<br />
Gateway padrão e reservas de endereços IP que serão atribuídos aos clientes.<br />
O firewall enviará aos clientes seu endereço como o servidor de DNS e seu<br />
domínio como nome do domínio para estes clientes.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 677
36.3. DNS<br />
Figura 449. TCP/IP - DNS<br />
Nesta pasta são configuradas todas as opções relacionadas com a resolução de nomes ou<br />
DNS. Ela consiste dos seguintes campos:<br />
Máquina: Nome da máquina na qual o firewall está rodando.<br />
Domínio: Nome do domínio no qual o firewall está rodando.<br />
DNS Ativo: Esta opção deve ser marcada para ativar a resolução de nomes via<br />
DNS e desmarcada para desativá-la.<br />
Servidor primário: Definir o servidor DNS primário que será consultado para se<br />
resolver um nome. Ele é obrigatório se a opção DNS ativo estiver marcada.<br />
Servidor secundário: Definir o servidor DNS secundário que será consultado se o<br />
primário estiver fora do ar. Ele é opcional.<br />
Servidor terciário: Definir o servidor DNS terciário que será consultado se o<br />
primário e o secundários estiverem fora do ar. Ele é opcional.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 678
36.3.1. Interfaces de Rede<br />
Figura 450. Janela de acesso: Interfaces de redes.<br />
Nesta pasta podem ser configurados os endereços IP atribuídos a todas as<br />
interfaces de rede reconhecidas pelo firewall. Ela consiste de uma lista onde são<br />
mostrados os nomes de todas as interfaces e os endereços IP e máscaras de cada<br />
uma (é possível configurar até 31 endereços distintos para cada interface). Caso<br />
uma interface não tenha um endereço IP configurado, os campos correspondentes<br />
ao endereço e à máscara serão mostrados em branco. Possui os seguintes campos:<br />
IPV 4<br />
IP: Endereço da rede. Não pode ser informado um endereço auto-configurado.<br />
Máscara de rede: Informa o endereço da máscara de rede.<br />
Ponto a ponto: Configuração ponto a ponto<br />
IPV6<br />
IP: Endereço da rede. Não pode ser informado um endereço auto-configurado.<br />
Prefixo: Informam quantos bits a rede é composta.<br />
Alias<br />
Para configurar ou modificar o endereço IP ou máscara de uma interface e até<br />
mesmo atribuir um alias para a interface, deve-se clicar sobre a entrada do<br />
dispositivo correspondente e usar o menu suspenso que irá surgir:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 679
Figura 451. Menu: configuração ou modificação de endereço IP.<br />
VLAN<br />
Para criar uma VLAN associada a uma interface, deve-se clicar na interface<br />
desejada no lado esquerdo da janela. Aparecerá o seguinte menu suspenso:<br />
Figura 452. Menu de criação: VLAN.<br />
Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma<br />
conexão somente o switch tenha acesso a todas as suas VLANs, inclusive<br />
controlando o acesso entre elas. Para cada uma, uma interface virtual será criada<br />
dentro do Firewall.<br />
Nesse menu também permite habilitar o monitoramento e escolher a opção Habiltar<br />
monitoramento, possibilita monitorar todas as interfaces de rede do cluster e<br />
detalhes de replicação de sessão, identificando possíveis falhas, caso uma interface<br />
de algum nodo cluster falhe "falta de conectividade ou falha de rota, ou etc" o nodo<br />
do cluster irá desativar todas as outras interfaces e fazer com que outro nó assuma,<br />
permitindo assim uma maior disponibilidade dos links.<br />
PPPoE<br />
A opção Usar PPPoE permite definir que esta interface trabalhe com PPPoE (usado<br />
basicamente para a conexão com modems ADSL). Ao ser selecionada, a seguinte<br />
janela será mostrada:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 680
Figura 453. Configuração PPPoE.<br />
Nome do dispositivo: Este campo indica o nome do dispositivo interno que será<br />
utilizado na comunicação PPPoE. É importante que no caso de que haja mais de<br />
uma interface trabalhando em PPPoE, que eles sejam distintos.<br />
Usar a configuração de DNS do servidor: Se esta opção estiver marcada, o<br />
firewall utilizará como servidor de DNS o valor recebido através do PPPoE.<br />
Usar a rota padrão do servidor: Se esta opção estiver marcada, o firewall utilizará<br />
como rota padrão o valor recebido através do PPPoE.<br />
Serviço PPPoE ativado sob demanda: Se esta opção estiver marcada, o firewall<br />
ativará o serviço PPPoE apenas quando houver tráfico de rede direcionado através<br />
desta interface de rede.<br />
Nome do Usuário: Nome do usuário que será utilizado na autenticação durante o<br />
estabelecimento da sessão PPPoE.<br />
Senha: Senha que será utilizada na autenticação durante o estabelecimento da<br />
sessão PPPoE.<br />
Confirmação: Confirmação da senha que será utilizada na autenticação durante o<br />
estabelecimento da sessão PPPoE.<br />
Provedor: É o provedor do serviço de PPPoE.<br />
Só é possível configurar endereços IP de interfaces de rede reconhecidas pelo<br />
sistema operacional no qual o firewall está rodando. Caso tenha acrescentado uma<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 681
nova interface de rede e seu nome não apareça na lista de interfaces, é necessário<br />
configurar o sistema operacional de forma a reconhecer esta nova interface antes<br />
de tentar configurá-la nesta pasta.<br />
O IP e o prefixo têm que ser informados juntos.<br />
Não deverá ser possível ao usuário remover ou editar os endereços autoconfigurados<br />
(que são derivados dos endereços MAC).<br />
As interfaces que estiverem em vermelho, indicam que não estão presentes em<br />
todos os nodos do cluster.<br />
Nesta pasta podem ser configurados os endereços IP atribuídos a todas as<br />
interfaces de rede reconhecidas pelo firewall. Ela consiste de uma lista onde são<br />
mostrados os nomes de todas as interfaces e os endereços IP e máscaras de cada<br />
uma (é possível configurar até 31 endereços distintos para cada interface). Caso<br />
uma interface não tenha um endereço IP configurado, os campos correspondentes<br />
ao endereço e à máscara serão mostrados em branco.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 682
36.4. Roteamento<br />
Figura 454. Janela de Roteamento.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 683
36.4.1. Geral<br />
Figura 455. Roteamento - Geral.<br />
Esta janela possibilita configurar rotas IPv4 e Ipv6 no firewall. Se divide em duas<br />
partes:<br />
A primeira parte se refere à configuração do endereçamento IPv4 e consiste dos<br />
seguintes campos:<br />
Rede: Configuração dos endereços IP<br />
Máscara de rede: Informa o endereço da máscara de rede<br />
Gateway: Nesse campo deve ser informado o endereço IP do roteador.<br />
Métrica: É o valor de distância da rede. A distância pode ser medida, por número de<br />
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por<br />
um valor associado a velocidade do link.<br />
Rota Padrão: Pode-se especificar o roteador padrão e de uma lista com as diversas<br />
rotas configuradas no firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 684
Para a inclusão de uma nova rota, basta clicar no botão direito do mouse e irá<br />
aparecer o menu .<br />
Para remover ou editar uma rota, basta clicar com o botão direito sobre ela.<br />
A segunda parte se refere à configuração do endereçamento IPv6 e consiste dos<br />
seguintes campos:<br />
Habilita Roteamento IPV6: Essa opção permite ativar ou desativar o roteamento de<br />
pacotes IPv6<br />
Dispositivos: Considera-se também a interface na criação da rota<br />
Rede: Configuração dos endereços IP<br />
Prefixo: Informa quantos bits a rede é composta. Valor entre 0 e 128 que define<br />
quantos bits do endereço serão usados no roteamento<br />
Gateway: Nesse campo deve ser informado o endereço IP do roteador.<br />
Métrica: É o valor de distância da rede. A distância pode ser medida, por número de<br />
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por<br />
um valor associado a velocidade do link.<br />
Gateway padrão: Nesse campo deve ser informado o endereço IP da rota padrão.<br />
A validação normal dos endereços IPv6 se aplica também a este campo.<br />
Dispositivos de Gateway Padrão: Pode deixar em branco, não será opcional se o<br />
default gateway for auto-configurado. Placa relacionada, interface de redes.<br />
Rotas com escopo de link são as que começam pelo prefixo fe80:: definido na<br />
macro FWTCPIP_IPV6_AUTOCONF_PREFIX.<br />
Devido a uma limitação do Linux, não é possível remover o módulo de IPv6 uma<br />
vez que ele tenha sido instalado. Também, se o módulo não estava instalado no<br />
kernel, os daemons todos do firewall estavam escutando um socket IPv4. Sendo<br />
assim, ao modificar o valor desta opção, a GUI deverá mostrar um aviso ao<br />
administrador dizendo: “This setting will be fully functional only after the next firewall<br />
reboot”.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 685
36.4.2. Dinâmico<br />
Figura 456. Roteamento dinâmico.<br />
O Roteamento Estático é normalmente configurado manualmente, a tabela de<br />
roteamento é estática, as rotas não se alteram dinamicamente de acordo com as<br />
alterações da topologia da rede, o custo de manutenção cresce de acordo com a<br />
complexidade e tamanho da rede e está sujeito à falhas de configuração.<br />
O Roteamento Dinâmico é a divulgação e alteração das tabelas de roteamento de<br />
forma dinâmica, não tem a intervenção constante do administrador, as tabelas são<br />
alteradas dinamicamente de acordo com as mudanças na topologia da rede, ou<br />
seja, o processo é adaptativo e melhora o tempo de manutenção em redes grandes,<br />
estando também sujeito à falhas.<br />
Nesta pasta são definidas as configurações de Roteamento Dinâmico. Ela consiste<br />
nas seguintes opções:<br />
Interface: O enlace utilizado para alcançar o próximo roteador da rota de destino.<br />
Protocolos: Pode-se optar entre o protocolo RIP e o OSPF.<br />
RIP: O protocolo RIP (Routing Information Protocol) foi o primeiro protocolo de<br />
roteamento padrão desenvolvido para ambientes TCP/IP. O RIP é um protocolo de<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 686
oteamento dinâmico que implementa o algoritmo vetor de distância e se caracteriza<br />
pela simplicidade e facilidade de solução de problemas. Em seu método, os<br />
equipamentos são classificados em ativos e passivos. Roteadores ativos informam<br />
suas rotas para outros e passivos apenas escutam e atualizam suas rotas baseadas<br />
nas informações recebidas, mas não informam. Normalmente, os roteadores usam<br />
RIP em modo ativo e as estações (hosts) em modo passivo. O RIP transmite sua<br />
tabela de roteamento a cada 30 segundos. O RIP permite 15 rotas por pacote;<br />
assim, em redes grandes, são exigidos vários pacotes para enviar a tabela de<br />
roteamento inteira. A distância ao destino é medido pelos roteadores que se passa<br />
até chegar ao destino.<br />
Vantagens: Em redes pequenas não despende muita largura de banda e tempo de<br />
configuração e gerenciamento e de fácil implementação;<br />
Desvantagens: Convergência lenta para redes de tamanho médio ou maior;<br />
Existência de loops e contagem ao infinito; Limitações do número saltos por<br />
caminho (15) e Limitação de métrica.<br />
OSPF: O protocolo OSPF - Open Shortest Path First é a alternativa para redes de<br />
grande porte, onde o protocolo RIP não pode ser utilizado, devido às suas<br />
características e limitações.<br />
O OSPF permite a divisão de uma rede em áreas e torna possível o roteamento<br />
dentro de cada área e através das áreas, usando os chamados roteadores de borda.<br />
Com isso, usando o OSPF, é possível criar redes hierárquicas de grande porte, sem<br />
que seja necessário que cada roteador tenha uma tabela de roteamento gigantesca,<br />
com rotas para todas as redes, como seria necessário no caso do RIP. O OSPF é<br />
projetado para intercambiar informações de roteamento em uma interconexão de<br />
rede de tamanho grande ou muito grande, como por exemplo, a Internet.<br />
O OSPF é eficiente em vários pontos, requer pouquíssima sobrecarga de rede<br />
mesmo em interconexões de redes muito grandes, pois os roteadores que usam<br />
OSPF trocam informações somente sobre as rotas que sofreram alterações e não<br />
toda a tabela de roteamento, como é feito com o uso do RIP. Sua maior<br />
desvantagem é a complexidade, pois, requer planejamento adequado e é mais difícil<br />
de configurar e administrar do que o protocolo RIP.<br />
A suas vantagens são: Maior velocidade de convergência suporte a várias<br />
métricas, caminhos múltiplos, sem loop nem contagem ao infinito e sincronismo<br />
entre os bancos.<br />
As suas desvantagens são: Complexidade no gerenciamento e implementação.<br />
Custo OSPF: O custo OSPF também é chamado de métrica, ou seja, a métrica é<br />
expressa como um valor de “custo”. O melhor caminho possui o custo mais baixo,<br />
sendo tipicamente o de maior largura de banda. É o custo da rota para se chegar<br />
em um determinado lugar.<br />
Velocidade OSPF: É a velocidade do link, ou seja, é a velocidade da conexão entre<br />
dois roteadores que é informada em kbits/seg.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 687
Área OSPF: Área é a designação atribuída a um subconjunto dos roteadores e<br />
redes que constituem o sistema autônomo e que participam numa instância do<br />
protocolo OSPF, isto é, as rotas de uma área não se propagam para as demais e<br />
vice versa. Verifica cada área e rota de modo a privilegiar as rotas de menor custo e<br />
com o mesmo destino.<br />
Logar rotas adicionadas e removidas: Ao selecionar essa opção as rotas<br />
adicionadas e removidas serão exibidas na lista de eventos.<br />
Redistribuir: nessa opção são escolhidas as rotas que serão informadas para os<br />
outros<br />
roteadores.<br />
Rotas Locais: São Rotas localmente conectadas, correspondem às sub redes<br />
configuradas nas interfaces de redes.<br />
Rotas de Outros Protocolos: Ao selecionar essa opção as rotas redistribuídas<br />
serão aquelas determinadas pelos protocolos RIP e o OSPF. Haverá uma troca de<br />
informações na comunicação entre eles, ou seja, o que foi aprendido por um<br />
protocolo será informado pelo outro e vice versa.<br />
Rotas Estáticas: As rotas estáticas são explicitamente configuradas pelo<br />
administrador, ou seja, rotas fixas pelos quais os dados serão transmitidos na aba<br />
Rotas dessa mesma janela.<br />
Filtrar redes distribuídas e recebidas<br />
Ativando esta opção devem-se selecionar quais as redes e hosts deseja-se receber<br />
e distribuir novas rotas através dos protocolos RIP e/ou OSPF. Através deste filtro<br />
desconsideram-se as informações que não são necessárias para nosso ambiente e<br />
também assim não é informado aos outros roteadores rotas de redes que não são<br />
utilizadas pela <strong>Aker</strong>.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 688
RIP<br />
Autenticação e versão RIP<br />
Figura 457. Roteamentoavançado (RIP).<br />
Essa opção permite escolher a forma de autenticação do protocolo. Recomenda-se<br />
a escolha do RIPv2 com MD5, pois é a forma mais segura de autenticação. O<br />
protocolo enviará todo o seu tráfego com segurança após a autenticação.<br />
Caso essa opção não seja escolhida existe, um grande risco do canal de<br />
comunicação ser interceptado ou violado, ou seja, não é garantido que a<br />
autenticidade ou a integridade sejam mantidas.<br />
RIPv1: Sem autenticação. São enviados apenas os dados.<br />
RIPv2: Sem autenticação. São enviados apenas os dados.<br />
RIPv2 com senha: Tem autenticação com senha. São enviados os dados e o<br />
segredo.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 689
RIPv2 com MD5: Autenticação com MD5. São enviados os dados juntamente com<br />
uma assinatura digital que contêm dados mais o segredo.<br />
Senha RIP: Nesse campo será informada a senha relacionada com a autenticação<br />
do protocolo.<br />
Confirmação: Deve ser informada a senha, para que seja confirmada a senha rip.<br />
Na opção Vizinhos RIP<br />
Nesta opção são definidos quais roteadores e quais os protocolos que irão<br />
comunicar-se entre si. É apenas necessário preencher esse campo em caso de<br />
operação em modo passivo.<br />
Desabilitar Separação Horizontal: Ao selecionar essa opção, desativa a omissão<br />
do envio de rotas que passam pelo nó que receberá a mensagem, ou seja, não vai<br />
evitar que um roteador RIP propague rotas para a mesma interface que ele<br />
"aprendeu" e nem o loop entre estes nós.<br />
Métrica RIP: É o valor de distância da rede. A distância pode ser medida, por<br />
número de dispositivos que o pacote deve cruzar, tempo que leva da origem ao<br />
destino ou por um valor associado a velocidade do link. Normalmente RIPD<br />
incrementa a métrica quando a informação da rede é recebida. A métrica das rotas<br />
distribuídas é configurada em 1.<br />
Atualizar o temporizador: O tempo de atualização padrão é de 30 segundos. Cada<br />
vez que ele expira, o processo RIP é acordado para enviar uma mensagem não<br />
solicitada, contendo a tabela de roteamento completa para todos os roteadores RIP<br />
vizinhos.<br />
Temporizador de timeout: Após a expiração do timeout, o roteador é considerado<br />
fora de funcionamento; entretanto, é mantida por um breve período a informação<br />
desse roteador na tabela de roteamento, para que os vizinhos possam ser<br />
notificados que ele foi removido. O tempo de timeout padrão é de 180 segundos.<br />
Temporizador do coletor de lixo: É o tempo que o firewall leva para considerar<br />
uma rota expirada. Se passar esse tempo sem que o outro roteador informe<br />
novamente a rota, ela é removida automaticamente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 690
OSPF<br />
Métodos de autenticação OSPF<br />
Figura 458. Roteamento avançado (OSPF).<br />
Essa opção permite selecionar uma forma de autenticação mais segura na troca de<br />
informações entre roteadores, evitando ataques a esses roteadores. Recomenda-se<br />
a escolha do MD5, pois é a forma mais segura de autenticação. O protocolo enviará<br />
todo o seu tráfego com segurança após a autenticação.<br />
Caso essa opção não seja escolhida existe, um grande risco do canal de<br />
comunicação ser interceptado ou violado, ou seja, não é garantido que a<br />
autenticidade ou a integridade sejam mantidas.<br />
Nenhum: Não tem autenticação.<br />
Simples: Chave em claro.<br />
MD5: Hash da chave e dos dados.<br />
Chave: É o segredo que será utilizada na autenticação OSPF.<br />
Id da chave: Identifica qual a chave que está usando.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 691
Definição ABR<br />
Ao selecionar alguma das opções abaixo, opta-se em definir como o protocolo<br />
OSPF distribuirá as rotas entre os roteadores.<br />
Padrão<br />
CISCO<br />
IBM<br />
Ativar compatibilidade com RFC 1583: Ao selecionar essa opção opta em se<br />
utilizar um padrão mais antigo.<br />
A RFC2328 é a sucessora da RFC1583, e sugere que, de acordo com a seção<br />
G.2 na seção 16.4 mudanças no caminho no algoritmo de preferência que previnem<br />
possíveis loops de roteamento que poderiam acontecer ao utilizar a versão antiga<br />
de OSPFv2. Mais especificamente ela demanda que as rotas da inter-área e os da<br />
intra-área são de iguais preferências, embora ambos prefiram rotas externas.<br />
ID da Roteador: Endereço ID que identifica o roteador no processo OSPF, ou seja,<br />
contém a identificação numérica do roteador que originou o pacote.<br />
Intervalo morto: Período máximo em segundos desde o último recebimento de um<br />
pacote hello, antes de o roteador considerar o seu "vizinho" como não acessível. O<br />
valor padrão é de 40 segundos.<br />
Intervalo do "Hello": O intervalo em segundos entre as transmissões do pacote<br />
hello. Configurando este valor, os pacotes hello serão enviados periodicamente de<br />
acordo com o tempo especificado na interface. Este valor deve ser o mesmo para<br />
todos os roteadores existentes na rede. O valor padrão é dez segundos.<br />
Intervalo de retransmissão: Este valor é usado quando, a base de dados de<br />
descrição e os pacotes de requisição de estado de link são retransmitidos. O valor<br />
padrão é de 5 segundos.<br />
Prioridade: Ao configurar um valor de prioridade mais alto, o roteador terá maiores<br />
chances de se tornar o roteador designado, ou seja, é o roteador que será<br />
considerado vizinho de todos os demais roteadores da rede. Configurando o valor<br />
para 0, o roteador não será mais a rota preferível. O valor padrão é 1.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 692
36.4.3. Avançado<br />
Figura 459. Roteamento avançado.<br />
Esta configuração permite a utilização de rotas por origem e o balancemanto de link<br />
por rotas, onde é possível direcionar o tráfego de rede para um determinado<br />
gateway a partir de sua origem e ainda balancear este tráfego em até 3 links<br />
diferentes. Não é possível configurar rotas por origem pela tabela de roteamento<br />
Geral, por esse motivo as regras criadas aqui têm maior prioridade.<br />
Para realizar com sucesso esta configuração, é necessário cadastrar as entidades<br />
de origem, destino e serviço antes do início do processo. Este cadastramento pode<br />
ser feito tanto na interface gráfica do <strong>Aker</strong> Control Center como no modo texto<br />
utilizando o comando “fwent” no console do <strong>Aker</strong> Firewall.<br />
Abaixo segue alguns exemplos de configurações:<br />
Teste da funcionalidade balanceamento de link por rota:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 693
Laboratório<br />
Figura 460. Exemplo de laboratório de teste – balaceamento de rotas.<br />
Testes e configurações<br />
Configurações do FW A:<br />
Figura 461. Teste e configurações – NAT – exemplo A.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 694
Via linha de comando:<br />
Figura 462. Teste e configurações – Balanceamento de link – exemplo B.<br />
fwadvroute inclui 1 -src 192.168.0.0/255.255.255.0 -dst 172.16.21.0/255.255.255.0 -<br />
bal 1 2 3<br />
Configurações do FW B:<br />
Figura 463. Teste e configurações – NAT exemplo B.<br />
Figura 464. Teste e configurações – Balanceamento de link – exemplo B.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 695
Figura 465. Roteamento.<br />
Via linha de comando:<br />
fwadvroute inclui 1 -src 172.16.21.0/255.255.255.0 -dst 192.168.0.0/255.255.255.0 -<br />
bal 1 2 3<br />
Esta configuração faz com que todo o tráfego entre as redes 192.168.0.0/24 e<br />
172.16.21.0/24 seja balanceado pelos 3 links.<br />
Utilizando a interface Shell:<br />
Localização do programa: /aker/bin/firewall # fwadvroute ajuda<br />
<strong>Aker</strong> Firewall - Versao 6.5 (HW)<br />
Uso: fwadvroute ajuda<br />
fwadvroute mostra<br />
fwadvroute inclui -src -dst [-svc ]<br />
{ -gw | [-P] -bal ... }<br />
fwadvroute remove <br />
fwadvroute < habilita | desabilita > <br />
fwadvroute refresh<br />
Os parâmetros são:<br />
pos: posição da regra na tabela (a partir de 1);<br />
src_ents : Entidades origem (rede/maquina/conjunto);<br />
dst_ents : Entidades destino (rede/maquina/conjunto);<br />
svc_ents : Entidades serviço (servico);<br />
gw_ent : Entidade gateway (maquina);<br />
linkN : Nomes dos links para balanceamento (veja 'fwblink mostra');<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 696
-P : Persistência de conexão.<br />
A seguir, serão demonstrados alguns exemplos práticos das sintaxes utilizadas<br />
nesta configuração:<br />
Obs: Os nomes das entidades utilizadas nos exemplos são apenas nomes de<br />
demonstração para facilitar a compreensão.<br />
Sintaxe: fwadvroute inclui -src -dst [-svc<br />
] -gw <br />
Cria e/ou define uma rota especificando a posição, origem, serviço (caso haja),<br />
destino e o gateway desejado.<br />
Exemplo: fwadvroute inclui 1 -src "rede interna" -dst host1 -gw server1<br />
Note que para indicar a entidade "rede interna" foi utilizada aspas, pois, nomes<br />
de entidades que contenham mais de uma palavra devem estar sempre entre<br />
aspas.<br />
Caso o espaço para indicar o serviço a ser utilizado estiver vazio, serão<br />
considerados todos os serviços para esse roteamento.<br />
Sintaxe: fwadvroute remove <br />
Remove uma rota já criada indicando a posição da mesma.<br />
Exemplo: fwadvroute remove 1<br />
Sintaxe: fwadvroute < habilita | desabilita > <br />
Habilita ou desabilita uma rota indicando a posição da mesma.<br />
Exemplo: fwadvroute habilita 1<br />
Não é possível configurar as rotas por origem pelo Control Center, esta<br />
configuração é feita apenas pelo console do <strong>Aker</strong> Firewall.<br />
36.5. Utilizando a interface texto nas Chaves de Ativação<br />
É possível configurar as Chaves de Ativação pela interface texto.<br />
Localização do programa: /aker/bin/firewall/fwkey path<br />
Path: Caminho completo do arquivo com a chave de ativação a ser substituída.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 697
36.6. Utilizando a interface texto na Configuração TCP/IP<br />
É possível configurar os parâmetros do TCP/IP pela interface texto.<br />
Localização do programa:/aker/bin/firewall/fwinterface<br />
O programa é interativo e as opções de configuração são as descritas abaixo:<br />
Figura 466. Modo de configuração para interfaces de rede.<br />
Analogamente a configuração da interface gráfica, a interface texto possui 6 opções<br />
conforme visualizado na figura acima.<br />
Na janela abaixo é possível visualizar, configurar e desconfigurar uma interface de<br />
rede<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 698
Figura 467. Configuração de Interfaces.<br />
Na tela abaixo é apresentada a opção de listar interfaces<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 699
Figura 468. Lista da interfaces de rede.<br />
Para configurar uma interface deve-se digitar o nome da mesma. A tecla <br />
retorna ao menu anterior<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 700
Figura 469. Módulo de configuração para interfaces de rede.<br />
Nesta tela é apresentada a opção de cadastrar VLAN<br />
Figura 470. Cadastro de Vlan.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 701
Após a digitação dos valores de configuração é perguntado se deseja configurar<br />
álias para a interface.<br />
Figura 471. Configuração de interfaces.<br />
Após a digitação da Opção 2 da tela principal, é possível realizar a configuração de<br />
rotas estáticas.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 702
Figura 472. Configuração de rotas estáticas.<br />
Após as informações terem sido digitadas é perguntado se deseja gravar as novas<br />
configurações.<br />
Figura 473. Configuração de rotas estáticas – entrada de dados.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 703
Após a digitação da Opção 3 da tela principal, é possível realizar a configuração dos<br />
Servidores DNS.<br />
Figura 474. Configuração de DNS.<br />
Após a digitação da Opção 4 da tela principal, é possível realizar a configuração da<br />
rota padrão.<br />
A opção 5 da tela principal salva as novas configurações.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 704
Figura 475. Módulo de configuração para interfaces de rede.<br />
36.7. Utilizando a interface texto na Configuração de Wireless<br />
Esta opção é configurada apenas pelo console do <strong>Aker</strong> Firewall e está disponível<br />
