Manual do Nettion Security Software

nettion.com.br

Manual do Nettion Security Software

2Nettion R○ Copyright 2002-2009 by Nettion Information Security.Este material 1 pode ser livremente reproduzido, desde que mantidas as notas de copyrighte o seu conteúdo original. Envie críticas e sugestões para suporte@nettion.com.br.Revisado e atualizado por Deyvson Matos, em 5 de janeiro de 2009.Disponível também no idioma Inglês 2 .1 Este Manual está baseado na Série 4.0 do Nettion R○. Para baixar o Manual da Série 3.0 do Nettion R○, acesse:http://www.nettion.com.br/comunication/geral/Manual-Nettion3.pdf2 Versão em Inglês do Manual disponível em:http://www.nettion.com.br/comunication/geral/Manual-Nettion-Eng.pdf


Sumário1 Introdução 111.1 Apresentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Instalação/Registro/Login 132.1 Instalação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.2 Registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.3 Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142.4 Tela Inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Configurações 173.1 Básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.1.1 Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.1.2 Administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183.1.3 Data/Hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193.2 Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223.2.1 Interface/Conexões . . . . . . . . . . . . . . . . . . . . . . . . . . . 223.2.2 Sub-Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233.2.3 Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263.2.4 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293.2.5 Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303.2.6 DNS Dinâmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343.2.7 Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 Objetos 374.1 Manutenção de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384.1.1 Inclusão de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 384.1.2 Edição de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 384.1.3 Manutenção dos Itens do Objeto . . . . . . . . . . . . . . . . . . . 384.1.4 Exclusão de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 393


4 SUMÁRIO4.1.5 Consulta de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 394.2 Hosts e Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404.2.1 Manutenção do Cadastro de Hosts e Redes . . . . . . . . . . . . . . 404.3 Domínios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414.3.1 Manutenção do cadastro de domínios . . . . . . . . . . . . . . . . . 414.4 Expressões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.4.1 Manutenção do Cadastro de Expressões . . . . . . . . . . . . . . . . 424.5 Horários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.5.1 Manutenção do cadastro de horários . . . . . . . . . . . . . . . . . 434.5.2 Determinando Intervalos . . . . . . . . . . . . . . . . . . . . . . . . 434.6 Serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434.6.1 Predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434.6.2 Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434.7 Categorias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444.7.1 Predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444.7.2 Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454.7.3 Consulta de URL’s . . . . . . . . . . . . . . . . . . . . . . . . . . . 454.8 Mime Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 Usuários/Grupos 475.1 Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475.1.1 Base Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475.1.2 Servidor NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495.1.3 Servidor Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . 495.2 Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525.2.1 Manutenção do cadastro de Grupos . . . . . . . . . . . . . . . . . . 525.3 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535.3.1 Manutenção do cadastro de Usuários . . . . . . . . . . . . . . . . . 535.4 Perfis de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546 Proxy 576.1 Regras de Firewall Necessárias . . . . . . . . . . . . . . . . . . . . . . . . . 576.1.1 Intranet → Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . 576.1.2 Nettion → Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 586.2 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586.2.1 Proxy com autenticação . . . . . . . . . . . . . . . . . . . . . . . . 586.2.2 Proxy transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . 58


SUMÁRIO 56.2.3 Configurações gerais . . . . . . . . . . . . . . . . . . . . . . . . . . 596.2.4 Limpeza do Cache do Proxy . . . . . . . . . . . . . . . . . . . . . . 606.2.5 Mensagens de erro . . . . . . . . . . . . . . . . . . . . . . . . . . . 606.2.6 Portas Autorizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 616.2.7 Base de URL’s Categorizadas . . . . . . . . . . . . . . . . . . . . . 616.2.8 Histórico de Atualizações de URL’s . . . . . . . . . . . . . . . . . . 626.3 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636.4 Composição de regras do Proxy . . . . . . . . . . . . . . . . . . . . . . . . 646.4.1 Tela 1 - Definição da regra . . . . . . . . . . . . . . . . . . . . . . . 646.4.2 Tela 2 – Horário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656.4.3 Tela 3 - Filtros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666.4.4 Tela 4 - Aplicar para . . . . . . . . . . . . . . . . . . . . . . . . . . 676.4.5 Tela 5 - Qos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686.5 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696.5.1 Padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696.5.2 Por domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706.5.3 Top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706.5.4 Acessos Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . 706.5.5 On-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706.6 Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716.6.1 Selecionando um período . . . . . . . . . . . . . . . . . . . . . . . . 716.6.2 Visualizando acessos a partir do gráfico . . . . . . . . . . . . . . . . 716.6.3 Monitoramento Realtime . . . . . . . . . . . . . . . . . . . . . . . . 726.7 Configurando as estações da rede . . . . . . . . . . . . . . . . . . . . . . . 727 Controle de Banda 737.1 Re-priorização de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . 737.2 Realocação dinâmica de banda . . . . . . . . . . . . . . . . . . . . . . . . . 747.3 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 747.3.1 Definição da Interface de rede . . . . . . . . . . . . . . . . . . . . . 757.3.2 Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757.3.3 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767.4 Ativando o serviço de Controle de Banda . . . . . . . . . . . . . . . . . . . 78


6 SUMÁRIO8 Firewall 798.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798.2 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 808.2.1 Incluindo uma nova regra . . . . . . . . . . . . . . . . . . . . . . . 808.3 Regras básicas do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 848.3.1 Acesso ao Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 848.3.2 Acesso Nettion -> Internet . . . . . . . . . . . . . . . . . . . . . . . 858.3.3 Resolução de nomes para a rede interna . . . . . . . . . . . . . . . 858.4 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869 VPN 879.1 VPN PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879.1.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 889.1.2 Manutenção do cadastro de clientes para VPN PPTP . . . . . . . . 899.2 VPN IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 909.2.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 919.2.2 Conexões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 939.3 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9710 NIDS 9910.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9910.1.1 Seleção de Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . 9910.1.2 Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10010.1.3 Configuração do PortScan . . . . . . . . . . . . . . . . . . . . . . . 10010.1.4 Detecção de Assinaturas . . . . . . . . . . . . . . . . . . . . . . . . 10110.1.5 Alerta por e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10110.1.6 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10210.1.7 Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10210.1.8 Últimas assinaturas . . . . . . . . . . . . . . . . . . . . . . . . . . . 10210.1.9 IPs Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10411 DHCP 10511.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10511.1.1 Configurações Globais . . . . . . . . . . . . . . . . . . . . . . . . . 10511.1.2 Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10611.2 Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10611.2.1 Manutenção do cadastro dos Hosts . . . . . . . . . . . . . . . . . . 10611.3 Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10711.3.1 Manutenção do cadastro de Redes . . . . . . . . . . . . . . . . . . . 107


SUMÁRIO 712 E-mail 10912.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10912.1.1 Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10912.1.2 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11012.1.3 Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11112.1.4 Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11212.1.5 Extensões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11212.2 Domínios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11312.2.1 Incluir um domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . 11312.3 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11412.3.1 Buscando usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . 11412.3.2 Editando usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11512.3.3 Inserindo usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11612.4 Aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11712.4.1 Criando um alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11712.5 Antivírus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11712.5.1 Atualização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11812.5.2 Agendamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11812.5.3 Histórico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11812.6 Antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11912.6.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11912.6.2 Aprendizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12112.6.3 Whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12212.7 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12312.7.1 Fila . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12312.7.2 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12412.7.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12412.7.4 Quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12412.7.5 Top Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12612.7.6 Quota Utilizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12613 Ferramentas 12713.1 Reverso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12713.2 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12713.3 Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12713.4 Traçar rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12813.5 Diagnóstico de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128


8 SUMÁRIO14 Sistema 12914.1 Serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12914.2 Plugins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13014.3 Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13014.3.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13014.3.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13214.3.3 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13314.4 Restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13414.5 Expurgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13514.5.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13514.5.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13614.6 Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13614.7 Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13714.7.1 CPUs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13814.7.2 Memória . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13814.7.3 Discos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13914.8 Sobre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13914.9 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13914.10Desliga/Reinicia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14015 NettionPlugs 14115.1 O que são NettionPlugs? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14115.2 Instalando os NettionPlugs . . . . . . . . . . . . . . . . . . . . . . . . . . . 14115.3 Chat Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14215.3.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14215.3.2 Software Cliente (estações) . . . . . . . . . . . . . . . . . . . . . . . 14315.3.3 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14315.3.4 Iniciando o serviço Chat Server . . . . . . . . . . . . . . . . . . . . 14415.3.5 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14415.4 Blitz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14415.4.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14415.4.2 Bloqueando o acesso direto ao MSN . . . . . . . . . . . . . . . . . . 14415.4.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14615.4.4 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14615.4.5 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14715.4.6 Catalogação automática de contatos . . . . . . . . . . . . . . . . . 14815.4.7 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148


SUMÁRIO 915.4.8 Iniciando o serviço Blitz . . . . . . . . . . . . . . . . . . . . . . . . 15115.4.9 Configurando as estações . . . . . . . . . . . . . . . . . . . . . . . . 15115.4.10 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15215.5 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15215.5.1 Nettion-Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15215.5.2 Configurando o Servidor OpenVPN . . . . . . . . . . . . . . . . . . 15215.5.3 Nettion-Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15615.5.4 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15615.5.5 Conexões Ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15915.5.6 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16115.6 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16115.6.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16215.6.2 Domínios Masters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16215.6.3 Itens do Domínio Master . . . . . . . . . . . . . . . . . . . . . . . . 16415.6.4 Domínios Slaves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16515.6.5 Itens do Domínio Slave . . . . . . . . . . . . . . . . . . . . . . . . . 16615.6.6 Domínios Reversos . . . . . . . . . . . . . . . . . . . . . . . . . . . 16615.6.7 Iniciando o serviço DNS . . . . . . . . . . . . . . . . . . . . . . . . 16615.6.8 Firewall com DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . 16615.6.9 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16715.7 GetMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16715.7.1 Vantagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16715.7.2 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16715.7.3 Contas de Origem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16815.7.4 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16915.7.5 Iniciando o serviço GetMail . . . . . . . . . . . . . . . . . . . . . . 17015.7.6 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170


10 SUMÁRIO


Capítulo 1Introdução1.1 ApresentaçãoCom a necessidade de conexão direta das organizações à internet, o fator Segurança daInformação tornou-se um investimento primordial, deixando de ser uma característicaapenas de grandes instituições. O motivo desta mudança é que sem a devida proteção noambiente de rede da empresa, ela estará sujeita, cedo ou tarde, a um significativo prejuízoinstitucional, seja ele moral ou material.Além disso, a facilidade da conexão 24 horas com a internet leva, muitas vezes, os funcionáriosa desperdiçarem o tempo de trabalho acessando diversas informações pessoais,provocando uma significativa queda de produtividade individual e, conseqüentemente, dasua própria empresa.Muitas vezes sua internet se torna lenta, o que o obriga a adquirir um link de maiorvelocidade. No entanto, você não sabe que é possível implementar um controle sobreaquilo que trafega no seu link, não havendo necessidade de custos extras com links maioresem grande parte dos casos.Dentro desta realidade, a Nettion Information Security oferece, através do Nettion R○,a solução completa para as 24 horas de conexão da sua organização com a internet,propiciando a implantação de uma política administrativa de segurança e otimizaçãodo uso do seu link, além do controle detalhado das informações que trafegam por dele.Tudo isso através de uma ferramenta de administração interativa de gerenciamento emonitoramento.Benefícios do Nettion R○:• o Nettion R○ pode fazer o balanceamento de carga e redundância dos seus links deInternet, onde, através de regras simples e intuitivas, você estabelece por qual linkos serviços devem ser encaminhados por padrão e por onde devem sair em caso defalha, tudo isso de forma automática.• o módulo proxy do Nettion R○ possibilita um aumento da velocidade ao acessar páginasna internet sem que, necessariamente, tenha que se investir em links maiores.Isso é possivel devido a capacidade do Nettion R○ de armazenar as páginas acessadasem seu cache. Outra vantagem é que o software permite que você faça um controleminucioso dos acessos dos usuários da sua rede, estabelecendo regras, horáriose bloqueando sites indesejados. Com o Nettion R○, você também implanta regras de11


12CAPÍTULO 1. INTRODUÇÃOsegurança no acesso à sua rede por parte de usuários da internet e evita a exposiçãototal ao ataque de hackers.• através de relatórios e regras estabelecidas os usuários de computadores farão usomais profissional da Internet, aumentando a produtividade e diminuindo os riscos associadosa TI. As regras aplicadas são flexíveis podendo-se fazer limites por usuáriose por horários. A configuração é bem simples e não haverá necessidade de M.O. especializada.Os relatórios são diversificados e intuitivos, propicinado análises justase reais.• o sistema de detecção de tentativas de invasão (NIDS) do Nettion R○ possui cadastrado,aproximadamente, 2.000 formas de tentativa de invasão, o que possibilita o bloqueiode acesso de usuários ”mal intencionados”.• Outro recurso que o Nettion R○ dispõe é o Controle de Banda, que permite estabelecerpercentuais de uso do link para acesso às páginas web, tráfego de e-mails eetc, otimizando e garantindo que todos estes serviços estejam disponíveis simultaneamente.• através da VPN (Rede Virtual Privada) do Nettion R○, você passa a utilizar a internetcomo meio de comunicação de forma segura, pois seus dados são criptografados (embaralhados)ao trafegarem através de túneis de comunicação pela internet. Atravésdeste recurso você pode diminuir sensivelmente os custos com interligação de redes,como matriz e filiais, e de usuários fisicamente separados da rede local utilizando aInternet como meio de comunicação e garantindo a segurança dos dados.• o Sistema de Autenticação Integrada do Nettion facilita o controle dos usuários narede com a integração e sincronização de usuários e grupos com Domínios Linux(NIS)e Windows, não havendo necessidade de recadastramento ou trabalhos adicionais demanutenção. Permite também autenticação integrada NTLMV2, evitando que ousuário tenha que digitar a senha sempre que inicie a navegação.• o serviço de E-mail possibilita total autonomia para gerenciamento de contas decorreio com múltiplos domínios, permitindo auditoria de mensagens, aplicação desistema de AntiSPAM (com sistema de treinamento pelos próprios usuários da rede)e sistema integredo de Anti-Vírus. O gerenciamento das contas e autenticação dosusuários ocorre de forma integrada com o sistema de Autenticação do Nettion, facilitandoassim o gerenciamento das contas de e-mail.• os sistemas de Backup automatizado e Restore possibilitam uma rápida recuperaçãode todos os serviços e informações em caso de falha de hardware.• atualização via Internet - as constantes atualizações proporcionam mais segurançacom atualizações de falhas de segurança e com a inclusão de novos recursos à ferramentaEstas e outras ferramentas do Nettion R○ são disponibilizadas de maneira fácil e simples,não requerendo, portanto, conhecimentos técnicos avançados para operá-las. Com estedocumento você aprenderá como fazer as configurações do Nettion para adequá-lo ao seuambiente de rede.


Capítulo 2Instalação/Registro/Login2.1 InstalaçãoO Nettion funciona sobre uma distribuição Linux (Nettion Linux) totalmente adequada eotimizada ao funcionamento de todos os seus recursos. Por isso, sua instalação, que exigeuma máquina dedicada, não requer um sistema operacional pré-instalado. Seu instaladorjá integra a instlação do Nettion Linux e a Interface de Administração dos recursos.O Guia de Instalação do produto em seu hardware encontra-se em um documento separado,que pode ser facilmente acessado no site do Nettion R○ ou através do link Guia deInstalação.2.2 RegistroApós a instalação, acesse o seu Nettion através de um browser (Mozilla Firefox ou InternetExplorer) utilizando o endereço IP que você configurou durante a instalação (ex:http://192.168.254.1). Neste momento você terá acesso à tela de Logon da Interface deAdministração do produto, através da qual você fará todas as configurações necessáriaspara adequar o Nettion ao ambiente de rede da sua empresa.Ao logar-se pela primeira vez, o processo de registro do software será iniciado. O registrodo produto é um procedimento obrigatório, pois somente após registrá-lo é que o seu uso éliberado. No primeiro formulário de registro, o administrador deve informar CNPJ/CPF,Denominação Social e a edição do Nettion R○ que está registrando, de acordo com a figura2.1.Figura 2.1: Primeiro formulário de registro13


14CAPÍTULO 2. INSTALAÇÃO/REGISTRO/LOGIN• CNPJ/CPF: CNPJ no caso de pessoa jurídica ou CPF, se pessoa física;• Denominação social: denominação social de pessoa física ou jurídica. Ex.: FortesInformática LTDA;• Produto: Tipo do produto.adquirida).Ex.: Nettion Professional (de acordo com a licençaInformados os campos do primeiro formulário de registro, o administrador deve clicar nobotão Avançar. O segundo formulário de registro aparecerá, como mostrado na figura2.2.Figura 2.2: Segundo formulário do registro• Código Operacional: Código para geração do código de resposta;• Código de Resposta: Código para liberar o registro do produto;Neste segundo formulário, você deve fornecer o Código de Resposta. O administradorobterá o código de resposta depois de solicitar a liberação da sua versão junto ao nossodepartamento comercial, clicando no botão Obter On-line. Uma janela se abrirá como código e o administrador deve copiar o código, informado para o campo Código deResposta desse formulário e, finalmente, clicar em Registrar.Nettion R○ registrado. Vamos então descobrir como configurá-lo de forma a usar eficientementetodos os recursos que o software oferece.2.3 LoginPara acessar a interface de administração do Nettion R○, o administrador deve logar-se,informando nome de usuário e senha, como mostrado na figura 2.3 na página 15:• Usuário: nome do usuário. Ex.: nettion;• Senha: senha do usuário. Ex.: nettion;Obs: a senha original do usuário nettion é “nettion”. Por medidas de segurança é importanteque você a altere logo após o primeiro logon.É possível escolher entre os idiomas português e inglês, além de acessar a interface doNettion R○ usando uma conexão segura HTTPS.Caso deseje utilizar HTTPS, marque a caixa Conexão Segura.


2.4. TELA INICIAL 15Figura 2.3: Formulário de loginAgora é hora de iniciarmos as configurações propriamente ditas. É importante que vocêinicie pelas Configurações Básicas do produto (veja capítulo 3). Neste capítulo vocêaprenderá como alterar a senha do administrador, configurar as demais interfaces de rededo equipamento e como ligar o seu Nettion à Internet.2.4 Tela InicialAo logar-se no Nettion R○, a tela inicial (home) é exibida. Nela, estão contidas váriasinformações gerenciais importantes a respeito do estado do sistema. Veja a figura 2.4 aseguir:Figura 2.4: Tela Inicial do NettionA tela “Home”do Nettion é dividida em quadros. Cada quadro agrupa um tipo específicode informação. Nela, é possível verificar através de seus quadros:


16CAPÍTULO 2. INSTALAÇÃO/REGISTRO/LOGIN• Dados da licença do Nettion;• Os NettionPlugs instalados e datas de instalação e expiração;• Estado atual dos links instalados no Nettion;• Sumário semanal do estado da CPU e Memória;• Estado atual da partição “/var”;• Estatísticas dos filtros de e-mails;• Estatísticas de acesso via Proxy;• Últimas notícias Nettion.Porém, tantas informações a serem exibidas podem fazer com que a carga inicial dainterface demore. Devido a isto, é possível desativar alguns quadros, bastando para issoclicar no botão localizado no canto superior-direito do quadro que se deseja desativar.Para reativá-lo, clique novamente no mesmo botão, como mostra a figura 2.5.Figura 2.5: Desabilitando Quadros na Tela Inicial


Capítulo 3Configurações3.1 BásicasNo primeiro acesso ao Nettion R○, o administrador deve acessar o menu ConfiguraçõesBásicas e atualizar os seus dados, tais como senha padrão, envio de e-mails do sistema eData/Hora do sistema para registro nos relatórios.Para a sua segurança, o administrador deve alterar a senha do usuário Nettion R○ poruma senha pessoal, que só deverá ser conhecida por pessoas autorizadas a administrar osistema. Lembre-se de alterar essa senha, caso ela se torne conhecida por terceiros.Obs.: No capítulo 5, você poderá obter informações sobre como criar usuários e perfis deacesso ao sistema. Desta forma, você poderá criar um usuário e definir os módulos doNettion R○ que poderão ser acessados.3.1.1 GráficosPor padrão, todos os gráficos do Nettion R○ são ativados. Porém, é possível informar aosistema quais gráficos ficarão ativos. Para isso, acesse o menu Configurações → Gráficos.Na tela que será exibida, clique na caixa de verificação dos gráficos que deseja desativare clique no botão Salvar Configurações.Figura 3.1: Configuração dos Gráficos do Sistema17


18CAPÍTULO 3. CONFIGURAÇÕES3.1.2 AdministradorSenhaPara alterar a senha, preencha os campos senha atual, nova senha e confirmação e cliqueno botão Salvar Configurações.Figura 3.2: Alteração de senhaE-mail do AdministradorPara configuração do E-mail, preencha os campos E-mail do Administrador, seu ServidorSMTP e clique no botão Salvar Configurações. Este e-mail será utilizado peloNettion R○ para enviar algumas notificações ao administrador, como por exemplo, notificaçãode algum problema no sistema de backup.Figura 3.3: Configurações de E-mailPortas de AdministraçãoNesta tela é possível redefinir as portas para acesso ao Nettion R○ (HTTP e SSH). Porpadrão, as portas definidas são 80/TCP para o acesso web (Interface de Administração)e 22/TCP para acesso ao shell do Nettion R○ (Console do Nettion Linux). Modifique-asconforme a necessidade e clique no botão Salvar Configurações.


3.1.BÁSICAS 19Figura 3.4: Portas de Administração HTTP e SSH3.1.3 Data/HoraPara configurar data e hora do sistema, você tem duas opções: configurar manualmente(Clock Local) ou sincronizar com algum servidor NTP (Network Time Protocol).Figura 3.5: Configuração manual de data e hora(a) Clock Local• Time Zone: selecione seu fuso horário;• Zona do relógio da CPU: escolha se deseja usar seu fuso horário (Horário Local)ou o horário de Greenwich (GMT);• Data: ajuste a data no formato dia/mês/ano (DD/MM/AAAA);• Horário: ajuste a hora no formato hora:minuto (HH:MM).