somente no <strong>Aker</strong> Firewall Box com suporte para conexão Wireless.<br />
A seguir, serão demonstrados seus comandos e alguns exemplos de configuração:<br />
Localização do programa: /aker/bin/firewall/akwireless<br />
Figura 476. Interface de texto na configuração Wireless.<br />
Logo após um comando, é obrigatório inserir os dados necessários quando o<br />
espaço para inserí-los estiver entre os sinais "< e >" (menor que, e maior que). Caso<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 705
este espaço estiver entre os sinais "[ e ]" (colchetes), será facultativo a inserção dos<br />
mesmos.<br />
Vários desses comandos são auto-explicativos, por este motivo será enfatizada às<br />
particularidades dos comandos mais importantes:<br />
akwireless cria_interface <br />
= cria uma interface.<br />
Sintaxe: wireless cria_interface ath0 ap g<br />
Dentre os modos existentes, o mais utilizado é o "AP" (Modo Master), que permite<br />
outras máquinas se conectarem nele.<br />
Existem vários protocolos como A, B, G, N, porém, apenas os protocolos B e G são<br />
suportados pela <strong>Aker</strong>.<br />
As interfaces wireless são definidas por "ath", logo, caso existam 3 interfaces<br />
listadas,estas serão definidas por: ath0, ath1 e ath2.<br />
akwireless destroi_interface = destroi uma interface.<br />
Sintaxe: wireless destroi_interface ath0<br />
akwireless muda_protocolo = altera o protocolo a ser utilizado.<br />
Sintaxe: wireless muda_protocolo ath0 g<br />
Cabe ressaltar que a placa wireless suporta apenas um protocolo para todas as<br />
interfaces.<br />
akwireless lista_interface [interface] = mostra todas as interfaces listadas.<br />
Sintaxe: wireless lista_interface<br />
Caso queira listar uma determinada interface, basta definí-la na frente do comando.<br />
akwireless muda_modo =<br />
altera o modo a ser utilizado.<br />
Sintaxe: wireless muda_modo ath0 ap<br />
akwireless muda_SSID = criar/alterar nome da rede wireless.<br />
Sintaxe: wireless muda_SSID ath0 rede1<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 706
akwireless wep_chave = habilitar autenticação WEP<br />
com índice e chave indicados.<br />
Sintaxe: wireless wep_chave ath0 1 12345<br />
akwireless wep_chave_indice = altera o indice corrente.<br />
Sintaxe: wireless wep_chave_indice ath0 1<br />
Pode-se criar até 4 chaves em índices diferentes.<br />
akwireless wpa1_chave = habilita autenticação WPA1<br />
com a chave e o arquivo de configuração indicados.<br />
Sintaxe: wireless wpa1_chave ath0 123456789 wpa1.conf<br />
Pode-se obter configurações avançadas modificando o arquivo de configuração<br />
citado acima.<br />
akwireless wpa2_chave = habilita autenticação WPA2<br />
com a chave e o arquivo de configuração indicados.<br />
Sintaxe: wireless wpa2_chave ath0 123456789 wpa2.conf<br />
Pode-se obter configurações avançadas modificando o arquivo de configuração<br />
citado acima.<br />
akwireless sem_chave = desabilitar autenticação.<br />
Sintaxe: wireless sem_chave ath0<br />
akwireless escolhe_lista_mac black : white = habilitar a<br />
filtragem de Mac.<br />
Sintaxe: wireless escolhe_lista_mac ath0 white white.conf<br />
Black: lista de macs que não poderão se conectar no Firewall.<br />
White: lista dos únicos macs que poderão se conectar ao Firewall.<br />
akwireless add_mac = adicionar um Mac na lista.<br />
Sintaxe: wireless add_mac ath0 00:13:20:3A:11:5B<br />
akwireless del_mac = deletar um Mac da lista.<br />
Sintaxe: wireless del_mac ath0 00:13:20:3A:11:5B<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 707
akwireless lista_mac = listar os Mac adicionados.<br />
Sintaxe: wireless lista_mac ath0<br />
akwireless limpa_lista = deleta todos os Macs listados.<br />
Sintaxe: wireless limpa_lista ath0<br />
akwireless lista_autenticacao |interface| = listar os tipos de autenticação de cada<br />
interface.<br />
Sintaxe: wireless lista_autenticacao ath0<br />
akwireless muda_canal |channel| = alterar o canal da interface.<br />
Sintaxe: wireless muda_canal ath0 3<br />
Para mostrar os canais disponíveis, basta utilizar este comando sem indicar o canal.<br />
akwireless lista_usuarios_conectados = Mostra os usuários que<br />
estão conectados.<br />
Sintaxe: wireless lista_usuarios_conectados ath0<br />
Esta configuração é feita apenas pelo modo texto, no console do <strong>Aker</strong> Firewall e<br />
está disponível somente no <strong>Aker</strong> Firewall Box com suporte para conexão wireless.<br />
36.8. Utilizando a interface texto na Configuração de DDNS<br />
Esta opção é configurada apenas pelo console do <strong>Aker</strong> Firewall e está disponível<br />
somente no <strong>Aker</strong> Firewall Box com suporte para conexão Wireless.<br />
A seguir, serão demonstrados seus comandos e alguns exemplos de configuração:<br />
Localização do programa: /aker/bin/firewall/akddns<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 708
Figura 477. Exemplo de interface de texto na configuração DNS.<br />
Logo após um comando, é obrigatório inserir os dados necessários quando o<br />
espaço para inserí-los estiver entre os sinais “< e >” (menor que, e maior que). Caso<br />
esse espaço estiver entre os sinais “[ e ]” (colchetes), será facultativo a inserção dos<br />
mesmos.<br />
Vários desses comandos são auto-explicativos, por este motivo será enfatizada às<br />
particularidades dos comandos mais importantes:<br />
ddns server [login_server] [pwd_server]<br />
= configura o servidor DDNS a ser utilizado pelo produto.<br />
Sintaxe: ddns server members.dyndns.org dyndns2 meuhost.dyndns.org usuário<br />
senha no comando, especifica-se o hostname do servidor onde se fará a<br />
atualização, o protocolo a ser utilizado para isso (ex. dyndns2), o hostname a ser<br />
atualizado, o login e a senha de atualização.<br />
ddns interface = monitora o IP de uma interface.<br />
Sintaxe: ddns interface eth0Com esse comando, o IP dinâmico a ser atualizado no<br />
servidor será o existente na interface fornecida (ex. eth0).<br />
ddns gateway [login_gateway]<br />
[pwd_gateway] = monitora o IP de um gateway da rede<br />
Sintaxe: ddns gateway linksys 10.0.0.1 80 usuario senha com esse comando, o IP<br />
dinâmico a ser atualizado no servidor será o de um gateway (ex. modem) da rede.<br />
Normalmente, seria o IP externo da rede. Para uma lista com os tipos de gateway<br />
suportados, execute o comando “ddns lista”.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 709
ddns web [token] = monitora o IP fornecido em uma URL.<br />
Sintaxe: ddns web meuip.meudominio.com.br "IP:"<br />
Com esse comando, o IP dinâmico a ser atualizado no servidor será obtido a partir<br />
de uma página web localizada na URL fornecida, após o token configurado.<br />
ddns ip = especifica um IP fixo a ser fornecido ao servidor DDNS<br />
Sintaxe: ddns ip 200.140.230.137<br />
Define um IP fixo para o seu hostname cadastrado no servidor DDNS.<br />
36.9. Configuração do Link 3G<br />
O <strong>Aker</strong> Firewall traz para seus usuários duas novas funcionalidades no acesso à<br />
Internet. A partir de agora, a solução UTM da <strong>Aker</strong> suporta conexão pelos modems<br />
3G e redes wireless.<br />
Essas funcionalidades foram desenvolvidas com o objetivo de possibilitar uma maior<br />
mobilidade e facilidade no acesso à Internet.<br />
Conexão via modem 3G<br />
O <strong>Aker</strong> Firewall permite que você conecte um modem 3G em sua porta USB e essa<br />
conexão passa a ser utilizada como um link de dados para acesso à Internet. O 3G<br />
pode ser de qualquer.<br />
E possível assim, proporcionar maior economia, alto desempenho e facilidade na<br />
instalação para os usuários do <strong>Aker</strong> Firewall, pois os links 3G, além de mais baratos<br />
e rápidos, são fácies de se instalar, não necessitando de nenhum equipamento nem<br />
cabos de rede.<br />
Configurando o modem 3G<br />
O procedimento de configuração é dividido em duas partes:<br />
1. Configuração dos drivers do modem;<br />
2. Configuração do modem 3G no <strong>Aker</strong> Firewall.<br />
Configuração dos drivers do modem:<br />
Procedimento manual:<br />
Execute o comando "config3g.sh". Serão listados todos os dispositivos USB<br />
conectados ao firewall. Ao identificar o modem na lista de dispositivos USB que lhe<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 710
foi listado, os campos "product id" e "vendor id" devem ser preenchidos. Após esse<br />
preenchimento, o script irá configurar os drivers do modem corretamente.<br />
Procedimento automático:<br />
Figura 478. Configuração de link 3G.<br />
Execute o comando "config3gauto.sh". Automaticamente será identificado o modem<br />
da lista de dispositivos USB conectados.<br />
Configuração do modem 3G no <strong>Aker</strong> Firewall<br />
Neste passo, a configuração ocorre através da interface gráfica na janela<br />
"Configurações do Sistema → TCP/IP".<br />
Na janela irá aparecer uma nova interface chamada 3G. Essa é apenas uma<br />
interface virtual que significa que existe um modem 3G configurado. Para configurar<br />
uma interface real, clique com o botão direito na interface virtual 3G e opte pela<br />
opção "Usar 3G".<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 711
Figura 479. Configuração 3G no <strong>Aker</strong> Firewall.<br />
Ao realizar o procedimento acima irá abrir uma janela de configuração com os<br />
seguintes campos:<br />
"Nome do dispositivo";<br />
"Ativar no boot": Efetuar a conexão automaticamente, após ligar o <strong>Aker</strong> Firewall<br />
BOX;<br />
"Usar configuração DNS do servidor": Utilizar as configurações de DNS,<br />
fornecidas pela operadora do 3G;<br />
"Usar rota Padrão do Servidor": Utilizar como rota padrão o link 3G (apenas no<br />
caso da rota padrão não ter sido configurada previamente);<br />
"Serviço 3G ativado sob demanda": Utilizar o link 3G apenas quando a rede<br />
tiver necessidade de conexão com à Internet. Quando não houver dados para<br />
serem transmitidos ou recebidos a conexão do link 3G será desativada;<br />
"ID do produto:" Já estará preenchido, deve mudar apenas se mudou o<br />
modem;<br />
"ID do vendedor:" Já estará preenchido, deve mudar apenas se mudou o<br />
modem;<br />
"Caminho do arquivo de configuração do modem":<br />
Existem três opções já criadas:<br />
TIM;<br />
CLARO;<br />
VIVO.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 712
"Usar outro caminho:"<br />
É possível usar um arquivo de configuração, criado pelo administrador do <strong>Aker</strong><br />
Firewall. Para utilizá-lo, basta especificar o caminho onde este arquivo está salvo.<br />
Essa opção é utilizada para o <strong>Aker</strong> Firewall suportar outros modelos de modems<br />
e/ou outras operadoras, dando assim maior flexibilidade à solução.<br />
Testando a conexão<br />
Após configurar a interface 3G, o <strong>Aker</strong> Firewall vai tentar discar para a operadora.<br />
Esse procedimento pode não funcionar por problemas na operadora.<br />
Para verificar se conexão foi efetuada com sucesso, observe a cor da interface<br />
criada. Se tiver com uma cor clara quer dizer que o modem conectou normalmente,<br />
se a cor for escura significa que houve algum problema. Repita o procedimento e,<br />
se o problema continuar, contate o departamento de suporte da <strong>Aker</strong> <strong>Security</strong><br />
<strong>Solutions</strong>.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 713
Configurando o Firewall em<br />
Cluster<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 714
37. Configurando o firewall em Cluster<br />
Este capítulo mostrará como configurar a tolerância a falhas e o cluster cooperativo do<br />
<strong>Aker</strong> Firewall.<br />
37.1. Planejando a Instalação<br />
O que é um sistema de tolerância às falhas?<br />
Quanto mais os computadores ganham espaço nas empresas, nos escritórios e na<br />
vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um<br />
simples e bom motivo: nenhum usuário quer que a sua máquina pare de funcionar<br />
ou que os recursos de rede não possam mais ser acessados. É justamente a alta<br />
disponibilidade que vai garantir a continuidade de operação do sistema na prestação<br />
de serviços de rede, armazenamento ou processamento, mesmo se houver falhas<br />
em um ou mais de seus elementos.<br />
Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vez<br />
maior de usuários. Tornou-se um requisito fundamental para os sistemas que ficam<br />
no ar 24 horas por dia, sete dias por semana, ou que não possam ficar fora do ar<br />
por até mesmo alguns minutos. Afinal, paradas não planejadas podem<br />
comprometer, no mínimo, a qualidade do serviço, sem contar os prejuízos<br />
financeiros.<br />
Tolerância às falhas nada mais é que um agrupamento de recursos que fornece ao<br />
sistema a ilusão de um recurso único. A maioria dos seus componentes, encontramse<br />
duplicados, desta forma, mesmo que um componente individual apresente falhas<br />
o serviço não é comprometido. Para possibilitar a redundância de recursos é<br />
necessário um mecanismo de gerência, de forma a tornar seu funcionamento<br />
transparente.<br />
O que é um sistema Cooperativo?<br />
No sistema de tolerância às falhas foi falado a respeito de alta disponibilidade e de<br />
agrupamento de recursos, mas no sistema cooperativo além da alta disponibilidade<br />
ocorre o balanceamento de carga entre os sistemas. No sistema cooperativo todos<br />
os sistemas ficam ativos e se o peso entre eles for igual tratarão de forma<br />
balanceada as conexões e todos os processos entre eles.<br />
Como trabalha a Tolerância às Falhas do <strong>Aker</strong> Firewall?<br />
A tolerância às falhas do <strong>Aker</strong> Firewall é composta por dois sistemas idênticos, ou<br />
seja, duas máquinas com o mesmo Sistema Operacional, mesmas placas de rede e<br />
com a mesma versão do Firewall, conectadas entre si. A exigência de se usar o<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 715
mesmo sistema operacional se dá pelo fato de poder aplicar correções através da<br />
interface gráfica e essas correções serem replicadas automaticamente de uma<br />
máquina para a outra.<br />
Além de estarem conectadas entre si, o que deve ser feito por uma interface de<br />
rede, é necessário que todas as placas de rede correspondentes das duas<br />
máquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos<br />
os firewalls tenham acesso às mesmas máquinas e roteadores.<br />
Como trabalha o sistema Cooperativo do <strong>Aker</strong> Firewall?<br />
Antes de tudo a diferença básica da configuração do cluster cooperativo e do<br />
failover está vinculada à licença. A licença do cluster cooperativo faz com que a<br />
convergência de dois firewalls com pesos iguais seja de 50% para cada um, já a<br />
licença do failover faz com que ocorra convergência em apenas um dos firewalls.<br />
O que são modos UNICAST e MULTICAST do sistema Cooperativo do <strong>Aker</strong><br />
Firewall?<br />
No <strong>Aker</strong> Firewall em modo cooperativo, mais de um host - os nodos do cluster -<br />
precisam receber os mesmos pacotes, para posteriormente cada um deles decidir<br />
se é de sua responsabilidade ou não. Como os switches não estão preparados<br />
nativamente para isso, uma de duas técnicas precisa ser empregada.<br />
A primeira, chamada do modo unicast, implica em reconfigurar o switch para que ele<br />
saiba que um determinado endereço ethernet (MAC) está em duas ou mais portas<br />
simultaneamente, significando que ele deve copiar o pacote com esse endereço<br />
destino em todas elas, e jamais aprendê-lo como estando em uma porta apenas.<br />
Nesse modo, todos os firewalls do cluster usam o mesmo endereço MAC. O único<br />
inconveniente desse modo é que são raros os switches que o suportam.<br />
A segunda, modo multicast, faz com que os firewalls de um cluster registrem um<br />
endereço ethernet multicast em suas interfaces e respondam as chamadas de ARP<br />
para o IP virtual com esse endereço. Se o switch não for configurado para limitar o<br />
espalhamento de pacotes multicast, todos os pacotes destinados ao firewall serão<br />
redistribuídos em todas as portas, como se fossem pacotes broadcast. Para fazer<br />
essa configuração, existem duas opções: ou o faz manualmente no switch, ou então<br />
utiliza o protocolo IGMP, onde cada firewall anuncia ao switch que é membro do<br />
grupo multicast correspondente ao endereço escolhido. Seu switch deve suportar<br />
uma dessas duas opções. Além disso, existem alguns roteadores que não<br />
aprendem o endereço multicast ethernet da resposta ARP enviada pelo firewall.<br />
Nesses casos, as entradas para o firewall devem ser adicionadas manualmente em<br />
suas tabelas.<br />
Existem implicações sérias de performance (flooding, por exemplo) e segurança<br />
(requisição de associação IGMP por qualquer host da rede) no caso de cluster no<br />
modo multicast. Todos os problemas podem ser evitados com corretas<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 716
configurações nos switches. Tenha certeza que você entende o funcionamento<br />
desse modo antes de colocá-lo em funcionamento.<br />
Quando o cluster estiver no ar, qualquer alteração feita nas configurações de um<br />
firewall através da interface gráfica será replicada automaticamente para o outro<br />
firewall.<br />
37.2. Configuração do Cluster<br />
Para que possa ser iniciada a configuração do Cluster, é necessário que<br />
previamente exista uma licença de cluster e que já tenha sido aplicada no Firewall.<br />
Para se ter acesso a janela de Configuração do Cluster deve-se:<br />
Figura 480. Janela de acesso – configuração do cluster.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 717
Clicar no menu Configuração do Sistema na janela de Administração do Firewall.<br />
Clicar no item Configuração do Cluster.<br />
Caso o usuário opte em configurar, deverá clicar no botão "sim", e automaticamente<br />
aparecerá a seguinte tela:<br />
Figura 481. Criar cluster.<br />
Essa janela permite a criação de um novo cluster. O usuário deverá preencher os<br />
seguintes campos:<br />
Nome: Nesse campo deve ser informado o nome do Firewall no cluster.<br />
Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá<br />
escolher o valor mais apropriado.<br />
Interface: Esse campo permite a escolha de uma entidade que representa uma<br />
interface de controle do firewall. Essa entidade será usada pelo firewall para<br />
controle do cluster.<br />
Botão Ok: Ao término da escolha das opções, deve-se clicar no botão Ok. Se a<br />
licença tiver sido aplicada anteriormente, o cluster será habilitado, caso tenha algum<br />
problema, aparecerá uma mensagem informando que não foi possível habilitá-lo.<br />
Se a criação do cluster tiver sido feita com sucesso a interface gráfica será<br />
desconectada para garantir que toda a configuração do firewall seja recarregada,<br />
assim o usuário deverá conectar novamente.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 718
Caso o usuário deseje fazer alguma alteração nas configurações do cluster criado,<br />
deverá acessar a Janela de Configuração de Cluster. Abaixo seguem as descrições<br />
dos campos:<br />
Informações Gerais<br />
Figura 482. Configuração do cluster – configurações gerais.<br />
Nessa parte da janela são mostradas informações gerais do cluster criado.<br />
Tipo de Cluster: Esta opção permite selecionar o tipo de cluster desejado ou<br />
desabilitá-lo.<br />
Interface de Controle: Essa informação é definida na hora da habilitação do<br />
cluster, não podendo ser alterada posteriormente. Todos os seus outros membros<br />
utilizarão essa mesma entidade.<br />
Informações dos Membros<br />
Nessa parte da Janela mostra todas as informações sobre os membros do cluster.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 719
Identificação: Esse campo informa o ID do Cluster. É gerado aleatoriamente, não<br />
podendo ser alterado.<br />
Nome: Indica o nome do firewall do cluster.<br />
Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá<br />
escolher o valor mais apropriado.<br />
Estado: Permite visualizar o status do cluster, se está ativado ou desativado<br />
Interfaces<br />
Nessa parte da janela permite a visualização das características de configuração<br />
das interfaces de rede dos membros do cluster. Essas características pertencem a<br />
todos os membros, incluindo os ativados, desativados e os que vierem a ser<br />
incluídos.<br />
Interface: Nesse componente permite adicionar uma nova interface.<br />
Virtual IP: É o IP virtual que representa as máquinas do cluster para a rede atual.<br />
Deverá ser definido apenas nos casos de cluster cooperativos.<br />
Modo: Esse campo informa o modo como os pacotes são redistribuídos dentro de<br />
um grupo de máquinas. O modo UNICAST é o padrão, mas pode ser alterado para<br />
o modo Multicast ou Multicast com IGMP.<br />
IP Multicast : As informações contidas nesse campo, são alteradas de acordo com<br />
o modo indicado/escolhido, mas só poderá ser editado quando for escolhido o modo<br />
multicast IGMP.<br />
Mac: Esse campo indica o endereço físico da placa de rede. Pode ser informado<br />
quando o modo escolhido for o Multicast. Caso não seja especificado o cluster,<br />
vai ser utilizado o endereço que consta na placa, se for escolhido o modo Multicast<br />
IGMP o MAC não será configurado, ou seja, não poderá ser editado.<br />
A opção de adicionar um IP virtual só é válida quando se tratar de cluster<br />
cooperativo.<br />
Observação: Deve haver no mínimo um membro ativo.<br />
Nessa janela pode-se incluir um novo membro do cluster. Para incluí-lo, clique com<br />
o botão direito do mouse no componente que mostra as informações dos membros.<br />
Clique no<br />
, aparecerá a seguinte janela:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 720
Figura 483. Configuração do cluster – adicionar membro.<br />
Nessa janela preenche todas as informação do firewall que será adicionado ao<br />
cluster. Abaixo segue a descrição dos campos:<br />
Informação da conexão<br />
IP: É o endereço IP do firewall a ser adicionado ao cluster.<br />
Usuário: Usuário de administração do firewall.<br />
Senha: Senha do usuário administrador do firewall.<br />
Informação do Firewall<br />
Nome: Nome do Firewall no cluster<br />
Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá<br />
escolher o valor mais apropriado.<br />
Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum.<br />
Podendo ser definido previamente qual status funcione (mestre ou escavo) ou<br />
selelcionado a opção nenhum (para ser escolhido automaticamente).<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 721
O membro do cluster, também pode ser incluído por meio do ícone<br />
na barra de ferramentas.<br />
presente<br />
37.3. Estatística do Cluster<br />
A janela de estatística do Cluster permite a visualização das informações de cada<br />
nó do cluster.<br />
Para se ter acesso a janela de Estatística do Cluster deve-se:<br />
Figura 484. Janela de acesso – Estatísticas do cluster.<br />
Clicar no menu Informação na janela de Administração do Firewall.<br />
Clicar no item Estatística do Cluster.<br />
Aba Firewall 1<br />
A janela possui dois tipos de informações: as informações estáticas se referem ao<br />
nome do nodo, o identificador e o peso. As outras informações que constam na<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 722
janela são estatísticas do tráfego de redes que permite, por exemplo, a visualização<br />
da quantidade de pacotes trafegados na rede.<br />
Os valores são acumulativos, a cada segundo os dados são somados ao valor<br />
anterior.<br />
Aba Gráfico<br />
Figura 485. Estatísticas do cluster – Firewall 1.<br />
Esta janela permite a visualização gráfica das informações referentes ao tratamento<br />
dado, aos pacotes dos nodos, pelo Firewall. Esse gráfico permite a visualização de<br />
até 8 nodos.<br />
As informações do tráfego de cada nodo são mostradas em porcentagem. Esta aba<br />
possui vários tipos de filtros, permitindo ao usuário, para uma eventual comparação<br />
de dados, filtrar informações em percentual, das atividades de cada firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 723
Figura 486. Estatísticas do cluster – Gráfico.<br />
37.4. Utilizando a interface texto<br />
A utilização da interface texto na configuração da tolerância às falhas é bastante<br />
simples.<br />
Localização do programa: /aker/bin/firewall/fwcluster<br />
Sintaxe:<br />
fwcluster [ajuda | mostra]<br />
fwcluster interface_controle <br />
fwcluster peso <br />
fwcluster <br />
fwcluster [maquina | -f]<br />
fwcluster [multicast [igmp ] [mac ] | unicast]<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 724
Ajuda do programa:<br />
Firewall <strong>Aker</strong> - Versão 6.5<br />
Uso: fwcluster [ajuda | mostra]<br />
fwcluster interface_controle <br />
fwcluster peso <br />
fwcluster <br />
fwcluster [maquina | -f]<br />
fwcluster [multicast [igmp ] [mac ] | unicast] (!) onde:<br />
if : entidade interface<br />
peso : peso deste firewall no cluster<br />
maquina : endereco IP virtual a remover ou incluir (entidade maquina)<br />
Exemplo 1: (mostrando a configuração)<br />
Como efeito didático será explanada a topologia de uma rede com três firewalls em<br />
cluster e duas redes (rede 192 e rede 10).<br />
Figura 487. Interface texto – exemplo 1: mostrando a configuração da interface.<br />
Antes que se inicie a montagem do cluster, primeiramente devem ser cadastradas<br />
todas as interfaces, lembrando que diferente do cluster no firewall 4.5, aqui todos os<br />
firewalls possuem endereços ip diferentes.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 725
Exemplos: Firewall A - rl0 - if_externa - 10.0.0.1 Firewall B - rl0 - if_externa - 10.0.0.2<br />
rl1 - if_interna - 192.168.1.1 rl1 - if_interna - 192.168.1.2<br />
rl2 - if_controle - 172.16.0.1 rl2 - if_controle - 172.16.0.2<br />
Firewall C – rl0 - if_externa - 10.0.0.3<br />
rl1 - if_interna - 192.168.1.3<br />
rl2 - if_controle - 172.16.0.3<br />
Em seguida crie uma entidade vitual para cada uma das placas, exceto para a<br />
interface de controle, essas entidades terão valor igual para todos os firewalls do<br />
cluster.<br />
Exemplos: Firewall A - externa_firewall (ip 10.0.0.4) Firewall B - externa_firewall (ip<br />
10.0.0.4)<br />
interna_firewall (ip 192.168.1.4) interna_firewall (ip 192.168.1.4)<br />
Firewall C - externa_firewall (ip 10.0.0.4)<br />
interna_firewall (ip 192.168.1.4)<br />
Para iniciar a configuração do cluster, crie primeiro a interface de controle:<br />
/aker/bin/firewall/fwcluster interface_controle interface_cadastrada<br />
Depois inicie o cadastro de cada uma das interfaces participantes do firewall:<br />
/aker/bin/firewall/fwcluster inclui interface_cadastrada maquina_virtual_cadastrada<br />
Defina o peso de cada Firewall, se não for definido, por padrão será aplicado peso 1<br />
para todos:<br />
/aker/bin/firewall/fwcluster peso numero_do_peso<br />
Após aplicar todas essas configurações em todos os firewalls participantes, habilite<br />
o cluster em cada um deles:<br />
/aker/bin/firewall/fwcluster habilita<br />
As máquinas do cluster não precisam ser iguais, mas as placas de rede sim.<br />
Para o cluster failover utilize apenas 2 firewalls, já que apenas um responderá por<br />
todo o tráfego.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 726
Arquivos do Sistema<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 727
38. Arquivos do Sistema<br />
Este capítulo mostrará onde estão localizados e para que são usados os arquivos<br />
que fazem parte da versão 6.1 do <strong>Aker</strong> Firewall.<br />
38.1. Arquivos do Sistema<br />
Neste tópico serão mostrados quais são e onde se localizam os arquivos do<br />
sistema. Isto é muito importante na hora de fazer os backups ou para diagnosticar<br />
possíveis problemas de funcionamento.<br />
Árvore de diretórios<br />
/aker/bin/firewall - contém programas executáveis e sub-diretórios<br />
/aker/bin/firewall/x509 - contém os arquivos correspondentes aos certificados<br />
X.509<br />
/aker/bin/firewall/httppd - contém a raiz do sistema de arquivos do servidor<br />
local HTTP do Filtro Web. Não remova os arquivos já presentes neste diretório.<br />
/aker/config/firewall - contém os arquivos de configuração do firewall<br />
/aker/bin/firewall/snmpd - contém o agente SNMP<br />
/var/log - contém os arquivos de log e eventos do <strong>Aker</strong> Firewall<br />
/var/spool/firewall - usado pelos proxies SMTP e POP3 para armazenar as<br />
mensagens a serem enviadas<br />
Programas executáveis<br />
Programas que podem ser executados pelos administradores do <strong>Aker</strong> Firewall<br />
/aker/bin/firewall/fwadmin - Interface texto para administração de usuários<br />
/aker/bin/firewall/fwaction - Interface texto para configuração das ações do<br />
sistema<br />
/aker/bin/firewall/fwblink - Interface texto para configuração do balanceamento<br />
de links<br />
/aker/bin/firewall/fwkey - Interface texto para configurar chave de ativação do<br />
sistema<br />
/aker/bin/firewall/fwclient - Interface texto para a configuração do acesso dos<br />
clientes de criptografia<br />
/aker/bin/firewall/fwcluster - Interface texto para a configuração da tolerância a<br />
falhas<br />
/aker/bin/firewall/fwcripto - Interface texto para configuração da criptografia e<br />
autenticação <br />
/aker/bin/firewall/fwedpwd - Interface texto para configuração das bases de<br />
dados para autenticação local<br />
/aker/bin/firewall/fwent - Interface texto para a criação de entidades<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 728
aker/bin/firewall/fwflood - Interface texto para configuração da proteção contra<br />
SYN flood<br />
/aker/bin/firewall/fwids - Interface texto para a configuração do suporte a<br />
agentes de detecção de intrusão<br />
/aker/bin/firewall/fwaccess - Interface texto para a configuração das<br />
associações de perfis de acesso<br />
/aker/bin/firewall/fwlist - Interface texto para acesso às conexões e sessões de<br />
usuários ativas<br />
/aker/bin/firewall/fwlog - Interface texto para acesso ao log e aos eventos do<br />
firewall<br />
/aker/bin/firewall/fwmaxconn - Interface texto para configuração do controle de<br />
flood<br />
/aker/bin/firewall/fwnat - Interface texto para a configuração da conversão de<br />
endereços (NAT)<br />
/aker/bin/firewall/fwpar - Interface texto para configuração dos parâmetros<br />
gerais<br />
/aker/bin/firewall/fwrule - Interface texto para configuração do filtro de pacotes<br />
inteligente<br />
/aker/bin/firewall/fwipseccert - Interface texto para a gerência dos certificados<br />
X.509 necessários à criptografia IPSEC.<br />
/aker/bin/firewall/fwstat - Interface texto para a configuração e visualização das<br />
estatísticas do Firewall.<br />
/aker/bin/common/akinterface - Interface texto para a configuração das<br />
interfaces de rede do Firewall.<br />
/aker/bin/firewall/fwauth - Interface texto para a configuração dos parâmetros<br />
globais de autenticação do Firewall.<br />
/aker/bin/firewall/akddns – Interface texto para configuração do cliente DDNS.<br />
/aker/bin/firewall/fwadvroute – Interface texto para configuração de roteamento<br />
avançado.<br />
/aker/bin/firewall/fwedpwd - Interface texto para configura usuarios do<br />
autenticador local do firewall.<br />
/aker/bin/firewall/akhwsig – Imprime na tela a chave de hardware do BOX.<br />
/aker/bin/firewall/fwl2tp – Interface texto para configurar a vpn L2TP;<br />
/aker/bin/firewall/fwpptpsrv - Interface texto para configurar a vpn PPTP;<br />
/aker/bin/firewall/fwlic – Imprime na tela informações sobre a utilização de<br />
licença limitada por ip.<br />
/aker/bin/firewall/fwpacket – Interface texto para coleta de dumps no <strong>Aker</strong><br />
firewall.<br />
/aker/bin/firewall/fwportscan – Interface texto para configurar o filtro de<br />
detecção de portscan.<br />
/aker/bin/firewall/fwver – Imprime a versão e a data de compilação dos arquivos<br />
do Firewall.<br />
Programas que NÃO devem ser executados diretamente pelo administrador<br />
/aker/bin/firewall/2.6.x/aker_firewall_mod-xxxx.o - Módulo carregável do<br />
kernel com o firewall (apenas no Linux)<br />
/aker/bin/firewall/fwauthd - Servidor de autenticação de usuários<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 729
aker/bin/firewall/fwcardd - Módulo de validação de certificados X509 para<br />
smart cards<br />
/aker/bin/firewall/fwconfd - Servidor de comunicação para a interface remota<br />
/aker/bin/firewall/fwcrld - Módulo de download de CRLs das autoridades<br />
certificadoras ativas<br />
/aker/bin/firewall/fwcryptd - Servidor de criptografia para clientes<br />
/aker/bin/firewall/fwdnsd - Servidor de resolução de nomes (DNS) para a<br />
interface remota<br />
/aker/bin/firewall/fwidsd - Programa de comunicação com agentes de detecção<br />
de intrusão<br />
/aker/bin/firewall/fwinit - Programa de inicialização do <strong>Aker</strong> Firewall<br />
/aker/bin/firewall/fwftppd - Proxy FTP transparente<br />
/aker/bin/firewall/fwgkeyd - Servidor de geração de chaves de criptografia<br />
/aker/bin/firewall/fwhttppd - Proxy HTTP transparente e Filtro Web não<br />
transparente<br />
/aker/bin/firewall/fwheartd - Serviço de controle do cluster<br />
/aker/bin/firewall/fwhconfd - Serviço de configuração distribuída do cluster<br />
/aker/bin/firewall/fwgenericstd - Serviço de coleta de informação distribuída do<br />
cluster<br />
/aker/bin/firewall/fwstconnd - Serviço de replicação de conexões do cluster<br />
/aker/bin/firewall/fwlinkmond - Serviço de monitoramento de links<br />
/aker/bin/firewall/fwdlavd - Serviço de anti-vírus web<br />
/aker/bin/firewall/fwmachined - Serviço de coleta de informações de<br />
performance<br />
/aker/bin/firewall/fwpmapd - Proxy RPC transparente<br />
/aker/bin/firewall/fwlkeyd - Servidor de certificados de criptografia<br />
/aker/bin/firewall/fwmond - Módulo de monitoramento e reinicialização dos<br />
processos do firewall<br />
/aker/bin/firewall/fwnatmond - Módulo de monitoramento de máquinas para o<br />
balanceamento de carga<br />
/aker/bin/firewall/fwprofd - Servidor de login de usuários<br />
/aker/bin/firewall/fwrapd - Proxy Real Player transparente<br />
/aker/bin/firewall/fwrtspd - Real Time Streaming Protocol proxy<br />
/aker/bin/firewall/fwsocksd - Proxy SOCKS não transparente<br />
/aker/bin/firewall/fwsmtppd - Proxy SMTP transparente<br />
/aker/bin/firewall/fwpop3pd - Proxy POP3 transparente<br />
/aker/bin/firewall/fwlogd - Servidor de log, eventos e estatísticas<br />
/aker/bin/firewall/fwscanlogd - Servidor de pesquisa de log, eventos e<br />
estatísticas<br />
/aker/bin/firewall/fwsyncd - Processo de geração de sementes de criptografia e<br />
sincronia<br />
/aker/bin/firewall/fwtelnetd - Proxy telnet transparente<br />
/aker/bin/firewall/fwtrap - Módulo de envio de traps SNMP<br />
/aker/bin/firewall/fwurld - Módulo de análise e checagem de permissão de<br />
acesso a URLs<br />
/aker/bin/firewall/fwiked - Módulo de negociação de chaves para criptografia<br />
IPSEC (protocolo IKE)<br />
/aker/bin/firewall/fwtunneld - Secure Roaming Server para Firewall<br />
/aker/bin/firewall/libaker.so - Biblioteca genérica do firewall<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 730
aker/bin/firewall/libconfd.so - Biblioteca de configuração do firewall<br />
/aker/bin/firewall/snmpd/snmpd - Agente SNMP<br />
/aker/bin/firewall/corr.fw - Contém o nível de correção aplicado<br />
/aker/bin/firewall/fwadmkeys - Gerador de chaves RSA.<br />
/aker/bin/firewall/fwapply - Auxila aplicação de patches.<br />
/aker/bin/firewall/fwarpd - Resposta de solicitações arp.<br />
/aker/bin/firewall/fwdcerpcd – Proxy DCE-RPC.<br />
/aker/bin/firewall/fwdeepd – Módulo de IPS/IDS e filtro de aplicativos;<br />
/aker/bin/firewall/fwh2250pd - Proxy H.323.<br />
/aker/bin/firewall/fwh245pd - Proxy H.323.<br />
/aker/bin/firewall/fwhwid - Processo que cria o identificador unico da maquina.<br />
/aker/bin/firewall/fwmsnd – Proxy MSN.<br />
/aker/bin/firewall/fwpptpd – Módulo que permite as conexões PPTP passem<br />
por conversãod e endereço.<br />
/aker/bin/firewall/fwpptpradiusd – Módulo de autenticação da VPn LPPTP<br />
/aker/bin/firewall/fwpscand – Módulo de detecção de portscan.<br />
/aker/bin/firewall/fwquotad – Módulo de controle das Quotas.<br />
/aker/bin/firewall/fwreportd – Módulo gerador de relatórios.<br />
/aker/bin/firewall/fwrollback – Auxilia no rollback de patches.<br />
/aker/bin/firewall/fwsipd – Proxy SIP.<br />
/aker/bin/firewall/fwsslpd – Módulo da VPN SSL e Proxy SSL.<br />
/aker/bin/firewall/fwtraind – Módulo para treinamento de e-mails do <strong>Aker</strong> Spam<br />
Meter.<br />
/aker/bin/firewall/fwtunneldpt.qm - Arquivo de tradução<br />
/aker/bin/firewall/fwupdatepatchhis - Auxila gestão de patches.<br />
/aker/bin/firewall/fwzebrad – Módulo de roteamento avançado, OSPF e RIP.<br />
/aker/bin/firewall/fwvlan – Módulo de criação de VLAN 802.1q.<br />
/aker/bin/firewall/hostapd_run.sh - Inicia o comando hostapd.<br />
/aker/bin/firewall/l2tpns – Módulo da VPN L2TP;<br />
/aker/bin/firewall/libh323.so.1.0.0 - Biblioteca de suporte ao proxy H.323.<br />
/aker/bin/firewall/nsctl - auxilia o l2tpns.<br />
/aker/bin/firewall/rc.aker - Iniciador padrão do Firewall.<br />
/aker/bin/firewall/rpt_files - Arquivos de relatorio<br />
/aker/bin/firewall/squid - Arquivos de cache<br />
/aker/bin/firewall/strings - Auxilia fwver.<br />
Arquivos de Log, Eventos e Estatísticas<br />
/var/log/fw-650-AAAAMMDD.fwlg - Armazena os logs do firewall do dia<br />
DD/MM/YYYY<br />
/var/log/fw-650-AAAAMMDD.fwev - Armazena os eventos do firewall do dia<br />
DD/MM/YYYY<br />
/var/log/stat-650-AAAAMMDD.fws - Armazena as estatísticas do firewall do dia<br />
DD/MM/YYYY<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 731
<strong>Aker</strong> Firewall BOX<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 732
39. <strong>Aker</strong> Firewall Box<br />
Este capítulo mostrará os comandos que podem ser utilizados no shell do <strong>Aker</strong><br />
Firewall Box.<br />
O <strong>Aker</strong> Firewall Box<br />
O <strong>Aker</strong> Firewall Box é composto por um sistema integrado de hardware e software.<br />
A grande vantagem dessa plataforma é que ela dispensa maiores conhecimentos de<br />
sistemas operacionais. Além disso, por não possuir disco rígido e por ser formada<br />
por um hardware industrial, a plataforma apresenta potencialmente maior resistência<br />
contra danos, especialmente picos de energia, o que acaba por possibilitar um<br />
funcionamento ainda mais estável.<br />
O Firewall BOX está disponível em diversos modelos, que visam atender as<br />
necessidades de pequenas, médias e grandes empresas.<br />
A lista completa dos modelos disponíveis é freqüentemente atualizada e está<br />
disponível em:<br />
http://www.aker.com.br<br />
Como funciona o shell do <strong>Aker</strong> Firewall Box?<br />
Ao conectar-se um terminal serial comum configurado a 9600 bps à porta serial<br />
correspondente no <strong>Aker</strong> Firewall Box, será possível utilizar a interface de linha de<br />
comando do mesmo, isto é, seu shell.<br />
Ao se realizar esse procedimento, primeiro será necessário apertar a tecla Enter até<br />
que apareça o pedido de senha, que inicialmente é '123456'. Entrando-se<br />
corretamente a senha, o prompt seguinte aparecerá:<br />
<strong>Aker</strong> ><br />
Caso tenha perdido a senha de acesso local ao <strong>Aker</strong> Firewall Box, deve-se<br />
entrar em contato com o suporte técnico, para realizar o procedimento de reset da<br />
mesma.<br />
No prompt do shell, podem ser digitados todos os comandos normais do <strong>Aker</strong><br />
Firewall, conforme documentados nos tópicos relativos à interface texto de cada<br />
capítulo. Além desses, existem comandos específicos ao firewall box que estão<br />
documentados abaixo.<br />
É possível digitar os comandos do firewall no shell sem o prefixo fw, isto é, ent<br />
ao invés de fwent.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 733
Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmente<br />
apertar as teclas Ctrl + D.<br />
Comandos específicos do <strong>Aker</strong> Firewall Box<br />
Comando<br />
Descrição<br />
quit<br />
exit<br />
Encerram a sessão de administração no shell<br />
Comando<br />
Descrição<br />
help<br />
?<br />
Mostram uma tela com a lista de comandos válidos<br />
Comando<br />
Descrição<br />
shutdown<br />
Paralisa o firewall, para que ele possa ser desligado<br />
Comando<br />
Descrição<br />
reboot<br />
Reinicia o firewall<br />
Comando<br />
Descrição<br />
ping [-c n_pkt] [-i interv] ip_destino<br />
Envia pacotes ping para e espera a resposta do hosts<br />
ip_destino<br />
A opção -c especifica o número de pacotes a serem enviados<br />
A opção -i especifica o intervalo de transmissão entre os<br />
pacotes em milisegundos (ms)<br />
Comando<br />
Descrição<br />
password<br />
Troca a senha de acesso ao console do firewall<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 734
Comando<br />
Descrição<br />
date | <br />
Com o parâmetro mostra , informa a data do sistema.<br />
Senão, acerta a data para a informada.<br />
Comando<br />
Descrição<br />
time | <br />
Com o parâmetro mostra , informa a hora do sistema.<br />
Senão, acerta o relógio para o horário informado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 735
Apêndice A – Mensagens do<br />
Sistema<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 736
40. Apêndice A – Mensagens do sistema<br />
Neste apêndice estão listadas as mensagens do sistema.<br />
40.1. Mensagens do log do Firewall<br />
Todas as mensagens abaixo podem aparecer no log do firewall. Sempre que<br />
ocorrerem, elas estarão precedendo um registro que contém as informações sobre o<br />
pacote que as produziu. Na coluna "N." que fica ao lado esquerdo da tela está<br />
sendo mostrado o número correspondente a cada uma das mensagens.<br />
000 - Pacote fora das regras<br />
Não possui mensagem associada.<br />
001 - Possível ataque de fragmentação<br />
Esta mensagem indica que o filtro de pacotes recebeu um pacote TCP fragmentado<br />
no header TCP, possivelmente originado de uma tentativa de um ataque de<br />
fragmentação como Teardrop ou Ping da Morte (PoD). Para maiores informações<br />
veja RFC 1858.<br />
002 - Pacote IP direcionado<br />
Esta mensagem indica que filtro de pacotes recebeu um pacote IP com uma das<br />
seguintes opções: Record Route, Loose Routing ou Strict Routing e ele foi<br />
configurado de modo a não aceitar pacotes IP direcionados. Para maiores<br />
informações veja RFC 791.<br />
003 - Ataque de land<br />
Um ataque de land consiste em simular uma conexão de uma porta com ela<br />
mesma. Isto provoca o travamento da máquina atacada em boa parte das<br />
implementações TCP/IP.<br />
Esta mensagem indica que o filtro de pacotes recebeu um pacote cujo endereço de<br />
origem é igual ao endereço destino e cuja porta de origem é igual à porta destino,<br />
caracterizando um ataque deste tipo.<br />
004 - Conexão não consta na tabela dinâmica<br />
Esta mensagem indica que o firewall recebeu um pacote TCP que não era de<br />
abertura de conexão e estava endereçado para uma conexão não aberta. Isto pode<br />
ser causado por um ataque ou simplesmente por uma conexão que ficou inativa por<br />
um tempo superior ao tempo limite para conexões TCP.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 737
005 - Pacote proveniente de interface inválida<br />
Esta mensagem indica que o filtro de pacotes recebeu um pacote IP proveniente de<br />
uma interface diferente da especificada na regra de filtragem na qual ele se<br />
encaixou. Isto pode ser causado por um ataque de falsificação de endereços IP (IP<br />
spoofing) ou por uma configuração errada de uma regra de filtragem.<br />
006 - Pacote proveniente de interface não determinada<br />
Esta mensagem indica que o filtro de pacotes recebeu um pacote, mas não<br />
conseguiu determinar a interface de origem do mesmo. Como na regra de filtragem<br />
correspondente, está especificada uma interface, o pacote foi rejeitado. Esta<br />
mensagem provavelmente nunca será mostrada.<br />
007 - Conexão de controle não está aberta<br />
Esta mensagem indica que o firewall recebeu um pacote de uma conexão de dados<br />
(de algum protocolo que utilize mais de uma conexão, como por exemplo, o FTP e o<br />
Real Áudio/Real Vídeo) e a conexão de controle correspondente não estava aberta.<br />
008 - Flags TCP do pacote são inválidos<br />
Esta mensagem indica que o Firewall recebeu um pacote TCP cujos flags estavam<br />
inválidos ou contraditórios (por exemplo, SYN e FIN no mesmo pacote). Isto pode<br />
caracterizar um ataque ou uma implementação de TCP/IP defeituosa.<br />
009 - Número de seqüência do pacote TCP inválido<br />
Esta mensagem indica que o Firewall recebeu um pacote TCP cujo número de<br />
seqüência estava fora dos valores esperados. Isto pode caracterizar um ataque.<br />
010 - Possível ataque de SYN Flood<br />
Esta mensagem é gerada pelo Firewall todas as vezes que uma conexão é iniciada<br />
para um dos endereços protegidos contra SYN flood e a conexão não foi realizada<br />
dentro do prazo máximo estabelecido pelo administrador. Se esta mensagem<br />
ocorrer isoladamente, ou com pouca incidência, então provavelmente o intervalo de<br />
tempo configurado na proteção contra SYN flood (ver o capítulo de Proteção contra<br />
SYN Flood) está muito pequeno. Caso ela apareça várias vezes seguidamente,<br />
provavelmente um ataque de SYN flood foi repelido pelo Firewall.<br />
011 - Pacote sem informação de autenticação<br />
Esta mensagem indica que o pacote em questão veio sem header de autenticação e<br />
a configuração do fluxo seguro correspondente indica que ele só deveria ser aceito<br />
autenticado (ver o capítulo intitulado Criando Canais de Criptografia). Isto pode<br />
ser causado por uma configuração errada nos fluxos de autenticação<br />
(possivelmente só configurando em um dos lados da comunicação) ou por uma<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 738
tentativa de ataque de falsificação de endereços IP (IP spoofing). Para maiores<br />
informações consultar às RFC's 1825 e 1827.<br />
012 - Pacote não passou pela autenticação<br />
Esta mensagem indica que o pacote em questão não foi validado com sucesso pelo<br />
módulo de autenticação do Firewall. Isto pode ser causado por uma configuração de<br />
chaves de autenticação inválida, por uma alteração indevida no conteúdo do pacote<br />
durante o seu trânsito ou por uma tentativa de ataque de falsificação de endereços<br />
IP (IP spoofing). Para maiores informações veja as RFCs 1825 e 1827.<br />
013 - Pacote sem informação de criptografia<br />
Esta mensagem indica que pacote em questão não veio criptografado e a<br />
configuração do fluxo seguro correspondente indica que ele deveria vir (ver o<br />
capítulo intitulado Criando Canais de Criptografia). Isto pode ser causado por uma<br />
configuração errada nos fluxos de criptografia (possivelmente só configurando em<br />
um dos lados da comunicação) ou por uma tentativa de ataque de falsificação de<br />
endereços IP (IP spoofing). Para maiores informações consultar às RFC's 1825 e<br />
1827.<br />
014 - Tamanho do pacote a ser decriptado inválido<br />
Esta mensagem indica que o módulo de criptografia detectou um tamanho do<br />
pacote a ser decriptado incompatível com o algoritmo de criptografia<br />
correspondente. Isto provavelmente é causado por uma configuração errada nos<br />
fluxos de criptografia.<br />
015 - Decriptação do pacote apresentou erro<br />
Esta mensagem indica que o módulo de criptografia, após decriptar o pacote e<br />
realizar os testes de consistência no mesmo, detectou que o mesmo é inválido. Isto<br />
provavelmente é causado por uma configuração errada da tabela de criptografia ou<br />
por um possível ataque de falsificação de endereços IP (IP spoofing).<br />
016 - Tipo de encapsulamento do pacote inválido<br />
Esta mensagem indica que o módulo de criptografia não reconheceu o tipo de<br />
encapsulamento usado neste pacote. Isto pode ser causado por uma falha na<br />
decriptação do pacote (devido a senhas erradas) ou por ter sido usado um tipo de<br />
encapsulamento não suportado. O <strong>Aker</strong> Firewall trabalha exclusivamente com<br />
encapsulamento em modo de túnel, não aceitando outros modos, por exemplo,<br />
modo de transporte.<br />
017 - Pacote sem informações de SKIP<br />
Esta mensagem indica que o pacote em questão não veio com um header SKIP e a<br />
configuração do fluxo seguro correspondente indica que ele deveria vir. Isto<br />
provavelmente é causado por uma configuração errada na tabela de criptografia<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 739
onde um dos lados está configurado para usar SKIP ou <strong>Aker</strong>-CDP e o outro não (ver<br />
o capítulo intitulado Criando Canais de Criptografia).<br />
018 - SA para o pacote não contém informações SKIP<br />
Esta mensagem indica que o módulo de criptografia recebeu um pacote com um<br />
header SKIP e a associação de segurança (SA) correspondente não possui<br />
informações sobre SKIP (ver o capítulo intitulado Criando Canais de Criptografia).<br />
Isto provavelmente é causado por uma configuração errada na tabela de criptografia<br />
onde possivelmente um dos lados está configurado para usar SKIP ou <strong>Aker</strong>-CDP e<br />
o outro não.<br />
019 - Versão do protocolo SKIP inválida<br />
Esta mensagem indica que a versão do protocolo SKIP indicada no pacote em<br />
questão é diferente da versão suportada. O <strong>Aker</strong> Firewall implementa a versão 1 do<br />
protocolo SKIP.<br />
020 - Valor do contador do protocolo SKIP inválido<br />
O protocolo SKIP envia em cada pacote um contador, que é incrementado de hora<br />
em hora, com o objetivo de evitar ataques de repetição de seqüência. Esta<br />
mensagem indica que o contador recebido no pacote em questão é inválido. Isto<br />
pode ter duas causas distintas: ou relógio interno dos dois firewalls se comunicando<br />
está defasado em mais de uma hora ou ocorreu uma tentativa de ataque de<br />
repetição de seqüência.<br />
021 - SPI inválido para autenticação com SKIP<br />
Esta mensagem indica que foi recebido um pacote SKIP cujo número de SPI<br />
especificado no cabeçalho de autenticação era inválido (o protocolo SKIP exige que<br />
o número do SPI utilizado seja 1).<br />
022 - Próximo protocolo do cabeçalho SKIP inválido<br />
Esta mensagem indica que o protocolo seguinte ao cabeçalho SKIP do pacote em<br />
questão não é suportado (o <strong>Aker</strong> Firewall exige que após o cabeçalho SKIP venha o<br />
cabeçalho de autenticação).<br />
023 - Algoritmo de autenticação do SKIP inválido<br />
Esta mensagem indica que o algoritmo de autenticação especificado no cabeçalho<br />
SKIP não é suportado (o <strong>Aker</strong> Firewall somente suporta os algoritmos de<br />
autenticação MD5 e SHA-1).<br />
024 - Algoritmo de criptografia do SKIP inválido<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 740
Esta mensagem indica que o algoritmo de criptografia especificado no cabeçalho<br />
SKIP não é suportado (o <strong>Aker</strong> Firewall somente suporta os algoritmos de criptografia<br />
DES, Triplo DES e Blowfish, com 128 e 256 bits de chaves).<br />
025 - Algoritmo de criptografia de chave SKIP inválido<br />
Esta mensagem indica que o algoritmo de criptografia e separação de chaves<br />
especificado no cabeçalho SKIP não é suportado (o <strong>Aker</strong> Firewall somente suporta<br />
os algoritmos DES, com MD5 como separador de chaves, Triplo DES, com MD5<br />
como separador de chaves e Blowfish, com MD5 como separador de chaves).<br />
026 - Algoritmo de compressão de dados não suportado<br />
Esta mensagem indica que o algoritmo de compressão de dados especificado no<br />
cabeçalho SKIP não é suportado (o <strong>Aker</strong> Firewall não suporta nenhum algoritmo de<br />
compressão de dados, uma vez que estes ainda não estão padronizados).<br />
027 - Identificador de espaço de nome de origem inválido<br />
O protocolo SKIP permite que sejam utilizados outros espaços de nomes, que não<br />
endereços IP, para selecionar a associação de segurança correspondente (SA). O<br />
espaço de nome pode ser especificado para a origem e/ou para o destino. Esta<br />
mensagem indica que o espaço de nome de origem não é suportado (o <strong>Aker</strong><br />
Firewall somente suporta endereços IP como espaço de nome).<br />
028 - Identificador de espaço de nome de destino inválido<br />
O protocolo SKIP permite que sejam utilizados outros espaços de nomes, que não<br />
endereços IP, para selecionar a associação de segurança correspondente (SA). O<br />
espaço de nome pode ser especificado para a origem e/ou para o destino. Esta<br />
mensagem indica que o espaço de nome de destino não é suportado (o <strong>Aker</strong><br />
Firewall somente suporta endereços IP como espaço de nome).<br />
029 - Versão do protocolo <strong>Aker</strong>-CDP inválida<br />
Esta mensagem indica que o Firewall recebeu um pacote do protocolo <strong>Aker</strong>-CDP<br />
com versão inválida.<br />
030 - Tamanho do pacote para protocolo <strong>Aker</strong>-CDP inválido<br />
Esta mensagem indica que o Firewall recebeu um pacote do protocolo <strong>Aker</strong>-CDP<br />
com tamanho inválido.<br />
031 - Autenticação de pacote de controle <strong>Aker</strong>-CDP inválida<br />
Esta mensagem indica que o Firewall recebeu um pacote de controle do protocolo<br />
<strong>Aker</strong>-CDP com autenticação inválida. A causa provável é uma modificação do<br />
pacote durante o trânsito ou uma possível tentativa de ataque.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 741
032 - Número de licenças do firewall atingido<br />
O <strong>Aker</strong> Firewall é vendido em diferentes faixas de licenças, de acordo com o<br />
número de máquinas da(s) rede(s) interna(s) a serem protegidas. Esta mensagem<br />
indica que o firewall detectou um número de máquinas internas maior que o número<br />
de licenças adquiridas e devido a isso impediu que as máquinas excedentes<br />
abrissem conexões através dele.<br />
Solução: Contate a <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> ou seu representante autorizado e<br />
solicite a aquisição de um maior número de licenças.<br />
033 - Pacote descartado por uma regra de bloqueio IDS<br />
Esta mensagem indica que o Firewall recebeu um pacote que se enquadrou em<br />
uma regra temporária acrescentada pelo agente de detecção de intrusão e devido a<br />
isso, foi descartado (para maiores informações veja o capítulo intitulado<br />
Configurando o IPS/IDS).<br />
034 - Header AH com formato incorreto (campo: length)<br />
Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia<br />