20CAPÍTULO 3. CONFIGURAÇÕESFigura 3.6: Configuração Servidor NTP(b) Servidor NTP• Time Zone: selecione seu fuso horário;• Zona do relógio da CPU: escolha se deseja usar seu fuso horário (Horário Local)ou o horário de Greenwich (GMT);• Servidores NTP: os endereços dos servidores de NTP com os quais deseja sincronizardata e hora. Lembre-se de inserir pelo menos um servidor, caso desejeutilizar esse recurso.FirewallÉ necessário que algumas regras de Firewall sejam criadas para garantir que os recursoscitados neste capítulo funcionem corretamente. São elas:Data/Hora Servidor NTPPermite que o Nettion comunique-se com os servidores NTP configurados.Um resumo da regra necessária encontra-se na tabela 3.1 a seguir:Regra: Nettion -> NTP ServersOrigem Destino Serv. Destino Açãolocalhost Qualquer ntp AceitarTabela 3.1: Liberando Nettion para NTP servers


3.1.BÁSICAS 21Acesso ao Console e à Interface Web do NettionPermite o acesso ao Nettion R○ pelo Administrador do Sistema e pelo Suporte RemotoNettion. As regras a serem criadas deverão utilizar os serviços predefinidos “http”,“https” 1 e “ssh”, se assim estiver definido na área de configuração “Portas de Administração”.Se as portas padrão forem modificadas, objetos de serviços personalizados deverão sercriados fazendo referência à cada porta modificada.Nota: No capítulo 4, você poderá obter mais informações sobre a utilização deobjetos de serviços pré-definidos e personalizados.Um resumo das regras de firewall necessárias encontra-se nas tabelas 3.2 e 3.3 a seguir.Regra: Administrador -> NettionOrigem Destino Serv. Destino AçãoHost Administrador localhosthttphttpssshAceitarTabela 3.2: Liberando acesso ao Nettion R○ para o Admimistrador do SistemaRegra: Suporte Remoto -> NettionOrigem Destino Serv. Destino AçãoSuporte Remoto localhosthttphttpssshAceitarTabela 3.3: Liberando acesso ao Nettion R○ para o Suporte Remoto NettionOBS.: Todos os detalhes de como configurar o Firewall e suas regras encontram-se noCapítulo 8 na página 79.1 A porta 443/TCP utilizada para acesso ao Nettion R○ via https não pode ser redefinida.


22CAPÍTULO 3. CONFIGURAÇÕES3.2 Rede3.2.1 Interface/ConexõesNesta seção você poderá fazer a configuração das demais interfaces e conexões de rede doseu equipamento (a primeira já foi configurada durante a instalação).Interfaces Ethernet (LAN)Como comentado, o Nettion já configura a primeira interface Ethernet do equipamento(eth0) durante a instalação do software. Para incluir as demais Interfaces de rede, acessea opção de menu Configurações → Rede → Interfaces/Conexões. Na tela seguinte, vocêterá acesso a listagem das interfaces já cadastradas no seu Nettion, como segue no exemploda figura 3.7 (página 22).Figura 3.7: Listagem de Interfaces e ConexõesPara incluir uma nova Interface Ethernet siga os seguintes passos (veja também a figura3.8 na página 23):• Clique no botão “Incluir” localizado abaixo da listagem;• Na tela seguinte, selecione o tipo de interface “Ethernet” e clique em “Avançar”eaguarde;• Neste momento o Nettion fará a detecção das demais placas de rede instaladas eseus respectivos drivers. Cada interface detectada será mostrada na tela seguite.Selecione uma delas e clique em avançar.Importante: Caso o driver do dispositivo não tenha sido identificado automaticamente,o dispositivo será listado marcado com um “*”. Nestes casos, é provável queo Nettion não possua o driver apropriado para suportá-lo. Por favor, entre em contatocom o fabricante através do endereço suporte@nettion.com.br e envie o maiornúmero de informações do dispositivo possível, tais como: modelo, fabricante echipset.• Na tela seguinte preencha as informações do seu dispositivo de rede:– Driver: Detectado automaticamente por padrão.– Endereço IP: indique o endereço IP que será atribuído ao dispositivo, ou cliquena opção DHCP para que o Nettion utilize um IP fornecido por um servidorDHCP de sua rede;


3.2. REDE 23– Mascara de Rede: Indique a mascara de rede utilizada;– Velocidade: indique a velocidade do dispositivo. Esta informação será utilizadano serviço de Controle de Banda;– Descrição: indique uma descrição sobre a interface de rede, como “Interface daIntranet”;– Obter DNS do servidor: Obter automaticamente a configuração de DNS. Isto épossível nos casos em que o DHCP é ativado.– Responder requisições DNS nesta interface: esta opção faz com que o Nettionanuncie seu serviço de DNS nesta interface;– Ativar no boot: indique “Sim” para ativar a interface automaticamente no bootdo Nettion R○.Figura 3.8: Inclusão/Edição de Interface Ethernet3.2.2 Sub-InterfacesO Nettion suporta também a inclusão de sub-interfaces de rede. Elas estão sempre associadasa uma Interface física e possuem basicamente duas finalidades:1. IPs adicionais em uma Interface: permite que uma interface responda por outrosendereços IPs, além do principal.2. Conexões ADSL: permite que uma conexão ADSL seja atribuída a uma Interface.Esta opção só estará disponível quando a Interface for do tipo DHCP, como serávisto mais a frente.IPs AdicionaisPara incluir um endereço adicional a uma Interface siga os passos (veja também figura3.9 na página 24):


24CAPÍTULO 3. CONFIGURAÇÕES• Na tela de listagem, selecione a Interface que receberá o IP adicional e clique nobotão “Itens”;• Na tela seguinte, será apresentada uma listagem de subinterfaces do dispositivo.Clique no botão “Incluir”;• Na tela seguinte, selecione o tipo “Sub-Interface” e clique em avançar;• Agora indique: Endereçco IP, Márcara de rede, Descrição e se a interface responderápor requisições DNS na subinterface.• Para finalizar, clique no botão “Adicionar Interface”.Figura 3.9: Inclusão de Sub-interfaceApós a inclusão, a Sub-interface será listada como mostrado na figura 3.10 (página 24).Observe que o nome da subinterface tem o mesmo nome do Interface principal + númeroda subinterface. Caso seja necessário, inclua outras subinterfaces seguindo o mesmoprocedimento.Figura 3.10: Listagem de Sub-interfaces de um dispositivo de rede


3.2. REDE 25Conexões ADSL (WAN)Para incluir uma Conexão ADSL a Interface principal (física) deve estar configurada parareceber IP via DHCP e deve estar com a configuração “Ativar no boot” como “Não”, comomostrado na figura 3.11 da página 25.Figura 3.11: Configuração de Interface para conexão ADSLImportante: Estas conexões dependem de um modem ADSL devidamente instalado econfigurado. Os modems ADSL podem estar configurados no modo “bridge”, onde oNettion R○ fará o gerenciamento da conexão ADSL e ficará com o IP disponibilizado peloprovedor(recomendado), ou em modo “router”, onde o modem será o responsável porfazer esta gerência. As configurações a seguir são para o modo “bridge”. Caso esteja emmodo “router”configure a interface ethernet de modo que ela se comunique com o modeme configure o Gateway do Nettion R○ apontando para o IP do modem.O prodecimento é semelhante ao da inclusão de IPs adicionais (veja também figura 3.12na página 26):• Na tela de listagem, selecione a Interface que receberá a conexão ADSL e clique nobotão “Itens”;• Na tela seguinte, será apresentada uma listagem de subinterfaces do dispositivo.Clique no botão “Incluir”;• Na tela seguinte, selecione o tipo “ADSL(wan)” e clique em avançar;• Na tela seguinte, preencha as infornações do seu provedor ADSL:– Usuário: login de acesso;– Senha: senha de acesso;– Parametros extras: somente se necessários e fornecidos pelo provedor;– Velocidade: indique a velocidade do link;


26CAPÍTULO 3. CONFIGURAÇÕES– Obter DNS do Servidor: marque para que o Nettion receba as informações deDNS do provedor;– Ativar no boot: indique “Sim” para que a conexão seja ativada automaticamenteno boot;Figura 3.12: Configuração de Conexão ADSLApós a inclusão sua interface ADSL será listada como segue a na figura 3.13 (página 26),com informações de IP e Status da conexão. Caso o Status não esteja ok (vermelho)verifique novamente as configurações da conexão.Figura 3.13: Listagem da Conexão ADSL3.2.3 GatewaysPara que o Nettion R○ possa ter acesso à Internet é necessário que ele tenha pelo menosum Gateway, ou seja, pelo menos uma saída de acesso para a Internet. Portanto, esta éuma configuração importante na implantação do seu Nettion. Você verá também que oNettion gerencia múltiplos Gateways, fazendo todo o tratamento de redundância e balanceamentodos links.


3.2. REDE 27Edição de GatewaysGeralmente um Gateway já é configurado durante a instalação do Nettion no equipamento.Caso você queira editar suas informações siga os passos abaixo:• Acesse o menu Configurações → Rede → Gateways → Configurações;• Na tela seguinte, da listagem de gateways cadastrados, selecione o Gateway quedeseja editar e clique no botão editar.• Na tela seguinte:– Interface: indique a interface do Nettion que está diretamente ligada ao gateway.No caso de um Gateway para conexão ADSL, selecione a Interface ADSLcorrespondente;– Gateway: indique o IP do Gateway, ou seja, o IP através do qual o Nettionterá acesso a Internet - que é fornecido pelo seu provedor de acesso. No casode um gateway dinâmico, como DHCP ou ADSL, marque a opção “Obtidodinamicamente”;– Participação na rota padrão: indique a porcentagem de participação deste linkna saída padrão do Nettion para a Internet. Em caso de um único link o padrãoserá 100%;– Timeout: indique aqui o tempo máximo sem resposta (em segundos) em que oNettion irá considerar que um gateway está fora. O Nettion mudará o estadode um gateway para “down” quando este parar de responder dentro do tempoaqui estipulado. Para não indicar um limite de tempo, selecione a opção ao lado“Ilimitado”;– Redefenir configurações na mudança de estado do gateway: marque esta opçãocaso deseje que o Nettion redefina as configurações dos gateways a cada mudançade estado, como por exemplo, as configurações de participação dos gateways narota padrão.Inclusão de novos Gateways e Múltiplos Links InternetCaso não haja nenhum Gateway configurado, ou você queira fazer a inclusão de Gatewaysadicionais, para o caso de múltiplos Links Internet, siga os passos a seguir.• Acesse o menu Configurações → Rede → Gateways → Configurações;• Na tela seguinte, da listagem de gateways cadastrados, clique no botão “Incluir”.• Na tela seguinte:– Interface: indique a interface do Nettion que está diretamente ligada ao gateway.No caso de um Gateway para conexão ADSL, selecione a Interface ADSLcorrespondente;– Gateway: indique o IP do Gateway, ou seja, o IP através do qual o Nettionterá acesso a Internet - que é fornecido pelo seu provedor de acesso. No casode um gateway dinâmico, como DHCP ou ADSL, marque a opção “Obtidodinamicamente”;


28CAPÍTULO 3. CONFIGURAÇÕES– Participação na rota padrão: indique a porcentagem de participação deste linkna saída padrão do Nettion para a Internet em relação aos outros Gateways jácadastrados. Em caso de um único link o padrão será 100%.– Timeout: indique aqui o tempo máximo sem resposta (em segundos) em que oNettion irá considerar que um gateway está fora. O Nettion mudará o estadode um gateway para “down” quando este parar de responder dentro do tempoaqui estipulado. Para não indicar um limite de tempo, selecione a opção ao lado“Ilimitado”;– Redefenir configurações na mudança de estado do gateway: marque esta opçãocaso deseje que o Nettion redefina as configurações dos gateways a cada mudançade estado, como por exemplo, as configurações de participação dos gateways narota padrão.Perceba que o tráfego pode ser dividido de acordo com um percentual especificado (Participaçãona Rota Padrão), permitindo definir prioridades quanto ao uso de um dos links.É possível também que um gateway não participe da rota padrão (0%). Neste caso, o linkserá utilizado através de duas formas: por acessos, originados externamente a serviçosdisponíveis na sua rede (Ex.: VPN, E-mail, Portal Web) e por tráfego, previstos nasregras de “roteamento avançado” como será mostrado no tópico adiante.Monitoramento Por padrão, os links são monitorados pelo sistema que reconfiguraautomaticamente o ambiente de acordo com a disponibilidade. Cada mudança é registradano estado dos seus links, permitindo sua auditoria.Para isso acesse o menu Configurações → Rede → Gateways → Historico de Status. Orelatório de estado dos gateways será exibido, conforme mostra a figura 3.14 abaixo:Figura 3.14: Monitoramento dos GatewaysPorém, é possível editar as opções de monitoramento do estado dos gateways conforme asua necessidade.Para isso, selecione o gateway desejado e clique no botão “Editar”. As opções de ediçãodo gateway serão exibidas, como mostra a figura 3.15 a seguir, modifique as opções deconfiguração conforme a seção “Edição de Gateways” deste capítulo.


3.2. REDE 29Figura 3.15: Edição de Gateways3.2.4 DNSNesta seção, você configura o nome da máquina e os servidores DNS que serão consultadospelo Nettion R○ para a resolução de nomes Internet. O nome da máquina deve ser completo(nome do maquina + dominio). Se você não possuir um dominio, poderá utilizarlocaldomain. Pelo menos um servidor DNS deve ser configurado para o correto funcionamentodo produto. Essa configuração pode ser automática, se você tem uma interfaceEthernet ativa configurada via DHCP, ou uma conexão ADSL, sendo preciso, apenas,selecionar o item Obter DNS do servidor na configuração da respectiva conexão. Opróprio Nettion poderá ser o servidor DNS, desde que ele possua acesso direto a Internetna porta 53 TCP e UDP. Para utilizá-lo como servidor, indique o IP 127.0.0.1.Figura 3.16: Nome da máquina e configuração de DNS


30CAPÍTULO 3. CONFIGURAÇÕES3.2.5 RoteamentoNessa seção é possivel incluir regras que controlarão o destino do seu tráfego de rede.BásicoRoteamento básico ou pelo destino é a funcionalidade que torna alcançável uma rede/hostpor meio de um host (gateway), também alcançável. Ex.: A rota a seguir faz com que otráfego para as redes 192.168.50.0/24 e 172.16.20.0/16 possa ser entregue com o intermédiodos hosts 192.168.1.254 e 192.168.1.253 respectivamente, através da interface eth0 (vejafigura 3.17).Figura 3.17: Listagem de rotasFigura 3.18: Inclusão de rota básica


3.2. REDE 31AvançadoO roteamento avançado só faz sentido em um ambiente que possua mais de um link deinternet. Nele, você tem o poder de escolher um conjunto completo de características dotráfego, que será encaminhado especificamente por um dos gateways cadastrados. Cadaregra pode conter uma lista prioritária de gateways por onde aquele tráfego deve ser encaminhado,sendo utilizado sempre o primeiro, com estado ativo, como na figura 3.19.Figura 3.19: Listagem de regras do Roteamento AvançadoA criação destas regras é bem simples. Primeiramente, seria interessante já se ter bemclaro o que se deseja fazer. Se necessário, faça um esboço do tráfego desejado antes. Apósisso, utilizando o Wizard do Roteamento avançado, crie as regras da forma desejada. Oprocesso de criação das regras é feito em quatro passos, os quais serão mostrados a seguir.• Passo 1 Informe uma descrição, a posição que a regra vai ocupar na lista e no seuestado (ativo ou inativo) conforme figura 3.20 a seguir.Figura 3.20: Criando regra - Passo 1


32CAPÍTULO 3. CONFIGURAÇÕES• Passo 2 Selecione o horário em que essa regra será válida. Os horários disponíveissão os definidos em Objetos>Horários conforme a figura 3.21 a seguir.Figura 3.21: Criando regra - Passo 2• Passo 3 Neste passo você selecionará os serviços e/ou hosts que terão seu tráfegoroteados por um link específico.Figura 3.22: Criando regra - Passo 3– Em “Filtros de Origem - Hosts” selecione para a caixa da esquerda o(s) Host(s)ou Rede(s) de onde se originam as conexões. Caso queira especificar qualquerorigem, deixe a caixa da esqueda vazia;– Em “Filtros de Origem - Serviços” selecione para a caixa da esquerda o(s)serviço(s) de origem. Caso queira especificar qualquer serviço, deixe a caixada esquerda vazia;


3.2. REDE 33– Em “Filtros de Destino - Hosts” selecione para a caixa da esquerda o(s) Hosts(s)ou Rede(s) de destino da conexão. Caso queira especificar qualquer destino,deixe a caixa da esqueda vazia;– Em “Filtros de Destino - Serviços” selecione para a caixa da esquerda o(s)serviço(s) de destino. Caso queira especificar qualquer serviço, deixe a caixada esquerda vazia;– Perceba que através destas opções você terá toda flexibilidade de especificarexatamente o tráfego que deseja controlar, seja de uma determinada origeme/ou para um determinado destino.• Passo 4 Os gateways podem ser selecionados em uma lista de prioridades, ondeaquele que estiver acima, será o primeiro utilizado. Os gateways seguintes serãoutilizados de acordo com a ordem estabelecida a medida que os gateways superioresfalharem.A marcação da opção Caso todos os Gateways selecionados falhem encaminharpela rota padrão faz com que o gateway padrão do Nettion seja utilizadoem caso de falha de todas as saídas selecionadas. Veja figura 3.23 abaixo.Figura 3.23: Criando regra - Passo 4• Configurações AvançadasPor padrão o Nettion faz o mascaramento (NAT) das conexões feitas pelos hostscom IPs privados com destino a Internet (vindos da sua rede interna, por exemplo).Esta seção o permite desabilitar esta função, para o caso onde você queira explicitamenteinformar para o Nettion não mascarar o tráfego (vindo da rede DMZ comIPs públicos, por exemplo) ou permite a seleção do IP que será utilizado para omascaramento de cada Gateway, conforme mostrado na figura 3.24 a seguir.


34CAPÍTULO 3. CONFIGURAÇÕESFigura 3.24:Criando regra - Configurações Avançadas3.2.6 DNS DinâmicoOs serviços de DNS Dinâmico são especialmente úteis para conexões Internet com endereçoIP dinâmico pois permitem que você encontre seu Nettion a partir de um nome,como por exemplo, nettion-minhaempresa.dyndns.org e possa fazer conexões, como VPN.A configuração deste serviço no Nettion garante a atualização do DNS quando houvermudança do endereço IP da sua interface dos tipos ADSL ou Ethernet com DHCP. Comisso, sempre será possível acessar o seu Nettion R○ pelo Host configurado.A listagem da figura 3.26 (página 35) mostra o exemplo de um serviço de DNS Dinâmicoconfigurado no Nettion.Figura 3.25:Listagem de serviços de DNS dinâmicoPara configurar este seviço, você deve estar cadastrado em um dos serviços gratuitos deDNS Dinâmico listados a seguir:


3.2. REDE 35• No-IP (http://www.no-ip.com)• DynDNS (http://www.dyndns.com)• ChangeIP (http://www.changeip.com)Após o cadastro feito no site do serviço você terá em mãos as informações de “Usuário”,“senha”e “host”que servirão de entrada para as configurações do Nettion. Para incluir umserviço, clique no botão “Incluir”e preencha as informações de acordo com a figura 3.26abaixo.Figura 3.26:Inclusão de serviço de DNS dinâmico3.2.7 GráficosInterfacesNesta seção encontram-se os gráficos de consumo da banda por interface do Nettion.Além do recurso do monitoramento on-line, você tem ainda a opção de consultar todo ohistórico de cada gráfico. Veja o exemplo na figura 3.27 abaixo.Figura 3.27:Gráfico de consumo de banda por Interface de Rede


36CAPÍTULO 3. CONFIGURAÇÕES


Capítulo 4ObjetosCom o intuito de simplificar o modo de configurar os serviços, o Nettion R○ trabalha como conceito de objetos, que consiste em um conjunto de informações mapeadas em objetosque serão utilizadas pelos vários serviços disponibilizados pelo software.Os objetos estão classificados conforme o tipo de informação que armazenam, facilitandosua manutenção. O ideal é que o administrador faça um levantamento prévio do ambientede rede, identificando os objetos que devem ser criados, economizando tempo naconfiguração dos serviços.Relacionamos abaixo alguns dos serviços disponibilizados pelo Nettion R○ e os respectivosobjetos por eles utilizados:• Roteamento Avançado: hosts e redes, serviços e horários;• Proxy: domínios, expressões, horários, hosts e redes;• Controle de Banda: hosts e redes;• Firewall: hosts e redes, serviços e horários;• NIDS: hosts e redes;• OpenVPN: hosts e redes;• DHCP: hosts e redes;Observe este exemplo:Para referenciar o IP de uma estação de trabalho da sua empresa, um administradorcriou o objeto do tipo host com o nome Est 01, atribuindo-lhe um certoIP 192.168.254.10 com a Máscara de Rede 255.255.255.255. Em seguida,utilizou o objeto Est 01 nas regras do proxy, Controle de Banda, Firewall eNIDS.Se por algum motivo você tiver que alterar o IP da Est 01 basta você alterar o IP do Objetoe todas as configurações do Nettion que utilizam este Objeto serão automaticamenteatualizadas para o novo IP.37


38CAPÍTULO 4. OBJETOS4.1 Manutenção de ObjetosApós selecionar uma classe (tipo) de objeto no menu principal, será exibida para o administradoruma lista contendo os objetos cadastrados (caso existam). A exibição podeser ordenada por qualquer uma das colunas mostradas, sendo necessário somente queo administrador clique sobre a coluna específica para que o sistema alterne a exibiçãoe ordenação dos itens da lista. Use a barra de rolagem para navegar entre os objetoscadastrados. O administrador poderá, então, incluir, alterar ou excluir um objeto, porexemplo, clicando nos respectivos botões. 14.1.1 Inclusão de ObjetosPara incluir novos objetos, o administrador deve dar um clique no botão “Incluir” (vejafigura 4.1 na página 38).Figura 4.1: Botão IncluirAo clicar no botão Incluir, será exibida a tela de inclusão, onde se deve preencher oscampos referentes ao objeto a ser criado. Para confirmar a inclusão, clique no botãoSalvar Configurações.4.1.2 Edição de ObjetosPara acessar o módulo de edição, o administrador deve dar um clique duplo sobre o objetoque deseja editar ou selecioná-lo e clicar no botão Editar (veja figura 4.1.2 na página38). Na tela de edição, o administrador poderá alterar os dados cadastrais do objetoFigura 4.2: Botão Editarselecionado e confirmar as alterações com um clique no botão Salvar Configurações.4.1.3 Manutenção dos Itens do ObjetoOs objetos do tipo Domínios, Expressões, Horários e Serviços são formados por gruposde objetos, ou seja, cada objeto possui seus itens. Para ter acesso aos itens, selecione oobjeto desejado e clique no botão Itens (veja figura 4.1.3 na página 39). Será exibida alista dos itens cadastrados para o objeto selecionado e os controles para a manutenção1 Os botões Editar, Itens e Deletar. Estarão habilitados apenas quando houver um objeto selecionado.