IPSEC que tem informações de autenticação no protocolo AH com tamanho<br />
incorreto. Veja a RFC 2402.<br />
035 - Tunelamento AH e ESP simultâneos não permitido<br />
Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia<br />
IPSEC duplamente tunelado (via ESP e AH). Isto não é permitido.<br />
036 - SA para este pacote não foi negociada<br />
Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia<br />
IPSEC para um canal não negociado.<br />
037 - Padding exigido muito grande<br />
Esta mensagem indica que o Firewall calculou um tamanho de preenchimento para<br />
o protocolo ESP maior que o permitido. Provavelmente o tamanho de bloco do<br />
algoritmo de criptografia é demasiado grande.<br />
038 - Tamanho de padding decifrado incorreto<br />
Esta mensagem indica que o firewall decifrou um pacote que dizia ser maior do que<br />
efetivamente é, via criptografia IPSEC. Provavelmente o pacote está corrompido ou<br />
houve erros na troca de chaves.<br />
039 - Erro iniciando autenticação para o algoritmo especificado<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 742
Esta mensagem indica que o Firewall não conseguiu autenticar o pacote com o<br />
algoritmo HMAC. Provavelmente o algoritmo de autenticação está com defeito.<br />
040 - Erro finalizando autenticação com o algoritmo escolhido<br />
Esta mensagem indica que o Firewall não conseguiu autenticar o pacote com o<br />
algoritmo HMAC. Provavelmente o algoritmo de autenticação está com defeito.<br />
041 - Final de conexão<br />
Esta mensagem é apenas um registro de final de conexão e não deve aparecer<br />
normalmente no log do firewall.<br />
042 - Limite configurado de conexões a partir do endereço IP excedido<br />
Esta mensagem ocorre quando o limite máximo de conexões configurado pelo<br />
módulo de proteção contra flood tiver sido atingido. Para verificar a configuração<br />
deste módulo consulte a Proteção de Flood.<br />
043 - Tempo limite de conexão atingido<br />
Esta mensagem ocorre durante a filtragem dos pacotes, informa que uma conexão<br />
foi retirada da tabela de conexões, pois o seu tempo limite de ociosidade foi<br />
atingido.<br />
40.2. Mensagens dos eventos do Firewall<br />
055 - Firewall <strong>Aker</strong> v6.1 - Inicialização completa<br />
Esta mensagem tem caráter puramente informativo, servindo para determinar os<br />
horários que o Firewall entrou em funcionamento. Ela será produzida a cada<br />
reinicialização da máquina.<br />
056 - Erro de alocação de memória<br />
Esta mensagem indica que algum módulo do Firewall tentou alocar memória e não<br />
conseguiu. Esta mensagem pode ocorrer em sistemas com pouca memória RAM<br />
utilizando conversão de endereços com um grande número de conexões<br />
simultâneas ou com um grande número de conexões ativas passando pelos proxies<br />
do firewall.<br />
Solução: Adquira mais memória RAM ou aumente as partições de swap.<br />
057- Tabela de conversão TCP cheia<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 743
A tabela de conversão de endereços TCP encheu. A única solução para esse<br />
problema é diminuir o Tempo limite TCP nos parâmetros de configuração. Para<br />
maiores informações veja o capítulo Configurando os parâmetros do sistema.<br />
058 - Tabela de conversão UDP cheia<br />
A tabela de conversão de endereços UDP encheu. A única solução para esse<br />
problema é diminuir o Tempo limite UDP nos parâmetros de configuração. Para<br />
maiores informações veja o capítulo Configurando os parâmetros do sistema.<br />
059 - Tabela de conexões de TCP cheia<br />
O módulo de criptografia detectou um algoritmo de autenticação inválido na<br />
associação de segurança quando realizava a criptografia de um pacote.<br />
060- Algoritmo de autenticação inválido<br />
O módulo de criptografia detectou um algoritmo de autenticação inválido na<br />
associação de segurança quando realizava a criptografia de um pacote.<br />
Solução: Contate o suporte técnico<br />
061 - Algoritmo de criptografia inválido<br />
O módulo de criptografia detectou um algoritmo de criptografia inválido na<br />
associação de segurança quando realizava a criptografia de um pacote.<br />
Solução: Contate o suporte técnico<br />
062 - Dados inválidos recebidos pela carga do Firewall<br />
Esta mensagem indica que foram enviados dados inválidos para os módulos do<br />
Firewall que rodam dentro do kernel do Linux. Os dados inválidos devem<br />
necessariamente ter sido produzidos por um programa rodando na máquina do<br />
firewall.<br />
Solução: Procure verificar qual programa produz esta mensagem ao ser executado<br />
e não execute-o mais.<br />
063- Erro ao ler o arquivo de parâmetros<br />
Esta mensagem é produzida por qualquer um dos módulos externos ao tentar ler o<br />
arquivo de parâmetros do sistema e constatar que este não existe ou não pode ser<br />
lido.<br />
Solução: Reinicialize a máquina, que o programa de inicialização irá recriar o<br />
arquivo de parâmetros. Se isso não funcionar, contate o suporte técnico.<br />
064- Erro ao carregar perfis de acesso<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 744
Esta mensagem indica que o servidor de autenticação ou o servidor de login de<br />
usuários não conseguiu carregar a lista de perfis de acesso cadastrados no sistema.<br />
Solução: Contate o suporte técnico.<br />
065 - Erro ao carregar entidades<br />
Esta mensagem indica que algum processo servidor do firewall não conseguiu<br />
carregar a lista de entidades cadastradas no sistema.<br />
Solução: Contate o suporte técnico.<br />
066- Nome de perfil de acesso inválido<br />
Esta mensagem indica que o servidor de autenticação ao procurar o perfil de acesso<br />
de um usuário constatou que o mesmo não se encontra cadastrado no sistema.<br />
Solução: Contate o suporte técnico.<br />
067 - Erro ao criar socket de conexão<br />
Esta mensagem indica que algum dos módulos externos tentou criar um socket e<br />
não conseguiu.<br />
Solução: Verifique o número de arquivos que podem ser abertos por um processo e<br />
o número total para o sistema. Se necessário aumente estes valores. Para maiores<br />
informações de como fazer isso, contate o suporte técnico.<br />
068 - Tamanho da linha excessivo<br />
Esta mensagem indica que algum proxy do <strong>Aker</strong> Firewall recebeu uma linha com um<br />
número excessivo de caracteres e devido a isso, derrubou a conexão. A informação<br />
complementar entre parênteses indica o endereço IP da máquina que causou o<br />
problema.<br />
Solução: Esta mensagem é causada por um servidor ou cliente fora dos padrões<br />
das RFCs. A única solução possível para o problema é contatar o administrador da<br />
máquina causadora da mensagem.<br />
069 - Erro ao carregar contexto<br />
Esta mensagem indica que um dos proxies transparentes não conseguiu carregar o<br />
contexto especificado.<br />
Solução: Contate o suporte técnico.<br />
070 - Erro ao carregar tabela de criptografia<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 745
Esta mensagem indica que um dos servidores do firewall não conseguiu carregar a<br />
tabela de criptografia.<br />
Solução: Contate o suporte técnico.<br />
071 - DNS reverso não configurado<br />
Esta mensagem é produzida por algum dos proxies se ele tiver sido configurado<br />
para somente receber conexões a partir de máquinas com DNS reverso válido e não<br />
tiver conseguido resolver o nome para o endereço IP de origem de uma conexão. A<br />
mensagem complementar indica o endereço IP de origem da conexão.<br />
072 - DNS direto e reverso conflitantes<br />
Quando um proxy do Firewall é configurado para somente aceitar conexões a partir<br />
de máquinas com DNS reverso válido, ele utiliza uma técnica que consiste em tentar<br />
resolver o nome para o endereço IP de origem da conexão. Caso ele não consiga,<br />
ele indica erro mostrando a mensagem anterior e não permite a realização da<br />
conexão. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir do<br />
nome retornado, buscando seu endereço IP. Se ele não conseguir realizar esta<br />
segunda pesquisa ou se o endereço IP retornado for diferente do endereço de<br />
origem, a conexão é abortada e esta mensagem é produzida.<br />
073 - Possível ataque de simulação de protocolo<br />
Esta mensagem indica que o firewall durante o monitoramento de uma sessão de<br />
algum protocolo com várias conexões (por exemplo, FTP e Real Áudio / Real Vídeo)<br />
detectou uma tentativa de abertura de conexão para uma porta menor que 1024 ou<br />
para um endereço diferente do esperado. Isso provavelmente é causado por um<br />
ataque ou por uma implementação defeituosa do protocolo.<br />
A mensagem complementar indica os endereços de origem e destino da conexão.<br />
074 - Comando inválido<br />
Esta mensagem indica que um dos proxies recebeu um comando considerado<br />
inválido da máquina cliente e devido a isso não o repassou para o servidor. As<br />
mensagens complementares indicam qual o comando que tentou ser executado e<br />
quais as máquinas de origem e destino (no caso de proxy transparente) da conexão.<br />
075 - Mensagem SMTP aceita<br />
Esta mensagem indica que o proxy SMTP transparente aceitou uma mensagem e a<br />
enviou para o servidor. A mensagem complementar indica quais as máquinas de<br />
origem e destino da conexão e quem são o remetente e o destinatário, da<br />
mensagem.<br />
Formato do evento para exportação:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 746
DD/MM/AAAA HH:MM:SS Mensagem SMTP<br />
aceita <br />
<br />
076 - Mensagem SMTP rejeitada<br />
Esta mensagem indica que o proxy SMTP transparente rejeitou uma mensagem<br />
recebida. Isto foi causado por ter a mensagem, se encaixado em algum filtro que<br />
indicava que ela deveria ser rejeitada ou por ter um tamanho maior que o tamanho<br />
máximo permitido.<br />
Formato do evento para exportação:<br />
DD/MM/AAAA HH:MM:SS Mensagem SMTP<br />
rejeitada <br />
<br />
077 - Conexão SMTP bloqueada por regra de DNS<br />
Esta mensagem indica que o proxy SMTP bloqueou uma conexão devido a uma<br />
regra do DNS. Para mais informações leia o capitulo intitulado Configurando o<br />
proxy SMTP.<br />
078 - Conexão SMTP bloqueada por RBL<br />
Esta mensagem indica que o proxy SMTP bloqueou uma conexão devido ao<br />
servidor SMTP de origem estar inscrito em uma lista negra de spammers.<br />
079 - Conexão SMTP recusada pelo servidor ou servidor fora do ar<br />
Esta mensagem indica que o proxy SMTP tentou uma conexão com o servidor<br />
SMTP de destino, porém o mesmo pode ter recusado ou esta fora do ar. Verifique<br />
se o servidor destino esta no ar realizando um telnet na porta 25 do mesmo.<br />
080 - Cliente SMTP enviou linha de tamanho excessivo<br />
O cliente SMTP enviou uma linha de tamanho muito grande que não pode ser<br />
tratada pelo proxy SMTP. Verifique se o cliente segue a padronização da RFC ou<br />
ajuste o mesmo para tal.<br />
081 - Cliente SMTP fechou conexão<br />
O cliente SMTP fechou inesperadamente a conexão. Isto pode ter acontecido por<br />
intervenção do próprio usuário ou por problemas do cliente. Normalmente as<br />
conexões são restabelecidas automaticamente.<br />
082 - Servidor SMTP enviou linha de tamanho excessivo<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 747
O servidor SMTP enviou uma linha de tamanho muito grande que não pode ser<br />
tratada pelo proxy SMTP. Verifique se o servidor segue a padronização da RFC ou<br />
ajuste o mesmo para tal.<br />
083 - Servidor SMTP fechou conexão<br />
O servidor SMTP fechou inesperadamente a conexão. Isto pode ter acontecido por<br />
problemas de trafego excessivo ou erro no próprio servidor. Normalmente as<br />
conexões são restabelecidas automaticamente. Se o problema esta ocorrendo com<br />
freqüência tente aumentar os tempos de negociação do protocolo SMTP no proxy.<br />
084 - Servidor SMTP acusou erro<br />
Esta mensagem indica que o servidor SMTP considerou uma das transações SMTP<br />
errada.<br />
085 - Endereço de e-mail inválido enviado pelo cliente SMTP<br />
Esta mensagem indica que o cliente SMTP não forneceu um endereço de e-mail em<br />
formato válido.<br />
086 - Tentativa de relay não permitido bloqueada<br />
Esta mensagem indica que uma tentativa de relay foi bloqueada pelo firewall.<br />
Verifique o capítulo Editando os parâmetros de um contexto SMTP para liberar<br />
domínios permitidos para relay.<br />
087 - Falta de espaço (disco cheio) para analisar mensagem<br />
Esta mensagem indica que o disco rígido do firewall está cheio. Tente esvaziar os<br />
arquivos de logs ou aumentar a capacidade do disco para o firewall poder analisar a<br />
mensagem.<br />
088 - Mensagem estourou tamanho máximo permitido<br />
Esta mensagem indica que a mensagem SMTP ultrapassou o tamanho máximo<br />
permitido. Verifique o capítulo Editando os parâmetros de um contexto SMTP<br />
para aumentar o tamanho de recebimento da mensagem.<br />
089 - Mensagem com erro de sintaxe<br />
Esta mensagem indica que a mensagem SMTP estava com erro de sintaxe dos<br />
comandos SMTP. Geralmente programas de spammers fazem com que este erro<br />
aconteça.<br />
090 - Anexo com vírus removido<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 748
Esta mensagem indica que um anexo da mensagem continha vírus e foi removido.<br />
O complemento da mensagem indica quem é o remetente e o destinatário da<br />
mensagem, assim como o nome do vírus encontrado.<br />
091 - Anexo removido<br />
Esta mensagem indica que um anexo da mensagem foi removido. O complemento<br />
da mensagem indica quem são o remetente e o destinatário da mensagem.<br />
092 - Mensagem descartada por causa de seu anexo<br />
Esta mensagem indica que uma mensagem tinha um anexo inaceitável (veja suas<br />
regras) e foi bloqueada pelo proxy SMTP do Firewall. O complemento da mensagem<br />
indica quem são o remetente e o destinatário da mensagem.<br />
093 - Anexo continha vírus e foi desinfectado<br />
Esta mensagem indica que um anexo da mensagem continha vírus e foi<br />
desinfectado. O complemento da mensagem indica quem são o remetente e o<br />
destinatário da mensagem, assim como o nome do vírus encontrado.<br />
094 - Anexo incorretamente codificado (mensagem defeituosa)<br />
Esta mensagem indica que um anexo de mensagem está incorretamente codificado,<br />
ou seja, apresenta erro na codificação do tipo MIME. Normalmente este arquivo<br />
pode ser descartado pelo firewall caso o administrador configure a opção desejada.<br />
Para mais informações leia o capítulo intitulado Configurando o proxy SMTP.<br />
095 - URL aceita<br />
Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL feito por<br />
um usuário. A mensagem complementar entre parênteses indica o nome do usuário<br />
que fez a requisição. A linha de mensagem seguinte indica o endereço IP da<br />
máquina da qual a requisição se originou e a terceira linha indica qual URL foi<br />
acessada.<br />
Esta mensagem somente será produzida para URLs do protocolo HTTP quando<br />
elas resultarem em código HTML. Para os protocolos FTP e Gopher, ela será<br />
gerada para cada requisição aceita, independente do seu tipo.<br />
Formato do evento para exportação:<br />
DD/MM/AAAA HH:MM:SS URL Aceita<br />
<br />
096 - <strong>Download</strong> de arquivo local aceito<br />
Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL feito por<br />
um usuário. A mensagem complementar entre parênteses indica o nome do usuário<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 749
que fez a requisição. A linha de mensagem seguinte indica o endereço IP da<br />
máquina da qual a requisição se originou e a terceira linha indica qual URL foi<br />
acessada.<br />
Esta mensagem se refere a um arquivo armazenado localmente no firewall, que foi<br />
requisitado utilizando-se o Filtro Web como um servidor WEB.<br />
097 - URL rejeitada<br />
Esta mensagem indica que o Filtro Web rejeitou um pedido de uma URL feito por<br />
um usuário. A mensagem complementar entre parênteses indica o nome do usuário<br />
que fez a requisição. A linha de mensagem seguinte indica o endereço IP da<br />
máquina da qual a requisição se originou e a terceira linha indica qual URL que o<br />
usuário tentou acessar.<br />
Formato do evento para exportação:<br />
DD/MM/AAAA HH:MM:SS URL Aceita<br />
<br />
098 - Banner removido<br />
Esta mensagem indica que o Filtro Web substitui uma requisição por uma imagem<br />
em branco, visto que a URL se encaixou nas regras de filtragem de banners. A<br />
mensagem complementar entre parênteses indica o nome do usuário que fez a<br />
requisição. A linha de mensagem seguinte indica o endereço IP da máquina da qual<br />
a requisição se originou e a terceira linha indica qual URL que o usuário tentou<br />
acessar.<br />
099 - Java Removido<br />
O Proxy HTTP encontrou uma linha de código Java e foi removida.<br />
100 - Javascritp Removido<br />
O Proxy HTTP encontrou uma linha de código Javascript e foi removida.<br />
101 - ActiveX Removido<br />
O Proxy HTTP encontrou um objeto ActiveX que foi removido.<br />
102 - Pacote fora das regras do proxy SOCKS<br />
Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de abertura de<br />
conexão TCP ou de envio de pacote UDP e a mesma não se encaixou em nenhuma<br />
regra de filtragem do perfil de acesso correspondente. Devido a isso a solicitação foi<br />
recusada.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 750
As mensagens complementares indicam o nome do usuário que enviou a requisição<br />
(se a autenticação de usuários estiver habilitada), o endereço do cliente, o endereço<br />
destino da requisição e seu protocolo.<br />
103 - Pacote UDP aceito pelo proxy SOCKS<br />
Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de envio de<br />
um pacote UDP e o mesmo foi enviado, devido a existência de uma regra no perfil<br />
de acesso correspondente indicando que o proxy poderia fazê-lo.<br />
As mensagens complementares indicam o nome do usuário que enviou o pacote (se<br />
a autenticação de usuários estiver habilitada), o endereço do cliente e o endereço<br />
destino.<br />
104 - Pacote UDP recusado pelo proxy SOCKS<br />
Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de envio de<br />
um pacote UDP e o mesmo foi recusado, devido a existência de uma regra no perfil<br />
de acesso correspondente indicando que o proxy não deveria aceitar tal requisição.<br />
As mensagens complementares indicam o nome do usuário que tentou enviar o<br />
pacote (se a autenticação de usuários estiver habilitada), o endereço do cliente e o<br />
endereço destino.<br />
105 - Conexão TCP estabelecida através do proxy SOCKS<br />
Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de<br />
estabelecimento de uma conexão TCP e a mesmo foi estabelecida, devido a<br />
existência de uma regra no perfil de acesso correspondente indicando que o proxy<br />
poderia fazê-lo.<br />
As mensagens complementares indicam o nome do usuário que estabeleceu a<br />
conexão (se a autenticação de usuários estiver habilitada), o endereço do cliente e o<br />
endereço para o qual a conexão foi estabelecida.<br />
106 - Conexão TCP finalizada através do proxy SOCKS<br />
Essa mensagem é gerada todas as vezes que uma conexão TCP é finalizada<br />
através do proxy SOCKS.<br />
As mensagens complementares indicam o nome do usuário que havia estabelecido<br />
a conexão (se a autenticação de usuários estiver habilitada), o endereço do cliente e<br />
o endereço para o qual a conexão foi estabelecida.<br />
107 - Conexão TCP recusada pelo proxy SOCKS<br />
Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de<br />
estabelecimento de uma conexão TCP e a mesmo foi recusada, devido a existência<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 751
de uma regra no perfil de acesso correspondente indicando que o proxy não deveria<br />
aceitar tal conexão.<br />
As mensagens complementares indicam o nome do usuário que solicitou a conexão<br />
(se a autenticação de usuários estiver habilitada), o endereço do cliente e o<br />
endereço de destino.<br />
108 - Dados incorretos recebidos pelo proxy SOCKS<br />
Essa mensagem é gerada quando o proxy SOCKS recebe dados do cliente em<br />
desacordo com a especificação do protocolo SOCKS. Exemplos de dados inválidos<br />
podem ser uma versão do protocolo diferente de 4 ou 5, um endereço destino em<br />
branco, entre outros.<br />
109 - Erro ao comunicar com servidor de autenticação<br />
Esta mensagem indica que um dos proxies não conseguiu se comunicar com o<br />
servidor de autenticação quando tentou realizar a autenticação de um usuário.<br />
Devido a isso, o usuário não foi autorizado a continuar e a sua conexão foi<br />
recusada.<br />
Solução: Verifique se o processo do servidor de autenticação está ativo no firewall.<br />
Para fazer isso, execute o comando<br />
#ps -ax | grep fwauthd | grep -v grep. Caso o processo não apareça, execute-o<br />
com o comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este<br />
problema voltar a ocorrer, contate o suporte técnico.<br />
110 - Erro ao conectar com agente de autenticação<br />
Esta mensagem indica que o servidor de autenticação não conseguiu se conectar<br />
ao agente de autenticação que estaria rodando em uma determinada máquina. A<br />
mensagem complementar indica o nome do agente de autenticação que não pode<br />
ser conectado e o endereço IP que ele supostamente estaria rodando.<br />
Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está<br />
correto na definição do autenticador (para maiores informações, veja o capítulo<br />
intitulado Cadastrando Entidades) e que o agente está realmente sendo executado<br />
na máquina em questão.<br />
111 - Erro de comunicação com agente de autenticação<br />
Esta mensagem indica que o servidor de autenticação conseguiu se conectar ao<br />
agente de autenticação, porém não conseguiu estabelecer uma comunicação. A<br />
mensagem complementar indica o nome do agente de autenticação que provocou o<br />
problema.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 752
Solução: Verifique se a senha de acesso na definição do autenticador está igual à<br />
senha colocada na configuração do agente de autenticação. Para maiores<br />
informações, veja o capítulo intitulado Cadastrando Entidades.<br />
112 - Erro ao conectar com agente IDS<br />
Esta mensagem indica que o firewall não conseguiu se conectar ao agente IDS que<br />
estaria rodando em uma determinada máquina. A mensagem complementar indica o<br />
nome do agente IDS que não pode ser conectado e o endereço IP que ele<br />
supostamente estaria rodando.<br />
Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está<br />
correto na definição da entidade (para maiores informações, veja o capítulo<br />
intitulado Cadastrando Entidades) e que o agente está realmente sendo executado<br />
na máquina em questão.<br />
113 - Erro de comunicação com agente IDS<br />
Esta mensagem indica que o firewall conseguiu se conectar ao agente IDS, porém<br />
não conseguiu estabelecer uma comunicação. A mensagem complementar indica o<br />
nome do agente IDS que provocou o problema e o endereço IP da máquina onde<br />
ele está rodando.<br />
Solução: Verifique se a senha de acesso na definição da entidade está igual à<br />
senha colocada na configuração do agente IDS. Para maiores informações, veja o<br />
capítulo intitulado Cadastrando Entidades.<br />
114 - Regra de bloqueio temporária acrescentada<br />
Esta mensagem indica que uma regra de bloqueio temporária foi inserida no firewall.<br />
Como dados complementares são mostrados o módulo que inseriu a regra<br />
temporária (IDS, Portscan, etc) e no caso do IDS interno, a razão pela qual a<br />
máquina foi bloqueada.<br />
115 - Erro de conexão com o servidor Spam Meter<br />
Esta mensagem indica que o firewall não conseguiu se conectar ao Spam Meter que<br />
estaria rodando em uma determinada máquina. A mensagem complementar indica o<br />
nome do servidor que não pode ser conectado e o endereço IP que ele<br />
supostamente estaria rodando.<br />
Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está<br />
correto na definição da entidade (para maiores informações, veja o capítulo<br />
intitulado Cadastrando Entidades) e que o Spam Meter está realmente sendo<br />
executado na máquina em questão.<br />
116 - Erro de comunicação com o servidor Spam Meter<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 753
Esta mensagem indica que o firewall conseguiu se conectar ao Spam Meter, porém<br />
não conseguiu estabelecer uma comunicação. A mensagem complementar indica o<br />
nome do agente Spam Meter que provocou o problema e o endereço IP da máquina<br />
onde ele está rodando.<br />
Solução: Verifique se a senha de acesso na definição da entidade está igual a<br />
senha colocada na configuração do agente Spam Meter. Para maiores informações,<br />
veja o capítulo intitulado Cadastrando Entidades.<br />
117 - Erro ao conectar com servidor de antivírus<br />
Esta mensagem indica que o firewall não conseguiu se conectar ao servidor de<br />
antivírus que estaria rodando em uma determinada máquina. A mensagem<br />
complementar indica o nome do servidor que não pode ser conectado e o endereço<br />
IP que ele supostamente estaria rodando.<br />
Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está<br />
correto na definição da entidade (para maiores informações, veja o capítulo<br />
intitulado Cadastrando Entidades) e que o agente está realmente sendo executado<br />
na máquina em questão.<br />
118 - Erro de comunicação com servidor de antivírus<br />
Esta mensagem indica que o firewall conseguiu se conectar ao servidor de antivírus,<br />
porém não conseguiu estabelecer uma comunicação. A mensagem complementar<br />
indica o nome do agente antivírus que provocou o problema e o endereço IP da<br />
máquina onde ele está rodando.<br />
Solução: Verifique se a senha de acesso na definição da entidade está igual à<br />
senha colocada na configuração do agente antivírus. Para maiores informações,<br />
veja o capítulo intitulado Cadastrando Entidades.<br />
119 - Erro ao conectar com Web Content Analyzer<br />
Esta mensagem indica que o firewall não conseguiu se conectar ao Web Content<br />
Analyzer que estaria rodando em uma determinada máquina. A mensagem<br />
complementar indica o nome do analisador que não pode ser conectado e o<br />
endereço IP que ele supostamente estaria rodando.<br />
Solução: Verifique se o endereço IP da máquina onde o analisador estaria rodando<br />
está correto na definição da entidade (para maiores informações, veja o capítulo<br />
intitulado Cadastrando Entidades) e que ele está realmente sendo executado na<br />
máquina em questão.<br />
120 - Erro de comunicação com Web Content Analyzer<br />
Esta mensagem indica que o firewall conseguiu se conectar ao Web Content<br />
Analyzer, porém não conseguiu estabelecer uma comunicação. A mensagem<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 754
complementar indica o nome do analisador que provocou o problema e o endereço<br />
IP da máquina onde ele está rodando.<br />
Solução: Verifique se a senha de acesso na definição da entidade está igual à<br />
senha colocada na configuração do Web Content Analyzer. Para maiores<br />
informações, veja o capítulo intitulado Cadastrando Entidades.<br />
121 - Nova máquina detectada no cluster<br />
Esta mensagem indica que uma nova máquina foi anexada ao sistema de cluster do<br />
firewall.<br />
122 - Máquina participante do cluster fora do ar<br />