4.1.MANUTENÇÃO DE OBJETOS 39Figura 4.3: Botão Itensdo cadastro dos itens do objeto. A manutenção dos itens utilizados segue o padrão deprocedimentos utilizados para a manutenção do objeto (inclusão, edição e exclusão).4.1.4 Exclusão de ObjetosPara excluir um objeto específico, basta selecioná-lo e clicar no botão Deletar. O ad-Figura 4.4: Botão Deletarministrador poderá selecionar mais de um objeto e apagar todos eles clicando uma únicavez no botão apropriado. Para selecionar objetos consecutivos, mantenha pressionada atecla Shift, clique uma vez no objeto que dará início à seleção e clique uma segunda vezno objeto que finalizará a seleção. Será exibida uma tela solicitando a confirmação daexclusão do(s) objeto(s) selecionado(s). Isso evita que o administrador exclua um ou maisobjetos acidentalmente.Nota: O sistema não efetuará a exclusão no caso do objeto possuir itenscadastrados ou quando estiver associado a regras de firewall, proxy ou controlede banda, etc, sem que antes seja removida a associação. Uma tabela deresumo será exibida, listando todas as regras/serviços em que o objeto estejainserido.4.1.5 Consulta de ObjetosPara realizar a consulta de um objeto, basta acessar a guia de consultas no cadastro doobjeto desejado. Cada objeto possui suas próprias opções de consulta, porém todas astelas seguem o mesmo padrão de funcionamento. A figura 4.5 a seguir mostra, a títulode ilustração, a tela de consulta de objetos 2 de “Hosts e Redes”.Figura 4.5:Tela de Consulta de Objetos2 Lembre-se que a tela de consultas segue o mesmo padrão de funcionamento, mudando apenas os campos deacordo com o objeto selecionado.


40CAPÍTULO 4. OBJETOS4.2 Hosts e RedesNo cadastro de hosts e redes o administrador criará a lista dos IP’s que serão utilizadosna configuração do Nettion R○. Entende-se por host o IP de uma máquina específica,assim como entende-se por rede um IP que represente um intervalo de IP’s. O Nettion R○interpreta como host o objeto de máscara 255.255.255.255; os demais, serão interpretadoscomo sendo redes. Veja o exemplo de listagem de objetos de hosts e redes na figura 4.6(página 40).Figura 4.6: Hosts e Redes4.2.1 Manutenção do Cadastro de Hosts e RedesA manutenção do cadastro de hosts e redes segue o padrão estabelecido anteriormente(vide seção 4.1) . Para hosts e redes deverão ser preenchidos os seguintes campos (conformefigura 4.7 na página 40).• Objeto: nome a ser dado ao objeto. Ex: Web Server;• Endereço IP: endereço IP do host ou da rede. Ex: 192.168.1.2;• Máscara: máscara da rede onde o objeto se encontra. No caso de o objeto ser umhost, lembre de usar a máscara 255.255.255.255/32;• Descrição: texto explicativo sobre o objeto. Ex: Servidor Web da empresa.Figura 4.7: Adicionando objeto do tipo Host/Rede


4.3.DOMÍNIOS 414.3 DomíniosNo cadastro de domínios, o administrador deverá criar a lista dos grupos de domínios queserão utilizados na configuração do Nettion R○. Cada grupo poderá conter um ou maisdomínios. Veja um exemplo de uma listagem de objetos de Domínio na figura 4.8 napágina 41.Figura 4.8: Listagem de grupos de domínios4.3.1 Manutenção do cadastro de domíniosA manutenção do cadastro de domínios e dos itens segue o padrão estabelecido anteriormente.Para domínios, deverão ser preenchidos os seguintes campos (veja figura 4.9 napágina 41):• Nome: nome que você deseja dar ao grupo Ex: Governamentais;• Descrição: descrição acerca do grupo. Ex: Domínios Governamentais.Figura 4.9: Formulário de configuração de grupo de domíniosPara Incluir os itens do Grupo de Domínios, selecione o grupo desejado e clique no botãoItens. Na tela seguinte você encontrará uma tela com a listagem de itens do domínio.Clique no botão “Incluir”e preencha as informações sobre o item:


42CAPÍTULO 4. OBJETOS• Domínio: digite o domínio iniciando por ponto (“.”) para identificar todo o domínio(ex:.hotmail.com) ou para identificar um host específico do domínio utilize sem oponto (Ex: login.hotmail.com).• Descrição: descrição acerca do item. Ex: Domínios bloqueados.Obs.: O Nettion valida os domínios inseridos, impedindo que domínios inválidos sejamadicionados.4.4 ExpressõesNesta seção, o administrador poderá cadastrar grupos de expressões (palavras ou expressõesregulares) para serem utilizados na configuração do proxy, e, como ocorre comos domínios, cada grupo poderá conter um ou mais itens, tornando possível a utilizaçãodo grupo inteiro em uma única regra do proxy.4.4.1 Manutenção do Cadastro de ExpressõesA manutenção do cadastro de expressões e dos itens seguem o padrão estabelecido anteriormente.Para expressões deverão ser preenchidos os seguintes campos:.• Nome: nome que você deseja dar ao grupo Ex: Expressões Proibidas;• Descrição: descrição acerca do grupo. Ex: Expressões que devem ser bloqueadas.Para Incluir os itens do Grupo de Expressões, selecione o grupo desejado e clique no botãoItens. Na tela seguinte você encontrará uma tela com a listagem de itens do grupo deexpressões. Clique no botão ”Incluir”e preencha as informações sobre o item:• Tipo: tipo do item a ser criado, se Palavra ou Expressão regular 3 .• Palavra: palavra que deverá ser identificidada na URL pelo Proxy do Nettion. Ex:sexo.• Posição: posição na qual a palavra deve ser identificada. Caso queira, por exemplo,identificar URLs terminadas por “.exe”, escolha a opção “no final”.• Palavra inteira: selecione “Sim”para identificar apenas na palavra inteira, ou seja,não será identificada quando a palavra estiver contida em outras palavras. Para oexemplo da palavra sexo, sexologia não bateria com o padrão. Selecione “Não”paracriticar a palavra mesmo dentro de outras palavras.4.5 HoráriosNo cadastro de horários, deverá ser criada a lista dos horários que serão utilizados naconfiguração do Nettion R○. Com base nesses horários, o administrador poderá criar regrasno Proxy, no Firewall, etc, para fazer o controle de acesso.3 o Nettion possibilita a inclusão de expressões regulares mais complexas através da escolha do tipo ExpressãoRegular, porém, a escolha do tipo Palavra associada as outras opções como ”Posição”e ”Palavra Inteira”atendem agrande maioria dos casos.


4.6. SERVIÇOS 434.5.1 Manutenção do cadastro de horáriosA manutenção do cadastro de horários e dos itens segue o padrão estabelecido anteriormente.Para horários, deverão ser preenchidos os seguintes campos:• Objeto: nome a ser dado ao horário. Ex: Expediente;• Descrição: texto para detalhamento do horário. Ex: Horário de trabalho normal.4.5.2 Determinando IntervalosO administrador poderá definir o horário selecionando uma ou mais células da tabelacomposta por dias e horários. A seleção será feita com o mouse da seguinte forma: oadministrador deve clicar na célula inicial com o botão esquerdo do mouse, mantendo-opressionado durante o deslocamento do cursor na tela e selecionando o intervalo desejado.Uma vez selecionada a região desejada, clique no botão ”Marcar”. Um mesmo objeto dehorário pode ter várias regiões de horários selecionadas.Caso deseje fazer um ajuste para fracionamento de horas, após selecionar a região desejada,será exibida uma linha com os campos para ajustes juntamente com os botõesMarcar e Desmarcar. O usuário poderá alterar o conteúdo dos campos de acordo comsua necessidade e dar um clique em Marcar ou Desmarcar conforme o caso. Para confirmaras definições de intervalo, o usuário deverá clicar no botão Salvar Configurações.4.6 ServiçosNesta seção o administrador poderá cadastrar serviços para serem utilizados mais adiantena configuração das funcionalidades do Nettion. Há também a opção de checar os serviçospré-definidos pelo Nettion R○. O Nettion já possui cadastrado uma série de serviços, osmais conhecidos na Internet, que são os objetos de serviços Predefinidos.4.6.1 PredefinidosAqui, o administrador poderá consultar a lista de serviços predefinidos pelo Nettion R○. Aoselecionar um serviço, clique em itens para visualizar as portas que determinado serviçoutiliza.4.6.2 PersonalizadosCaso o serviço desejado não esteja cadastrado no Nettion, o administrador pode criarserviços personalizados e para tanto, ele deverá acrescentar um novo grupo de serviços,cliando em “Incluir”. Na tela seguinte, identifique um nome e uma descrição para o seuServiço.


44CAPÍTULO 4. OBJETOSPara incluir itens a um serviço, selecione o serviço desejado e clique em ”Itens”. CadaServiço pode conter uma ou mais combinações de protocolo/porta.Para cada item de um serviço os itens abaixo deverão ser configurados:• Protocolo: TCP, UDP, ICMP, GRE, ESP ou HA;• Porta: Pode ser um número, uma faixa ou um serviço especial P2P;• Descrição: Inclua uma descrição para o item;• Incluir também este serviço para o protocolo UDP: Marque esta opção caso queirainserir esta mesma porta para o protocolo UDP (esta opção só estará disponível casovocê esteja inserindo um serviço TCP).4.7 CategoriasNa seção categorias, o Administrador poderá categorizar/classificar URL’s para a aplicaçãoem regras do Proxy. O Administrador pode consultar se determinada URL estácadastrada no Nettion e em que grupo de categorias ela está. Caso o Nettion aindanão possua determinada URL pesquisada, o Administrador poderá incluir e definir a quegrupo ela irá pertencer.4.7.1 PredefinidosAqui, o administrador poderá consultar a lista de categorias predefinidas pelo Nettion R○.Existe integrada no Nettion uma lista de URL’s, as quais o Administrador não conseguevisualizar selecionando as categorias e clicando em itens, podendo apenas pesquisar sedeterminada url já está cadastrada no Nettion R○.Figura 4.10: Categorias Pré-definidas


4.8. MIME TYPE 454.7.2 PersonalizadosCaso a categoria desejada não esteja cadastrada no Nettion R○, o administrador podecriar categorias personalizadas e para tanto, ele deverá acrescentar um novo grupo decategorias, clicando em “Incluir”. Na tela seguinte, identifique um nome e uma descriçãopara a sua Categoria. Em seguida cadastrar as URL’s desejadas.4.7.3 Consulta de URL’sO Administrador pode pesquisar se determinada url está contida em algum grupo decategorias, podendo mudá-la de categoria se necessário. Caso não esteja cadastrada, oAdministrador pode destinar um grupo para essa url.Figura 4.11: Formulário de busca de URL’s4.8 Mime TypeCadastrar mime-Types é o mesmo que especificar tipos de arquivos. Nesta seção, oAdministrador poderá incluir os mime-types de seu conhecimento. Com este recurso serápossível o Administrador criar regras no Proxy, baseadas no tipo de arquivo e não apenasna sua extensão.Figura 4.12: Formulário de inclusão de Mime-TypesObs.: O Nettion R○ já vem com vários Mime-types cadastrados.


46CAPÍTULO 4. OBJETOS


Capítulo 5Usuários/Grupos5.1 AutenticaçãoO Nettion R○ possui três alternativas quanto à autenticação de usuários. A primeiraé utilizar uma base de dados de usuários que serão cadastrados no próprio Nettion R○;a segunda é autenticar a partir de uma base de usuários já existente em uma máquinaUNIX/Linux, através de NIS (Network Information System); e a terceira é através de umabase de dados de usuários cadastrados em um servidor Windows. Esta opção tambémsuporta o esquema de autenticação via NTLM, que não solicita login e senha no browserde estações Windows que façam parte de um domínio Windows. Este esquema utiliza ainformação de login do domínio Windows para se autenticar no proxy.5.1.1 Base NettionPara indicar ao sistema que a base de usuários para autenticação será provida pelo Nettion,selecione a opção Utilizar o Nettion. Existem duas formas de utilização de umabase nativa do Nettion:• Local;• Remota.Para utilizar a base que se encontra no próprio Nettion (Base Local), selecione a opçãoAutenticar na base de usuários e grupos Local. Em seguida, crie os grupos eusuários conforme a necessidade. Para saber como criar usuários/grupos no Nettion, vejao tópico Grupos e o tópico Usuários deste capítulo.Para utilizar uma base de usuários existente em um outro Nettion (Base Remota), selecionea opção Autenticar numa base de usuários e grupos remota, preenchendoos campos conforme descrição abaixo:• Endereço IP: Endereço IP do Nettion remoto onde encontra-se a base de usuários;• Porta: Porta onde funciona a Interface de Administração do Nettion Remoto. Seráatravés desta porta que o Nettion Local acessará o Nettion Remoto para sincronizara base de usuários (veja o capítulo 3 para saber a porta definida). Uma regra poderáser necessária no firewall, liberando o tráfego entre os dois Nettions nesta porta;47


48CAPÍTULO 5. USUÁRIOS/GRUPOS• Senha: Senha de acesso definida no Nettion Remoto (veja o tópico Acesso Remotodeste capítulo).Figura 5.1: Autenticação no NettionPara sincronizar a base, marque a opção Sincronizar Usuários e Grupos com oNettion Remoto.Obs.: Ao selecionar esta opção, a base de usuários existente será sobrescrita pela base aser importada.Acesso RemotoPara permitir que outro(s) Nettion(s) sincronize(m) sua base de Usuários e Grupos com oNettion local, é necessário definir uma senha para cada Nettion. Para isso, crie um objetode Host/Rede para cada Nettion que irá sincronizar com o Nettion Local (veja o capítulo4 para saber como criar objetos de Hosts/Redes), e acesse o menu Usuários/Grupos →Configurações → Acesso Remoto e selecione o objeto de Host/Rede criado no campoHost e defina a senha. Para finalizar, clique no botão Salvar Configurações.Figura 5.2: Configuração do Acesso Remoto


5.1.AUTENTICAÇÃO 495.1.2 Servidor NISPara indicar so sistema que a base de usuários será provida por um servidor NIS (Servidorde Autenticação UNIX/LINUX. Você deve possuir um em sua rede), utilize a opçãoServidor NIS (Unix) e preencha os campos conforme descrito abaixo:• Domínio NIS(Network Information System): Domínio onde se encontram osusuários cadastrados no Servidor. Ex.: NISGROUP• Endereço IP: Endereço IP do servidor NIS. Ex.: 192.168.0.1Figura 5.3: Autenticação na base NISPara sincronizar a base, marque a opção Sincronizar Usuários e Grupos do Nettioncom o Domínio NIS e no campo Importar usuários NIS a partir do UID, digiteo ID a partir do qual os usuários serão importados.Obs.: Ao selecionar esta opção, a base de usuários existente será sobrescrita pela base aser importada.5.1.3 Servidor WindowsPara indicar ao sistema que a base de usuários será provida por um servidor Windowstm,utilize a opção Domínio Windows e preencha os campos conforme descrição abaixo:• Domínio: Domínio onde se encontram os usuários cadastrados no Servidor. Ex.:suaempresa.local• Nome do servidor: Nome NETBIOS do servidor Windows. Ex.: Serv-corp• Endereço IP: Endereço IP do servidor Windows. Ex.: 10.0.0.2Ative as configurações clicando no botão Salvar Configurações.


50CAPÍTULO 5. USUÁRIOS/GRUPOSServidor Windows com Sincronização e NTLMFuncionamento do sistema NTLM Esta opção faz com que o Nettion negocie como Servidor Windows a autenticação repassada pelo browser do usuário, evitando assima necessidade de identificação(janela de usuário e senha) a cada navegação. Lembre-seque esta opção funcionará somente em um ambiente de rede Windows/Samba onde asmáquinas e usuários estejam devidamente logados ao domínio.NTLM no Nettion Desde a versão 2.5, o Nettion R○ Security Software suporta o esquemade autenticação NTLM, tornando transparente o esquema de autenticação doproxy para o usuário.Para utilizar este esquema de autenticação, faz-se necessária a configuração de algunscampos referentes ao domínio Windows. Outra característica importante deste esquemade autenticação é a obrigatoriedade de sincronização dos usuários entre o Nettion R○ e ocontrolador de domínio.Habilitando autenticação NTLM Para habilitar o serviço NTLM, o administradordeve habilitar a opção Sincronizar Usuários e Grupos do Nettion com Usuáriose Grupos do Domínio Windows e adicionar o login e a senha de algum usuário comnível de administrador. Caso o servidor Windows seja do tipo AD (Active Directory) aopção O servidor Windows possui o serviço Active Directory habilitado deveser ativada.Figura 5.4: Autenticação na base WindowsCaso o número de usuários existentes no seu domínio Windows seja superior à quantidadede usuários da sua Licença de Uso Nettion R○, é possível importar apenas os usuários degrupos específicos do Windows. Desta forma, será feita a importação de uma quantidadede usuários que esteja dentro dos limites da Linceça de Uso do Nettion.


5.1.AUTENTICAÇÃO 51Para isso, crie no seu Windows os grupos contendo os usuários que deseja importar, eno Nettion, clique no botão “Atualizar Grupos”. Todos os grupos do Windows serãoexibidos na caixa Grupos, selecione os grupos desejados e clique no botão “ ServidorControlador de domínio utilizando os Serviços Predefinidos smb, win2000 e winnt.3. Para a autenticação funcionar, é primordial que existam as regras de proxy. Veja ocapítulo 6 (Proxy) para mais informações.4. A cada alteração nas informações dos usuários no Controlador de domínio, deve-sesincronizar novamente os usuários no Nettion R○.5. Em algumas situações, o Nettion R○ pode perder sua comunicação com o controlador dedomínio (Em caso de desligamento temporário do Controlador de Domínio, por exemplo).Nestes casos, o Nettion R○ deverá ser reconectado, para voltar a fazer as autenticaçõesnormalmente.ATENÇÃO: Ao sincronizar os dados com o controlador de domínio, todos os grupos eusuários previamente cadastrados serão apagados. É de extrema importância fazer umbackup das configurações antes de realizar este procedimento.AgendamentoLembre-se que, sempre que uma alteração for realizada na base de usuários do Windows(inclusão/exclusãode usuários, criação/alteração de grupos, alterações de senhas,etc.), o Nettion deve ser resincronizado. Porém, é possível criar um agendamento, permitindoassim que a tarefa de resincronização do Nettion R○ com a base Windows sejaautomatizada.Para isso, acesse o menu Usuários/Grupos → Autenticação → Agendamento.Existem quatro opções de agendamento:• A cada 6h;• A cada 12h;• Diário;• Semanal.Selecione o tipo de agendamento desejado, marcando dia e horário (quando aplicável), eclique no botão Salvar Configurações.Obs.: Para as duas primeiras opções, o horário não pode ser especificado. Desta forma oagendamento seria realizado às 06:00hs, 12:00hs, 18:00hs e 00:00hs para a opção “A cada6h”, e às 12:00hs e 00:00hs para a opção “A cada 12h”.


52CAPÍTULO 5. USUÁRIOS/GRUPOS5.2 GruposFigura 5.5: Agendamento da Sincronização de UsuáriosO Nettion R○ permite que o administrador crie grupos de usuários e os utilize na formaçãodas regras do proxy, o que possibilita que os usuários de um grupo sejam submetidos aregras específicas, controlando seu acesso a internet.Figura 5.6: Administração de Grupos5.2.1 Manutenção do cadastro de GruposTemos duas formas de trabalhar com grupos de usuários, sendo divididos de acordo como tipo de autenticação escolhido:Caso 1: Autenticação em base remota via NIS ou Windows sem sincronização de usuários,ou em base Local.A manutenção do cadastro de grupos segue ao padrão estabelecido anteriormente. Paragrupos de usuários deverão ser preenchidos os seguintes campos (veja figura 5.7 abaixo.)• Nome: nome que você deseja dar ao grupo. Ex.: Financeiro


5.3.USUÁRIOS 53• Descrição: descrição sobre a que se refere este grupo. Ex.: Setor FinanceiroFigura 5.7: Inclusão/Edição de GruposCaso 2: Autenticação com Sincronização de Usuários (via Nettion Remoto, NIS ou Windows).Neste caso, o administrador deve editar os grupos no controlador de domínio Windows,no Nettion Remoto ou no Servidor NIS e sincronizar novamente as bases de usuários naopção Autenticação do menu Usuários e Grupos. Em caso de dúvida, veja os itens:Base Nettion, Servidor NIS e Servidor Windows.5.3 UsuáriosTemos duas formas de trabalhar com usuários, sendo divididas de acordo com o tipo deautenticação escolhido:Caso 1: Autenticação por NIS, Local ou Windows sem NTLM.O Nettion R○ permite que você cadastre, independente da autenticação utilizada, os usuáriosque necessitam de um tratamento diferenciado quanto ao acesso à internet, podendo oadministrador atribuir ao usuário um ou mais grupos para facilitar a manutenção dasregras do proxy para estes.Caso 2: Autenticação Windows com NTLMNeste caso, o administrador deve editar os usuários no controlador de domínio e sincronizarnovamente as bases de usuários na opção Autenticação do menu Usuários eGrupos. Em caso de dúvida, veja o item Servidor-Windows.5.3.1 Manutenção do cadastro de UsuáriosA manutenção do cadastro dos usuários segue ao padrão estabelecido anteriormente. Paracadastro de usuários deverão ser preenchidos os seguintes campos (veja figura 5.8 a seguir):• Campo Usuário: login do usuário. Ex.: lauro• Nome: nome do usuário. Ex.: Lauro Cavalcante• Senha: senha para acesso. Ex.: ******• Confirmação: confirmação da senha. Ex.: ******


54CAPÍTULO 5. USUÁRIOS/GRUPOS• Grupo: grupo padrão do qual o usuário fará parte. Ex.: Comercial• Grupos adicionais: grupo adicionais dos quais o usuário fará parte. Ex.: FinanceiroFigura 5.8: Inclusão/Edição de Usuários5.4 Perfis de acessoA partir da versão 3.98, o Nettion R○ Security Software passa a conter perfis de acesso.Para criar perfis de acesso e atribuir um perfil a cada usuário, acesse Usuários/Grupos→ Perfis de acesso.Figura 5.9: Lista de perfisEsta funcionalidade permite ao Administrador definir quais módulos da ferramenta poderãoser visualizados no menu de acesso dos usuários em um determinado perfil. O manuseioé bem simples, como mostra a figura 5.10 a seguir.


5.4. PERFIS DE ACESSO 55Figura 5.10: Seleção dos MódulosApós criar um perfil, o Administrador deve vinculá-lo aos usuários no qual ele se aplica.Este vinculo é feito diretamente no cadastro do usuário. Será atribuído automaticamenteum perfil padrão com acessos limitados aos usuários que não forem vinculados a um perfilespecífico.


56CAPÍTULO 5. USUÁRIOS/GRUPOS


Capítulo 6ProxyO serviço de Proxy possui duas funções básicas. A primeira é o Cache, que possibilitaum aumento da velocidade ao acessar páginas na internet sem que você precise, necessariamente,investir em links maiores, pois otimiza a navegação fazendo um cache localdos objetos(web) acessados pelos usuários. Isso permite que objetos já acessados eque ainda sejam válidos sejam disponibilizados localmente aos usuários que precisaremdaquele mesmo objeto, evitando assim a utilização do link para cada acesso ao mesmosite ou arquivo, por exemplo. Além disso, o Proxy também atua como um firewall emnível de aplicação. Assim, é possível que o administrador faça um controle dos acessosdos usuários através de regras relacionadas a: horários, domínios, palavras ou expressõesregulares, categoria de URL’s, grupos de usuário ou relacionados aos próprios objetos de“Hosts/Redes”.6.1 Regras de Firewall NecessáriasAssim como qualquer outro serviço, o Proxy precisa que liberações sejam feitas no Firewallpara que possa funcionar adequadamente. As regras necessárias são:6.1.1 Intranet → NettionÉ necessário criar uma regra que permita que os usuários da rede interna (e das redes quetambém forem necessárias) acessem o Nettion nos serviços squid (porta 3128) e dns(porta53). Veja na tabela 6.1 um resumo da regra de Firewal (página 57).Regra: Intranet → NettionOrigem Destino Serv. Destino AçãoIntranet localhostsquiddnsAceitarTabela 6.1: Liberação do Firewall Intranet -> Nettion57


58CAPÍTULO 6. PROXY6.1.2 Nettion → InternetTambém é necessário permitir que o Nettion acesse a Internet para buscar os sites. Paraisso o Nettion deverá acessar os serviços Web padrão (http, https e tomcat) e também oserviço DNS (resolução de nomes). Veja um resumo da regra necessária na tabela 6.2 napágina 58.Regra: Nettion → InternetOrigem Destino Serv. Destino Açãolocalhost QualquerhttphttpstomcatdnsAceitarTabela 6.2: Liberação do Firewall Nettion -> Internet6.2 ConfiguraçõesO Nettion R○ possibilita que se trabalhe com um proxy transparente ou com autenticação.Abordaremos os dois casos:6.2.1 Proxy com autenticaçãoNo uso do proxy com autenticação, trabalha-se com cache e controle de acessos, havendoa possibilidade de restrições quanto aos usuários.Para uso do proxy com autenticação é necessário configurá-lo no browser de cada estação.6.2.2 Proxy transparenteNo uso do proxy transparente trabalha-se apenas com cache, não havendo a possibilidadede restrições quanto aos usuários.No caso do Proxy Transparente, é necessário que uma regra adicional de Firewall sejacriada. Ela será responsável por redirecionar o tráfego em direção a porta 80 para a portado Proxy, no caso a 3128 (objeto squid) por padrão.Regra: Proxy TransparenteOrigem Destino Serv. Destino AçãoIntranet Qualquer http Redirecionar para localhost:3128Tabela 6.3: Redirecionamento Proxy Transparente


6.2.CONFIGURAÇÕES 596.2.3 Configurações geraisPara acessar a tela de configurações gerais do proxy acesse: Proxy → Configurações→ Gerais. A figura 6.1 abaixo mostra um exemplo de configuração do Proxy.Figura 6.1: Configurações do ProxyAbaixo, segue uma descrição dos campos da tela de configurações:• Porta: porta na qual rodará o serviço de Proxy. Ex.: 3128 (padrão);• Tamanho do cache: tamanho espaço em disco a ser alocado para o cache em MB.Ex.: 1000• Quantidade de memória: quantidade de memória RAM (em MB) que será utilizadapara armazenar objetos frequentemente acessados. Ex.: 100; Pode se fazer umcálculo de 10% da memória RAM da máquina para esta configuração caso o Nettiontambém seja utilizado para outras funções como Firewall, VPN, E-mail, etc. Caso oNettion seja utilizado apenas para o fim de Proxy, pode-se chegar a valores maiores,como 60 a 70% da RAM disponível. O armazenamento de objetos em memória RAMacelera ainda mais a navegação devido a maior velocidade de acesso comparada aoacesso ao disco;• Tamanho máximo de um objeto em disco: tamanho máximo de um objeto (em MB)permitido para armazenado em Cache. Ex: 64;• Política padrão: política padrão a ser utilizada Ex.: negar qualquer acesso. O idealé que o padrão seja negar os acessos e que você crie regras liberando o que fornecessário;• Mensagens de erro: determina em que idioma as mensagens de erro aparecerão paraos usuários;• Processos de Autenticação Básica (para o caso de autenticação na base local doNettion): determina quantos processos o Nettion R○ deve manter abertos para realizar


60CAPÍTULO 6. PROXYa autenticação dos usuários. Varia de acordo com o número de pessoas que vãoacessar simultaneamente a Internet;• Processos de Autenticação NTLM (para o caso de autenticação na base de usuáriosde um domínio Windows): determina quantos processos de autenticação NTLMo Nettion R○ deve manter abertos para realizar a autenticação dos usuários. Estenúmero varia em função da quantidade de usuários de proxy via autenticação NTLM.O Padrão são 20 processos, porém, em algumas redes com muitos usuários e muitasautenticações simultâneas, pode ser necessário aumentar este número;• Empresa (para as mensagens de erro): permite que seja especificado aqui o nome dasua empresa, o qual será exibido nas mensagens de erro do proxy.6.2.4 Limpeza do Cache do ProxyAgora, é possível efetuar a limpeza do cache do Proxy do Nettion a qualquer momento,bastando para isso clicar no botão Limpar Cache da tela de Configurações Gerais doProxy.A limpeza do cache deve ser forçada em várias situações, como por exemplo: Problemasna visualização de atualizações de páginas da web e problemas com espaço no disco rígidodo Nettion. Para este último caso, geralmente é sinal de que chegou a hora de substituiro disco rígido do sistema por um outro maior.6.2.5 Mensagens de erroNo Nettion R○, todas as mensagens de erro do Proxy podem ser editadas, permitindo assimmaior flexibilidade na configuração.Para editar as mensagens do Proxy acesse: Proxy → Configurações → Mensagensde Erro. A figura 6.2 abaixo exibe a tela de mensagens de erro do Proxy.Figura 6.2: Listagem de mensagens de erro do ProxyPara editar uma mensagem, selecione-a e clique no botão “Editar”. Na tela que seráexibida, altere o conteúdo da mensagem conforme a necessidade, porém sem fugir domotivo real da mensagem. Veja a figura 6.3 a seguir.


6.2.CONFIGURAÇÕES 61Figura 6.3: Edição de mensagens de erro do ProxyNote que a mensagem deve ser transcrita também no idioma Inglês. Para finalizar, cliqueno botão Salvar Configurações, como mostra a figura 6.3 a seguir.6.2.6 Portas AutorizadasEventualmente, pode ser necessário efetuar a liberação de algumas portas para acessovia Proxy. Alguns sites possuem acessos à áreas específicas através de portas especiais.Tais portas devem ser liberadas para permitir a sua navegação através do Proxy. Paraisso, acesse o menu Proxy → Configurações → Portas de Autorizadas. Por padrão,algumas porta já vêm previamente liberadas no sistema. Para incluir uma porta, clique nobotão Incluir. Na tela que será exibida, digite a porta que deseja liberar e sua descrição,depois clique no botão Salvar Configurações como mostra a figura a serguir.Figura 6.4: Inclusão de uma porta autorizada - Proxy6.2.7 Base de URL’s CategorizadasO Nettion R○ possui uma base de dados com milhares de URL’s divididas em categorias.Tais categorias de url’s são utilizadas na confecção de regras do Proxy. A Nettion InformationSecurity mantém essa base de URL’s e a distribui a seus clientes por meio de umesquema de atualização automatizado.


62CAPÍTULO 6. PROXYAtualização e AgendamentoPara manter a base de URL’s sempre atualizada, é necessário que um agendamento sejacriado. Para isso, acesse o menu Proxy → Configurações → Base de URL’s →Atualização. Existem quatro opções de agendamento:• A cada 6h;• A cada 12h;• Diário;• Semanal.Selecione o tipo de agendamento desejado, marcando dia e horário (quando aplicável), eclique no botão Salvar Configurações.Figura 6.5: Agendamento da Atualização da Base de Url’sObs.: Para as duas primeiras opções, o horário não pode ser especificado. Desta forma oagendamento seria realizado às 06:00hs, 12:00hs, 18:00hs e 00:00hs para a opção “A cada6h”, e às 12:00hs e 00:00hs para a opção “A cada 12h”.IMPORTANTE: É possível também forçar a atualização a qualquer momento, bastandopara isso clicar no botão Atualizar na tela Atualização Manual contida no mesmomenu de acesso.6.2.8 Histórico de Atualizações de URL’sO Nettion R○ guarda um histórico de todas as atualizações realizadas, dando informações,tais como: data e hora da atualização, versão da base de dados, quantidade de url’sadicionadas e se a operação foi bem-sucedida ou não. Veja figura 6.6 a seguir.


6.3. REGRAS 63Figura 6.6: Histórico das Atualizações da Base de Url’s6.3 RegrasAs regras do proxy podem ser interpretadas como frases (veja figura 6.7 abaixo), cabendoao administrador construir aquelas que devem ser aplicadas no controle de acesso. Para aformação das regras, são utilizadas informações previamente cadastradas. Veja referênciano Capítulo 4 (Objetos) e no Capítulo 5 (Usuários e Grupos).Figura 6.7: Listagem de regras do ProxyCaberá ao administrador elaborar as regras para gerenciamento dos acessos.


64CAPÍTULO 6. PROXY6.4 Composição de regras do ProxyA criação/edição das regras do Proxy é feita através de um Wizard que o guiará nacomposição dos filtros de acesso. Cada regra permite aplicação de filtros por domínio,por expressões regulares, por categorias de URL’s, por mime-types, por horário e por IP,que são aplicadas a Usuários e/ou Grupos de Usuários.É possível também, criar controles de tráfego como por exemplo:• Velocidade Máxima permitida;• Tamanho Máximo da Requisição HTTP;• Rotas para pacotes TCP.Note que, as regras são analisadas uma a uma de acordo com a sua posição, iniciandopela regra de número 1, estabelecendo-se assim uma ordem de prioridade. Desta forma,é importante que as regras mais específicas fiquem acima das regras mais genéricas.Importante: Caso você selecione mais de um filtro em uma mesma regra, o Nettion R○aplicará a regra somente se a URL acessada satisfizer às exigências de todos os filtros selecionados(lógica “AND”). O critério para posicionamento das regras irá variar de acordocom a política de segurança implementada. Sugerimos, entretanto, alguns conceitos quepodem ser observados nesse sentido. Regras de permissão que não requerem autenticaçãodevem estar nas primeiras posições.OBSERVAÇÕES:1. Permitir os domínios sem autenticação dentro do horário comercial para qualquerusuário.2. Regras de permissão que requerem autenticação de usuários selecionados devemestar posicionadas abaixo das regras que não requerem autenticação. Ex: Permitirqualquer domínio em qualquer horário para os usuários do grupo Diretoria.3. Regras de permissão que requerem autenticação para usuários válidos devem estarposicionadas abaixo das regras referentes a “usuários selecionados”. Ex: Permitirqualquer domínio, sem palavras proibidas em qualquer horário, para usuários válidos.4. A regra referente à política padrão selecionada nas configurações do proxy estaráimplícita e será escrita após a última regra cadastrada pelo usuário. Assim, a políticapadrão somente será interpretada pelo proxy caso o acesso solicitado não se encaixeem nenhuma das regras anteriores.6.4.1 Tela 1 - Definição da regraPara criar uma regra no Proxy, acesse o menu Proxy → Regras, e clique no botãoIncluir para iniciar o Wizard.Preencha as informações conforme a descrição a seguir e clique no botão Avançar.


6.4.COMPOSIÇÃO DE REGRAS DO PROXY 65• Descrição: um breve resumo do objetivo da regra;• Ação: a ação da regra, Permitir ou Negar.• Posição: posição da regra na tabela. Determina qual a prioridade de interpretaçãodas regras.• Status: status da regra. Indica se a regra está Ativa ou Inativa. Opções: Ativa ouInativaFigura 6.8:Definição da regra6.4.2 Tela 2 – HorárioDetermina o horário para a ação. Define o horário no qual a regra atuará com baseem um horário previamente cadastrado (Para saber mais sobre como criar objetos dehorários no Nettion, veja a seção Horários do capítulo 4). Opções: “Qualquer”, “Dentrodo horário”ou “Fora do horário”.O padrão “Qualquer”será utilizado quando o administrador não especificar uma relaçãocom um horário durante a elaboração da regra.Para especificar uma relação com um horário, o administrador deve selecionar uma opçãodiferente de “Qualquer”para que seja exibida a lista de horários cadastrados e entre osquais ele selecionará o horário desejado, que será exibido em amarelo, isto é, o horário noqual a regra irá atuar.Veja tela de seleção de horários na figura 6.9 a seguir.


66CAPÍTULO 6. PROXYFigura 6.9: Seleção de horário para aplicação da Regra6.4.3 Tela 3 - FiltrosAqui, você especifica os filtros que deseja aplicar à regra. Os seguintes filtros podem serutilizados:• Objetos de Domínios;• Objetos de Expressões Regulares;• Categorias de Url’s 1 ;• Objetos de Mime-type.Para selecionar objetos de Domínios e/ou Expressões, selecione os objetos desejados, eclique no botão “


6.4.COMPOSIÇÃO DE REGRAS DO PROXY 67Figura 6.10:Aplicação de filtros à regra6.4.4 Tela 4 - Aplicar paraNesta tela, determine para quem a regra deve ser aplicada. Aqui, o administrador poderádefinir se a regra exigirá autenticação ou não. Se a regra for autenticada, ele poderáaplicá-la a um ou mais usuários, bem como a grupos de usuários. Poderá também criarexceções à regra.Para isso, marque a caixa de verificação Solicitar Autenticação. No campo “Grupos”,selecione o(s) grupo(s) de usuários aos quais a regra será aplicada e/ou no campo“Usuários”, selecione o(s) usuário(s) a(o) qual(is) deseja aplicar a regra. Caso algumgrupo de usuários seja selecionado, exceções poderão ser especificadas no campo “ExcetoUsuários”.Obs.: Se você não desejar especificar usuários ou grupos, mas deseja que a autenticaçãoseja solicitada a todos os usuários 1 , especifique a opção “Qualquer”. Para isso, simplesmentedeixe os campos “Grupos”, “Usuários” e “Exceto usuários” vazios.Também, é possível aplicar a regra à redes e/ou hosts específicos. Para isso, selecione osobjetos de Hosts/Redes desejados no campo “Hosts” e clique no botão “


68CAPÍTULO 6. PROXYFigura 6.11: Seleção de Objetos (Usuários/Hosts) da RegraObservação: Para otimizar o tempo de carga de usuários e grupos o Nettion carregasomente os 100 primeiros registros de cada de caixa de seleção. No final da lista possuium item chamado “mais...”. Clique nele duas vezes para que carregue mais 100 registros.Caso prefira, você também poderá utilizar o campo de busca que fica acima das caixas.6.4.5 Tela 5 - QosPara finalizar, clique no botão “Avançado”, se desejar, para especificar retrições quantoao tráfego. Estas opções devem ser utilizadas com muita cautela para garantir que oefeito desejado seja obtido realmente.• Para restringir a velocidade de acesso aos sites que serão tratados por esta regra,marque a caixa de verificação “Habilitar Controle Tráfego”. Em seguida, especifiquea velocidade desejada (em Kbit ou Mbit) no campo “Vel. Máxima Permitida”.• Para restringir a quantidade de dados que será trazido por vez (isto se aplica à qualquerrequisição HTTP, não somente aos donwnloads), marque a caixa de verificação“Habilitar Controle de Requisição HTTP”. Em seguida, espeficique o valordesejado (em Kbyte, Mbyte ou Gbyte) no campo “Tamanho máximo da requisição”.• Também, é possível direcionar o tráfego a ser tratado pela regra por um link específico(geralmente diferente do link padrão de saída do Proxy). Para isso, marquea caixa de verificação “Habilitar Rotas para pacotes TCP”, e selecione o linkdesejado na caixa de listagem.


6.5.RELATÓRIOS 69Ao final, clique no botão “Concluir”. A regra será criada na posição especificada ejá entrará em funcionamento instantâneamente, sem a necessidade de reiniciar qualquerserviço ou recurso. Veja a figura 6.12 a seguir.Figura 6.12: Aplicação de Restrições de Tráfego à RegraObs.: As opções “Habilitar Controle Tráfego” e “Habilitar Rotas para pacotesTCP” não funcionam para objetos de Categorias de Url’s e Objetos de Mime-typesaplicados à regra.6.5 RelatóriosO Nettion R○ disponibiliza ao administrador relatórios gerenciais referentes aos acessos viaProxy. Quando utilizada a autenticação, será possível ao administrador filtrar os acessosreferentes a cada usuário.6.5.1 PadrãoEste relatório possibilita ao administrador do Nettion R○ gerar relatórios analíticos dossites acessados, específicos em um determinado período. Caso os campos não sejampreenchidos, o relatório será geral.Os campos para composição de relatórios são:• Usuário: seleciona sobre qual usuário o relatório será demonstrado. Ex.: Fernanda.Trará todos os acessos realizados pelo usuário Fernanda no período especificado noscampos DE (DATA) e ATÉ (DATA).


70CAPÍTULO 6. PROXY• Host: especifica de qual máquina partiu acesso à internet. Ex.: 10.0.0.36. Trarátodos os acessos realizados a partir da máquina 10.0.0.36 no período especificado.• URL: endereço completo ou trecho de um endereço que se deseja saber quem o acessouno período especificado. Ex.: www.nettion.com.br. Trará uma lista com todosos usuários que acessaram a este site: www.nettion.com.br. Ex: Nettion. Traráuma lista com todos os usuários que acessaram a algum site (URL) que contenha apalavra “Nettion”.6.5.2 Por domínioEste relatório possibilita ao administrador do Nettion R○ gerar relatórios de acessos em umdeterminado período agrupados por domínios, conforme os campos DE (DATA) e ATÉ(DATA). O administrador pode selecionar um grupo específico para qual o relatório seráexibido ou especificar apenas um usuário.• Clicando na coluna “hits”, o administrador visualizará o relatório detalhado referenteao domínio.• Grupo: especificar sobre qual grupo o relatório será demonstrado. Ex.: Desenvolvimento.Exibirá todos os acessos realizados pelo desenvolvimento no períodoespecificado nos campos DE (DATA) e ATÉ (DATA).• Usuário: Especificar sobre qual usuário o relatório será demonstrado. Ex.: Fernanda.Exibirá todos os acesso realizados pela Fernanda no período especificado nos camposDE (DATA) e ATÉ (DATA).6.5.3 TopEste relatório possibilita ao administrador do Nettion R○ identificar quais foram os Topacessos através de três relatórios diferentes. Por Usuário, por Domínio ou por Host.O Top Usuários permite ainda a seleção de três unidades de medida, podendo ser porTráfego (quantidade de bytes transferidos), por Hits (quantidade de acessos feitos - cadaitem de um site representa um hit) ou por tempo de acesso (considera o tempo de cargados sites/arquivos da web, ou seja, o tempo em que o usuário realmente utilizou o Proxy).6.5.4 Acessos BloqueadosEste relatório possibilita que o administrador do Nettion R○ gere relatórios analíticos dossites acessados e que estão bloqueados para o respectivo usuário em um determinadoperíodo, para simples identificação de tentativa de acesso não permitido. Caso os camposnão sejam preenchidos, o relatório será geral.6.5.5 On-lineEste relatório possibilita que o administrador do Nettion R○ efetue o acompanhamento onlinedos sites que estão sendo acessados. Para iniciar o acompanhamento, o administradordeve clicar no botão “Iniciar”e para interromper, deve clicar o botão “Parar”.


6.6.GRÁFICOS 716.6 GráficosAlém dos relatórios, o Nettion R○ também disponibiliza gráficos em real time dos acessosdos usuários ou hosts da rede. Através deles o administrador poderá analisar graficamenteos acessos de todos ou de um usuário específico dentro do período escolhido. Duas opçõesde gráficos são disponibilizadas, podendo ser por usuário ou por host.Para ter acesso aos Gráficos, acesse o menu Proxy → Gráficos → Usuários ou Hosts.Os gráficos são inicialmente carregados com os dados de todos os usuários ou hosts,conforme exemplo na figura 6.13 abaixo.Utilize a seleção na parte superior do gráfico, para visualizar o gráfico de um usuário ouhost específico.Figura 6.13: Gráfico de Usuários6.6.1 Selecionando um períodoPara selecionar um período específico para visualização do gráfico, clique na lupa que ficana parte superior direita do gráfico. Na próxima tela você terá duas opções de seleção doperíodo. A primeira delas é através da caixa de seleção na base do gráfico, que permitea seleção dos períodos de 30 minutos a 1 ano. A segunda opção é utilizando o mouse.Clique com o botão esquerdo em uma posição do gráfico e arraste, fazendo uma seleçãode uma área. Ao soltar o botão, o gráfico será recarregado com o período selecionado.6.6.2 Visualizando acessos a partir do gráficoÉ possível também visualizar os acessos do usuário a partir de uma área selecionada dográfico. Para isso, após selecionar um período, clique no icone que fica na parte superiordireita do gráfico.


72CAPÍTULO 6. PROXY6.6.3 Monitoramento RealtimeUma vez selecionado o usuário desejado, clique no botão “Monitorar”para acompanhar aformação do gráfico à medida que o usuário faz seus acessos. Para parar o monitoramento,clique no botão “Parar”.6.7 Configurando as estações da redePara que as estações da rede utilizem o Proxy do Nettion R○ (em modo não transparente)é necessário que as configurações de Proxy de seus navegadores estejam apontando parao IP e Porta do Nettion. Esta configuração pode variar de acordo com o navegadorutilizado. Listamos abaixo a configuração necessária nos mais conhecidos e utilizados:• Firefox (versão 3.0)– Com o navegador aberto, clique no menu “Ferramentas → Opções. . . ”;– Na tela seguinte, clique na opção “Avançado”;– Agora clique na aba “Rede” e depois no botão “Configurar. . . ”;– Na tela seguinte, selecione a opção “Configuração manual de proxy” e preenchaas informações de HTTP com o IP de acesso ao Nettion e a porta do Proxy, quepor padrão é a porta 3128.– Nesta mesma tela, na opção “Sem proxy para:” indique também o IP do Nettion- isso vai evitar que os acessos ao próprio Nettion sejam feitos via Proxy.– Depois clique em “OK” e o navegador estará configurado.• Internet Explorer (versão 7.0)– Com o navegador aberto, clique no menu “Ferramentas → Opções de Internet.. . ”;– Clique na aba “Conexões” e depois no botão “Configurações da LAN’;– Na tela seguinte, selecione a opção “Utilizar um servidor Proxy. . . ” e indique oIP e porta de acesso ao Nettion. A porta padrão do Proxy do Nettion é a 3128;– Nas opções avançadas, digite o IP do Nettion nas exeções para evitar que oacesso ao próprio Nettion seja feito via proxy;– Clique em OK e o navegador estará configurado.