Esta mensagem indica que uma das máquinas participantes do cluster esta fora do<br />
ar. Verifique a situação da máquina de modo a solucionar o problema da mesma.<br />
123 - Pacote de heartbeat inválido<br />
Esta mensagem indica que um pacote de verificação do cluster foi recebido<br />
incorretamente. Verifique se o segmento de comunicação dos firewall esta<br />
funcionando corretamente.<br />
124 - Convergência do cluster completada com sucesso<br />
Esta mensagem indica que todos os firewalls do cluster estão funcionando<br />
corretamente.<br />
125 - Chave de ativação do firewall repetida<br />
Esta mensagem indica que dois firewalls possuem a mesma licença instalada. Para<br />
o trabalho dos firewalls cooperativos e necessário que cada um dos firewalls possua<br />
a sua própria licença<br />
126 - Falha de autenticação para proxy<br />
Esta mensagem indica que um usuário informou uma senha inválida ao tentar<br />
autenticar-se em um determinado proxy. As mensagens complementares indicam o<br />
nome do usuário e as máquinas de origem e destino (no caso de proxy<br />
transparente) da conexão.<br />
127 - Usuário não cadastrado para proxy<br />
Esta mensagem indica que um usuário não cadastrado tentou se autenticar em um<br />
determinado proxy. A mensagem complementar indica as máquinas de origem e<br />
destino (no caso de proxy transparente) da conexão.<br />
128 - Usuário sem permissão para telnet<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 755
Esta mensagem indica que um usuário se autenticou corretamente no proxy telnet<br />
porém não tinha permissão de efetuar a conexão desejada. As mensagens<br />
complementares indicam o nome do usuário e as máquinas de origem e destino da<br />
conexão.<br />
129 - Sessão telnet estabelecida<br />
Esta mensagem indica que um usuário se autenticou corretamente no proxy telnet e<br />
tinha permissão para efetuar a conexão desejada. Devido a isso, a conexão foi<br />
estabelecida. As mensagens complementares indicam o nome do usuário e as<br />
máquinas de origem e destino da conexão.<br />
130 - Sessão telnet finalizada<br />
Esta mensagem indica que um usuário se desconectou de uma sessão telnet. As<br />
mensagens complementares indicam o nome do usuário e as máquinas de origem e<br />
destino da conexão.<br />
131 - Erro ao enviar dados para o kernel do Firewall<br />
Esta mensagem indica que algum dos módulos externos tentou enviar informações<br />
para os módulos do firewall que rodam dentro do kernel e não conseguiu. Se existir<br />
uma mensagem complementar entre parênteses, esta indicará quais informações<br />
estavam sendo enviadas.<br />
Solução: No Linux o comando é lsmod. Deverá aparecer um módulo com o nome<br />
aker_firewall_mod.<br />
132 - Erro ao salvar certificados<br />
Esta mensagem indica que o firewall não conseguiu salvar alguma lista de<br />
certificados de criptografia no disco.<br />
Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto pode<br />
ser feito através do comando "$df -k". Se este comando mostrar o diretório '/' com<br />
100% de espaço utilizado, então é isto a causa do problema. Caso exista espaço<br />
disponível e ainda assim este erro apareça, consulte o suporte técnico.<br />
133 - Erro ao carregar certificados<br />
Esta mensagem indica que o firewall não conseguiu carregar alguma lista de<br />
certificados de criptografia.<br />
Solução: Contate o suporte técnico<br />
134 - Certificado inválido recebido<br />
Esta mensagem indica que o servidor de certificados do firewall recebeu um<br />
certificado inválido. Isso pode ter uma das seguintes causas:<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 756
Assinatura do certificado inválida<br />
Entidade certificadora desconhecida<br />
Certificado expirado<br />
As mensagens complementares indicam qual destes possíveis erros ocorreu e qual firewall<br />
emitiu o certificado inválido.<br />
135 - Certificado recebido e validado corretamente<br />
Esta mensagem indica que o servidor de certificados do firewall recebeu um<br />
certificado de negociação ou revogação válido. As mensagens complementares<br />
indicam que tipo de certificado foi recebido e qual firewall o emitiu.<br />
136 - Requisição de cliente de criptografia inválida<br />
Esta mensagem indica que o servidor de certificados recebeu uma requisição de um<br />
cliente de criptografia e esta requisição foi considerada inválida. Isso pode ter uma<br />
das seguintes causas:<br />
O certificado do firewall foi atualizado e o cliente continua utilizando o certificado<br />
antigo.<br />
A requisição partiu de uma máquina não autorizada a estabelecer sessão de<br />
criptografia com o firewall.<br />
As mensagens complementares indicam qual a causa do problema e os endereços<br />
da máquina de origem e destino (o destino é o endereço da máquina atrás do<br />
firewall com a qual o cliente tentou se comunicar).<br />
137 - Falha de autenticação para criptografia<br />
Esta mensagem só é mostrada quando a autenticação de usuários para clientes de<br />
criptografia está ativa e indica que um usuário cadastrado em algum autenticador<br />
tentou estabelecer uma sessão de criptografia com o firewall, porém sua senha<br />
estava incorreta. As mensagens complementares mostram o nome do usuário em<br />
questão e os endereços da máquina de origem e destino (o destino é o endereço da<br />
máquina atrás do firewall com a qual o cliente tentou se comunicar).<br />
138 - Usuário não cadastrado para criptografia<br />
Esta mensagem só é mostrada quando a autenticação de usuários para clientes de<br />
criptografia está ativa e indica que um usuário não cadastrado em nenhum<br />
autenticador tentou estabelecer uma sessão de criptografia com o firewall. A<br />
mensagem complementar mostra os endereços da máquina de origem e destino (o<br />
destino é o endereço da máquina atrás do firewall com a qual o cliente tentou se<br />
comunicar).<br />
139 - Sessão de criptografia com cliente estabelecida<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 757
Esta mensagem é gerada pelo servidor de certificados quando um usuário<br />
consegue se autenticar corretamente em um cliente de criptografia e iniciar uma<br />
sessão. Nas mensagens complementares é mostrado o login do usuário que<br />
estabeleceu a sessão e os endereços da máquina de origem e destino (o destino é<br />
o endereço da máquina atrás do firewall com a qual o cliente se comunicou<br />
inicialmente).<br />
140 - Sessão de criptografia com cliente finalizada<br />
Esta mensagem indica que um cliente finalizou uma sessão criptografada. A<br />
mensagem complementar indica a máquina de origem da conexão.<br />
141 - Erro de comunicação com cliente de criptografia<br />
Esta mensagem, que pode ter várias causas, indica que o servidor de criptografia<br />
para clientes recebeu um pacote criptografado inválido de um Cliente de Criptografia<br />
<strong>Aker</strong>.<br />
As mensagens complementares indicam qual a causa do problema e os endereços<br />
da máquina de origem e destino (o destino é o endereço da máquina atrás do<br />
firewall com a qual o cliente tentou se comunicar).<br />
142- Erro ao carregar algoritmo de criptografia<br />
O <strong>Aker</strong> Firewall pode trabalhar com algoritmos de criptografia desenvolvidos por<br />
terceiros, chamados de algoritmos externos. Esta mensagem indica que o servidor<br />
de criptografia para clientes não conseguiu carregar um destes algoritmos de<br />
criptografia externos. Isto é causado por uma falha de implementação do algoritmo.<br />
As mensagens complementares mostram o nome da biblioteca a partir da qual o<br />
firewall tentou carregar o algoritmo e o erro que causou o problema.<br />
Solução: Contate o desenvolvedor do algoritmo e repasse a mensagem completa<br />
para ele.<br />
143 - Falha de autenticação para perfil de acesso<br />
Esta mensagem indica que um usuário informou uma senha inválida ao tentar se<br />
logar no firewall utilizando o Cliente de Autenticação <strong>Aker</strong>. As mensagens<br />
complementares indicam o nome do usuário e a máquina de origem da requisição.<br />
144 - Usuário não cadastrado para perfil de acesso<br />
Esta mensagem indica que um usuário não cadastrado tentou se logar no firewall<br />
utilizando o Cliente de Autenticação <strong>Aker</strong>. A mensagem complementar indica a<br />
máquina de origem da requisição.<br />
145 - Sessão de perfil de acesso estabelecida<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 758
Esta mensagem indica que um usuário se logou corretamente no firewall utilizando<br />
o Cliente de Autenticação <strong>Aker</strong>. As mensagens complementares indicam o nome do<br />
usuário que estabeleceu a sessão e a máquina a partir da qual a sessão foi<br />
estabelecida.<br />
146 - Sessão de perfil de acesso finalizada<br />
Esta mensagem indica que um usuário finalizou uma sessão no firewall estabelecida<br />
através do Cliente de Autenticação <strong>Aker</strong>. As mensagens complementares indicam o<br />
nome do usuário que finalizou a sessão e a máquina a partir da qual a sessão foi<br />
finalizada.<br />
147 - Requisição de perfil de acesso inválida<br />
Esta mensagem, que pode ter várias causas, indica que o servidor de login de<br />
usuários recebeu uma requisição inválida de um Cliente de Autenticação <strong>Aker</strong>.<br />
As mensagens complementares indicam qual a causa do problema e o endereço da<br />
máquina de origem da requisição.<br />
148 - Conflito de versão de cliente de autenticação<br />
Durante a autenticação, foi encontrada uma versão de um cliente de autenticação<br />
que não permite que outros usuários se autentiquem.<br />
149 - Erro ao carregar pseudo-grupos<br />
Esta mensagem indica que o firewall não conseguiu carregar a lista de pseudogrupos<br />
das autoridades certificadoras.<br />
Solução: Contate o suporte técnico<br />
150 - Erro ao baixar CRL<br />
Essa mensagem indica que o firewall não conseguiu baixar a lista de certificados<br />
revogados (CRL) de uma autoridade certificadora. As mensagens complementares<br />
mostram a razão pela qual não foi possível baixar a lista e a URL da qual se tentou<br />
baixá-la.<br />
Solução: Verifique que a URL informada na definição da entidade do tipo autoridade<br />
certificadora está correta e que o serviço está no ar. É possível fazer isso digitandose<br />
a URL em um browser e verificando se é possível se receber o arquivo.<br />
151 - Número de processos excessivo no sistema<br />
Esta mensagem indica que algum dos módulos externos do firewall, ao tentar criar<br />
uma nova instância de si próprio para tratar uma conexão, detectou que o número<br />
de processos executando no sistema está próximo do limite máximo permitido.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 759
Diante disso, a criação do novo processo foi cancelada e a conexão que deveria ser<br />
tratada pelo novo processo foi abortada.<br />
Solução: Aumente o número máximo de processos no sistema. Para maiores<br />
informações, consulte o Apêndice B - Perguntas e respostas.<br />
152 - Máquina de conversão 1-N fora do ar<br />
Essa mensagem indica que uma das máquinas participantes de uma conversão 1-N<br />
(balanceamento de canal) se encontra fora do ar. A mensagem complementar<br />
mostra o endereço IP da máquina em questão.<br />
153 - Máquina de conversão 1-N operacional<br />
Essa mensagem indica que uma das máquinas participantes de uma conversão 1-N<br />
(balanceamento de canal) que se encontrava fora do ar voltou a funcionar<br />
normalmente. A mensagem complementar mostra o endereço IP da máquina em<br />
questão.<br />
154 - Pedido de conexão de administração<br />
Esta mensagem é gerada pelo módulo de administração remota do <strong>Aker</strong> Firewall<br />
todas as vezes que este recebe um pedido de abertura de conexão. Na mensagem<br />
complementar é mostrado o endereço IP da máquina que solicitou a abertura de<br />
conexão.<br />
155 - Sessão de administração estabelecida<br />
Esta mensagem é gerada pelo módulo de administração remota do <strong>Aker</strong> Firewall<br />
quando um usuário consegue se autenticar corretamente e iniciar uma sessão de<br />
administração. Na mensagem complementar é mostrado o login do usuário que<br />
estabeleceu a sessão e os seus direitos.<br />
Os direitos do usuário são representados através de três siglas independentes.<br />
Caso o usuário possua um determinado direito será mostrada a sigla<br />
correspondente a ele, caso contrário será mostrado o valor "--". As siglas e seus<br />
significados são os seguintes:<br />
CF - Configura Firewall<br />
CL - Configura Log<br />
GU - Gerencia usuários<br />
156 - Sessão de administração finalizada<br />
Esta mensagem indica que a sessão de administração estabelecida anteriormente<br />
foi terminada a pedido do cliente.<br />
157 - Usuário não cadastrado para administração<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 760
Esta mensagem indica que um usuário não cadastrado no sistema tentou<br />
estabelecer uma sessão de administração.<br />
158 - Erro de confirmação de sessão de administração<br />
Esta mensagem indica que um usuário cadastrado no sistema tentou estabelecer<br />
uma sessão de administração remota, porém sua senha estava incorreta. A<br />
mensagem complementar mostra o nome do usuário em questão.<br />
159 - Firewall sendo administrado por outro usuário<br />
Esta mensagem indica que um usuário conseguiu se autenticar corretamente para<br />
estabelecer uma sessão de administração remota, porém já existia um outro usuário<br />
com uma sessão aberta para a mesma máquina e por isso a conexão foi recusada.<br />
A mensagem complementar indica qual o usuário que teve sua sessão recusada.<br />
160 - Alteração de parâmetro<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou algum parâmetro de configuração do sistema. A<br />
mensagem complementar indica o nome do parâmetro que foi alterado.<br />
161 - Alteração das regras de filtragem<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou a tabela de regras de filtragem do firewall.<br />
162 - Alteração da conversão<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou algum parâmetro da conversão de endereços ou a<br />
tabela de conversão de servidores. A mensagem complementar indica exatamente o<br />
que foi alterado.<br />
163 - Alteração da tabela de criptografia<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou a tabela de criptografia do firewall.<br />
164 - Alteração na configuração de SYN Flood<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou algum parâmetro da proteção contra SYN Flood. A<br />
mensagem complementar indica exatamente o que foi alterado.<br />
165 - Alteração de contextos<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou contextos de um dos proxies transparentes do Firewall.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 761
A mensagem complementar indica qual o proxy que teve seus contextos<br />
modificados.<br />
166 - Alteração da configuração de SNMP<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou os parâmetros de configuração do agente SNMP.<br />
167 - Alteração dos perfis de acesso<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou a lista de perfis de acesso.<br />
168 - Alteração da lista de controle de acesso<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou a lista de controles de acesso.<br />
169 - Alteração de parâmetros de autenticação<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou os parâmetros globais de autenticação.<br />
170 - Alteração de entidades<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou a lista de entidades do sistema.<br />
171 - Alteração de parâmetros WWW<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou os parâmetros WWW.<br />
172 - Alteração da configuração do proxy SOCKS<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou algum dos parâmetros de configuração do proxy<br />
SOCKS.<br />
173 - Remoção de conexão ativa<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta removeu uma das conexões ativas. A mensagem<br />
complementar indica se a conexão removida era TCP ou UDP.<br />
174 - Remoção de sessão de usuário ativa<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 762
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta removeu uma das sessões de usuários que estavam logados<br />
no firewall através do Cliente de Autenticação <strong>Aker</strong>.<br />
175 - Operação sobre o arquivo de log<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta realizou uma operação sobre o arquivo de log. As operações<br />
possíveis são Compactar e Apagar. A mensagem complementar indica qual destas<br />
operações foi executada.<br />
176 - Operação sobre o arquivo de eventos<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta realizou uma operação sobre o arquivo de eventos. As<br />
operações possíveis são Compactar e Apagar. A mensagem complementar indica<br />
qual destas operações foi executada.<br />
177 - Operação sobre o arquivo de usuários<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta realizou uma operação sobre o arquivo de usuários. As<br />
operações possíveis são Incluir, Excluir e Alterar. A mensagem complementar indica<br />
qual destas operações foi executada e sobre qual usuário.<br />
178 - Alteração na data/hora do firewall<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou a data e/ou à hora do firewall.<br />
179 - Carga do certificado de negociação local<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta carregou ou alterou o certificado de negociação local do<br />
firewall.<br />
180 - Alteração nos certificados<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou a lista de certificados das entidades certificadoras ou<br />
de revogação do firewall.<br />
181 - Alteração da configuração de TCP/IP<br />
Esta mensagem indica que o administrador que estava com a sessão de<br />
administração aberta alterou a configuração de TCP/IP do firewall (hostname,<br />
configuração de DNS, configuração de interfaces ou rotas).<br />
182 - Alteração nas licenças de ativação<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 763
Um novo arquivo de licenças foi adicionado no Firewall.<br />
183 - Alteração na configuração do cluster<br />
Novas configurações de cluster foram adicionadas no Firewall.<br />
184 - Queda de sessão de administração por erro<br />
Esta mensagem indica que a sessão de administração que estava ativa foi<br />
interrompida devido a um erro de protocolo de comunicação.<br />
Solução: Experimente estabelecer a conexão novamente. Se o problema voltar a<br />
ocorrer, consulte o suporte técnico.<br />
185 - Queda de sessão de administração por inatividade<br />
Quando uma interface remota estabelece uma conexão de administração, ela passa<br />
a enviar periodicamente pacotes para o firewall indicando que ela continua ativa.<br />
Estes pacotes são enviados mesmo que usuário não execute nenhuma operação.<br />
Esta mensagem indica que a sessão de administração que estava ativa foi<br />
interrompida devido a um tempo limite ter sido atingido, sem o servidor ter recebido<br />
nenhum pacote da interface remota. A sua causa mais provável é uma queda na<br />
máquina que rodava a interface gráfica ou uma queda na rede.<br />
186 - Erro na operação anterior<br />
Esta mensagem indica que a última operação executada pelo servidor de<br />
comunicação remota não foi executada com sucesso.<br />
Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto pode<br />
ser feito através do comando "$df -k". Se este comando mostrar o diretório '/' com<br />
100% de espaço utilizado, então é isto a causa do problema. Caso exista espaço<br />
disponível e ainda assim este erro apareça, consulte o suporte técnico.<br />
187 - Usuário sem direito de acesso<br />
Esta mensagem indica que o usuário tentou realizar uma operação que não lhe era<br />
permitida.<br />
Solução: Esta mensagem não deve ser mostrada em condições normais de<br />
funcionamento do <strong>Aker</strong> Firewall. Se ela aparecer, contate o suporte técnico.<br />
188 - Pacote não reconhecido<br />
Esta mensagem indica que o servidor de comunicação do firewall recebeu uma<br />
requisição de serviço desconhecida.<br />
Solução: Contate o suporte técnico.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 764
189 - Muitas negociações pendentes<br />
Esta mensagem indica que o kernel não está conseguindo pedir que o daemon de<br />
negociações de chave estabeleça um canal. Esta situação é anômala e não deve<br />
acontecer. Contate o suporte técnico se o Firewall gerar esta mensagem.<br />
190 - SA não tem tipo IPSEC<br />
Esta mensagem indica que foi tentada a configuração de um canal não IPSEC pelo<br />
módulo IPSEC. Esta situação é anômala e não deve acontecer. Por favor contate o<br />
suporte técnico se o Firewall gerar esta mensagem.<br />
191 - Algoritmo de criptografia especificado não implementado<br />
Esta mensagem indica que foi negociado um canal de criptografia com um algoritmo<br />
não implementado. Escolha outros algoritmos (veja seção Configurando canais<br />
Firewall-Firewall).<br />
192 - Falhou a expansão da chave criptográfica<br />
Esta mensagem indica que o módulo IPSEC teve dificuldades em tratar a chave<br />
negociada para um canal criptográfico. Esta situação é anômala e não deve<br />
acontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem.<br />
193 - Kernel repassou pacote inválido<br />
Esta mensagem indica que o sistema operacional passou um pacote incorreto para<br />
o Firewall. Ela ocorre apenas no sistema operacional Linux.<br />
194 - Falhou ao inserir SA no kernel<br />
Esta mensagem indica que foi negociado um canal que já não existe mais. Para<br />
solucionar o problema, recrie o canal, ou aguarde até que todos os módulos do<br />
Firewall saibam da não existência deste canal.<br />
195 - Estabelecendo VPN IPSEC para o tráfego<br />
Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked)<br />
iniciou o estabelecimento de um canal, por necessidade imediata de seu uso.<br />
196 - fwiked falhou ao iniciar<br />
Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) não<br />
conseguiu ler suas configurações. Recrie as configurações de criptografia para<br />
solucionar o problema (veja seção Configurando canais Firewall-Firewall).<br />
197 - Erro processando configuração<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 765
Esta mensagem indica que ocorreu um erro interno grave no daemon de<br />
negociação de chaves IPSEC (fwiked). Esta situação é anômala e não deve<br />
acontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem.<br />
198 - Erro comunicando com o kernel<br />
Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) não<br />
está conseguindo se comunicar com os módulos do Firewall que executam dentro<br />
do kernel do sistema operacional.<br />
199 - Kernel enviou requisição incorreta<br />
Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked)<br />
recebeu uma solicitação para negociar um canal de criptografia que não mais existe<br />
na configuração do Firewall. Espere alguns instantes até que todos os módulos do<br />
Firewall se sincronizem.<br />
200 - Tentou instalar uma SA não negociada<br />
Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked)<br />
encontrou um erro grave de consistência interna. Esta situação é anômala e não<br />
deve acontecer. Por favor contate o suporte técnico se o Firewall gerar esta<br />
mensagem.<br />
201 - Algoritmo criptográfico não suportado<br />
Esta mensagem indica que um outro Firewall (ou qualquer equipamento que suporte<br />
IPSEC) tentou estabelecer um canal criptográfico com um algoritmo de cifração não<br />
suportado pelo <strong>Aker</strong> Firewall. Escolha outros algoritmos (veja seção Configurando<br />
canais Firewall-Firewall).<br />
202 - Erro enviando regra de ike ao filtro de pacotes<br />
Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) não<br />
está conseguindo se comunicar com os módulos do Firewall que executam dentro<br />
do kernel do sistema operacional para inserir uma regra de liberação da<br />
comunicação com seus pares.<br />
203 - Sucesso ativando a SA negociada<br />
Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked)<br />
estabeleceu e instalou nos demais módulos do Firewall um canal de criptografia<br />
IPSEC corretamente.<br />
204 - Negociação de IKE falhou (olhar mensagens complementares)<br />
Esta mensagem indica que houve um problema durante a negociação de chaves<br />
IPSEC. Verifique as mensagens complementares para obter mais detalhes.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 766
Geralmente uma pequena mudança de configuração resolve rapidamente o<br />
problema.<br />
205 - Erro lendo mudança de estado do cluster<br />
Esta mensagem indica que houve um erro quando da leitura do estado do cluster<br />
dentro do trabalho cooperativo. Verifique o segmento de rede onde estão instalados<br />
os firewalls.<br />
206 - Erro enviando mudança de estado ao cluster<br />
Esta mensagem indica que houve um erro quando enviando mudança do estado do<br />
cluster dentro do trabalho cooperativo. Verifique o segmento de rede onde estão<br />
instalados os firewalls.<br />
207- Notificação do fwiked (olhar mensagens complementares)<br />
Esta mensagem é genérica de notificação do daemon de negociação de chaves<br />
IPSEC. Verifique as mensagens complementares para obter mais detalhes.<br />
208 - Aviso do fwiked (olhar mensagens complementares)<br />
Esta mensagem é uma mensagem genérica de aviso do daemon de negociação de<br />
chaves IPSEC. Verifique as mensagens complementares para obter mais detalhes.<br />
209 - Recebendo número do pipe do kernel<br />
Esta mensagem indica que um proxy não conseguiu descobrir quais eram o pipe e o<br />
acumulador para uma conexão, visto que tiveram problemas de comunicação com o<br />
Kernel.<br />
210 - Erro lendo arquivo de configuração de estatísticas<br />
Esta mensagem indica que houve um problema ao ler o arquivo de configuração de<br />
estatísticas. A solução é restaurá-lo ou removê-lo e criar as configurações<br />
novamente. Veja a seção Arquivos do Sistema.<br />
211 - Erro lendo tabela de entidades<br />
Esta mensagem indica que o módulo gerador de estatísticas do Firewall não<br />
conseguiu ler a tabela de entidades do sistema.<br />
212 - Não encontrou entidade acumulador<br />
Esta mensagem indica que o módulo gerador de estatísticas do Firewall encontrou<br />
uma inconsistência em sua configuração, isto é, uma estatística que referencia um<br />
acumulador inexistente. A mensagem complementar entre parênteses indica qual a<br />
entidade em questão.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 767
213 - Daemon suspenso por configuração incorreta<br />
Esta mensagem indica que o módulo gerador de estatísticas do Firewall encontrou<br />
uma inconsistência em sua configuração e ficará com suas atividades suspensas<br />
até que ela esteja correta.<br />
214 - Erro recebendo estatísticas do kernel<br />
Esta mensagem indica que o módulo gerador de estatísticas do Firewall teve<br />
problemas ao ler os dados necessários ao seu cálculo dos módulos que executam<br />
dentro do kernel do sistema operacional.<br />
215 - Erro salvando estatísticas<br />
Esta mensagem indica que o módulo gerador de estatísticas do Firewall teve<br />
problemas ao armazenar os dados coletados (ou enviá-los ao servidor de log<br />
remoto). Se o log for local, verifique a possibilidade de o disco estar cheio. Se for<br />