Capítulo 7Controle de BandaO gerenciamento de banda do Nettion R○ tem o objetivo de otimizar o uso dos links atravésda re-priorização dos pacotes de dados. Com ele é possível alocar uma maior quantidadede banda do link para os serviços ou máquinas mais importantes da sua rede. Além disso,o controle tem a flexibilidade de fazer a alocação de forma dinâmica, o que permite queuma banda alocada e não utilizada possa ser consumida por um outro serviço de formaautomática.Para que fique mais claro, o conceito do controle de banda, é necessário antes entendermosos conceitos de Re-priorização de pacotes e de Realocação dinâmica de banda.7.1 Re-priorização de pacotesA Re-priorização age sobre a entrega dos pacotes, fazendo uma diminuição da velocidadede entrega dos pacotes ou fazendo uma liberação maior de banda de acordo com asregras estabelecidas. Por exemplo, imagine que você esteja recebendo seus e-mails de umprovedor externo à sua organização de acordo com o cenário da figura 7.1 a seguir.Figura 7.1: Cenário Controle Banda73


74CAPÍTULO 7. CONTROLE DE BANDAA linha 1 (verde) da imagem indica o sentido da sua solicitação ao provedor na porta110 (conta POP3) e a linha 2 (azul) indica os pacotes de dados (seus e-mails) saindo doservidor de E-mails e indo em direção a sua máquina. Ao chegarem ao Nettion, que faz aintermediação da conexão, entrarão pela interface de rede Eth1, e sairão em direção a suamáquina, indicada pela linha 3 (amarela), através da interface Eth0. E é neste momento,da entrega, que o Nettion fará a repriorização dos pacotes, restringindo ou liberando maisbanda para a conexão.Se para este cenário quiséssemos, por exemplo, restringir a banda para a obtenção dee-mails, aplicaríamos uma regra na interface Eth0(interface de entrega dos dados), restringindoo tráfeto originado na porta 110 com destino à rede interna ou à algumamáquina em específico. Veremos mais a frente a criação de regras.7.2 Realocação dinâmica de bandaO segundo conceito, porém não menos importante, é o de realocação dinâmica de banda.Ele vai permitir que uma banda alocada para um determinado serviço ou host/rede sejaconsumido por outro serviço, quando ociosa.Para ficar claro, imagine a situação onde você alocou uma parte da sua banda (300Kbits)para um determinado host da sua rede, porém, você deseja que, quando ociosa, estabanda seja distribuida para as demais máquinas da rede. Para isso, utilizamos o conceitode velocidade mínima e velocidade máxima, onde a velocidade mínima será o que ficaráreservado, ou seja, não será compartilhado, e velocidade máxima, será a banda que poderáser utilizada caso exista banda ociosa.Todo este controle é feito através de Classes, que representam reservas de banda, e suasRegras. Na próxima seção você aprenderá como as configurações de classes e regras sãofeitas.7.3 ConfiguraçõesPara configurar o Controle de Banda do Nettion R○, você deve acessar o menu Controlede Banda > Configurações. Na tela que será exibida, estarão disponíveis todas asinterfaces de rede existentes no sistema, como mostra a figura 7.2 abaixo.Figura 7.2: Lista de interfaces de rede disponíveis


7.3.CONFIGURAÇÕES 757.3.1 Definição da Interface de redeAntes de iniciar a configuração de um controle de banda, é necessário que você faça aavaliação do cenário e identifique a origem e o destino dos dados que devem ser controlados.Após identificar de onde os dados partem e para onde vão, você identificará emqual interface o controle será feito, que é aquela que faz a entrega dos dados diretamentea quem os solicitou.7.3.2 ClassesO primeiro passo será criar uma classe, que significa criar uma reserva de banda do seulink. Neste momento ainda não iremos dizer a quem (host ou serviço) se destina estareserva. Isso será feito na criação das regras.Além das classes criadas pelo administrador do Nettion, existe também o conceito daClasse Default. A classe Default representa o restante de banda disponível no dispositivode rede, ou seja, aquele que ainda não foi alocado em nenhuma classe e que será utilizadopor qualquer tráfego que não tenha sido classificado em qualquer regra. O total debanda de um dispositivo é definida na configuração da própria interface de rede, no menuConfigurações -> Rede -> Interfaces.Utilizaremos o cenário apresentado, da entrega de E-mails, para que o conceito fique maisclaro. Imagine que neste ambiente, nós temos 1Mbit de banda com a internet e a nossanecessidade é restringir a banda do download de e-mails, impedindo que este tráfegoatrapalhe outros serviços.Uma vez definida a interface de rede (veja seção 7.3.1), o próximo passo é fazer a criaçãoda classe de acordo com os passos a seguir:1. Clique no menu Controle de Banda-> Configurações;2. Clique no botão ”Configurar” da interface definida na seção 7.3.1;3. A próxima tela mostrará uma listagem de Classes. Clique no botão ”Incluir”;4. Preencha os campos:• Nome: Nome da Classe. Ex: Classe 1;• Descrição: Descrição da Classe. Ex: Classe 1;• Vel. Mínima: insira a banda reservada para esta classe. Para o nosso exemploserá de 1 Mbit;• Vel. Máxima: insira a banda máxima permitida para a classe. Para o nossoexemplo será de 1 Mbit;5. Clique no botão ”Salvar Configurações”.Para que você tenha uma idéia de como está ficando a sua configuração, o Nettion ofereceum gráfico que mostra a Interface e suas divisões de Classes e Objetos. Para visualizá-lo:1. Clique no menu Controle de Banda-> Configurações;2. Clique no botão ”Visualizar Gráfico” da interface desejada;


76CAPÍTULO 7. CONTROLE DE BANDAObservando a imagem, o círculo laranja representa a Interface de rede, os círculos azuisrepresentam as classes. Posicionando o mouse sobre os círculos você terá maiores informaçõessobre suas configurações de banda, conforme mostrado na figura 7.3 a seguir.Figura 7.3: Gráfico da Interface Eth0Uma vez criada a Classe, o próximo passo será criar as regras, conforme veremos napróxima seção.7.3.3 RegrasAs regras, que estararão sempre ligadas a uma classe, identificarão o tráfego ao qual ocontrole será aplicado. Nela indicaremos a origem (de onde partem os dados), o destino(onde os dados chegam) e as bandas mínimas e máximas. Os conceitos de banda mínima(reserva) e banda máxima são equivalentes aos vistos nas Classes.Seguindo o nosso exemplo, supondo que o limite a ser estabelecido para o tráfego vem daInternet (qualquer origem) na porta 110 com destino as máquinas da rede interna seja de100Kbits. Siga os passos a seguir para a criação desta regra:• Clique no menu Controle de Banda-> Configurações;• Clique no botão “Configurar”da interface Eth0;• Selecione a Classe “Classe 1” e clique no botão “Itens”;• Na tela seguinte, da listagem das regras, clique no botão “Incluir”;• Insira agora as informações da regra. Veja figura 7.4 (página 77).– Nome: nome da regra. Ex: POP3; Obs: Não é permitido espaço no nome daregra;– Descrição: insira uma descrição. Ex: Banda para POP3;– Objeto de Origem: insira o objeto de onde os dados se originam. Neste casoselecione o objeto Qualquer, significando qualquer host de origem;– Objeto de Destino: insira o objeto de destino dos dados. Neste caso selecione oobjeto Rede Interna, previamente criado.


7.3.CONFIGURAÇÕES 77– Porta de Origem: insira a porta de origem dos dados. Neste caso insira 110.– Porta de Destino: insira a porta de destino dos dados. Neste caso selecione“Qualquer” clicando na caixa ao lado;– Vel. Mínima: insira a banda reservada. Neste caso insira 100 Kbits;– Vel. Máxima: insira a banda máxima permitida. Este campo define até quandoda banda ociosa pode ser utilizada para esta regra. Neste caso, como queremosrestringir insira o valor 100 Kbits;– Prioridade: define a prioridade desta regra em relação as demais. Neste exemploselecione o valor 1;Figura 7.4: Regra POP3Novamente, acesse o gráfico da Interface Eth0 para visualizar como está aplicado seucontrole de banda. Observe que agora surgiu um círculo branco representando a regracriada. Veja na figura 7.5 (página 77).Figura 7.5: Novo Gráfico da Interface Eth0


78CAPÍTULO 7. CONTROLE DE BANDA7.4 Ativando o serviço de Controle de BandaApós as configurações, é necessário que o serviço seja ativado. Para isso, clique no menuSistema > Serviços. Depois clique no botão “Start”referente ao serviço de Controle deBanda.Para que o serviço seja ativado automaticamente durante a inicialização do Nettion,marque a opção “Auto” do serviço e clique no botão “Ativar mudanças para os selecionados”conformea figura 7.6 abaixo.Figura 7.6:Ativação do Serviço do Controle de Banda


Capítulo 8FirewallO Firewall é um recurso de segurança que faz o controle do que é permitido ou não passaratravés do Nettion R○, como por exemplo, entre a sua rede e a internet. Funciona como umfiltro, evitando que serviços indevidos sejam acessados, diminuindo os riscos da exposiçãoda rede à internet.O simples fato de ter um Firewall na rede não quer dizer que ele esteja sendo útil. Paratal, é necessário que ele esteja bem configurado e sintonizado com as necessidades dapolítica de segurança da sua organização.O Nettion R○ utiliza as mais avançadas tecnologias de Firewall disponíveis para o SistemaOperacional Linux através do IPTables e do Kernel 2.6, e, aliado a isso, oferece tambémuma interface bastante simples de inclusão e manutenção das regras, evitando que empouco tempo, o administrador se perca diante de tantas regras já criadas.8.1 ConfiguraçõesEm Firewall → Configurações, o administrador definirá a política de acesso padrãoque será utilizada pelo firewall do Nettion R○. A política padrão estabelece a ação queserá tomada sobre qualquer acesso que não tenha sido explicitamente liberado pelo administradoratravés das regras. O ideal, e o recomendável, é que a política padrão sejaconfigurada para “Negar tudo”. Mas atenção. Antes de fazer esta configuração, algumasregras básicas devem ser criadas, como as que liberam o acesso ao próprio Nettion.A política padrão de acesso pode ser:• Negar tudo, barrando qualquer acesso não liberado nas regras;• Permitir tudo, barrando somente o que foi definido nas regras. Originalmente apolítica está definida como Permitir tudo, a fim de que o usuário tenha acesso aoNettion R○ e possa cadastrar as regras necessárias aos seus acessos. Somente apósefetuar esse processo, é que se deve alterar a política padrão para Negar tudo:79


80CAPÍTULO 8. FIREWALL8.2 RegrasFigura 8.1: Configuração da política padrão do FirewallCada pacote 1 que trafega através do Nettion R○ é analisado pelo filtro de pacotes, que oabre e extrai informações como IP de origem, destino do pacote, portas, etc., verificandose estas informações batem com alguma regra cadastrada no firewall. Caso sim, o firewalltoma a ação que a regra diz (bloqueia, aceita ou audita). Caso não haja uma regraespecífica no firewall que trate este pacote, será utilizada a política padrão definida nofirewall do Nettion R○ para este fluxo, que pode ser Permitir tudo ou Negar tudo.8.2.1 Incluindo uma nova regraPara que o usuário possa incluir as regras do firewall do Nettion R○, faz-se necessário queos objetos a serem utilizados tenham sido previamente cadastrados. É aconselhável que setenha traçado um esboço das regras que serão cadastradas. O Nettion R○ já disponibilizaa grande maioria dos serviços que você precisará na configuração do firewall, mas vocêtambém tem liberdade para adicionar novos, caso seja necessário. Para efetuar a inclusãode uma regra, clique no botão Incluir, no menu Firewall > Regras, e preencha oscampos solicitados:Definições Básicas da Regra• Descrição: uma descrição da regra, como por exemplo: Acesso VNC ao Micro01;• Ação: indica a ação que o firewall tomará sobre os pacotes tratados por esta regra,que podem ser:– Permitir Libera o tráfego;– Negar Bloqueia o tráfego;– Auditar Gera registros sobre as conexões tratadas pela regra. É especialmenteútil quando se deseja descobrir as portas utilizadas por um determinado serviço.Todo o tráfego auditado pode ser visto através do Relatório do Firewall.• Pos: a posição na lista de regras. As regras são processadas sequencialmente e aordem, nesse caso, é importante, pois uma vez que um pacote é abrangido por umaregra, a ação desta é tomada e ele não é mais processado pelas regras seguintes 2 ;1 Os dados numa rede IP são enviados em blocos referidos como pacotes ou datagramas (os termos são basicamentesinônimos no IP, sendo utilizados para os dados, em diferentes locais nas camadas de IPs)2 Caso algum pacote seja tratado por uma regra cuja ação seja Auditar, ele continua até que seja tratado por algumaoutra regra de Permitir ou Negar ou pela política padrão


8.2. REGRAS 81• Status: define status da regra como ativa ou inativa.Figura 8.2: Definições básicas da regra de FirewallApós preencher esse formulário, clique em Avançar e escolha os horários nos quais estaregra deve atuar, como mostrado na figura 8.2 acima:HoráriosSe você deseja que a regra sempre atue, escolha Qualquer (opção padrão). Você tambémpode usar os objetos do tipo “Horário” para determinar quando a regra deve atuar.Definido quando a regra deve atuar, clique em Avançar e vamos configurar a regra propriamentedita.Figura 8.3: Definição do horário de aplicação da regra


82CAPÍTULO 8. FIREWALLSeleção de objetos para aplicação da RegraEm “Filtros de Origem > Hosts”, você definirá a partir de qual ou quais hosts ouredes a conexão será iniciada. Para fazer a seleção, selecione os objetos desejados da caixade seleção à direita (lista de objetos de Hosts e Redes precadastrados), transferindo-ospara a caixa à esquerda. A transferência pode ser feita clicando-se duas vezes no objetodesejado ou utilizando os controles entre as caixas.Para especificar que não importa a origem dos pacotes, ou seja, de qualquer Host/Redede origem, deixe a caixa de seleção da esquerda vazia.Para especificar que é o Nettion, utilize o objeto especial chamado “localhost”.Dica: Caso você esteja utilizando o Browser Mozilla Firefox ou Internet Explorera partir da versão 7.0, é possível obter maiores informações sobre osobjetos durante a criação da regra. Para isso, basta posicionar o mouse sobreo objeto desejado, como mostrado na figura 8.4 abaixo.Figura 8.4: Informações sobre os objetosEm “Filtros de Destino > Hosts” você selecionará os hosts ou redes de destino daconexão, ou seja, aqueles que receberão a conexão.Para especificar que não importa o destino dos pacotes, ou seja, deixe a caixa de seleçãoda esquerda vazia.Para especificar que é o Nettion, utilize o objeto especial chamado “localhost”.Em “Filtros de Destino > Serviços” você selecionará qual ou quais serviços serãoacessados no destino da conexão. Por padrão o Nettion oferece uma lista de serviços Predefinidoscom os principais serviços, mas você pode criar seus próprios no menu Objetos> Serviços > Personalizados.


8.2. REGRAS 83Figura 8.5: Seleção de objetos para aplicação da regraConfigurações AvançadasCaso você esteja fazendo uma regra de redirecionamento de pacotes, ou queira aplicaroutras configurações à sua regra, antes de “Concluir” clique no botão “ConfiguraçõesAvançadas”.Nesta seção, você poderá:Figura 8.6: Configurações avançadas da regra• Otimizar o tráfego: Esta opção permite que o tráfego tratado por esta regra sejaotimizado. A otimização é feita através da configuração de um cabeçalho especial dospacotes (TOS - Type Of Service) que tem a função de especificar uma das seguintesconfigurações:– Minimiza Custo– Maximiza a confiabilidade


84CAPÍTULO 8. FIREWALL– Maximiza Throughput– Minimiza Delay• Redirecionar este tráfego para outro host: utilize esta opção quando vocêestiver criando uma regra de redirecionamento de pacotes, por exemplo, redirecionandoas conexões de VNC que chegarem ao Nettion para um host específico da suarede. Observação importante: Caso a sua intenção seja fazer o redirecionamento doserviço que chegar ao Nettion para outro host, sem alterar as portas de desntino,deixe o campo Porta vazio. Caso não, indique um número de porta diferente.• Auditar este tráfego: permite que o tráfego tratado por esta regra seja auditato.Isso vai fazer com que o Nettion gere registros das conexões que poderão ser acessadosatravés dos Relatórios do Firewall.• Mascarar dinamicamente este tráfego quando necessário: esta opção faz comque o Nettion aplique o NAT (Network Address Translation) nos pacotes tratadospor esta regra, quando necessário. Isso ocorre, por exemplo, quando um host da redeinterna, com um IP privado, precisa acessar um serviço diretamente na Internet.• Estado estabelecido e/ou relacionado no retorno da conexão: Esta opçãopermite tratar o estado da conexão (Stateful Firewall). Quando marcada, vai permitirque somente os hosts de origem iniciem a conexão em direção aos hosts de destinoda regra. Quando houver a necessidade de deixar que ambos os lados (Origem eDestino) originem a conexão, como entre duas redes de uma VPN, desmarque estaopção.Dica: durante a inclusão das regras, é importante que você avalie se a novaregra se encaixa com alguma já criada. Caso sim, basta você editar a regraexistente e incluir os objetos desejados. Isso vai fazer com que seu Firewallfique mais organizado, facilitando sua manutenção.8.3 Regras básicas do FirewallA configuração do Firewall requer a análise detalhada do ambiente para que todo otráfego necessário seja contemplado através de suas regras. Seguem abaixo algumas regrasbásicas, que são úteis na maioria dos ambientes.8.3.1 Acesso ao NettionÉ necessário que você crie uma regra que o permita acessar a interface de administraçãodo Nettion. A liberação desta regra pode ser feita apenas para um IP fixo na rede, o damáquina do administrador, ou para toda a rede interna, com destino ao Nettion. Segueum resumo da regra a ser criada na tabela 8.1 (página 85).Obs: como comentado anteriormente, o objeto especial “localhost” referencia o próprioNettion.


8.3. REGRAS BÁSICAS DO FIREWALL 85Regra: Administração do NettionOrigem Destino Serv. Destino AçãoHost Administrador localhosthttphttpssshAceitarTabela 8.1: Liberação do acesso ao Nettion8.3.2 Acesso Nettion -> InternetNa maioria dos casos, o Nettion é utilizado com a função de Proxy da rede. Isso requerque o Nettion acesse alguns serviços na Internet, como DNS, HTTP e HTTPS. Veja umresumo da regra a ser criada na tabela 8.2 abaixo.Regra: Nettion -> InternetOrigem Destino Serv. Destino Açãolocalhost QualquerhttphttpsdnsAceitarTabela 8.2: Liberação Nettion -> Internet8.3.3 Resolução de nomes para a rede internaNa maioria das vezes, o Nettion é responsável pela resolução de nomes na Internet paraas máquinas da rede interna. Para isso, segue o resumo da regra a ser criada na tabela8.3 a seguir.Regra: DNS para IntranetOrigem Destino Serv. Destino AçãoRede Interna localhost dns AceitarTabela 8.3: Liberação do DNS para Rede InternaOBS.: Lembramos que estas são dicas de regras básicas do firewall, que podeme devem ser complementadas, porém, existem ainda muitas outras regras quedevem ser criadas para tornar o seu firewall realmente eficiente. Tais regrasdependem de alguns fatores como:• Política de Segurança da Empresa;• Serviços e Aplicativos externos utilizados;• Serviços e Aplicativos internos a serem acessados externamente;• Etc.Exemplos de outras regras poderão ser encontradas neste documento nas configuraçõesde outros módulos do Nettion, como Proxy e VPN.


86CAPÍTULO 8. FIREWALL8.4 RelatóriosAtravés do relatório do Firewall você terá acesso aos registros gerados pelas regras deAuditoria do seu Firewall. Os filtros de pesquisa permitem que você faça o filtro tanto poruma regra específica de auditoria, quanto por uma seleção avançada de hosts e serviços.Figura 8.7: Relatórios do Firewall


Capítulo 9VPNA VPN (Virtual Private Network ou Rede Privada Virtual) envolve a utilização da internetcomo meio seguro de comunicação entre dois pontos. Para garantir a segurança notráfego das informações pelo meio público que a internet representa, o Nettion R○, atravésde sua funcionalidade de VPN, cria um túnel de comunicação entre os dois pontos peloqual os dados trafegados são criptografados. Isso quer dizer que somente os dois pontosterão a chave de descriptografia e de interpretação dos dados recebidos.O Nettion R○ possui quatro tipos de VPN:• PPTP• IPSec Chave Pública RSA• IPSec Chave Compartilhada PSK• OpenVPN (Plugin)9.1 VPN PPTPO protocolo PPTP permite estabelecer a conexão de 1 host pertencente a internet àrede local controlada pelo Nettion R○. Sua criptografia é média ou baixa, dependendo docliente utilizado. Em sistemas operacionais Windows, com a versão igual ou posterior a2000, estabelecem-se conexões de criptografia média de 128 bits. Em clientes Windows98, estabelecem-se conexões com 40 bits de criptografia.Um caso de uso comum se apresenta quando o usuário quer ter acesso à rede da empresa,controlada pelo Nettion R○, a partir de uma conexão discada (DialUP) ou ADSL.Atenção: para utilização da VPN-PPTP, é necessário que o administrador inclua nofirewall as regras para prever o acesso. Faça uso do objeto pré-definido pptp. Segue umresumo da regra necessária na tabela 9.1.Regra: Liberação da VPN PPTPOrigem Destino Serv. Destino AçãoQualquer localhost pptp AceitarTabela 9.1: Liberando VPN PPTP87


88CAPÍTULO 9. VPN9.1.1 ConfiguraçõesPara configurar o servidor de VPN - PPTP, acesse VPN > PPTP > Configurações.A tela de configurações será exibida, como mostra a figura 9.1 abaixo.Figura 9.1: Configurações da VPN PPTP• Interface de Funcionamento: Indique a interface de rede pela qual o servidor irá responderpor requisições PPTP. Normalmente será a interface de rede que se conecta aInternet (com IP público) ou Todas, para qualquer interface. Ex.: eth0(200.200.200.200);• IP do Servidor: IP que será o Gateway do cliente PPTP após a conexão.128.0.0.1• Intervalo de IPs dos clientes: range (faixa) de IPs que será fornecido aos clientesda VPN. Ex.: 128.0.0.11-20. O administrador deverá cadastrar os usuários queutilizarão a VPN PPTP, que chamaremos de clientes, podendo atribuir ao clienteum IP, que será selecionado para os que necessitem de um tratamento diferenciadoquanto ao firewall a cada conexão. Ou, pode permitir que o servidor PPTP atribuaum dos IPs dentro do range, informado na configuração do servidor disponível nomomento da conexão.Importante: Para que os clientes PPTP possam acessar a sua rede e para que tambémpossam ser acessados, é necessário que se faça uma regra liberando este tráfego. Veja oresumo de uma regra para o exemplo onde a rede VPN e a rede interna estão na rede128.0.0.0/24 na tabela 9.2 (página 89), considerando que:• Rede Interna: Objeto de Host/Rede configurado para 128.0.0.0/24;• Qualquer: Qualquer serviço possa ser acessado entre as redes. Escolha os serviçosespecíficos caso necessário.Obs: Para permitir que a conexão possa ser iniciada a partir de ambos os lados, desmarquea opção Estado estabelecido e/ou relacionado no retorno da conexão nasconfigurações avançadas desta regra.A exibição da lista de clientes cadastrados pode ser ordenada pela coluna: Login ouNome ou Descrição. O cliente deve clicar sobre a coluna específica para que o sistemaalterne a exibição e a ordenação dos itens da tabela. Será possível utilizar a barra derolagem para navegar entre os itens da tabela.Ex.:


9.1. VPN PPTP 89Regra: Liberação da VPN PPTPOrigem Destino Serv. Destino AçãoRede Interna Rede Interna Qualquer AceitarTabela 9.2: Liberando tráfego rede interna ↔ rede VPN9.1.2 Manutenção do cadastro de clientes para VPN PPTPA manutenção do cadastro de clientes PPTP segue ao padrão estabelecido anteriormente.Para clientes PPTP deverão ser preenchidos os seguintes campos:Figura 9.2: Adicionando/Editando usuários PPTP• Usuário: login do usuário. Ex.: João• Senha: senha de autenticação. Ex.: senhapptp• Confirmação: confirmação da senha. Ex.: senhapptp• IP: IP que a máquina externa deste cliente irá receber ao fechar VPN com o Nettion.Caso seja preenchido este campo com um asterisco (*), o cliente receberá um dos IPexistentes dentro do Range (faixa) de IP disponibilizado pelo Servidor. Caso sejaespecificado um IP, este cliente sempre receberá este IP ao conectar-se. Para umamaior segurança indicamos que o IP seja fixo. Ex. 1: * Ex. 2: 128.0.0.11Conexões AtivasO Nettion R○ possibilita que o administrador tenha conhecimento sobre quais conexões estãoativas no momento da consulta. Estas informações estarão disponíveis nos relatóriosposteriores.RelatóriosNesta seção, o administrador poderá visualizar relatórios sobre as conexões PPTP realizadas.


90CAPÍTULO 9. VPNFigura 9.3:Relatório de conexões realizadas.Conexões O administrador poderá efetuar o acompanhamento dos acessos feitos viaPPTP, facilitando o gerenciamento da rede. É possível ainda que o administrador desconectemanualmente um usuário conectado clicando no botão“Stop”, conforme mostradona figura 9.4 a seguir.Figura 9.4:Listagem de conexões ativas9.2 VPN IPSecO IPSec é um dos protocolos mais seguros que existem para o estabelecimento VPN’satravés de redes públicas de comunicação. Este fato dá-se pelo uso dos mais fortes algoritmospúblicos de criptografia, com níveis de segurança configuráveis pelo administrador.Atenção: para a utilização da VPN-IPSec é necessário que o administrador inclua nofirewall regras para prever seu acesso. Segue um resumo da regra a ser criada na tabela9.3 (página 91).


9.2. VPN IPSEC 91Regra: Liberando IPSecOrigem Destino Serv. Destino AçãoLocalhost Qualquer ipsec AceitarTabela 9.3: Liberando IPsecAlém desta regra, é necessário fazer uma regra que libere o tráfego entre as redes conectadasvia IPSEC. Segue um resumo da regra a ser criada para este fim na tabela 9.4abaixo, considerando que:• Rede Local: Objeto de Host/Rede previamente configurado com o IP da sua redelocal;• Rede Remota: Objeto de Host/Rede previamente configurado com o IP da rederemota;• Qualquer Serv: considerando que qualquer serviço estará disponível entre as redes.Escolha os serviços específicos caso necessário.Obs: Para permitir que a conexão possa ser iniciada a partir de ambos os lados (redelocal e rede remota), desmarque a opção Estado estabelecido e/ou relacionado noretorno da conexão nas configurações avançadas desta regra.Regra: Liberando tráfego dentro da VPNOrigem Destino Serv. Destino AçãoRede Local Rede Remota Qualquer AceitarTabela 9.4: Liberando Tráfego dentro da VPN9.2.1 ConfiguraçõesChaves de Autenticação e CriptografiaExistem 2 tipos possíveis de chave:DICA: caso você esteja utilizando 2 Nettions R○ para estabelecer a VPN, abra uma janelado browser através de conexão segura com cada um dos lados. Desta forma, fica maissimples configurar sua VPN.Chave PSK O sistema de autenticação sob chave PSK consiste em uma única chave,compartilhada entre os 2 lados da VPN, que promove o sistema de criptografia, descriptografiae autenticação.Vantagens:• Por utilizar o protocolo IPSec, projetado especificamente para o tráfego seguro deinformações através do protocolo TCP/IP, a VPN IPSec do Nettion R○ se torna umadas mais seguras escolhas para o tráfego de informações;• O sistema PSK é mais simples de ser configurado que o de dupla chave RSA. Porém,o nível de criptografia e segurança é mais baixo;


92CAPÍTULO 9. VPN• Compatibilidade total com outros sistemas de VPN PSK, como o Raptor R○ daSymantec R○.Desvantagens:• Não suporta NAT;• Menos seguro que o sistema RSA.Precauções:• Não utilize chaves humanamente compreensíveis;• Não forneça sua chave para o outro lado da VPN por e-mail, mensagens instantâneasou outros meios públicos de comunicação. Utilize ssh, https ou outro meio segurode transferência de mensagens. Caso você utilize um disquete ou CDROM para otransporte da chave, destrua-o;• Não revele sua chave para ninguém;• Gere chaves seguras, com mais de 128bits.Chave RSA O sistema de autenticação sob chaves RSA consiste em 2 chaves, umapública e uma privada, que promovem o sistema de criptografia, descriptografia e autenticação.Esta configuração requer a geração da chave secreta, que o próprio Nettion R○tem capacidade para fornecer. A chave secreta possui um altíssimo nível de criptografia(ex.: 2048bits ou 4096bits), configurável pelo administrador, que garante um altíssimonível de segurança nas transações .Vantagens:• Por utilizar o protocolo IPSec, projetado especificamente para o tráfego seguro deinformações através do protocolo TCP/IP, a VPN IPSec se torna uma das maisseguras escolhas para o tráfego de informações;• O sistema RSA é extremamente seguro;• Sistema utilizado há muitos anos, com uma base sólida de teste de segurança eusabilidade.Desvantagens:• Não suporta NAT;Precauções:• Não forneça sua chave para o outro lado da VPN por e-mail, mensagens instantâneasou outros meios públicos de comunicação. Utilize ssh, https ou outro meio segurode transferência de mensagens. Caso você use um disquete ou CDROM para otransporte da chave, destrua-o;• Não revele sua chave para ninguém;


9.2. VPN IPSEC 93Configurações GeraisPara configurar o servidor de VPN - IPSec, acesse VPN > IPSEC > Configurações.A tela de configurações será exibida, como mostra a figura 9.5 a seguir.• Interface de Funcionamento: Interface pela qual o servidor irá se conectar. Normalmenteserá a interface de rede que se conecta a Internet (com IP público). Utilize aopção “Rota Padrão” caso o seu Link com a Internet possua um IP público dinâmico(variável).• Tipo de Encriptação: tipo de chave que será utilizada para encriptação: 3des, 3desmd5-96ou 3des-sha1-96 Ex.: 3des-md5-96• Regerar chave secreta (somente RSA): marcando o campo SIM será regerada achave de encriptação demonstrada no campo Chave Pública.. Será ativado ocampo Tamanho, em que o administrador poderá especificar o tamanho da chaveque deseja utilizar em bits (512, 1024, 2048, etc.).• Chave Pública(somente RSA): chave gerada pelo Nettion para este servidor.Figura 9.5: Configurações do servidor IPSEC9.2.2 ConexõesNeste módulo, o administrador irá cadastrar e controlar as conexões de VPN - IPSec. Éapresentada ao administrador uma lista de conexões já cadastradas. Para cada conexãolistada, há um indicador de Status que poderá estar verde (ativo) ou vermelho (inativo),de acordo com o estado da conexão, e um botão Start ou Stop, que deve ser acionadocom um clique para iniciar ou parar a conexão de acordo com o seu estado. São listados


94CAPÍTULO 9. VPNem cada conexão: seu nome, a rede A e seu Gateway, a rede B e seu Gateway, o Statusda conexão e o botão Ação (Start ou Stop) .Atenção: Antes de iniciar a sua conexão, certifique-se que o serviço VPN IPSec no menuSistema->Serviços. Lembre-se também de ter marcado como Auto para que o Nettioninicie o serviço no boot da máquina.Figura 9.6: Listagem de conexões IPSECA exibição da lista de conexões cadastradas pode ser ordenada por qualquer uma dascolunas exibidas. Para que o sistema alterne a exibição e a ordenação dos itens da tabelao usuário deve clicar sobre a coluna específica. A barra de rolagem poderá ser utilizadapara navegar entre estes itens.Manutenção do cadastro de conexõesA manutenção do cadastro de conexões segue ao padrão estabelecido anteriormente. Paranovas conexões, deverão ser preenchidos os campos a seguir. Para facilitar o entendimento,identificamos como “A” e “B” os dois lados que fecharão a VPN.• Nome: indique um nome com o qual você deseja identificar a conexão. Ex.: Filial 1• Gateway A: Endereço IP da máquina que servirá de gateway, ou seja, a máquina quese interligará com a outra rede. Ex.: 200.253.5.10 (Geralmente o próprio Nettion R○).O administrador possui 3 opções neste item: IP, Qualquer, Default Route. IP:quando o Nettion R○ possui um IP Válido e Fixo de saída. Ex: Link IP Telemar,Link Embratel; Qualquer: quando no lado (A) da VPN, nesta mesma posição,for cadastrada a opção Rota Padrão, no lado (B) da VPN será cadastrado Qualquer.Ex.: conexão entre um Nettion com IP Fixo aceitando uma conexão com umNettion R○ com IP dinâmico. Rota Padrão: quando o administrador for realizar aconfiguração de uma VPN utilizando um link com IP Dinâmico, é impossível determinarqual será o IP do Nettion R○ e, conseqüentemente, seu Gateway. Neste caso,será marcada a opção “Rota Padrão”. Ex: configuração de VPN utilizando ADSL,Cable.• Rede A: rede que irá fazer parte da conexão e que, portanto, estará acessível pelaoutra ponta (Rede B). Ex.: 128.0.0.0/16• NextHop A: saída padrão do Nettion R○ que atua como Gateway A. Ex.: 200.253.5.9(gateway do Nettion). Caso esteja cadastrando dados de uma VPN que utilize IPDinâmico, esta opção será desabilitada, pois seria impossível determinar o Gatewaydo Nettion R○ de forma estática.


9.2. VPN IPSEC 95• Chave gateway A: chave de comunicação do Gateway AExemplo:0sAQO7tMehTP69r+Pr4PSTUmiYMDLQ4Lf70kWBgbhf+hhBKuh7Dk4XRNZcn8AYL15PmighjuUoAhJEQWW1VzsdzmQosWAh6URQpQmYQ+bwymJpFAVTBFEgaJo6r+vP0Irn7/FhI41ItnioJ7rCpEKtq4lfDEe0K5MDeNK6za+Rx4WEO8Dr8kjR0ePK9uPzb1xEwEizrIBUZfm4hBXVI/7LKXZG1Hf9Ouc6RKhPXlN/HkhIC2s0m61TIwTzqHwx+Qd48B7oITZslcmsOkK2WlJjZgq+5dPZQnHjoXsAuNJaNVXkQZFMNQziwznFJ7D2D1qfuVIzeVYgLso6yBJgW+QG7ush• Gateway B: endereço IP da máquina que servirá de gateway, isto é, interligação comoutra rede. Ex.: 200.195.152.2• Rede B: rede que irá fazer parte da conexão e que, portanto, estará acessível pelaoutra ponta (Rede A). Ex.: 192.168.1.0/24.• NextHop B: saída padrão do Nettion que atua como Gateway B. Ex.: 200.195.152.1. Veja o item NextHop A.• Chave gateway B: Chave de comunicação do Gateway BExemplo:0sAQPZfUID9sYTuasmkJYfU8JmpKwphyfxT0NtUmzTT6S58FXla6qEFJrv9JgIHFtp8Dlh6wHa6a9069bHg+MZX3GLtb4ynGaFtVsqvuNx9aVgnuliunxaXwsq2zShTBBgrCTed5o9YBMms1ItdxI6Pu5oeD1JrzQkI5J0b0qo3ukx07nqwUmDJRVHfL1zgbVeeTmn86LmhuMYpzwcBdBB5RZae8xnL0roUN7XUnjOg2VeHWVUk9giwS628KKLbclWIBcl8hIn1xc30qzrjlvqPAZggNGNt3w85925oxPRn+UvXNkadxfOxKeoF8DyLsrbvl61RAq7erQWyNVUvCz• Conexão: se a conexão será ativada manualmente ou automaticamente. Configureesta opção para Auto para que a VPN seja sempre reiniciada automaticamente. Ex.:Auto.• Status da conexão: se a conexão está ativa ou não.Obs: o Administrador poderá importar a chave do Nettion que estiver sendo configuradodando um clique no botão IMPORTAR MINHA CHAVE PÚBLICADicas de Configuração:• 1. Ao configurar uma VPN entre 2 Nettions R○, abra uma janela do browser paracada um deles;• 2. As configurações dos 2 lados serão totalmente IDÊNTICAS, salvo em casos deutilização de IPs dinâmicos. Isto quer dizer que, se o administrador cadastrar osdados do Nettion R○ 1 como sendo o Nettion R○ (A) da configuração, quando ele forrealizar a configuração do Nettion R○ 2, as informações serão idênticas, inclusive noposicionamento, tendo o Nettion R○ 1 como sendo o lado (A);• 3. Em configurações tendo Nettion 1, lado (A) , IP Fixo e o Nettion 2, lado(B), IP Dinâmico, obrigatoriamente o lado (B) terá como gateway a marcação doitem Rota Default. Seguindo a dica do item anterior, o administrador é levado aconfigurar o mesmo item, na mesma posição, em cada um dos Nettion R○. Porém, estaé a única exceção à regra. Observando o Nettion R○ 2, nos itens de configuração dolado (B), o administrador irá configurar o item Rota Default. Ao olhar esta mesmaconfiguração, na mesma posição, no lado (A), o administrador terá que configuraro item Qualquer. Obs: sempre que houver uma configuração de VPN entre um


96CAPÍTULO 9. VPNIP Fixo e um IP Dinâmico, os campos correspondentes ao IP fixo serão idênticosem ambos os Nettions R○. Porém, os campos de configuração correspondentes aolado do IP Dinâmico irão ser diferentes: no Nettion R○ com IP dinâmico, veremosmarcado o item Rota Default, e no Nettion R○ com IP Fixo, veremos marcado oitem Qualquer;• 4. O Nettion possibilita que ambas as conexões (Nettion A e Nettion B) possuam IPsDinâmicos, do tipo ADSL, por exemplo. Para isso é necessário fazer as configuraçõesutilizando o nome do host e não o IP. Como o IP é variável, utilize o serviço de DNSDinâmico do Nettion e para cada Nettion associe um nome DNS. Uma vez feitaas configurações, o Nettion tratará de manter a conexão ativa mesmo que os IPsvariem.Figura 9.7: Incluir/Editar de Conexão IPSEC


9.3. OPENVPN 979.3 OpenVPNA documentação do NettionPlug OpenVPN encontra-se no item 15.5 do Capítulo 15 sobreNettionPlugs, na página 152. Leia também sobre o que são NettionPlugs no Capítulo15 na página 141.


98CAPÍTULO 9. VPN


Capítulo 10NIDSO sistema de detecção de tentativa de invasão (Network Intrusion Detection System) doNettion R○ trabalha investigando se existe alguém tentando aplicar algum dos mais de1.600 tipos de tentativas de invasão, catalogados no Nettion, através de sua conexão.Uma vez detectada a tentativa, o Nettion R○ enviará um e-mail para o administradornotificando o acontecimento e registrará o fato em um log referente ao NIDS.10.1 ConfiguraçõesDefine as informações referentes ao sistema de detecção, que podem ser:• Interface, utilizada para monitorar o tráfego;• IPs e redes que são monitorados por ataques;• Filtros por assinaturas etc.A atualização das assinaturas é feita através do sistema de atualização (Update) doNettion R○. Verifique as novas versões do software no módulo do sistema.10.1.1 Seleção de InterfacesO administrador pode selecionar qual interface deseja monitorar referente a detecção detentativas de invasão. Caso deseje monitorar todas, não será necessário clicar individualmenteem cada uma delas. Basta clicar na opção “Todas”, como mostra a figura abaixo.Figura 10.1: Seleção de Interfaces do NIDS99


100CAPÍTULO 10. NIDS10.1.2 ObjetosÉ apresentada uma lista de objetos cadastrados no Nettion R○ para que o administradorclassifique quais são confiáveis e quais serão monitorados. Ao selecionar um objeto paraser monitorado, todo o tráfego referente ao item escolhido será analisado. Após realizar asalterações desejadas, é necessário clicar no botão “Salvar alterações”para que estas surtamefeito.Figura 10.2: Seleção de Objetos a serem Monitorados10.1.3 Configuração do PortScanO administrador deve especificar aqui o número de portas e o intervalo de tempo necessáriospara considerar um portscan vindo de uma mesma máquina. Esta configuração é válidatanto para pacotes UDP como TCP.O valor padrão é a detecção de quatro portas, num intervalo de três segundos, paraa caracterização de um portscan. Aqui, o administrador pode aumentar ou diminuira sensibilidade do NIDS para a detecção das tentativas de invasão. Para aumentar asensibilidade, basta diminuir o número de portas por intervalo de tempo. Para diminuir,aumente o número de portas por intervalo de tempo, como mostra a figura 10.3 abaixo.Em seguida, clique no botão “Salvar Configurações”.


10.1.CONFIGURAÇÕES 101Figura 10.3: Configuração do PortScan do NIDS10.1.4 Detecção de AssinaturasO Nettion R○ possui cadastradas mais de 1.600 tipos de tentativas de invasão, que estãoseparadas por tipos e são exibidas quando o administrador clica no campo “Tipos deAssinaturas”. Como alguns exemplos de tipo de assinaturas, podemos citar: Backdoors,Dos, Exploit, WEB IIS etc.Ao clicar em um destes tipos de assinaturas, será ativado o botão “Ativar/DesativarAssinaturas”. Ao clicar neste botão, será apresentada uma lista das assinaturas, referentesao item selecionado (Ex.: “WEB IIS”), ao administrador. Este, por sua vez, selecionaráas assinaturas que considerar importantes para que o NIDS monitore. Como mostra afigura 10.4 abaixo.Figura 10.4: Seleção de Assinaturas do NIDSAo final das listas, há um botão que seleciona todas as assinaturas referentes ao item(Ex.: WEB IIS). Portanto, caso deseje marcar todas, não é necessário selecionar uma auma.Esta configuração influencia diretamente a performance por isso, deve ser feita com muitocuidado e consciência.10.1.5 Alerta por e-mailEspecifique a freqüência caso queira receber notificações de alertas por e-mail. Paradesabilitar essa opção, especifique a freqüência de envio para “Nenhuma”e salve a configuração.