remoto, verifique a correta conexão com o servidor de log remoto.<br />
216 - Erro recebendo período máximo de permanência das estatísticas<br />
Esta mensagem indica que o módulo gerador de estatísticas do Firewall não<br />
conseguiu ler o período máximo pelo qual deve manter as estatísticas no Firewall<br />
(apenas para log local).<br />
217 - Pedido de fluxo inexistente<br />
Esta mensagem indica que uma inconsistência interna ocorreu, de forma que um<br />
fluxo de dados para controle de banda (QoS), não foi encontrado.<br />
218 - Pedido de pipe inexistente<br />
Esta mensagem indica que uma inconsistência interna ocorreu, de forma que um<br />
pipe para controle de banda (QoS), não foi encontrado.<br />
219 - Apagando registros do sistema de log<br />
Esta mensagem indica que os registros do sistema de log foram apagados. A<br />
mensagem complementar entre parênteses informa se foram apagados logs,<br />
estatísticas ou eventos.<br />
220 - Erro executando shell<br />
Esta mensagem informa que um erro grave de configuração foi encontrado que<br />
impede o login no console do Firewall Box. Contate o suporte técnico de seu<br />
revendedor.<br />
221 - Erro lendo licença<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 768
Esta mensagem indica que as informações de licença do Firewall estão com algum<br />
problema sério que impedem sua leitura. Reinsira a chave de ativação no Firewall.<br />
222 - Tentativa de login (console) frustrada por senha incorreta<br />
Esta mensagem indica que alguém tentou efetuar login no console do Firewall Box,<br />
mas não tinha a senha correta.<br />
223 - Sistema com defeito irremediável. Contate o revendedor<br />
Esta mensagem informa que um erro grave de configuração foi encontrado que<br />
impede o login no console do Firewall Box. Contate o suporte técnico de seu<br />
revendedor.<br />
224 - Login no console efetuado<br />
Esta mensagem registra o fato de algum operador ter efetuado login no console do<br />
Firewall Box.<br />
225 - Linha de resposta muito grande<br />
Esta mensagem indica que o proxy POP3 transparente recebeu uma linha de<br />
resposta demasiado grande. Veja a RFC 1939 para maiores informações.<br />
226 - Erro recebendo dados do servidor POP3<br />
Esta mensagem indica que o proxy POP3 transparente encontrou um erro de<br />
conexão ao receber dados do servidor. As mensagens complementares informam<br />
qual a conexão em questão.<br />
227 - Erro recebendo dados do cliente POP3<br />
Esta mensagem indica que o proxy POP3 transparente encontrou um erro de<br />
conexão ao receber dados do cliente. As mensagens complementares informam<br />
qual a conexão em questão.<br />
228 - Erro enviando dados ao cliente POP3<br />
Esta mensagem indica que o proxy POP3 transparente encontrou um erro de<br />
conexão ao enviar dados para o cliente. As mensagens complementares informam<br />
qual a conexão em questão.<br />
229 - Erro enviando dados ao servidor POP3<br />
Esta mensagem indica que o proxy POP3 transparente encontrou um erro de<br />
conexão ao enviar dados ao servidor. As mensagens complementares informam<br />
qual a conexão em questão.<br />
230 - Resposta inválida do servidor POP3<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 769
Esta mensagem indica que o proxy POP3 transparente recebeu uma resposta<br />
incorreta do servidor. As mensagens complementares informam que resposta foi<br />
esta<br />
231 - Erro conectando-se ao servidor POP3<br />
Esta mensagem indica que o proxy POP3 transparente não consegui estabelecer a<br />
conexão com o servidor. Provavelmente o endereço está errado ou o servidor está<br />
fora do ar.<br />
232 - Servidor POP3 recusou a conexão<br />
Esta mensagem indica que o proxy POP3 transparente conectou-se ao servidor e<br />
este informou estar fora do ar.<br />
233 - Comando POP3 inválido ou erro de sintaxe<br />
Esta mensagem indica que o proxy POP3 transparente leu um comando incorreto<br />
do cliente e fechou a conexão sem repassá-lo ao servidor. O comando em questão<br />
encontra-se nas mensagens complementares.<br />
234 - Erro abrindo arquivo para spool<br />
Esta mensagem indica que o proxy POP3 transparente não conseguiu abrir o<br />
arquivo temporário para salvar a mensagem.<br />
235 - Erro gravando dados no arquivo<br />
Esta mensagem indica que o proxy POP3 transparente encontrou um erro ao gravar<br />
a mensagem em espaço de armazenamento temporário.<br />
236 - Falta de espaço gravando arquivo<br />
Esta mensagem indica que faltou espaço em disco para o proxy POP3 transparente<br />
gravar as mensagens recebidas.<br />
237 - Erro de sintaxe no email POP3 (erro de parser)<br />
Esta mensagem indica que o proxy POP3 transparente recebeu uma mensagem<br />
incorretamente formatada e a descartou por não poder analisá-la.<br />
238 - Entrando em modo STLS - nenhuma análise possível<br />
Esta mensagem indica que o firewall entrou em modo STLS. Entre em contato com<br />
o suporte técnico para a solução.<br />
239 - Erro recebendo dados do firewall servidor<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 770
Esta mensagem indica que o firewall servidor do cluster não esta recebendo os<br />
dados corretamente. Verifique o segmento de rede de troca informação dos firewalls<br />
cooperativos.<br />
240 - Erro enviando dados do firewall servidor<br />
Esta mensagem indica que o firewall servidor do cluster não está enviando os dados<br />
corretamente. Verifique o segmento de rede de troca informação dos firewalls<br />
cooperativos.<br />
241 - Erro de processamento no firewall servidor<br />
Esta mensagem indica que o firewall servidor do cluster não esta processando os<br />
dados corretamente. Verifique o firewall servidor quanto a espaço em disco e<br />
processador.<br />
242 - Erro alterando a configuração do firewall<br />
Esta mensagem indica que o firewall servidor do cluster não esta conseguindo<br />
alterar as configurações dos outros firewalls. Verifique o segmento de rede de troca<br />
informação dos firewalls cooperativos.<br />
243 - Erro ao replicar estado do cluster<br />
Esta mensagem indica que o firewall servidor do cluster não esta conseguindo<br />
replicar o estado do cluster para os outros firewalls. Verifique o segmento de rede<br />
de troca informação dos firewalls cooperativos.<br />
244 - Erro ao enviar arquivo ao cluster<br />
Esta mensagem indica que o firewall servidor do cluster não esta conseguindo<br />
enviar arquivo ao cluster. Verifique o segmento de rede de troca informação dos<br />
firewalls cooperativos.<br />
245 - Erro ao agrupar dados do cluster<br />
Esta mensagem indica que o firewall servidor do cluster não está conseguindo<br />
agrupar os dados do cluster. Verifique o segmento de rede de troca informação dos<br />
firewalls cooperativos.<br />
246 - Arquivo com vírus desinfectado<br />
Esta mensagem indica que um arquivo analisado pelo firewall estava com vírus mas<br />
foi desinfectado.<br />
247 - Arquivo com vírus bloqueado<br />
Esta mensagem indica que um arquivo estava com vírus e não pode ser removido,<br />
por isso o arquivo foi bloqueado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 771
248 - Arquivo não pode ser analisado pois estava corrompido<br />
Esta mensagem indica que o antivírus do firewall não pode analisar o arquivo pois o<br />
mesmo estava corrompido.<br />
249 - Arquivo não pode ser analisado pois estava cifrado<br />
Esta mensagem indica que o antivírus do firewall não pode analisar o arquivo pois o<br />
mesmo estava cifrado.<br />
250 - Host respondeu e foi marcado como ativo<br />
Esta mensagem indica que a máquina de teste do balanceamento de link está no ar.<br />
Para maiores informações consulte o capitulo intitulado Configurando a<br />
Conversão de Endereços.<br />
251 - Host não respondeu e foi marcado como inativo<br />
Esta mensagem indica que a máquina de teste do balanceamento de link está fora<br />
ar ou não foi possível a sua verificação. Para maiores informações consulte o<br />
capítulo intitulado Configurando a Conversão de Endereços.<br />
252 - Link foi marcado como ativo<br />
Esta mensagem indica que o balanceamento de link esta no ar. Para maiores<br />
informações consulte o capitulo intitulado Configurando a Conversão de<br />
Endereços.<br />
253 - Link foi marcado como inativo<br />
Esta mensagem indica que o balanceamento de link esta fora do ar. Para maiores<br />
informações consulte o capitulo intitulado Configurando a Conversão de<br />
Endereços.<br />
254 - Mensagem de debug do Secure Roaming<br />
Esta é uma mensagem com prioridade depuração gerada pelo Secure Roaming.<br />
Verifique os complementos para maiores informações.<br />
255 - Informação do Secure Roaming<br />
Esta é uma mensagem com prioridade informação gerada pelo Secure Roaming.<br />
Verifique os complementos para maiores informações.<br />
256 - Aviso importante do Secure Roaming<br />
Esta é uma mensagem com prioridade aviso gerada pelo Secure Roaming. Verifique<br />
os complementos para maiores informações.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 772
257 - O Secure Roaming encontrou um erro<br />
Esta é uma mensagem com prioridade erro gerada pelo Secure Roaming. Verifique<br />
os complementos para maiores informações.<br />
258 - O Secure Roaming encontrou um erro fatal<br />
Esta é uma mensagem com prioridade erro fatal gerada pelo Secure Roaming.<br />
Verifique os complementos para maiores informações.<br />
259 - Usuários responsáveis do Configuration Manager<br />
Esta mensagem é gerada quando o Configuration Manager efetua uma modificação<br />
da configuração de um determinado firewall e serve para informar qual o usuário<br />
responsável por tais modificações (o usuário que estava utilizando o Configuration<br />
Manager).<br />
260 - Mensagem do sistema operacional<br />
Esta mensagem é utilizada para reportar mensagens produzidas pelo kernel do<br />
sistema operacional, que normalmente seriam mostradas no console.<br />
261 - Erro ao criar processo<br />
Esta mensagem indica que o firewall tentou criar um novo processo para cuidar de<br />
uma determinada tarefa e não conseguiu. Possíveis causas de erro são memória<br />
insuficiente no firewall ou número de processos ativos excessivamente alto.<br />
262 - Processo recriado<br />
Esta mensagem indica que o processo de monitoramento do firewall recriou um<br />
processo crítico do sistema que não estava mais rodando. Se esta mensagem<br />
aparecer frequentemente, é necessário contatar o suporte técnico para determinar a<br />
causa do problema.<br />
263 - Processo foi interrompido<br />
Esta mensagem indica que o processo de monitoramento do firewall detectou que<br />
um processo crítico do sistema não estava mais rodando. Se esta mensagem<br />
aparecer frequentemente, é necessário contatar o suporte técnico para determinar a<br />
causa do problema.<br />
264 - Conexão teve canal alterado<br />
Esta mensagem indica que uma conexão teve à sua definição de canal alterada<br />
devido a aplicação de uma regra de filtragem de aplicativos.<br />
265 - Conexão encerrada pela filtragem de aplicativos<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 773
Esta mensagem indica que uma conexão foi encerrada devido à aplicação de uma<br />
regra de filtragem de aplicativos.<br />
266 - Erro recebendo pacote do kernel<br />
Esta mensagem é gerada quando o módulo de filtragem de aplicativos não<br />
conseguir ler os pacotes enviados pelo kernel do firewall. Ela não deve ocorrer<br />
nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico.<br />
267 - Pacotes perdidos na análise - sistema possivelmente lento<br />
Esta mensagem indica que o módulo de análise de aplicativos não conseguiu tratar<br />
em tempo hábil todos os pacotes que deveria a fim de verificar todas as regras de<br />
filtragem de aplicativos configuradas no firewall. Possíveis ações que podem ser<br />
realizadas pelo administrador são:<br />
Verificar se algum dos filtros está com profundidade de pesquisa muito grande. Se<br />
tiver, tentar diminuir ao máximo este valor;<br />
Não usar regras do tipo: procurar MP3 em todos os serviços. Utilizar somente nos<br />
serviços nos quais este tipo de arquivo possa trafegar nos protocólos: FTP, HTTP,<br />
SMTP, etc.<br />
Não colocar regras Internet - Internet. Sempre que possível utilizar regras do tipo<br />
origem Rede Interna, destino Internet ou vice-versa.<br />
Não verificar arquivos e protocolos da Rede Interna para a DMZ.<br />
268 - Pacote truncado recebido do kernel<br />
Esta mensagem é gerada quando o módulo de filtragem de aplicativos leu um<br />
pacote de tamanho inválido enviado pelo kernel do firewall. Ela não deve ocorrer<br />
nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico.<br />
269 - Erro expandindo regras de filtragem de aplicativos<br />
Esta mensagem indica que o firewall detectou um erro ao expandir as regras de<br />
filtragem de aplicativos. Ela não deve ocorrer nunca em condições normais. Caso<br />
ocorra, deve-se contatar o suporte técnico.<br />
270 - Erro carregando regras globais de filtragem de aplicativos<br />
Esta mensagem indica que o firewall detectou um erro ao carregar as regras globais<br />
de filtragem de aplicativos. Ela não deve ocorrer nunca em condições normais. Caso<br />
ocorra, deve-se contatar o suporte técnico.<br />
271 - Erro expandindo regras de IDS/IPS<br />
Esta mensagem indica que o firewall detectou um erro ao expandir as regras de<br />
IDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se<br />
contatar o suporte técnico.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 774
272 - Erro carregando regras de IDS/IPS<br />
Esta mensagem indica que o firewall detectou um erro ao carregar as regras de<br />
IDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se<br />
contatar o suporte técnico.<br />
273 - Erro de rede<br />
Esta é uma mensagem genérica para erros de rede. Favor verificar os<br />
complementos para maiores informações sobre sua causa.<br />
274 - Conexão fora das regras de perfil do proxy SSL<br />
Esta mensagem indica que um usuário tentou acessar o proxy SSL mas não havia<br />
nenhuma regra autorizando seu acesso.<br />
275 - Conexão TCP aceita pelo proxy SSL<br />
Esta mensagem indica que o firewall recebeu uma conexão de Proxy SSL e a<br />
aceitou.<br />
276 - Conexão TCP recusada pelo proxy SSL<br />
Esta mensagem indica que o firewall recebeu uma conexão de Proxy SSL e a<br />
recusou.<br />
277 - Conversação do MSN Messenger iniciada<br />
Esta mensagem é gerada quando um usuário abre a janela de conversação no MSN<br />
Messenger, passando através do firewall.<br />
278 - Conversação do MSN Messenger bloqueada<br />
Conversa entre dois usuários foi bloqueada pelas configurações no proxy MSN.<br />
279 - Conversação do MSN Messenger finalizada<br />
Esta mensagem é gerada quando um usuário fecha a janela de conversação no<br />
MSN Messenger, passando através do firewall.<br />
280 - Tempo diário de uso de MSN Messenger excedido<br />
Esta mensagem indica que o tempo diário de conversa através do MSN Messenger<br />
para o usuário em questão foi exercido. Este usuário não mais poderá acessar o<br />
Messenger no dia corrente.<br />
281 - Notificação do Hotmail bloqueada<br />
Proxy MSN não permitiu a notificação do Hotmail.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 775
282 - Convite para transferência de arquivo via MSN Messenger permitido<br />
Esta mensagem é gerada quando um pedido de transferência de arquivo através do<br />
Messenger foi recebido e aceito pelo firewall.<br />
283 - Transferência de arquivo via MSN Messenger bloqueada<br />
Esta mensagem é gerada quando um pedido de transferência de arquivo através do<br />
Messenger foi recebido e rejeitado pelo firewall.<br />
284 - Convite para uso de aplicativo via MSN Messenger permitido<br />
Esta mensagem é gerada quando um pedido de uso de aplicativo (jogos, vídeo, etc)<br />
através do Messenger foi recebido e aceito pelo firewall.<br />
285 - Uso de aplicativo via MSN Messenger não permitido<br />
Esta mensagem é gerada quando um pedido de uso de aplicativo (jogos, video, etc)<br />
através do Messenger foi recebido e rejeitado pelo firewall.<br />
286 - Conexão encerrada por timeout<br />
Esta mensagem indica que uma conexão com um servidor do serviço MSN<br />
Messenger foi encerrada por timeout. Verifique se o acesso à Internet está<br />
funcionando corretamente.<br />
287 - Erro analisando a mensagem<br />
Esta mensagem indica que o firewall detectou um erro de parser em uma<br />
mensagem do MSN Messenger. Caso esta mensagem apareça, favor contatar o<br />
suporte técnico.<br />
288 - Servidor MSN Messenger não responde<br />
Esta mensagem indica que os servidores do serviço MSN Messenger não estão<br />
respondendo. Verifique se a conexão com a Internet está funcionando corretamente.<br />
289 - Usuário entrou no MSN Messenger<br />
Esta mensagem é gerada todas as vezes que um usuário se autentica no serviço<br />
MSN Messenger através do Firewall<br />
290 - Usuário saiu do MSN Messenger<br />
Esta mensagem é gerada todas as vezes que um usuário sai do serviço MSN<br />
Messenger, passando através do Firewall<br />
291 - Usuário sem permissão tentou entrar no MSN Messenger<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 776
Esta mensagem é gerada todas as vezes que um usuário sem permissão tenta<br />
acessar o serviço MSN Messenger passando através do Firewall.<br />
292 - Ligação Iniciada<br />
Proxy SIP detectou o inicio de uma ligação.<br />
293 - Ligação Finalizada<br />
Proxy SIP detectou o fim de uma ligação.<br />
294 - Erro obtendo data de expiração do IDS<br />
Não foi possível ler a data de expiração de uma base IDS em disco. Provável base<br />
corrompida.<br />
295 - Erro fazendo download das atualizações dos filtros<br />
Esta mensagem indica que ocorreu um erro quando o firewall tentou fazer o<br />
download das novas assinaturas de IDS e/ou da Filtragem de aplicativos.Verifique o<br />
complemento para maiores informações.<br />
296 - <strong>Download</strong> das atualizações dos filtros completo<br />
Esta mensagem indica que o firewall conseguiu baixar uma nova atualização das<br />
assinaturas de IDS ou da Filtragem de Aplicativos.<br />
297 - Mensagem descartada por configuração do Spam Meter<br />
Esta mensagem é gerada quando uma mensagem de e-mail é descartada pelo<br />
proxy SMTP devido a ter recebido uma nota do Spam Meter cuja configuração do<br />
proxy indicou ao firewall para descartá-la.<br />
298 - Mensagem rejeitada por configuração do Spam Meter<br />
Esta mensagem é gerada quando uma mensagem de e-mail é rejeitada pelo proxy<br />
SMTP devido a ter recebido uma nota do Spam Meter cuja configuração do proxy<br />
indicou ao firewall para rejeitá-la.<br />
299 - Mensagem aceita pela configuração do Spam Meter<br />
Esta mensagem é gerada quando uma mensagem de e-mail é aceita pelo proxy<br />
SMTP devido ter recebido uma nota do Spam Meter cuja configuração do proxy<br />
indicou ao firewall para aceitá-la.<br />
300 - Mensagem modificada para treinamento pelo Spam Meter<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 777
Esta mensagem é gerada quando uma mensagem de e-mail é modificada pelo<br />
proxy SMTP para possibilitar seu treinamento pelo destinatário a fim de melhorar a<br />
classificação de futuras mensagens do Spam Meter.<br />
301 - Mensagem de debug do Antivírus<br />
Esta é uma mensagem com prioridade de depuração gerada pelo antivírus.<br />
Verifique os complementos para maiores informações.<br />
302 - Informação do Antivírus<br />
Esta é uma mensagem com prioridade de informação gerada pelo antivírus.<br />
Verifique os complementos para maiores informações.<br />
303 - Aviso importante do Antivírus<br />
Esta é uma mensagem com prioridade de aviso gerada pelo antivírus. Verifique os<br />
complementos para maiores informações.<br />
304 - Mensagem de alerta do Antivírus<br />
Esta é uma mensagem com prioridade de alerta gerada pelo antivírus. Verifique os<br />
complementos para maiores informações.<br />
305 - O Antivírus encontrou um erro<br />
Esta é uma mensagem com prioridade de erro gerada pelo antivírus. Verifique os<br />
complementos para maiores informações.<br />
306 - Mensagem de debug do Spam Meter<br />
Esta é uma mensagem com prioridade de depuração gerada pelo Spam Meter.<br />
Verifique os complementos para maiores informações.<br />
307 - Informação do Spam Meter<br />
Esta é uma mensagem com prioridade de informação gerada pelo Spam Meter.<br />
Verifique os complementos para maiores informações.<br />
308 - Aviso importante do Spam Meter<br />
Esta é uma mensagem com prioridade de aviso gerada pelo Spam Meter. Verifique<br />
os complementos para maiores informações.<br />
309 - Mensagem de alerta do Spam Meter<br />
Esta é uma mensagem com prioridade de alerta gerada pelo Spam Meter. Verifique<br />
os complementos para maiores informações.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 778
310 - O Spam Meter encontrou um erro<br />
Esta é uma mensagem com prioridade de erro gerada pelo Spam Meter. Verifique<br />
os complementos para maiores informações.<br />
311 - Mensagem de debug do Web Content Analyzer<br />
Esta é uma mensagem com prioridade de depuração gerada pelo <strong>Aker</strong> Web Content<br />
Analyzer. Verifique os complementos para maiores informações.<br />
312 - Informação do Web Content Analyzer<br />
Esta é uma mensagem com prioridade de informação gerada pelo <strong>Aker</strong> Web<br />
Content Analyzer. Verifique os complementos para maiores informações.<br />
313 - Aviso importante do Web Content Analyzer<br />
Esta é uma mensagem com prioridade de aviso gerada pelo <strong>Aker</strong> Web Content<br />
Analyzer. Verifique os complementos para maiores informações.<br />
314 - Mensagem de alerta do Web Content Analyzer<br />
Esta é uma mensagem com prioridade de alerta gerada pelo <strong>Aker</strong> Web Content<br />
Analyzer. Verifique os complementos para maiores informações.<br />
315 - O Web Content Analyzer encontrou um erro<br />
Esta é uma mensagem com prioridade de erro gerada pelo <strong>Aker</strong> Web Content<br />
Analyzer. Verifique os complementos para maiores informações.<br />
316 - Conexão TCP em segundo endereço IP recusada pelo proxy SSL<br />
Esta mensagem indica que um mesmo usuário tentou se conectar ao mesmo tempo<br />
na Proxy SSL a partir de duas máquinas distintas e o firewall estava configurado<br />
para não permitir tal acesso.<br />
317 - Relatório gerado e publicado com sucesso<br />
Esta mensagem indica que um relatório que estava agendado foi gerado e<br />
publicado com sucesso pelo firewall.<br />
318 - Erro conectando ao serviço de quotas<br />
Algum proxy não conseguiu comunicar-se com o processo responsável pelas<br />
quotas. Verifique se o fwquotad está executando e/ou reinicie o seu equipamento.<br />
319 - Erro de parse do corpo SDP<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 779
Mensagem inválida no proxy SIP, os complementos dessa mensagem informam o<br />
erro específico.<br />
320 - Finalização de treinamento de mensagem<br />
Treinamento de mensagem SMTP finalizada com sucesso. O complemento da<br />
mensagem mostra o tipo classificado e a nota obtida.<br />
321 - Erro ao conectar no servidor Spam Meter<br />
Erro ao se comunicar com o processo responsável por treinar mensagens SMTP.<br />
Verifique suas configurações de Spam Meter e tente novamente.<br />
322 - Erro ao carregar contextos SMTP<br />
Não é mais utilizado.<br />
323 - Erro carregando listas de categorias<br />
Não foi possível carregar a lista de categorias. Verifique suas configurações de<br />
analisador de contexto e tente novamente.<br />
324 - Erro de comunicação com o servidor de quotas<br />
Erro ao se comunicar com o servidor de quotas. O complemento da mensagem<br />
mostra detalhes sobre o erro.<br />
325 -Quota de bytes expirada<br />
Quota de bytes foi consumida pelo usuário.<br />
326 -Quota de bytes insuficiente para a operação<br />
Não existem bytes suficientes para finalizar uma requisição ainda não iniciada. O<br />
início da transferência não foi permitido.<br />
327 -Quota de tempo expirada<br />
Informação sobre uma quota de tempo que foi expirada.<br />
328 -Resposta para request nunca visto ou já expirado<br />
O proxy SIP encontrou uma resposta inesperada.<br />
329 -Interface de rede desconectada<br />
Interface do heart beat ficou inativa. O complemento é a interface.<br />
330 -Interface de rede conectada<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 780
Interface do heart beat ficou ativa. O complemento é a interface.<br />
331 -Rota adicionada<br />
O Zebrad adicionou uma rota no firewall.<br />
332 -Rota removida<br />
O Zebrad removeu uma rota no firewall.<br />
333 -Erro de comunicação com o servidor de rotas<br />
Ocorreu um erro de comunicação do firewall com o processo Zebrad. Verifique o<br />
status do processo e tente novamente.<br />
334 -Erro de comunicação DCE-RPC<br />
Ocorreu uma falha irrecuperável durante a conexão do proxy DCE-RPC. Os<br />
complementos da mensagem mostram detalhes do erro de conexão.<br />
335 -Servidor DCE-RPC aceito<br />
Conexão do proxy DCE-RPC foi aceita pelas regras do proxy, o complemento<br />
mostra os IPs conectados e o a UUID aceita.<br />
336 -Servidor DCE-RPC bloqueado<br />
Conexão do proxy DCE-RPC foi rejeitada pelas configurações. O complemento<br />
mostra os IPs conectados e as UUID rejeitada.<br />
337 -Erro conectando ao servidor<br />
O Proxy transparente DCE-RPC não conseguiu se conectar ao servidor. O<br />
complemento mostra o erro ocorrido.<br />
338 -Erro na conexão SIP sobre TCP<br />
Proxy SIP encontrou um erro durante a conexão. O primeiro complemento detalha<br />
os erros que ocorreram.<br />
339 -Consumo de quota<br />
Quota consumida por um usuário. O primeiro complemento é o usuário que<br />
consumiu, o segundo é o tempo ou bytes consumidos.<br />
340 -Contabilidade de tráfego HTTP (WWW)<br />
Evento de contabilização HTTP, utilizado normalmente para a geração de relatórios,<br />
por padrão vem desabilitado.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 781
341 -Contabilidade de tráfego HTTP (downloads)<br />
Evento de contabilização de downloads HTTP, utilizado normalmente para a<br />
geração de relatórios, por padrão vem desabilitado.<br />
342 -Contabilidade de tráfego FTP (downloads)<br />
Dados de download foram enviados através do proxy FTP.<br />
343 -Contabilidade de tráfego FTP (uploads)<br />
Dados de uploads foram enviados através do proxy FTP.<br />
344 -Versão não suportada do Web Content Analyzer<br />
Não é mais utilizado.<br />
345 - Pacote de transferência de arquivos não consta na lista de transferência<br />
ativas<br />
Um cliente tentou transferir um arquivo, mas os dados relativos à informação de<br />
transferência de arquivos não foram enviados. Por favor, utilize um cliente<br />
Messenger válido.<br />
346 - Erro interno no Proxy messenger<br />
Erro grave envolvendo o proxy MSN ocorreu, por favor contate o suporte <strong>Aker</strong>.<br />
347 - Proxy messenger não pode salvar o arquivo em disco<br />
Não foi possível salvar o arquivo temporariamente em disco. Verifique se o firewall<br />
possui espaço em disco suficiente para operar e tente novamente.<br />
348 - Arquivo infectado foi bloqueado<br />
Arquivo transferido através do proxy MSN foi analisado e possui vírus. Arquivo<br />
bloqueado. O complemento dessa mensagem é o nome do arquivo.<br />
349 - Arquivo não tem vírus<br />