102CAPÍTULO 10. NIDS10.1.6 RelatóriosFigura 10.5: Configuração de Alertas via E-mailExibe relatórios dos alertas e tentativas de invasão com detalhes sobre os pacotes capturados:IPs de origem e destino, protocolo, portas e etc.10.1.7 AlertasO administrador pode visualizar as últimas assinaturas detectadas e também os portscansrealizados.Lista de informações gerais a respeito da configuração do NIDS:• Assinaturas ativas: informa a quantidade de regras ativas e o total de regras existentes.Ex.: 721 de 1601• Assinaturas detectadas: exibe a quantidade de assinaturas ativas que foram detectadaspelo NIDS em sua conexão Ex.: 101• PortScan detectados: número de portscan que foram detectados pelo NIDS. Ex.:247• Data do último alerta: data e hora no qual foi gerado o último alerta. Ex.: 21/12/2002- 14:27:1310.1.8 Últimas assinaturasAqui o administrador visualiza, página por página, os últimos alertas por assinaturas,especificando os seguintes campos:Ex.: WEB-PHP content-• Assinatura: assinatura a qual o alerta faz referencia.disposition• IP Origem: IP que originou o alerta. Ex.: 10.0.3.30• PO: porta de origem da máquina de onde partiu a tentativa de acesso. Ex.: 6040 IP• Destino: IP que se destina à conexão. Ex.: 10.0.3.12• PD: porta de destino para onde se direcionava o acesso. Ex.: 80


10.1.CONFIGURAÇÕES 103• Protocolo: tipo do protocolo utilizado para acesso. Ex.: TCP• Hora e Data: hora e data na qual o NIDS registrou o alerta. Ex.: 16:20:47 07-04-2003Figura 10.6: Relatório de Assinaturas DetectadasO administrador pode selecionar a quantidade de alertas que deseja visualizar por páginaatravés da alteração do campo “Lista com intervalo de 15 alertas”, que por padrão apresenta15 alertas. Caso o administrador deseje incluir um dos IPs apresentados na listaaos IP bloqueados, ele deve clicar sobre o IP desejado e confirmar o bloqueio no quadroque solicitará confirmação.Últimos PortScansEste relatório mostra especificações sobre os portscans realizados: IP de origem, quantidadede conexões por host, protocolos utilizados e hora e data do portscan. Clicando emum dos itens da lista, será solicitada ao administrador a confirmação de inclusão do IPde origem do portscan na lista de IPs bloqueados, como mostra a figura 10.7 abaixo.Figura 10.7: Relatório de PortScans Detectados


104CAPÍTULO 10. NIDS10.1.9 IPs BloqueadosExibe uma lista com os IPs bloqueados através da interface web do NIDS. Os IPs contidosnesta lista não terão acesso nenhum ao Nettion R○, seja ele em qualquer direção,passando por qualquer interface. Através desta lista, também é possível a remoção deIPs bloqueados.Obs.: os IPs serão bloqueados somente se o Firewall estiver ativo.Lista de IP bloqueados por data de inclusão (Figura 10.8 abaixo):Figura 10.8: Relatório de IPs Bloqueados


Capítulo 11DHCPO servidor DHCP do Nettion R○ pode ser configurado para distribuir os endereços de IP’sdas estações de uma ou mais redes ligadas a solução, permitindo tratar de forma diferentecada uma delas.11.1 Configurações11.1.1 Configurações GlobaisPara configurar o servidor DHCP do Nettion, acesse DHCP > Configurações. Na telaque será exibida os campos devem ser preenchidos conforme a descrição abaixo:Figura 11.1: Configurações Globais do Servidor DHCP• Domínio: especificar o domínio o qual ao DHCP responderá. Ex.: ficticia.com.br• DNS Primário: servidor de nomes primário. Ex.: 128.0.0.1• DNS Secundário: servidor de nomes secundário. Ex.: 128.0.0.2• Gateway padrão: máquina de saída da rede. Ex.: 128.0.0.1• Máscara da Rede: máscara da rede a qual o IP do servidor DHCP pertence. Ex.:Classe B padrão /16.105


106CAPÍTULO 11. DHCP11.1.2 InterfaceAinda na tela de configurações globais, selecione as interfaces que respoderão por requisiçõesDHCP na sua rede, conforme mostra a figura 11.2 abaixo.Figura 11.2: Seleção da Interface de funcionamento do DHCP11.2 HostsEsta seção permite que o administrador associe endereços IP a mac addresses da rede,fazendo com que determinadas máquinas recebam sempre o ip indicado. É especialmenteútil quando se deseja fazer regras específicas para alguns IPs da rede.A exibição da lista de hosts cadastrados pode ser ordenada pela coluna: “host”ou“endereçoIP”. Para que o sistema alterne a exibição e a ordenação dos itens da tabela, é necessário,somente, que o usuário clique sobre a coluna específica. O usuário poderá utilizar a barrade rolagem para navegar entre os itens da tabela.11.2.1 Manutenção do cadastro dos HostsA manutenção do cadastro dos hosts segue ao padrão estabelecido anteriormente. Parahosts, deverão ser preenchidos os seguintes campos:Figura 11.3: Inclusão de Novo Host


11.3. REDES 107• Nome do host: descrição do host. Ex.: Máquina do João;• Endereço MAC: especificação do endereço físico da placa (Mac-Address).00:E0:7D:00:E3:23;• Endereço IP: Endereço IP a ser fornecido;• Rede: rede da qual o host fará parte. Ex.: 128.0.0.0.Ex.:11.3 RedesO servidor DHCP atribuirá IP’s dentro das redes especificadas para a interface a qualestiver direcionada.A exibição da lista de redes cadastradas pode ser ordenada pela coluna: “rede”ou “máscara”.Para isso, o administrador deve clicar sobre a coluna específica. Isso fará com queo sistema alterne a exibição e a ordenação dos itens da tabela. O administrador poderáutilizar a barra de rolagem para navegar entre os itens da tabela.11.3.1 Manutenção do cadastro de RedesA manutenção do cadastro de redes segue o padrão estabelecido anteriormente.redes, deverão ser preenchidos os seguintes campos:ParaFigura 11.4: Especificação da Rede do DHCP


108CAPÍTULO 11. DHCP• IP da rede: IP da rede. Ex.: 128.0.0.0• Máscara da Rede: máscara da nova rede. Ex.: Classe B padrão /16• Faixa de IPs que serão distribuídos: faixa de IPs que será fornecida pelo Nettion.• Início: IP inicial da faixa de IP. Ex.: 128.0.0.21• Fim: último IP da faixa. Ex.: 128.0.0.50• Interface: interface que responderá pelas requisições desta rede.Caso se deseje trabalhar com os registros nas Configurações Globais do DHCP, os demaiscampos não são necessários. Caso contrário, deverão ser preenchidos.


Capítulo 12E-mail12.1 ConfiguraçõesO Nettion R○ pode também ser utilizado como o seu servidor de e-mails, fazendo todoo trabalho de gerenciamento de múltiplos domínios e usuários, integrado com um sistemabastante robusto de antivírus (atualizado diariamente) e anti-spam com sistema deaprendizado e quarentena.Como base para este recurso, o Nettion utiliza um servidor de e-mails do Linux chamadoQmail, bastante conhecido por sua segurança e estabilidade no gerenciamento de umgrande número de contas.Além disso, este recurso do Nettion oferece: autenticação integrada, sistema de quotapor usuário, sistema de bloqueio de anexos de e-mails de acordo com o tamanho e a suaextensão, sistema de auditoria, controle da fila (possibilita ao administrador acompanharse uma mensagem ainda não foi enviada, o motivo e até mesmo sua exclusão), sistema delogs e quarentena, que possibilita o acompanhamento dos e-mails que foram bloqueadospor conter vírus, e várias outras funções que são decisivas no monitoramento do seuservidor de e-mail.Para o recebimento dos e-mails, os usuários tem a possibilidade de utilizar contas POP3,POP3s, IMAP ou IMAPs ou até mesmo um webmail que é disponibilizado pelo Nettion R○.12.1.1 GeraisAutenticações simultâneas permitidas:Esta opção não se refere ao modo de autenticação, já que foi previamente definido nocapítulo referente a Usuários e Grupos, mas sim ao número máximo de autenticaçõessimultâneas permitidas. Isto dependerá do número de usuários para o sistema. Quantomaior o número de usuários, maior será o número de autenticações simultâneas. Vinteé, comprovadamente, um valor ideal. Entretanto, o administrador poderá incrementá-lo,ao perceber que seus usuários estão necessitando fazer várias tentativas de autenticaçãono cliente de e-mail até conseguir concluir a operação, ou diminuí-lo, para que não sejautilizada memória sem necessidade no servidor.Tamanho máximo permitido de anexos:109


110CAPÍTULO 12. E-MAILFigura 12.1: Email - autenticação12.1.2 RelayUma das principais preocupações que um administrador de um servidor de e-mail deveter é não deixar que ele seja utilizado indevidamente para enviar mensagens inúteis, desagradáveise quase sempre indesejáveis - os spams, o que geralmente é feito por algumusuário que não faz parte de sua rede. O Nettion R○ permite que o administrador definaquais redes ou hosts terão liberdade de enviar e-mail através do seu servidor. Tecnicamente,essa permissão chama-se relay. Abrir o relay para alguém significa permitir quedeterminado host ou rede envie e-mails através do seu servidor. Um sistema bem administrado,certamente, só permitirá acesso àqueles que são de direito fazê-lo. Portanto, énecessário manter o relay fechado contra intrusos.Figura 12.2: Relay do servidor de E-mails


12.1.CONFIGURAÇÕES 111Temos aqui uma lista de hosts/redes com permissão para usar o servidor para envio demensagens. O cadastro para liberação se dá de forma simples, levando em consideraçãoos objetos pré-cadastrados e preenchendo um formulário como o seguinte:À esquerda estão os hosts/redes que têm permissão e à direita estão todos os objetosinseridos no Nettion R○. Fazendo-se uso dos botões entre as duas janelas, de característicasintuitivas, pode-se incluir ou excluir aqueles que terão direito de envio de mensagensatravés deste servidor. Bastando, ao final de todas as alterações, clicar sobre “SalvarConfigurações” para efetivá-las.Figura 12.3: Administração de Relays12.1.3 WebmailO Nettion oferece um sistema de Webmail como opção para envio/recebimento de e-mailsvia Web sendo necessário para isto apenas a identificação, com uma combinação de e-mailcompleto e senha do usuário. O Webmail do Nettion pode ser acessado através do seuIP seguido de webmail, por exemplo: http://200.200.200.200/webmail.Algumas características são configuráveis para personalizar o webmail do Nettion R○ comoo idioma padrão do webmail, o ícone que aparece na tela de login (o qual precisa conter umendereço absoluto como o exemplificado no padrão) e o nome das pastas que guardarãoas mensagens apagadas, enviadas e os rascunhos de e-mail.Figura 12.4: Configurações do Webmail


112CAPÍTULO 12. E-MAIL12.1.4 MensagensNesta seção o administrador pode editar as três seguintes mensagens:• mensagem de retorno para o remetente que tentar enviar email para usuário inválido;• mensagem informando que o limite da quota está prestes a ser atingido• mensagem retornada para o rementente quando o destinatário de seu email excedeua quota limiteFigura 12.5: Configuração de mensagens do servidor de E-mails12.1.5 ExtensõesInicialmente, o antivírus deverá manter afastados os arquivos que facilmente são infectadose que podem carregar vírus para os clientes de e-mail. Algumas extensões, já clássicas,podem carregar vírus. Em termos gerais, os arquivos chamados auto-executáveis comoos de extensão “.exe” e “.com” são os infectados com maior freqüência. Devido a maiorincidência de vírus e maior probabilidade de infecção em arquivos com determinadas extensões,o Nettion R○ impede a entrega ou saída de e-mails que contenham anexos comtais extensões.Figura 12.6:Lista de extensões bloqueadas


12.2.DOMÍNIOS 113A tela de inclusão ou edição é simples e intuitiva, onde é necessário, apenas, cadastrar aextensão propriamente dita e uma pequena descrição, como mostrado na figura a seguir:Figura 12.7: Inclusão/Edição de extensões bloqueadas12.2 DomíniosNesta seção o admnistrador controlará os domínios de emails. É possível criar e removerdomínios, bem como adicionar ou remover usuários de tais domínios. Observe que paraFigura 12.8: Listagem de domínios de E-mailque seu domínio de e-mail funcione perfeitamente na Internet, é necessário que o DNSdo domínio esteja devidamente configurado e apontando que o Nettion será o responsávelpelos e-mails.12.2.1 Incluir um domínioCaso deseje adicionar um domínio, clique no botão Incluir e preencha os campos conformeas descrições abaixo:• Domínio: nome do domínio a ser incluso. Ex.: nettion.com.br;• Quota: espaço máximo em disco que cada conta pode ocupar;


114CAPÍTULO 12. E-MAIL• N o máximo de mensagens: quota por mensagem. Número de mensagens por conta;• Senha do administrador (postmaster): senha do administrador do domínio;- Caso deseje redirecionar as mensagens inválidas (enviadas para destinatários inexistentes)para outra conta de email, marque o checkbox Redirecionar mensagensdestinadas a usuários inválidos e digite a conta no campo abaixo. O procedimentopadrão seria enviar uma mensagem ao remetente informando que a contadestino não existe.- Caso deseje Usar a autenticação configurada no Nettion, marque esse checkboxe escolha os grupos para importar os usuários. É possível importar os usuários detodos os grupos, ou de algum grupo específico.Veja a figura 12.9 a seguir.Figura 12.9: Inclusão/Edição de Domínios12.3 UsuáriosNesta seção o administrador pode pesquisar e editar usuários, além de poder criá-lostambém.12.3.1 Buscando usuáriosPara visualizar os usuários (contas de e-mails) existentes no sistema, acesse E-mail >Usuários. Na tela que será exibida, serão mostrados todos os usuários, de todos os


12.3.USUÁRIOS 115domínios existentes no servidor de e-mail e em ordem alfabética. Porém, a ordem deexibição pode ser alterada, bastando para isso clicar no cabeçalho correspondente à ordemdesejada. Para facilitar a busca, a barra de filtros de pesquisa localizada acima da telade usuários pode ser utilizada.Figura 12.10: Gerenciamento de Usuários12.3.2 Editando usuáriosAo efetuar a busca, você pode editar a conta clicando no botão Editar. A seguinte telaaparecerá:Figura 12.11: Edição de Usuário


116CAPÍTULO 12. E-MAILOs campos Nome, Quota e N o de mensagens são editáveis. Altere-os de acordo coma sua necessidade.Caso queira utilizar o recurso de enviar cópias dos emails recebidos para outra conta,marque a opção Encaminhar uma cópia para outros emails e preencha o seguintecampo com a conta para a qual será enviada a cópia. Se deseja encaminhar para mais deuma conta, separe-as com ponto e vírgula (;).Não esqueça de Salvar as Alterações, caso faça alguma.12.3.3 Inserindo usuáriosAo clicar no botão Incluir, a seguinte tela aparecerá e permitirá a adição de um novousuário de email:Figura 12.12: Inclusão/Edição de Usuários de E-mail• Login: Login, a primeira parte do endereço de email, a que aparece antes da arroba(@). Ex.: sergio;• Domínio: Os domínios existentes serão listados em um combo box. Você deve escolhero domínio para o qual está criando a nova conta;• Nome: Nome do usuário. Ex. Sérgio Luis;• Quota: Espaço máximo em disco que a conta pode ocupar;• N o máximo de mensagens: quota por número de mensagens;• Senha: senha do usuário;- Caso deseje encaminhar uma cópia das mensagens recebidas para outro email, marquea opção Encaminhar uma cópia para outros emails e preencha o seguinte


12.4. ALIASES 117campo com a(s) conta(s) para onde deverão ser encaminhadas as novas mensagens.Lembre-se de separá-las com ponto e vírgula (;).12.4 AliasesNesta seção o administrador pode definir Aliases, uma espécie de apelido, um outronome pelo qual determinada(s) conta(s) será(ão) conhecida(s).12.4.1 Criando um aliasNa seção Aliases, clique em Incluir e a seguinte tela aparecerá:Figura 12.13: Inclusão de Alias de E-mailNeste exemplo, foi criado um alias sergioluis@padrao.com.br. Este endereço apontarápara sergio@padrao.com.br. Logo, enviar uma mensagem para sergioluis@padrao.com.bré o mesmo que enviar uma mensagem para sergio@padrao.com.br.• Alias: nome do alias. Neste exemplo, sergioluis;• Domínio: selecione na lista o domínio para o qual você está criando o alias.exemplo, padrao.com.br;• Defina os usuários para os quais o alias irá se referir; No exemplo, sergio@padrao.com.br.no12.5 AntivírusA cada instante, pessoas mal intencionadas criam vírus para prejudicar e infectar sistemase computadores. Seria de pouca utilidade um antivírus que barrasse todos os arquivossuspeitos, mas não contivesse uma lista atualizada de vírus em sua base de dados. Sendoassim, uma boa ferramenta deve fornecer um sistema de atualização instantâneo e configurável.


118CAPÍTULO 12. E-MAIL12.5.1 AtualizaçãoEssa é a primeira forma de atualização do Nettion R○, feita de modo imediato, no momentoem que for mais apropriado ao administrador. O Nettion R○ faz uma busca por uma basemais atualizada e sincroniza-a com a base local, mantendo o sistema ainda mais prevenido.Figura 12.14: Atualização do Anti-Vírus12.5.2 AgendamentoTambém é possível definir um momento ideal a critério do administrador para que oNettion R○ faça as atualizações na base de vírus. Para isso, defina os dias/horários paraque as atualizações aconteçam, preenchendo o formulário abaixo e depois, salve as configurações.Figura 12.15: Agendamento da atualização do Antivírus12.5.3 HistóricoO Nettion R○ permite um acompanhamento direto sobre o histórico de atualizações dabase de dados.Três são os estados possíveis para cada atualização:• Bem sucedida com atualizações - quando o Nettion R○ investiga atualizações na basede dados e torna-se necessário atualizar a base local;


12.6. ANTISPAM 119• Bem sucedida sem atualizações - quando o Nettion R○ consegue conectar-se às basesremotas, mas a base local já está atualizada;• Mal sucedida - quando o Nettion R○ não consegue se conectar às bases remotas.Figura 12.16: Histórico das atualizações12.6 AntispamO antispam do Nettion R○ é uma funcionalidade que controla mensagens indesejáveis.Mesmo que o relay do servidor de e-mails do Nettion R○ esteja fechado, em alguns lugares,há administradores incautos que não têm a devida preocupação com o fechamento dorelay. Os spammers, aqueles que enviam centenas ou até milhares de mensagens nãosolicitadas, aproveitam-se desta fragilidade. Isso significa que um bom administradordeve se preocupar, inclusive, com o mau trabalho feito por outros e assegurar que seususuários sejam menos afetados por esse mal.Um antispam é um software que se baseia em algumas características de e-mails, notoriamenteclassificadas como spam, como algumas palavras-chaves e formato HTML 112.6.1 ConfiguraçõesA cada característica de spam encontrada em um e-mail, a mensagem recebe uma pontuação,que depende do que foi localizado. Quando esta pontuação alcança o limite estimadonas configurações de sensibilidade, o e-mail sofre uma alteração. O título da mensagemidentificada como spam será precedido pela expressão **POSSIVEL SPAM**. A mensagemserá entregue normalmente ao cliente. Ela não é excluída automaticamente, poispode existir uma mensagem que possua palavras-chaves e formatos que a identifiquem1 HTML - Hypertext Markup Language, Linguagem de Marcação de Hipertexto. É a linguagem utilizada para sefazer páginas na internet e e-mails com formatação mais rica, como negrito, cores das fontes e inserção de imagens.


120CAPÍTULO 12. E-MAILcomo uma mensagem indesejada, mas que realmente não seja. Sendo assim, cabe a cadausuário definir filtros, nos seus leitores de e-mail, para separar as mensagens legítimasdaquelas indesejadas.O número indicativo da sensibilidade representa o limite de pontos que uma mensagempode alcançar até ser considerada spam. Quanto MENOR o número, mais facilmenteuma mensagem será assim classificada.Figura 12.17:Configurações do AntispamA nova versão do antispam do Nettion R○ inclui suporte ao treinamento de mensagens emspam e não-spam pelos usuários. Marque a opção Aprender mensagens classificadaspelos usuários caso deseje ativar tal suporte.Caso decida utilizar este recurso, você deverá configurar duas contas de email, uma paramensagens classificadas como spam e a outra para as mensagens classificadas como nãospam.Nesse exemplo, as contas serão, respectivamente, spam@padrao.com.br e nospam@padrao.com.br.Lembrando, novamente, que estas contas deverão ser criadas no domínioescolhido, como as demais contas de usuários. O funcionamento do sistema de aprendizadodo antispam do Nettion R○ é descrito a seguir:O antispam funcionará como sempre, marcando como *** POSSIVEL SPAM*** os emails que ele considere como tal. No caso de os usuários receberemSPAM’s que não foram marcados pelo antispam, eles poderão encaminhar essamensagem como anexo para o email selecionado para receber spam, no caso,spam@padrao.com.br. Funciona da mesma forma com as mensagens quenão são spam’s, mas foram classificadas assim. Os usuários têm a opção deencaminhá-las para o email que foi selecionado para receber as mensagens quenão são spam’s. No nosso caso nospam@padrao.com.br. Periodicamente(mediante agendamento pelo administrador), o antispam checa as duas contas


12.6. ANTISPAM 121e treina como spam as mensagens da conta spam e como não spam as mensagensda conta não-spam. Este treinamento continuado melhora a eficácia doantispam e permite que ele atinja índices melhores, quando classificar futurosemails.Caso deseje que o sistema antispam execute o treinamento das mensagems nas caixasspam e antispam clique no botão Aprender. É comum que o administrador agende otreinamento do antispam na próxima seção, Aprendizado.Obs1.: Lembre-se que, ao encaminhar e-mails para as contas spam@padrao.com.bre nospam@padrao.com.br, isso deve ser feito encaminhado o e-mail desejado comoanexo e não no corpo do e-mail. Exemplo: Você recebeu um e-mail marcado como***POSSIVEL SPAM***, e verificou que este e-mail realmente é um SPAM e desejaenviá-lo para que o Nettion R○ aprenda este e-mail como um SPAM. Então, clique noe-mail com o botão direito (no caso do Outlook Express), e selecione a opção “Encaminharcomo anexo”. Em seguida prossiga com os procedimentos normais de envio de um e-mail;Obs2.: Veja no seu cliente de email como encaminhar um e-mail como anexo.12.6.2 AprendizadoNesta seção, o administrador configurará o agendamento do sistema de treinamento doantispam do Nettion R○, bem como terá informações a respeito de tais treinamentos.AgendamentoAqui, o administrador vai agendar o treinamento do sistema de antispam, definindo emque periodicidade ele será executado. As opções disponíveis são:Figura 12.18: Agendamento do aprendizado• Diário: treinamento diário, o administrador define o horário do treinamento;• Semanal: treinamento semanal, o administrador define o dia da semana em que otreinamento será realizado, além do horário;• Mensal: treinamento mensal, o administrador define o dia do mês em que o treinamentoserá realizado, além do horário.


122CAPÍTULO 12. E-MAILHistóricoNesta seção, o adminstrador obterá um histórico dos treinamentos realizados pelo sistemade antispam, com informações tais como:Figura 12.19:Histórico dos treinamentos realizados• número de spams e não-spams treinados;• quantidade de novos spams e antispams;• status do treinamento, se bem ou mal sucedido.12.6.3 WhitelistHá, também, uma possibilidade de se definir uma lista de usuários chamados confiáveis,que poderão enviar mensagens que superem o limite da sensibilidade e mesmo assim nãosejam classificadas como spam. Esta é a whitelist do sistema.Figura 12.20: Whitelist do Antispam


12.7.RELATÓRIOS 123Para incluir um e-mail na WhiteList, clique no botão Incluir. Na tela que será exibida,digite o endereço de e-mail completo e sem erros e uma descrição que defina a que se refereeste e-mail. Ao final, clique no botão Salvar Configurações como mostra a figura 12.21a seguir.Figura 12.21: Inclusão de e-mail na Whitelist do Antispam12.7 Relatórios12.7.1 FilaTodas as mensagens que foram enviadas pelos usuários de e-mail do Nettion R○ passam poruma fila para serem processadas e, definitivamente, transmitidas aos seus destinatários.Enquanto aguardam o processamento, estas mensagens ficam em uma fila a qual o administradorpode verificar, conforme a figura. É possível aplicar filtros à consulta da fila,e com isso obter a origem e o destino do e-mail, o número de tentativas de entrega e otamanho e o horário que o e-mail entrou na fila.Figura 12.22: Registros de logs do E-mail


124CAPÍTULO 12. E-MAIL12.7.2 LogsApós o processamento de uma mensagem na fila, é feito um registro do que ocorreu comela. Na tela acima, é visto o status da mensagem, se foi entregue com sucesso ou se houvealgum problema na entrega.Figura 12.23: Consulta de Mensagens12.7.3 AuditoriaNa auditoria, há uma lista de todas as mensagens que passaram pelo servidor. A auditoriapossibilita que o administrador visualize a cópia de cada mensagem processada.Figura 12.24: Auditoria de mensagens12.7.4 QuarentenaA quarentena funciona de forma semelhante à auditoria, guardando todos os e-mails queestiverem contaminados com vírus. Também é permitido que o administrador visualizeuma cópia de cada mensagem da quarentena.Também é possível gerenciar a quarentena, excluindo ou liberando os e-mails por elacapturados. Para isso, no relatório exibido da figura 12.25, selecione o e-mail o qualdeseja excluir ou liberar e clique no botão “Editar”. O e-mail retido será exibido.