Arquivo transferido através do proxy MSN foi analisado, não possui vírus e o arquivo<br />
aceito. O complemento dessa mensagem descreve o nome do arquivo.<br />
350 - Erro no Antivírus<br />
O módulo de integração antivírus e proxy MSN apresentou um erro durante a<br />
comunicação com o servidor de antivírus. Verifique as configurações do servidor,<br />
regras de filtragem do firewall e tente novamente. O complemento da mensagem<br />
descreve a etapa de comunicação que falhou.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 782
351 - Excesso de tentativas inválidas, IP bloqueado<br />
Por padrão, o firewall bloqueia durante cinco minutos todas tentativas de conexão<br />
de um determinado IP caso ele possua três tentativas consecutivas inválidas. O<br />
complemento dessa mensagem é o IP que foi bloqueado.<br />
352 - Exportação de log realizada com sucesso<br />
Gerado ao final da exportação de log e nenhum erro foi detectado. O título do<br />
relatório e o ip da máquina/diretório estão no complemento.<br />
353 - Exportação de evento realizada com sucesso<br />
Gerado ao final da exportação de eventos e nenhum erro foi detectado. O título do<br />
relatório e o ip da máquina/diretório estão no complemento.<br />
354 - Falha ao conectar no servidor FTP para exportar logs ou eventos<br />
Não foi possível conectar-se no servidor FTP para exportar logs ou ventos. O título e<br />
o motivo da falha estão no complemento.<br />
355 - Falha para copiar log ou evento para pasta local<br />
Não foi possível copiar os relatórios na máquina local. Verifique a permissão do<br />
diretório de destino e espaço em disco. O título do relatório está no complemento.<br />
356 - Erro criando arquivo local para ser exportado<br />
Não foi possível criar arquivos para exportá-los. Verifique a permissão do diretório<br />
temporário e o espaço em disco. O título do relatório está no complemento.<br />
357 - Limite configurado de conexões a partir do endereço IP excedido<br />
Por padrão, o firewall bloqueia durante cinco minutos todas tentativas de conexão<br />
de um determinado IP caso ele possua três tentativas consecutivas inválidas. O<br />
complemento dessa mensagem é o IP que foi bloqueado.<br />
358 – Versão do MSN Bloqueada para utilização<br />
Evento informa que uma versão não permitida do cliente MSN foi bloqueada.<br />
359 – Logando a conversação do MSN Messenger<br />
Evento loga dados do chat entre os usuários do Proxy MSN.<br />
360 – Autenticação para conexão PPTP Aceita<br />
Evento gerado quando uma conexão PPTP foi realizada com sucesso.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 783
361 - Autenticação para conexão PPTP rejeitada<br />
Evento gerado quando uma conexão PPTP foi rejeitada por falha no logon.<br />
362 – Conexão PPTP estabelecida.<br />
Evento gerado quando uma conexão PPTP foi realizada com sucesso.<br />
363 - Conexão PPTP encerrada<br />
Evento gerado quando uma conexão PPTP foi finalizada.<br />
364 – Excesso de tentativas de logon incorreto<br />
Evento é gerado quando um usuário através do <strong>Aker</strong> Client ou Cliente Java erra o<br />
usuário ou a senha 5 vezes. Seu Ip é bloqueado por 49 minutos.<br />
40.3. Formato de exportação de logs e eventos<br />
O formato dos dados exportados segue esta sequência:<br />
<br />
Exemplo de um evento gerado pelo Filtro Web:<br />
URL_ACEITA Usuario/Autenticado, Perfil ip Origem,host<br />
19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD<br />
,Suporte Técnico,10.2.0.243,http://189.22.237.40/<br />
40.4. Eventos gerados pelo <strong>Aker</strong> Firewall<br />
40.4.1. Eventos gerados pelo Filtro Web<br />
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO<br />
DA MENSAGEM, MSG1, MSG2<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 784
ERRO_AUTH_PROXY Usuario/Autenticado ip Origem<br />
16/01/2010,15:28:51,Info,340, Proxy HTTP, Falha de autenticacao para proxy<br />
,rodrigo.aranha/AD,source: 10.4.0.186<br />
NAO_CADASTRADO_PROXY NULL ORIGEM 16/01/2010,15:28:51,Info,340,<br />
Proxy HTTP, Usuario nao cadastrado para proxy, , source: 10.4.0.186<br />
HTTP_VIRUS_CLEANED NOME DO VIRUS URL do virus<br />
20/01/2010,10:43:17,Warning,246,Proxy HTTP,Arquivo com virus<br />
desinfectado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip<br />
HTTP_VIRUS_BLOCKED NOME DO VIRUS URL do virus<br />
20/01/2010,10:43:17,Warning,247,Proxy HTTP,Arquivo com virus<br />
bloqueado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip<br />
HTTP_VIRUS_NS_CORRUPT NULL URL do Virus<br />
20/01/2010,10:43:17,Warning,248,Proxy HTTP,Arquivo nao pode ser<br />
analisado pois estava corrompido,,http://www.eicar.org/download/eicarcom2.zip<br />
HTTP_VIRUS_NS_CRYPT NULL URL do Virus<br />
20/01/2010,10:43:17,Warning,249,Proxy HTTP,Arquivo nao pode ser<br />
analisado pois estava cifrado,,http://www.eicar.org/download/eicarcom2.zip<br />
HTTP_DOWNLOAD_ACCOUNTING Usuario/Autenticado - Perfil Origem IP -<br />
Destino IP e URL 19/01/2010,08:41:05,Info,341, Proxy HTTP,Contabilidade de<br />
trafego HTTP (downloads),recepcao/AD - 0.102 s,Up 175 B - Dw 285 B URL:<br />
http://www.google.com/<br />
HTTP_WWW_ACCOUNTING Usuario/Autenticado - Perfil Origem IP -<br />
Destino IP e URL 16/01/2010,15:28:51,Info,340, Proxy HTTP, Contabilidade de<br />
trafego HTTP (WWW),rodrigo.aranha/AD - 0.933 s,Up 424 B - Dw 562 B URL:<br />
http://www.google.com/<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 785
QUOTA_EXPIRED_BYTES Usuario/Autenticado - Perfil Origem IP -<br />
Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes<br />
expirado,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86<br />
URL: http://www.google.com<br />
QUOTA_EXPIRED_TIME Usuario/Autenticado - Perfil Origem IP - Destino IP e<br />
URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de tempo<br />
expirada,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86<br />
URL: http://www.google.com<br />
QUOTA_INSUFFICIENT_BYTES Usuario/Autenticado - Perfil Origem IP -<br />
Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes<br />
insuficiente para a operacao,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229<br />
Destino: 74.125.45.86 URL: http://www.google.com<br />
URL_ACEITA Usuario/Autenticado, Perfil ip Origem,host<br />
19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD<br />
,Suporte Técnico,10.2.0.243,http://189.22.237.40/<br />
URL_REJEITADA Usuario/Autenticado, Perfil ip Origem,host<br />
19/01/2010,13:43:34,Notice,097 Proxy HTTP,URL rejeitada,lidia.silva/AD<br />
,Adminsitrativo,10.0.0.229,http://www.google.com<br />
URL_BANNER Usuário/Autenticaçao - Perfil Origem: IP Destino: IP URL:<br />
URL 19/01/2010,08:49:19,Notice,098, Proxy HTTP,Banner<br />
removido,apoio.administrativo/AD - Adminsitrativo,Origem: 10.0.0.234 Destino:<br />
64.233.163.149 URL:<br />
http://ad.doubleclick.net/adi/gna.br/homepage;tile=4;sz=234x100;ord=196681?area<br />
ERRO_CON_ANALISADOR IP do analizador NULL<br />
27/01/2010,19:38:24,Error,119, Proxy HTTP,Erro ao conectar com Web<br />
Content Analyzer,127.0.0.1,<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 786
QUOTA_COMM_ERR quota read: retorno e erro NULL<br />
19/01/2010,18:42:01,Warning,324,Proxy HTTP,Erro de comunicacao com o<br />
servico de quotas,quota read: -3 25,<br />
NAO_LEU_ACL NULL NULL 19/01/2010,18:42:01,Error,64,Proxy HTTP,Erro ao<br />
carregar perfis de acesso,,<br />
NAO_LEU_CATLIST Retorno da função e errno NULL<br />
19/01/2010,18:16:01,Error,323,Erro carregando lista de categorias, -2 34<br />
QUOTA_INIT_ERR socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN<br />
Messenger,Erro conectando ao servico de quotas, 7 13,<br />
ERRO_SERV_AUTH connect (errno) NULL<br />
20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao comunicar<br />
com servidor de autenticacao,connect(10),<br />
v_auth NULL 20/01/2010,11:28:56,Error,109,Proxy MSN<br />
Messenger,Erro ao comunicar com servidor de autenticacao,v_auth,<br />
40.4.2. Eventos gerados pelo Proxy MSN<br />
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA<br />
MENSAGEM, MSG1, MSG2<br />
IP – Profiçao Passaportes Usuario->com quem [Tempo de conversa ]\nNome do<br />
Usuario\Autenticação 27/01/2010,19:03:34,Info,279, Proxy MSN<br />
Messenger,Conversacao do MSN Messenger finalizada,IP: 192.168.222.254 - Prof:<br />
Suporte Técnico,Passports: diogo.falcomer@gmail.com -><br />
pablo_viana@hotmail.com [ 00:01:15 ] Username: diogo.falcomer/AD<br />
IP – Profiçao Passaporte [Tempo de conversa] \nNome do Usuario\Autenticação<br />
27/01/2010,19:23:24,Info,290, Proxy MSN Messenger,Usuario saiu do MSN<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 787
Messenger,IP: 10.3.0.6 - Prof: Suporte Técnico,Passport:<br />
edilson.moura@aker.com.br [ 00:07:53 ] Username: edilson.moura/AD<br />
Cant connect Server : IP 27/01/2010,19:23:30,Warning,350,Proxy MSN<br />
Messenger,Erro no antivirus,Cant Connect, Server:xxx.xxx.xxx.xxx<br />
av_auth Unable to auth 27/01/2010,19:23:30,Warning,350,Proxy MSN<br />
Messenger,Erro no antivirus,av_auth,Unable to auth<br />
av_greeting_h Can't receive server greeting header<br />
27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no<br />
antivirus,av_greeting_h,Can't receive server greeting headert<br />
av_greeting_b Can't receive server greeting body<br />
27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no<br />
antivirus,av_greeting_b,Can't receive server greeting body<br />
av_send_file Can't send file to AV 27/01/2010,19:23:30,Warning,350,Proxy<br />
MSN Messenger,Erro no antivirus,av_send_file,Can't send file to AV<br />
av_get_answer Can't get answer from AV<br />
27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no<br />
antivirus,av_get_answer, Can't get answer from AV<br />
av_get_answer Error on answer received<br />
27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus,<br />
Error on answer received<br />
IP: - TimeOut: Passaporte: \nNome do Usuario\Autenticação<br />
27/01/2010,18:18:30,Notice,286, Proxy MSN Messenger,Conexao encerrada<br />
por timeout,IP: 10.2.0.217 - Timeout: 600 s,Passport: edilson.moura@aker.com.br<br />
Username: edilson.moura/AD<br />
sendto Error: inteiro Errno: inteiro 20/01/2010,12:38:49,Warning,109, Proxy<br />
MSN Messenger,Erro ao comunicar com servidor de autenticacao,sendto,error: -3<br />
errno: 11<br />
find Prof: nome da profiçao 20/01/2010,12:38:49,Warning,109, Proxy MSN<br />
Messenger,Erro ao comunicar com servidor de autenticacao,find,Suporte Técnico<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 788
IP – Profiçao Passaporte: \nNome do Usuario\Autenticação<br />
20/01/2010,12:36:44,Info,289,Proxy MSN Messenger,Usuario entrou no MSN<br />
Messenger,IP: 10.0.0.232 - Prof: Adminsitrativo,Passport:<br />
diego.fernandes@aker.com.br Username: recepcao/AD<br />
From Cliente ou Servidor , Ret: erro Mensagem<br />
15/01/2010,17:39:57,Error,287,Proxy MSN Messenger,Erro analisando a<br />
mensagem,from server, ret = -43,MSG madanovavida2009@hotmail.com<br />
[i][b]Mada..."HOJE%20tudo%20SERÃÂ%20para%20SEMPRE..."[/b][/i]<br />
248^M<br />
File infected FILENAME 20/01/2010,12:36:44,Warning,348,Proxy<br />
Messenger,Arquivo infectado foi bloqueado,File Infected,trojan.exe<br />
MSN<br />
File clean FILENAME 20/01/2010,16:16:58,Info,349,Proxy MSN<br />
Messenger,Arquivo nao tem virus,File clean,chines.TXT<br />
session id: SESSION ID 25/01/2010,19:34:35,Warning,345,Proxy MSN<br />
Messenger,Pacote de transferencia de arquivo nao consta na lista de transferencias<br />
ativas,session id:,2628610983<br />
nome da função Empty File! Sess_d: ID 20/01/2010,16:16:59,Error,346,Proxy<br />
MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Empty<br />
file! Sess_id: 26192345<br />
nome da função Out of order packet! Current: pkg, Expected: pkg<br />
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy<br />
messenger,msn_get_msnp2p_data,Out of order packet! Current:current_pkg<br />
Expected: Expected_<br />
nome da função "Error on fork! Numero da Linha<br />
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy<br />
messenger,msn_get_msnp2p_data,Error on fork! Line: 2736<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 789
unable to write on disk! errno: INTEIRO 20/01/2010,16:16:59,Error,347,Proxy<br />
MSN Messenger,Proxy messenger nao pode salvar o arquivo em disco,unable to<br />
write on disk, errno: 34<br />
Nome do arquivo (tamanho) – Prof: profissao. Passaportes Usuario->com quem<br />
\nNome do Usuario\Autenticação 20/01/2010,11:43:39,Info,282,Proxy MSN<br />
Messenger,Convite para transferencia de arquivo via MSN Messenger<br />
permitido,'messages_20jan10.RAR' (87976 bytes) - Prof: Suporte Té,Passports:<br />
victor.aker@hotmail.com -> thiago.divino@gmail.com Username: victor.rossi/AD<br />
Nome do arquivo (tamanho) – Prof: profissao. Passaportes Usuario->com quem<br />
\nNome do Usuario\Autenticação 20/01/2010,15:45:42,Notice,283,Proxy MSN<br />
Messenger,Transferencia de arquivo via MSN Messenger bloqueada,'VPNs.DOC'<br />
(569856 bytes) - Prof: Suporte Técnico,Passports: edilson.moura@aker.com.br -><br />
lucas.pereira@aker.com.br Username: edilson.moura/AD<br />
id de um serviço do msn – Prof: Profição Passaportes Usuario->com quem<br />
\nNome do Usuario\Autenticação 20/01/2010,15:45:42,Info,283,Convite para uso de<br />
aplicativo via MSN Messenger permitido,transferencia de arquivo - Prof: Suporte<br />
Técnico,Passports: edilson.moura@aker.com.br -> lucas.pereira@aker.com.br<br />
Username: edilson.moura/AD<br />
id de um serviço do msn – Prof: Profição Passaportes Usuario->com quem<br />
\nNome do Usuario\Autenticação 20/01/2010,15:45:42,Notice,284,Uso de aplicativo<br />
via MSN Messenger nao permitido, jogo - Prof: Suporte Técnico,Passports:<br />
edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username:<br />
edilson.moura/ADse<br />
IP – Profiçao Passaportes Usuario->com quem \nNome do Usuario\Autenticação<br />
20/01/2010,11:28:56,Notice,278,Proxy MSN Messenger,Conversacao do<br />
MSN Messenger bloqueada,IP: 10.0.0.234 - Prof: Adminsitrativo,Passports:<br />
josimar_hip@yahoo.com -> recepcao@aker.com.br Username:<br />
apoio.administrativo/AD<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 790
IP – Profiçao Passaportes Usuario->com quem \nNome do Usuario\Autenticação<br />
20/01/2010,11:27:44,Info,277,Proxy MSN Messenger,Conversacao do MSN<br />
Messenger iniciada,IP: 10.2.0.204 - Prof: Suporte Técnico,Passports:<br />
victor.aker@hotmail.com -> vlandemir@msn.com Username: victor.rossi/AD<br />
IP – Profiçao Passaporte do Usuario \nNome do Usuario\Autenticação<br />
20/01/2010,11:27:44,Notice,291,Proxy MSN Messenger,Usuario sem<br />
permissao tentou entrar no MSN Messenger,10.4.0.19 – Prof: Estagiário,<br />
bruno.lobo@aker.com.br bruno.lobo/AD<br />
IP – Profiçao Passaporte do Usuario \nNome do Usuario\Autenticação<br />
20/01/2010,11:27:44,Notice,281,Proxy MSN Messenger,Notificacao do<br />
Hotmail bloqueada,10.4.0.19 – Prof: Estagiário, bruno.lobo@aker.com.br<br />
bruno.lobo/AD<br />
NULL IP do servidor : porta do servidor 19/01/2010,18:42:01,Warning,288,Proxy<br />
MSN Messenger,Servidor MSN Messenger nao responde, ,65.54.52.254:1863<br />
clfwquota_test_and_consume(): retorno e erro NULL<br />
19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro de<br />
comunicacao com o servico de quotas,clfwquota_test_and_consume(): -3 25,<br />
clfwquota_read(): NULL 19/01/2010,18:42:01,Warning,324,Proxy MSN<br />
Messenger,Erro de comunicacao com o servico de quotas,clfwquota_read(): -3 25,<br />
NULL NULL 20/01/2010,11:28:56,Notice,314,Proxy MSN Messenger,Quota de<br />
bytes expirada,,<br />
NULL NULL 20/01/2010,11:28:56,Notice,316,Proxy MSN Messenger,Quota de<br />
tempo expirada,,<br />
socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN Messenger,Erro<br />
conectando ao servico de quotas, 7 13,<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 791
40.4.3. Eventos gerados pelo Proxy POP3<br />
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO<br />
DA MENSAGEM, MSG1, MSG2<br />
POP3_SRV_RCV Sourec (IP) -> Destino(IP:Porta) CMD:<br />
recv<br />
27/01/2010,19:23:30,Warning,226,Proxy POP3,Erro recebendo dados do<br />
servidor POP3,10.4.0.19 -> 10.4.0.186:1080,CMD: recv<br />
CMD: fcntl<br />
POP3_LINE_TOO_LONG Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo<br />
cliente de POP3<br />
POP3_CLI_RCV<br />
Sourec (IP) -> Destino(IP:Porta) CMD: fcntl<br />
CMD: recv<br />
POP3_CLI_SND<br />
Sourec (IP) -> Destino(IP:Porta) NULL<br />
POP3_SRV_SND Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo cliente de<br />
POP3<br />
POP3_SRV_INVALID_ANSWER Sourec (IP) -> Destino(IP:Porta) Texto<br />
pelo cliente de POP3<br />
digitado<br />
POP3_SRV_CONNECT Sourec (IP) -> Destino(IP:Porta) NULL<br />
POP3_SRV_NOT_AVAIL Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo<br />
cliente de POP3<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 792
POP3_INVALID_CMD Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo<br />
cliente de POP3<br />
POP3_OPEN_FILE Sourec (IP) -> Destino(IP:Porta) (erro) nome do arquivo<br />
POP3_WRITE_FILE<br />
Sourec (IP) -> Destino(IP:Porta) nome do arquivo<br />
POP3_OUT_OF_SPACE Sourec (IP) -> Destino(IP:Porta) nome do arquivo<br />
POP3_MIME_ERROR<br />
Sourec (IP) -> Destino(IP:Porta) errno<br />
POP3_STLS_MODE<br />
Sourec (IP) -> Destino(IP:Porta) NULL<br />
40.4.4. Eventos gerados pelo Proxy SMTP<br />
MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA<br />
MENSAGEM, MSG1, MSG2<br />
Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL<br />
27/01/2010,19:23:30,Warning,226,Proxy SMTP,Mensagem SMTP<br />
aceita,Mensagem enviada,Source 10.4.0.19 – Destination: 10.4.0.18\nFrom bruno.l<br />
bruno.lobo2@aker.com.brobo@aker.com.br - To:<br />
Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL<br />
Source: IP – Destination:IP<br />
Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL<br />
Source: IP – Destination:IP<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 793
Source: IP - Destination:IP<br />
Source: IP - Destination:IP<br />
Source: IP - Destination:IP<br />
Source: IP - Destination:IP<br />
Source: IP - Destination:IP<br />
Source: IP - Destination:IP<br />
Source: IP - Destination:IP<br />
Source: IP - Destination:IP<br />
Source: IP - Destination:IP<br />
Source: IP - Destination:IP<br />
Source: IP - Destination:IP<br />
Regra: Nome da regra<br />
Regra: Nome da regra<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 794
Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL<br />
Source: IP – Destination:IP- Size: Tamanho\nFrom: EMAIL – To: EMAIL<br />
Source: IP – Destination:IP- Size: Tamanho\nFrom: EMAIL – To: EMAIL<br />
40.4.5. Eventos gerados pelo Módulo de IDS/IPS e filtro de aplicativos<br />
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA<br />
MENSAGEM, MSG1, MSG2<br />
op = INT, errno = INT NULL 27/01/2010,19:23:30,Warning,Analise profunda e<br />
IDS interno,Erro ao enviar dados para o kernel do Firewall,op = 1, errno = 34,<br />
“IDS rule”<br />
NULL<br />
“Commit”<br />
st: INT num: INT errno: INT<br />
origem:IP ORIGEM, temp: EM HORA “Modulo de IDS/IPS”\nRaso(STRING)<br />
origem:IP ORIGEM, temp: EM HORA “Modulo de filtragem de<br />
aplicativos”\nRaso(STRING)<br />
Pipe Name(STRING), PESO(STRING) (IP:PORTA) -> (IP:PORTA)<br />
(IP:PORTA) -> (IP:PORTA)<br />
NULL<br />
Retorno da função(INT), ERRNO(INT) NULL<br />
NULL (INT) Pacotes perdidos em (INT) segundos<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 795
NULL (INT)TAMANHO DO PACOTE < (INT) TAMANHO DO PACOTE IP<br />
NULL NULL<br />
Err: Retorno(INT) Errno(INT)<br />
NULL<br />
Aonde ocorreu o erro(STRING) Motivo (STRING)<br />
Aonde ocorreu o erro(STRING) Motivo (STRING)<br />
“Filters applied successfully”<br />
NULL<br />
"avisando"<br />
NULL<br />
“not start slave”<br />
NULL<br />
“<strong>Download</strong> started (master)”<br />
NULL<br />
"Filters applied successfully (slave)"<br />
NULL<br />
Nome do arquivo (STRING)<br />
“updates"<br />
“updates"<br />
sk: (INT), st: (INT), err: (INT), errno: (INT)"<br />
“errno: ” (INT)<br />
NULL<br />
"expiration" sk: (INT), st: (INT), err: (INT), errno: (INT)"<br />
Err: Retorno(INT) Errno(INT)<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 796
Regras do perfil: Nome(STRING)<br />
Err: Retorno(INT)<br />
NULL Motivo (STRING)<br />
Err: Retorno(INT) Errno(INT)<br />
40.4.6. Eventos gerados pelo <strong>Aker</strong> Antivirus Module<br />
Tipo de mensagem Complemento 1 Complemento 2<br />
Information<br />
License expiration date updated successfully NULL<br />
02/04/2010,17:24:03,Informação do Antivírus,License expiration date updated<br />
successfully,<br />
Engine successfully loaded Engine(PANDA OU AVG)<br />
02/04/2010,17:24:03,Informação do Antivírus,Engine successfully<br />
loaded,AVG<br />
Update installed successfully Nome do arquivo<br />
02/04/2010,17:24:03,Informação do Antivírus,Update installed<br />
successfully,update.tar<br />
License applied successfully NULL<br />
02/04/2010,17:24:03,Informação do Antivírus,License applied successfully,<br />
Configuration applied NULL 02/04/2010,17:24:03,Informação do<br />
Antivírus,Configuration,applied<br />
Patch/hotfix applied successfully Hora de aplicação<br />
02/04/2010,17:24:03,Informação do Antivírus,Patch/hotfix applied<br />
successfully,Wed Feb 3 14:24:04 2010<br />
Patch/hotfix rollback applied successfully Hora de aplicação<br />
02/04/2010,17:24:03,Informação do Antivírus,Patch/hotfix rollback applied<br />
successfully,Wed Feb 3 14:24:04 2010<br />
User authenticated PID do processo que esta logando<br />
02/04/2010,17:24:03,Informação do Antivírus,User authenticated,1964<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 797
Signatures database backup loaded NULL<br />
02/04/2010,17:24:03,Informação do Antivírus,Signatures database backup<br />
loaded,<br />
Manual update started Hora de aplicação<br />
02/04/2010,17:24:03,Informação do Antivírus,Manual update started,Wed Feb<br />
3 14:24:04 2010<br />
Signatures database already updated Hora de aplicação<br />
02/04/2010,17:24:03,Informação do Antivírus,Signatures database already<br />
updated,Wed Feb 3 14:24:04 2010<br />
Automatic update started Hora de aplicação<br />
02/04/2010,17:24:03,Informação do Antivírus,Automatic update started,Wed<br />
Feb 3 14:24:04 2010<br />
Update file downloaded successfully <strong>Download</strong> file Name(STRING)<br />
02/04/2010,17:24:03,Informação do Antivírus,Update file downloaded<br />
successfully,<strong>Download</strong>.tar.bz2<br />
Notice<br />
License not found NULL 02/03/2010,15:34:19,Aviso importante do<br />
Antivírus,License not found,<br />
File is corrupted PID do processo que esta logando<br />
02/03/2010,15:34:19,Aviso importante do Antivírus,File is corrupted,123456<br />
File is encrypted PID do processo que esta logando<br />
02/03/2010,15:34:19,Aviso importante do Antivírus,File is encrypted,123456<br />
Virus found Nome do virus(STRING) PID do processo que esta logando<br />
02/03/2010,15:34:19,Aviso importante do Antivírus,Virus found,virus.txt<br />
123465<br />
Configuration file not found, default loaded NULL<br />
02/03/2010,15:34:19,Aviso importante do Antivírus,Configuration file not<br />
found, default loaded,<br />
Update already in progress NULL 02/03/2010,15:34:19,Aviso<br />
importante do Antivírus,Update already in progress,<br />
Update canceled NULL 02/03/2010,15:34:19,Aviso importante do<br />
Antivírus,Update canceled,<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 798
Error<br />
Scan error PID do processo que esta logando<br />
02/03/2010,15:34:19,O Antivírus encontrou um erro,Scan error,123465<br />
Error changing license expiration date NULL 02/03/2010,15:34:19,O<br />
Antivírus encontrou um erro,Error changing license expiration date,<br />
No engine loaded NULL<br />
um erro,No engine loaded,<br />
02/03/2010,15:34:19,O Antivírus encontrou<br />
Error applying license NULL 02/03/2010,15:34:19,O Antivírus<br />
encontrou um erro,Error applying license,<br />
Connection lost with daemon “Engined” 02/03/2010,15:34:19,O<br />
Antivírus encontrou um erro,Connection lost with daemon,Engined<br />
Connection lost with daemon “Service” 02/03/2010,15:34:19,O<br />
Antivírus encontrou um erro,Connection lost with daemon, Service<br />
Warning<br />
Error loading engine Engine(PANDA OU AVG)<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error loading<br />
engine,Panda<br />
Error installing update Nome do arquivo<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error installing<br />
update,update.db<br />
Error applying configuration NULL<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error applying<br />
configuration,<br />
Error applying patch/hotfix Hora de aplicação<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error applying<br />
patch/hotfix,Wed Feb 3 14:24:04 2010<br />
Error trying patch/hotfix rollback Hora de aplicação<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error trying<br />
patch/hotfix rollback,Wed Feb 3 14:24:04 2010<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 799
Error getting system information NULL<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error getting system<br />
information,<br />
Error getting patch/hotfix history NULL<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error getting<br />
patch/hotfix history,<br />
Error authenticating user PID do processo que esta logando<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error authenticating<br />
user,123456<br />
Signatures database corrupted NULL<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Signatures database<br />
corrupted,<br />
Error loading signatures database backup NULL<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error loading<br />
signatures database backup,<br />
Error communicating with client IP<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error communicating<br />
with client,10.4.0.19<br />
Error loading signatures database backup NULL<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error loading<br />
signatures database backup,<br />
Update not allowed: Invalid license NULL<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update not allowed:<br />
Invalid license,<br />
Update error: error writing to disk NULL<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error: error<br />
writing to disk,<br />
Update error: memory allocation error NULL<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error: memory<br />
allocation error,<br />
Update file download failed Host do download<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update file<br />
download,failedavg.download.atualizacao/atualizacao.atz<br />
Update error: no file downloaded NULL<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error: no file<br />
downloaded,<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 800
Update error: corrupted file <strong>Download</strong> file Name(STRING)<br />
02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error:<br />
corrupted file,FileCorrupt.tar<br />
40.4.7. Eventos gerados pelo <strong>Aker</strong> Web Content Analizer<br />
Mensagem Complemento Date, Time, Tipo do evento, Message,<br />
Complement<br />
nome da categoria URLs database replacement failed<br />
02/05/2010,20:03:49,Informação do Web Content Analyzer,Informática URL<br />
Category found,http://www1.aker.com.br/sites/icones/sis-pixel1.gif<br />
upload: errno<br />
be sent<br />
upload: errno<br />
upload: errno<br />
upload: errno<br />
sent<br />
Error when mapping the compressed file containing the urls to<br />
Error when mapping the undefined urls files<br />
Error when opening the undefined urls files<br />
Error when opening the compressed file containing the urls to be<br />
NULL Error when opening the undefined urls files<br />
NULL Error when saving the file containing the urls to be uploaded<br />
NULL Error when compressing file to upload<br />
NULL There is no urls to be sent<br />
Urls: NUMERO DE URLS URLs successfully uploaded to <strong>Aker</strong><br />
upload: errno<br />
Socket creation error<br />
NULL Server returned error message after uploading<br />
Communication error<br />
Error when sending message to daemon<br />
(INT) Socket creation error<br />
erro(INT)<br />
CF: erro<br />
Error when reopening the undefined urls files<br />
Error when reopening the undefined urls files<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 801
Upload: (URL do servidor de download) NULL<br />
URL do servidor de Proxy NULL<br />
IP<br />
NULL<br />
Upload: (URL do servidor de download) Invalid URL<br />
URL do servidor de download<br />
Invalid URL<br />
FileName<br />
File not avaialable for download<br />
AKER header: Size File not avaialable for download<br />
no 'Content-length' nor 'chunked' nor 'close'<br />
File not avaialable for download<br />
cat_list.xml - no 'Last-Modified'<br />
Header do arquivo(STRING)<br />
File not avaialable for download<br />
File not avaialable for download<br />
FileName<br />
Error while opening update file<br />
makeindex Error while opening update file<br />
recv==0 header<br />
Error while downloading URLs update file<br />
FileName<br />
Error while downloading URLs update file<br />
AKER header chuncked: Chuncked<strong>Data</strong><br />
file<br />
comp_regs_len chuncked Chuncked<strong>Data</strong><br />
file<br />
Error while downloading URLs update<br />
Error while downloading URLs update<br />
uncompress buffer Error while downloading URLs update file<br />
Md5 buffer<br />
Error while downloading URLs update file<br />
regs num: numero de regras<br />
Error while downloading URLs update file<br />
No modified file of categories signature found! NULL<br />
Error code retuned from web server is not 200(OK)! NULL<br />
Nome do arquivo<br />
Error while writing URLs update file"<br />
Erro de comunicacao com processo pai <strong>Data</strong> send error<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 802
decompress_file: erro<br />
URLs database replacement failed<br />
Erro de comunicacao com processo pai URLs database replacement failed<br />
mmap: erro URLs database replacement failed<br />
“decompress_buffer: NULL”<br />
URLs database replacement failed<br />
DATA CORRENTE Updating daily URLs databasepdating daily URLs database<br />
CreateFile: erro<br />
Error when reopening the undefined urls files<br />
Erro de comunicacao com processo pai NULL<br />
FileName<br />
Invalid URL update file<br />
“Replication of undefined URL failed erro = errno”<br />
NULL<br />
/usr/local/akerurl/db/base.udx<br />
URLs database corrupt<br />
"cluster_read_st = AKERURL_REPL_URL_BASE" NULL<br />
Erro ao replicar URL indefinida NULL<br />
cluster_read_st = AKERURL_REPL_UNDEFS_URLS<br />
NULL<br />
URLs file replication failed<br />
URLs file replication failed (time index snd=erro)<br />
NULL<br />
URLs file replication failed (commit_st index = erro) NULL<br />
URLs file replication failed (send_file index = erro)<br />
NULL<br />
NULL URLs database replacement failed<br />
Fazendo o merge ou replace da base NULL<br />
nome do arquivo<br />
Error while opening update file<br />
/usr/local/akerurl/db/base.udx<br />
/usr/local/akerurl/db/base.udx<br />
Error while creating URLs update file<br />
Error while writing URLs update file<br />
NULL URls database replacement successfull<br />
x URLs Inseridas, x URLs, removidas, x URLs modificadas URls<br />
replacement successfull<br />
database<br />
FileName<br />
Error while reading URLs update file<br />
Erro de parser no arquivo xml de configuracao /usr/local/akerurl/aker_users.cfg<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 803
Erro de parser no arquivo xml de configuracao nome do arquivo<br />
Erro de parser no arquivo xml de configuracao file = Nome do arquivo - lang = Idioma<br />
empacota_user_cat_list fail<br />
NULL<br />
xmlNewDoc fail<br />
NULL<br />
Categories list was successfully updated!<br />
NULL<br />
Erro ao replicar o time index da base<br />
NULL<br />
Upload: (URL do servidor de download) NULL<br />
(URL do servidor de Proxy) connect: errno<br />
NULL<br />
(URL do servidor de Proxy) send: errno NULL<br />
Upload: (URL do servidor de download) NULL<br />
(URL do servidor de Proxy) connect: errno<br />
(URL do servidor de Proxy) send: errno<br />
NULL<br />
NULL<br />
Upload<br />
NULL<br />
NULL NULL<br />
Header len: NULL<br />
Ip<br />
NULL<br />
Upload<br />
<strong>Data</strong> receive error<br />
Header len: <strong>Data</strong> receive error<br />
select: erro <strong>Data</strong> receive error<br />
pkt: errno<br />
<strong>Data</strong> receive error<br />
Ip<br />
Firewall closed the connection<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 804
NULL Error while opening categories list<br />
envia_pacote: errno<br />
<strong>Data</strong> send error<br />
sendto client: erro <strong>Data</strong> send error<br />
NULL NULL<br />
FileMapping: erro(INT)<br />
MappingView: erro(INT)<br />
NULL<br />
NULL<br />
decompress_buffer: NULL NULL<br />
Ip<br />
NULL<br />
NULL URL<br />
NULL Activation key not found<br />
NULL Activation key expired. It will be no longer possible to update database.<br />
NULL Update license expired. It will be no longer possible to update database.<br />
lic_resp.erro = errno<br />
NULL<br />
Activation key will expire in few days<br />
Update key will expire in few days<br />
X remaining days<br />
X remaining days<br />
Ip<br />
NULL<br />
NULL NULL<br />
40.4.8. Eventos gerados pelo <strong>Aker</strong> Spam Meter<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 805
Mensagem Texto da Mensagem Complemento DATA, HORA, TIPO,<br />
COMPLEMENTO, TEXTO DA MENSAGEM<br />
LOG_BAYES_RECALC_START Iniciando recalculo de base NOME DA BASE<br />
02/06/2010,02:12:12 AM,Informação do Spam Mete,Base do<br />
sistema,Iniciando recálculo da base (Inactive Node)<br />
LOG_BAYES_AUTH_ERR<br />
Erro de autenticacao<br />
Header<br />
<strong>Data</strong><br />
LOG_BAYES_SEND_ERR Erro ao enviar dados NULL<br />
LOG_BAYES_RECV_ERR Erro ao receber dados NULL<br />
LOG_BAYES_NEW_CONNECTION Nova conexao recebida NULL<br />
LOG_BAYES_TIMEOUT Timeout na conexao<br />
NULL<br />
LOG_BAYES_INVALID_DATA Dados invalidos recebidos<br />
Packet Size<br />
Invalid Greeting Operation OP<br />
Greeting Size<br />
Context Number<br />
New classification data length<br />
New classification base name<br />
Message end length<br />
New training data length<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 806
New training base name<br />
ID training data length<br />
ID training base name<br />
<strong>Data</strong>base recalculation data length<br />
<strong>Data</strong>base recalculation base name<br />
<strong>Data</strong>base deletion base name<br />
LOG_BAYES_CONNECTION_OK<br />
Conexao autenticada OK<br />
Connection at port PORTA<br />
Connection protocl PROTOCOLO<br />
LOG_BAYES_MEM_ERR Erro de alocacao de memoria<br />
New context<br />
NULL<br />
Message list<br />
Adding recalculation - Base NOME_DA_BASE<br />
LOG_BAYES_ENGINE_ERR<br />
Erro retornado pelo engine<br />
Erasing system database – ERRO<br />
Changing database cache timeout – ERRO<br />
Erasing system database – ERRO<br />
Erasing database DATABASE NAME – ERRO<br />
New context - ERRO<br />
Classification new – training into the system database is not allowed<br />
Classification new - ERRO: NOME DA BASE"<br />
Op: OPERAÇÂO – ERRO<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 807
Classification end – ERRO<br />
Training new – ERRO<br />
Training end – ERRO<br />
ID training – ERRO<br />
Base delete – ERRO<br />
Erasing system database – ERRO<br />
Getting system update time – ERRO<br />
<strong>Data</strong>base merging – ERRO<br />
Getting system update time – ERRO<br />
LOG_BAYES_CONN_REFUSED Conexao recusada ao cliente Op<br />
OPERATION - State ESTADO<br />
LOG_BAYES_INVALID_STATE Estado invalido Op OPERATION - State<br />
ESTADO<br />
LOG_BAYES_INVALID_OP Operacao invalida Operation code OP_CODE<br />
unrecognized<br />
LOG_BAYES_CREATE_FILE_ERR<br />
ERRNO<br />
HAM and SPAM info file - Error<br />
HAM index file – Error ERRNO<br />
SPAM index file - Error ERRNO<br />
Users trainings file – Error ERRNO<br />
Temporary download file - Error ERRNO<br />
LOG_BAYES_DOWNLOAD_ERR Erro ao baixar nova base Error converting<br />
proxy data to base64<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 808
Error receiving header<br />
Bad header error<br />
Write file error<br />
Invalid data size error<br />
Uncompress error – ERRNO<br />
Bad hash error<br />
ERRNO<br />
Server replied HTTP status code ERRNO<br />
LOG_BAYES_PROXY_AUTH_ERR Erro ao autenticar no proxy Error<br />
converting proxy data to base64<br />
NOME DO PROXY<br />
LOG_BAYES_DOWNLOAD_START Iniciando download da base Base of<br />
DATA<br />
Complete base<br />
LOG_BAYES_DOWNLOAD_SUCCESSFULL <strong>Download</strong> completado OK<br />
NULL<br />
LOG_BAYES_RECALC_OK Recalculo completo OK NOME DA BASE<br />
Base: NOME DA BASE - %ERRNO<br />
LOG_BAYES_RECALC_ERR Erro ao recalcular base Base: NOME DA BASE -<br />
%ERRNO<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 809
LOG_BAYES_UPLOAD_START iniciando upload da base NULL<br />
LOG_BAYES_UPLOAD_SUCCESSFULL upload completado OK NULL<br />
LOG_BAYES_UPLOAD_ERR Erro ao enviar base Error resolving host<br />
END_PROXY<br />
Error creating connection socket<br />
Error ERRNO when opening update file FILENAME<br />
Erro converting string containing an Ipv4 into a proper address<br />
Error converting proxy data to base64<br />
Error %1 while connecting to proxy<br />
Error while sending HTTP request to proxy<br />
Error while sending HTTP request to server<br />
Error when reading header from file FILENAME<br />
Error while sending header to proxy<br />
Error while sending header to server<br />
Disk error when reading training file FILENAME<br />
Compress error – ERRNO<br />
Error sending compressed registers to proxy<br />
Error sending compressed registers to server<br />
Error sending trailer to proxy<br />
Error sending trailer to server<br />
Error receiving response header<br />
Transference was cancelled<br />
Proxy authentication required<br />
Server replied an error message<br />
Error opening Index <strong>Data</strong>base<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 810
Error opening Index <strong>Data</strong>base<br />
Users trainings file - Error ERRNO<br />
Empty Index <strong>Data</strong>base<br />
Corrupted Index <strong>Data</strong>base<br />
LOG_BAYES_LICENSE_EXPIRED Licenca expirou License expired DATA<br />
LOG_BAYES_ACCUMULATE_ERR erro ao acumular base NULL<br />
LOG_BAYES_PATCH_ERR<br />
Error validating the patch: ERRNO<br />
Error getting id in patch:- ERRNO<br />
Error getting history dir:- ERRNO<br />
Error applying the patch:- ERRNO<br />
Error getting history dir for get patch history:- ERRNO<br />
Error getting patch history:- ERRNO<br />
Error getting id for System info:- ERRNO<br />
Error getting history dir for System info:- ERRNO<br />
Error packing Cluster info:- ERRNO<br />
LOG_BAYES_PATCH_SUCCESSFULL aplicacao do patch ok NULL<br />
LOG_BAYES_BASE_BACKUP_ERR erro ao tentar fazer backup de bases de<br />
treinamentos de usuarios receiving database list<br />
generating backup file<br />
Opening File<br />
Reading File<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 811
error mapping file<br />
LOG_BAYES_BASE_BACKUP_SUCCESSFULL<br />
usuario completado com sucesso NULL<br />
backup de treinamentos de<br />
LOG_BAYES_BASE_RESTORE_ERR erro ao tentar restaurar backup das bases<br />
de treinamentos dos usuarios opening file<br />
temporary file is closed<br />
writing restore data<br />
error mapping file<br />
transfer error<br />
local user ID is different from the restore file ID<br />
transfer error<br />
unpacking data<br />
LOG_BAYES_BASE_RESTORE_SUCCESSFULL restauracao do backup das<br />
bases de treinamentos dos usuarios completado com sucesso NULL<br />
LOG_BAYES_MSG_CLASSIFY_SUCCESSFUL sucesso na classificacao de<br />
uma mensagem da interface Score: SCORE Id: ID<br />
Score: SCORE Base: NOME DA BASE<br />
Delta: (DELTA, DELTA_INTERNO)<br />
Cache rate: RATE<br />
LOG_BAYES_LOG_CONFIG_ERROR erro no processo de configuracao do<br />
servidor de log Error starting communication with <strong>Aker</strong> Log Server<br />
Error releasing log configuration<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 812
LOG_BAYES_SMALL_CACHE performance degradada por cache ser muito<br />
pequeno Erasing system database<br />
<strong>Data</strong>base listing<br />
Erasing database DATABASE NAME<br />
Classification new<br />
Training new<br />
ID training<br />
Base delete<br />
Erasing system database<br />
Recalc base – BASENAME<br />
Getting system update time<br />
Merging system base<br />
Getting system update time<br />
Gerenate probability base – BASENAME<br />
LOG_BAYES_MSG_TRAIN_SUCCESSFULL sucesso na classificacao de uma<br />
mensagem da interface Trained as TIPO - Base: BASENAME<br />
LOG_BAYES_CONNECTION_CLOSED<br />
conexao fechada MOTIVO<br />
LOG_BAYES_HOST_DL_ERR<br />
erro no download do arquivo de hosts<br />
ERRO<br />
Error creating file<br />
Error requesting data: ERRO<br />
Host list is empty<br />
Error packing data<br />
download already in progress<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 813
LOG_BAYES_WRITE_FILE_ERR Erro ao escrever em arquivo File<br />
FILENAME – Error ERRNO<br />
LOG_BAYES_HOST_DL_START iniciando download do arquivo de hosts<br />
NULL 02/02/2010,11:24:14,Informação do Spam Meter,,Iniciando download<br />
da lista de hosts (Active Node)<br />
LOG_BAYES_HOST_DL_SUCCESSFULL download do arquivo de hosts<br />
finalizado NULL 02/02/2010,11:24:14,Informação do Spam Meter,,<strong>Download</strong> da<br />
lista de hosts realizado com sucesso (Active Node)<br />
LOG_BAYES_BASE_DELETED base apagada BayesLog System database<br />
LOG_BAYES_DOWNLOAD_INFO informacao sobre download Invalid<br />
License<br />
<strong>Download</strong> already in progress<br />
<strong>Data</strong>base already updated<br />
LOG_BAYES_ROLLBACK_ERR erro ao aplicar o rollback de um patch Error<br />
getting rollback info – ERRNO<br />
Error getting history dir for rollback – ERRNO<br />
Error rollbacking patch – ERRNO<br />
LOG_BAYES_ROLLBACK_SUCCESSFULL<br />
NULL<br />
aplicacao do rollback de um patch ok<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 814
Apêndice B - Copyrights e<br />
Disclaimers<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 815
41. Apêndice B - Copyrights e Disclaimers<br />
Neste apêndice estão listados os disclaimers das bibliotecas e códigos fontes de<br />
terceiros utilizadas no <strong>Aker</strong> Firewall. Estes disclaimers se aplicam apenas às partes<br />
explicitamente citadas e não ao <strong>Aker</strong> Firewall como um todo. Eles estão citados aqui<br />
devido a exigências das entidades desenvolvedoras:<br />
Biblioteca DES<br />
Copyright (C) 1995 Eric Young (eay@mincom.oz.au)<br />
All rights reserved.<br />
This library and applications are<br />
FREE FOR COMMERCIAL AND NON-COMMERCIAL USE<br />
as long as the following conditions are aheared to.<br />
Copyright remains Eric Young's, and as such any Copyright notices in<br />
the code are not to be removed. If this code is used in a product,<br />
Eric Young should be given attribution as the author of the parts used.<br />
This can be in the form of a textual message at program startup or<br />
in documentation (online or textual) provided with the package.<br />
Redistribution and use in source and binary forms, with or without<br />
modification, are permitted provided that the following conditions<br />
are met:<br />
1. Redistributions of source code must retain the copyright<br />
notice, this list of conditions and the following disclaimer.<br />
2. Redistributions in binary form must reproduce the above copyright<br />
notice, this list of conditions and the following disclaimer in the<br />
documentation and/or other materials provided with the distribution.<br />
3. All advertising materials mentioning features or use of this software<br />
must display the following acknowledgement:<br />
This product includes software developed by Eric Young (eay@mincom.oz.au)<br />
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND ANY EXPRESS<br />
OR<br />
IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED<br />
WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR<br />
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR<br />
CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,<br />
SPECIAL,<br />
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED<br />
TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,<br />
DATA,<br />
OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON<br />
ANY<br />
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT<br />
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 816
THE<br />
USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH<br />
DAMAGE.<br />
The licence and distribution terms for any publically available version or<br />
derivative of this code cannot be changed. i.e. this code cannot simply be<br />
copied and put under another distribution licence<br />
[including the GNU Public Licence.]<br />
Biblioteca de criptografia libcrypto<br />
Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)<br />
All rights reserved.<br />
This package is an SSL implementation written<br />
by Eric Young (eay@cryptsoft.com).<br />
The implementation was written so as to conform with Netscapes SSL.<br />
This library is free for commercial and non-commercial use as long as<br />
the following conditions are aheared to. The following conditions<br />
apply to all code found in this distribution, be it the RC4, RSA,<br />
lhash, DES, etc., code; not just the SSL code. The SSL documentation<br />
included with this distribution is covered by the same copyright terms<br />
except that the holder is Tim Hudson (tjh@cryptsoft.com).<br />
Copyright remains Eric Young's, and as such any Copyright notices in<br />
the code are not to be removed.<br />
If this package is used in a product, Eric Young should be given attribution<br />
as the author of the parts of the library used.<br />
This can be in the form of a textual message at program startup or<br />
in documentation (online or textual) provided with the package.<br />
Redistribution and use in source and binary forms, with or without<br />
modification, are permitted provided that the following conditions<br />
are met:<br />
1. Redistributions of source code must retain the copyright<br />
notice, this list of conditions and the following disclaimer.<br />
2. Redistributions in binary form must reproduce the above copyright<br />
notice, this list of conditions and the following disclaimer in the<br />
documentation and/or other materials provided with the distribution.<br />
3. All advertising materials mentioning features or use of this software<br />
must display the following acknowledgement:<br />
"This product includes cryptographic software written by<br />
Eric Young (eay@cryptsoft.com)"<br />
The word 'cryptographic' can be left out if the rouines from the library<br />
being used are not cryptographic related :-).<br />
4. If you include any Windows specific code (or a derivative thereof) from<br />
the apps directory (application code) you must include an acknowledgement:<br />
"This product includes software written by Tim Hudson (tjh@cryptsoft.com)"<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 817
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND<br />
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,<br />
THE<br />
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A<br />
PARTICULAR PURPOSE<br />
ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE<br />
LIABLE<br />
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
CONSEQUENTIAL<br />
DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
SUBSTITUTE GOODS<br />
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
INTERRUPTION)<br />
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
CONTRACT, STRICT<br />
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN<br />
ANY WAY<br />
OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
POSSIBILITY OF<br />
SUCH DAMAGE.<br />
The licence and distribution terms for any publically available version or<br />
derivative of this code cannot be changed. i.e. this code cannot simply be<br />
copied and put under another distribution licence<br />
[including the GNU Public Licence.]<br />
Biblioteca SNMP<br />
Copyright 1997 by Carnegie Mellon University<br />
All Rights Reserved<br />
Permission to use, copy, modify, and distribute this software and its<br />
documentation for any purpose and without fee is hereby granted,<br />
provided that the above copyright notice appear in all copies and that<br />
both that copyright notice and this permission notice appear in<br />
supporting documentation, and that the name of CMU not be<br />
used in advertising or publicity pertaining to distribution of the<br />
software without specific, written prior permission.<br />
CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE,<br />
INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS,<br />
IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR<br />
CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING<br />
FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF<br />
CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF<br />
OR IN<br />
CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 818
Códigos do FreeBSD<br />
Copyright (c) 1982, 1986, 1993<br />
The Regents of the University of California. All rights reserved.<br />
Redistribution and use in source and binary forms, with or without<br />
modification, are permitted provided that the following conditions are met:<br />
1. Redistributions of source code must retain the above copyright notice, this list of<br />
conditions<br />
and the following disclaimer.<br />
2. Redistributions in binary form must reproduce the above copyright notice, this list<br />
of conditions<br />
and the following disclaimer in the documentation and/or other materials provided<br />
with the<br />
distribution.<br />
3. All advertising materials mentioning features or use of this software must display<br />
the following<br />
acknowledgement: This product includes software developed by the University of<br />
California, Berkeley and its contributors.<br />
4. Neither the name of the University nor the names of its contributors may be used<br />
to endorse or<br />
promote products derived from this software without specific prior written permission.<br />
THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS<br />
IS''<br />
AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT<br />
LIMITED<br />
TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A<br />
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE<br />
REGENTS OR<br />
CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,<br />
SPECIAL,<br />
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED<br />
TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,<br />
DATA,<br />
OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON<br />
ANY<br />
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT<br />
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF<br />
THE<br />
USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH<br />
DAMAGE.<br />
Algoritmo MD5<br />
Copyright (C) 1991-2, RSA <strong>Data</strong> <strong>Security</strong>, Inc. Created 1991. All rights reserved.<br />
License to copy and use this software is granted provided that it is identified as the<br />
"RSA <strong>Data</strong><br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 819
<strong>Security</strong>, Inc. MD5 Message-Digest Algorithm" in all material mentioning or<br />
referencing this<br />
software or this function.<br />
License is also granted to make and use derivative works provided that such works<br />
are identified<br />
as "derived from the RSA <strong>Data</strong> <strong>Security</strong>, Inc. MD5 Message-Digest Algorithm" in all<br />
material<br />
mentioning or referencing the derived work.<br />
RSA <strong>Data</strong> <strong>Security</strong>, Inc. makes no representations concerning either the<br />
merchantability of this<br />
software or the suitability of this software for any particular purpose. It is provided "as<br />
is" without<br />
express or implied warranty of any kind.<br />
These notices must be retained in any copies of any part of this documentation<br />
and/or software.<br />
Agente SNMP<br />
Copyright (c) 1996,1997 Wes Hardaker and the University of California at Davis<br />
COPYRIGHT<br />
Many portions of the code in this package were distributed by Carnegie Mellon<br />
University.<br />
All other code and changes to the original code written by Wes Hardaker at the<br />
University of<br />
California at Davis is copyrighted under the following copyright:<br />
Permission is granted to use, copy, modify and distribute this software and<br />
documentation. This<br />
software is distributed freely and usage of it is not subject to fees of any kind. It may<br />
be included in<br />
a software compact disk set provided that the author is contacted and made aware<br />
of its<br />
distribution.<br />
Biblioteca de números extendidos LInteger<br />
LInteger Version 0.2 Source Code and Documentation<br />
Copyright (C) 1996 by Leonard Janke<br />
This source code and documentation may be used without charge for both<br />
commercial and non-commercial use. Modification of the source code or<br />
documentation is allowed provided any derivate work is clearly indentified as such<br />
and all copyright notices are retained unmodified. Redistribution of the source code<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 820
or documentation is unlimited, except by the limits already mentioned, provided that<br />
the redistribution is not for profit. Those wishing to redistribute this source code or<br />
documentation or any work derived from either for profit must contact Leonard Janke<br />
(janke@unixg.ubc.ca) to work out an acceptable arrangement.<br />
Anyone who wishes to distribute a program statically linked against the functions<br />
provided may do so providing that he or she includes a copy of this note with the<br />
program.<br />
Distribution of libraries compiled from this source code is unlimited if the distribution<br />
is not for profit and this copyright notice is included. Those wishing to distribute<br />
libraries compiled from this source code or any work derived from it for profit must<br />
contact Leonard Janke (janke@unixg.ubc.ca) to work out an acceptable<br />
arrangement.<br />
Anyone using this source code or documentation or any work derived from it,<br />
including, but not limited to, libraries and statically linked executables, must do so at<br />
his or her own risk, and with understanding that Leonard Janke will not be held<br />
responsible for any damages or losses that may result.<br />
© <strong>Aker</strong> <strong>Security</strong> <strong>Solutions</strong> 821