12.7.RELATÓRIOS 125Figura 12.25: Quarentena de mensagens com vírusAbaixo, como mostra a figura 12.26, o corpo do e-mail retido. Nesta tela, é possível vero e-mail retido e decidir por deletá-lo ou liberá-lo para ser entregue ao seu destinatárioatravés dos botões “Deletar” ou “Liberar”.Figura 12.26: Liberação/Exclusão de e-mail retido na quarentenaClique no botão “Deletar” para excluir definitivamente a mensagem da quarentena ou nobotão “Liberar” para retirar a mensagem da quarentena e entregá-la ao seu destinatário.Obs1.: Para simplesmente excluir a mensagem da quarentena, não é necessário editá-la,pois o botão “Deletar” também está disponível na tela da quarentena como mostra afigura 12.25.


126CAPÍTULO 12. E-MAIL12.7.5 Top UsuáriosOs gráficos de acessos no módulo de E-mail podem ser visualizados. Com isso, o administradoracompanha qual usuário envia mais e-mails e qual gera mais tráfego no servidorde e-mail. Veja na figura 12.27 a seguir:Figura 12.27: Gráfico do Top Mail12.7.6 Quota UtilizadaNeste relatório, o administrador pode visualizar a porcentagem de uso das contas de e-mail. A visualização pode ser efetuada por domínio, ou mesmo por contas específicas.Para isso, utilize as opções de filtros disponíveis. Veja a figura 12.28 a seguir.Figura 12.28: Relatório de Uso da Quota de E-mail.


Capítulo 13FerramentasTodas as ferramentas possuem uma mesma interface, mas cada um dos serviços se aplicamàs funções definidas, como descritas abaixo:13.1 ReversoEsta opção existe para identificar a qual domínio se refere um IP ou qual IP se refere aum domínio específico.Caso o administrador preencha o campo “IP/HOST”com um IP, o resultado será o seudomínio equivalente.• Ex.1: IP/HOST: 200.253.251.31. Retorno: 200.253.251.31 —— www.pronix.com.br• Ex.2: IP/HOST: www.pronix.com.br. Retorno: www.pronix.com.br —– 200.253.251.31Figura 13.1: Resolução de nomes13.2 WhoisO Whois irá retornar o relatório de cadastro do respectivo IP ou domínio na FAPESP. Orelatório também poderá ser impresso.13.3 PingO ping é utilizado para checar se uma determinada máquina está conectada e ligada.O processo, assim como os demais desta seção, é bastante simples: preencha o campoIP/HOST com o IP a ser testado.127


128CAPÍTULO 13. FERRAMENTAS13.4 Traçar rotaPara saber qual o caminho para uma determinada máquina (IP), preencha o campoIP/HOST e aguarde a apresentação do relatório da rota percorrida para alcançá-lo.13.5 Diagnóstico de DNSNesta seção, o administrador pode executar um diagnóstico de DNS, que vai apresentarinformações a respeito dos servidores SMTP, lista de nomes e IPS, lista dos nameserverse autoridade do host. A consulta pode ser feita utilizando-se o endereço IP do host ou oseu nome.Figura 13.2: Diagnóstico de DNS


Capítulo 14Sistema14.1 ServiçosAtravés desta opção é possível visualizar de forma centralizada o estado atual (status)de todos os serviços fornecidos pelo Nettion, também é possível iniciar ou parar qualquerserviço. Para isso, clique na opção Sistema → Serviços para ter acesso à lista dosserviços do Nettion R○. Serão exibidos o status atual de cada serviço (se iniciado ounão), e a opção de alteração deste status. Também existe a possibilidade de fazê-loiniciar juntamente com o Nettion R○, através da seleção da opção “Auto”. Veja figura 14.1abaixo.Figura 14.1: Lista de serviçosA coluna Ação apresentará para cada serviço três botões: Start, Stop e Restart, com osquais o administrador poderá inicializar, parar ou reinicializar o respectivo serviço. Casoo serviço esteja em funcionamento, aparecerão ativados os botões Stop para pará-lo e129


130CAPÍTULO 14. SISTEMARestart para reinicializá-lo. Caso esteja parado, somente o botão Start para inicializá-loapareceá ativo. Lembre-se de clicar no botão Ativar mudanças para os selecionado(s)se a coluna “Auto” for alterada.14.2 PluginsPara informações mais detalhadas sobre os NettionPlugs, veja o Capítulo 15 - Nettion-Plugs.14.3 BackupO Nettion R○ é um sistema que provê muitos serviços, dos quais alguns são bastante críticos.Tais serviços compreendem uma grande quantidade de informações e configurações.Os prejuízos causados pela possível perda de tais informações podem ser, dependendo docaso, incalculáveis.Neste cenário, reinstalar e reconfigurar tudo, no momento de uma emergência, seriaum processo bastante desgastante. Considerando-se este fator, foi criada uma forma debackup do sistema que possibilita a restauração imediata de todas as informações e configuraçõesexistentes no Nettion R○ e, conseqüentemente, o retorno ao seu funcionamentonormal.O processo consiste na geração de um arquivo compactado contendo os dados do sistema,bem como o envio de uma cópia deste arquivo para uma máquina da sua rede atravésde um compartilhamento Windows R○. O administrador pode configurar o conteúdo doarquivo de backup, o qual poderá conter logs do Nettion, e-mails, além de suas configurações.O backup se dá automaticamente de acordo com a periodicidade determinada pelo Administrador.Será possível ainda efetuar o acionamento manual do backup.14.3.1 ConfiguraçõesMódulosPara acessar o serviço de Backup do Nettion, acesse o menu Sistema > Backup >Configurações > Módulos. Na tela que será exibida, é possível selecionar os módulosdesejados os quais irão compôr o arquivo de backup. Para concluir, clique no botãoSalvar Configurações.Lembre-se que, quanto mais módulos você selecionar, mais espaço em disco será necessário,principalmente ao selecionar os módulos de e-mail e de alguns tipos de logs do sistema.A figura 14.2 a seguir, exibe a tela de seleção de módulos do Backup do Nettion.


14.3. BACKUP 131Figura 14.2:Módulos para backupArmazenamentoAlém do arquivo de backup criado no Nettion R○, é importante também criar uma cópiadeste arquivo em uma outra máquina da sua rede, pois assim o backup pode ser facilmentearmazenado em mídias próprias, criando assim jogos de backup. Para isso, clique na opçãoArmazenamento e preencha os campos conforme a descrição apresentada abaixo:Figura 14.3: Compartilhamento Windows• Máquina: nome da máquina da rede onde serão realizadas as cópias do arquivo. Ex.:backup• IP: IP correspondente à máquina acima. Ex.: 128.0.021


132CAPÍTULO 14. SISTEMA• Compartilhamento: nome do compartilhamento da máquina. Ex.: bkpnettion• Usuário 1 : login do usuário com direito a gravar nestes diretórios. Ex.: Backup.• Senha: senha para poder realizar o acesso ao compartilhamento. Ex.: senha. Obs.:A senha aparece sob máscara.Ao fim, clique no botão Salvar Configurações, como mostra a figura 14.3 acima.AgendamentoNa figura 14.4 a seguir, é exibida e tela onde definimos a periodicidade com que serãorealizados os backups, especificando:Figura 14.4:Configurando a freqüência com que o backup será feito• Freqüência: periodicidade de realização do backup: diária, semanal ou mensal. Ex.:semanal• Dia: dia da semana ou do mês em que será realizado o backup. Caso a freqüênciaescolhida tenha sido “semanal”, serão listados os dias da semana (domingo, segunda,terça, [...], sábado) nesta opção. Caso seja “mensal”, apresentará os dias do mês (1,2, 3, [...], 31). E, caso a freqüência escolhida tenha sido “diário”, esta opção estaráinativa. Ex.: segunda.• Horário: horário em que será realizada a cópia de segurança. Ex.: 01 : 00Ao concluir, clique em Salvar Configurações.14.3.2 ManualVamos imaginar o caso em que, após terem sido adicionadas configurações ao produto, oadministrador deseja realizar uma cópia de backup imediatamente, ao invés de aguardarpela cópia a ser realizada pelo agendamento.1 Caso o Nettion esteja sincronizado com um domínio Windows, indique um usuário/senha válidas para o domínioe certifique-se que este usuário tenha poder de escrita no compartilhamento selecionado.


14.3. BACKUP 133Neste caso, selecione os módulos e inicie o backup clicando no botão Iniciar backup.Figura 14.5: Backup manual14.3.3 RelatóriosHistóricoO histórico dos backups será exibido com as seguintes informações: data, hora, arquivoe status. O status poderá ter um sinal verde ou vermelho. O primeiro, sinalizando queo backup foi realizado com sucesso e este último, sinalizando que a gravação do arquivonão foi executada com sucesso.Figura 14.6: Histórico de backups


134CAPÍTULO 14. SISTEMACaso ocorra algum problema com o bakcup, o Nettion enviará automaticamente um e-mailao Administrador definido nas Configurações Básicas do produto.14.4 RestoreO processo de restauração de um backup é extremamente simples. Primeiramente, selecioneo arquivo de backup e clique no botão Upload. É possível selecionar o arquivo,através do botão Procurar... que abrirá uma janela de navegação no diretório, ou clicarno botão Selecionar Arquivo, que apresentará uma lista dos arquivos de cópia de segurançadisponíveis para restauração.Figura 14.7: RestoreO administrador deve selecionar o arquivo de backup desejado e clicar no botão Selecionar.Observação: o arquivo de backup deve estar na mesma versão do Nettion instalado.Após a seleção do arquivo, por um dos meios citados, selecione dentre os módulos contidosno backup quais serão restaurados e, em seguida, clique em Selecionar módulos . Nãoesqueça que o(s) módulo(s) selecionado(s) será(ão) descompactado(s) e gravado(s) namáquina sobrescrevendo os atuais dados, existentes para o módulo correspondente.ATENÇÃO: Este é um processo muito simples, entretanto, extremamente delicado, pois,ao se recuperar um backup, dependendo do caso, estaremos sobrescrevendo as configuraçõesatuais do sistema.


14.5. EXPURGO 13514.5 ExpurgoOs diversos serviços que rodam no Nettion R○ realizam constantemente o registro de suasatividades, chamados logs. O tamanho do(s) arquivo(s) de logs varia dependendo daquantidade de usuários, da liberdade de acesso que estes tenham e da quantidade deserviços ativos. Com o intuito de liberar espaço em disco, os logs mais antigos devem sergradualmente apagados. Este processo recebe o nome de expurgo.14.5.1 ConfiguraçõesStatus do disco por partiçãoFigura 14.8: Status do disco por partiçãoO quadro mostra por partição um gráfico em formato de “pizza”, que apresenta:1. Em vermelho, o espaço do disco consumido;2. Em amarelo, o espaço livre para a utilização com os seus respectivos percentuais.Figura 14.9: Configuração da freqüência de expurgoPara configurar o expurgo automático, deve-se informar e preencher o intervalo mínimopara os logs que serão mantidos e os módulos cujos logs deseja-se apagar. Após isso,


136CAPÍTULO 14. SISTEMAdeve-se dar um clique no botão “Iniciar Expurgo”e clicar em “Salvar Configurações”.O processo de expurgo será iniciado. A escolha da periodicidade depende da quantidadede acessos que a empresa realiza e do espaço em disco ocupado.14.5.2 ManualO administrador pode efetuar, a qualquer tempo, um expurgo diferenciado do expurgoautomático configurado, bastando informar qual o intervalo mínimo para os logs que serãomantidos e os módulos cujos logs deseja-se apagar. Em seguida, clique no botão “IniciarExpurgo”, para iniciar o processo de expurgo.Figura 14.10: Formulário de configuração de expurgo manual14.6 UpdatePor ser uma solução baseada em software, o Nettion R○ está em constante evolução. Conseqüentemente,novas versões do sistema são lançadas, disponibilizando ao administradornovas ferramentas que agregam uma maior funcionalidade à solução. A notificação de novasversões são enviadas por e-mail ao clientes Nettion e também são notificadas atravésda barra superior do próprio software, que exibe uma mensagem em destaque indicandoa existência de uma nova versão disponivel para atualização.Através do update (menu Sistema → Update), o administrador confere as novidades daversão lançada em relação a versão instalada. Veja a seguir como fazer o Update do seuNettion.Na tela de update, temos dois quadros com os títulos Passo 1 - Verificação das atualizaçõese download e Passo 2 - Selecionar arquivo para update. Clicando nobotão Verificar Atualizações, no quadro 1, o Nettion R○ checará a possível existênciade uma versão mais recente. Caso não haja atualizações, a mensagem Sem atualizações


14.7.GRÁFICOS 137no momento! será exibida. Do contrário, as versões mais recentes que serão listadas,incluindo as informações detalhadas de cada uma delas.Figura 14.11: Verificação de AtualizaçõesO próximo passo é fazer o download do arquivo de Update. Para isso, clique no botão“Download”no final da página. Neste momento, de acordo com as condições do seu contrato,o arquivo de atualização será fornecido.Figura 14.12: Upload do arquivo de updateFeito o download, volte à página anterior e inicie a atualização selecionando o arquivocorrespondente à nova versão, através do botão Procurar.... Após selecioná-lo, cliqueem Upload! e, na tela seguinte em Update para iniciar efetivamente a atualização doseu Nettion R○. As configurações existentes no sistema serão mantidas, ou seja, todos osobjetos, grupos, regras e demais informações permanecerão como anteriormente. Casoexista alguma conseqüência para o update, esta será avisada junto com o update.14.7 GráficosO Nettion oferece gráficos de consumo dos recursos do seu equipemaneto que são úteispara avaliação de uma possível sobrecarga da máquina. Veja a seguir os gráficos deconsumo de CPU, Memória e Discos.


138CAPÍTULO 14. SISTEMA14.7.1 CPUsNo gráfico de utilização da CPU, você pode obter um histórico de uso do processadorpelo “usuário” e pelo “sistema” dentro de um período de tempo, sendo possível também oacompanhamento em tempo real clicando no botão “Start”.Figura 14.13: Gráfico de consumo de CPU14.7.2 MemóriaNo gráfico de utilização da Memória, você pode obter um histórico de uso tanto damemória principal quanto do SWAP dentro de um período de tempo, sendo possíveltambém o acompanhamento em tempo real, para isso clique no botão “Start”.Figura 14.14: Gráfico de consumo de Memória


14.8. SOBRE 13914.7.3 DiscosNo gráfico de utilização dos Discos, você pode obter um histórico de todos os dados lidos eescritos dentro de um período de tempo, para ver em tempo real, clique no botão“Start”.Figura 14.15: Gráfico de utilização de Discos14.8 SobreO administrador terá acesso, nesta seção, aos dados referentes à licença e à versão doNettion R○.Figura 14.16: Dados de licença do Nettion14.9 AuditoriaDiariamente, diversas operações são realizadas no Nettion R○ Security Software taiscomo mudanças de objetos, regras de firewall e de proxy, dentre outras. Para visualizar


140CAPÍTULO 14. SISTEMAe acompanhar todas as ações realizadas no Nettion R○, você pode utilizar o serviço deauditoria. Ela informa a data de alteração, o módulo e o sub-módulo que foi alterado,qual ação foi realizada, o usuário e o IP. Acesse o menu Auditoria através de “Sistema> Auditoria”, conforme a figura 14.17 a seguir.Figura 14.17: Auditoria de intervenções realizadas no NettionDica! Configure os perfis de usuário para que o administrador do sistema tenha umusuário próprio para a administração do produto. Assim, o usuário padrão “nettion”será utilizado exclusivamente pela equipe de suporte.14.10 Desliga/ReiniciaCaso haja necessidade, o administrador poderá reiniciar ou mesmo desligar o Nettion R○,selecionando um dos botões desse tópico.Figura 14.18: Reiniciar ou Desligar o Nettion


Capítulo 15NettionPlugs15.1 O que são NettionPlugs?Os NettionPlugs R○ são funcionalidades adicionais (plugins) que a Nettion InformationSecurity desenvolveu pensando nas necessidades específicas de cada cliente. Cada NettionPlugtem uma aplicação diferente. Assim, você decide qual plugin é o mais indicadopara o seu negócio. Cada plugin pode ser instalado para avaliação por 15 dias. Após esteperíodo entre em contato com a sua revenda Nettion para fazer a aquisição.A aquisição dos NettionPlugs é muito fácil. Se a sua empresa já possui o Nettion R○,basta acessar o menu “Sistemas”, selecionar a opção “Plugins” e instalar a funcionalidadedesejada. Você ainda ganha quinze dias totalmente gratuitos para testar a eficiênciados aplicativos.15.2 Instalando os NettionPlugsPara fazer a instalação de NettionPlugs no seu Nettion, acesse o menu Sistema > Plugins,conforme mostra a figura 15.1 abaixo e siga os seguintes passos:Figura 15.1: Instalação dos NettionPlugs• Na listagem que será exibida, o Nettion mostrará todos os NettionPlugs disponibilizadospela NIS;141


142CAPÍTULO 15. NETTIONPLUGS• Clique no botão “Instalar” do plugin desejado. Observe que caso a sua versão sejaanterior a requerida pelo plugin, esta opção estará desabilitada. Neste caso atualizeserá necessário atualizar o seu Nettion antes;• Após a instalação, o sinalizador de status assumirá a cor verde caso a sua empresajá tenha adquirido a licença do plugin, ou assumirá a cor laranja no caso de umainstalação para avaliação.Uma vez instalado, o plugin funcionará de forma totalmente integrada ao Nettion e estarádisponível na árvore de menu, assim como as outras funcionalidades.15.3 Chat ServerO Chat Server é um NettionPlug desenvolvido pela NIS para ser o comunicador instantâneoda sua empresa. O programa tem como base o Jabber, conhecido como o melhorsistema de mensagens instantâneas para Linux.Criado seguindo os padrões de qualidade da NIS, o Chat Server possui um servidor própriopara a troca de mensagens internas. Com isso, você evita a adição de usuários externose assegura a produtividade dentro da empresa.O NettionPlug também permite a comunicação com outras unidades de uma mesmarede. Além de economizar tarifas telefônicas você ainda garante o sigilo e a segurança dasmensagens trocadas, pois o aplicativo não está sujeito a vírus e demais ameaças comunsa internet.15.3.1 ConfiguraçõesA configuração do Chat Server é bastante simples uma vez que seus usuários e sua autenticaçãosão totalmente integradas ao Nettion. Com isso, a integração do Chat à suaorganização torna-se ainda mais simples e rápida.Para configurá-lo, acesse o menu Chat Server > Configurações do seu Nettion. Natela seguinte informe os dados a seguir, conforme mostrado na figura 15.2 abaixo.Figura 15.2: Configurações do Chat Server• Domínio: domínio internet da sua empresa. Este domínio fará parte da indentificaçãodo usuário para o servidor Chat;


15.3. CHAT SERVER 143• E-mail do administrador: indique o e-mail do administrador do servidor Chat;• Interface de funcionamento: Indique a interface de rede do Nettion que receberáas conexões. É importante ressaltar que, se você selecionar somente a sua interfacelocal, apenas as máquinas da sua rede local conseguirão conectar-se ao Chat server.Logo, se você selecionar somente a sua interface externa (interface ligada a internet),apenas as máquinas na internet conseguirão ter acesso ao Chat Server. SelecionandoTODAS, tanto as suas máquinas da sua rede local, como as máquinas da internetconseguirão se conectar.15.3.2 Software Cliente (estações)Para que os usuários acessem o Chat, é necessário a utilização de algum software compatívelcom o protocolo Jabber instalado em suas estações. Os softwares a seguir sãobastante conhecidos e utilizados para este fim:• Windows– Pandion– Exodus• Linux– Kopete– GaimConfiguração do software clienteNas configurações do software cliente, insira o IP interno do Nettion como sendo o servidor,e, para autenticar o usuário utilize nomedousuario+@suaempresa.com.br, ondesuaempresa.com.br é o domínio utilizado nas configurações do servidor (veja seção 15.3.1).Ex: joao@suaemprsa.com.br. A senha será de acordo com a autenticação integrada doNettion, podendo ser no próprio Nettion, em um Windows Active Directory ou um servidorNIS (Linux).15.3.3 FirewallPara que as estações de rede tenham acesso ao servidor, é necessário que você faça umaliberação no Firewall do Nettion. A porta a ser liberada, por padrão, é a 5222 doprotocolo TCP. Segue um resumo da regra de Firewall a ser criada na tabela 15.1 abaixo.Regra: Intranet → NettionOrigem Destino Serv. Destino AçãoIntranet localhost Chat Server 1 AceitarTabela 15.1: Liberação do Chat ServerObserve que esta regra está contemplando o acesso do objeto Rede Interna ao Chat Serverdo Nettion. Inclua outras redes caso necessário.1 Crie um objeto de serviço para esta porta chamado “Chat Server” com a porta TCP 5222 - veja Capítulo 4 -Objetos.


144CAPÍTULO 15. NETTIONPLUGS15.3.4 Iniciando o serviço Chat ServerPara iniciar o serviço, clique no menu Sistema > Serviços. Depois clique no botão“Start” referente ao serviço “Chat Server”. Para manter o serviço sempre ativo no bootdo Nettion, marque a caixa “Auto” e clique em “Ativar mudanças para os serviços selecionados”.15.3.5 Mais informaçõesAcesse também o Passo a Passo disponível no site do Nettion (www.nettion.com.br) paramais informações de como configurar o servidor e os clientes deste plugin.15.4 BlitzBlitz é o NettionPlug responsável pelo controle e gerenciamento do uso de MSN nasempresas. Foi desenvolvido para organizações que necessitam usar comunicadores instantâneospara contatos comerciais.Além de controlar os níveis de permissão de MSN por usuário ou grupo de usuários, oBlitz possibilita a administração de listas de contatos. Assim, se a sua empresa precisautilizar IM para se relacionar com contatos externos, com o NettionPlug você garanteque a comunicação seja estabelecida para fins apropriados.O Blitz é um plugin totalmente web (integrado ao Nettion), ou seja, não é necessário aaquisição de um novo hardware para a sua instalação. Facilmente adquirido, o aplicativopossui interface intuitiva e de simples administração através de um wizard.A funcionalidade foi desenvolvida pela NIS, visando o aumento da produtividade do seunegócio, bem como a redução do consumo de banda e tarifas telefônicas.15.4.1 Como funciona?O Blitz funciona como uma espécie de servidor Proxy (Socks5) que tem a função deintermediar o acesso MSN da sua rede, fazendo toda a filtragem do acesso. É possívelestabelecer, através de suas regras, quais usuários terão acesso ao MSN e até com quaiscontatos eles poderão se comunicar, além da auditoria das conversas.Para isso, é necessário bloquear qualquer outra forma de acesso do MSN e configurar nasestações (configurações do MSN) o Nettion como servidor Socks e Proxy obrigatoriamente.Veja agora como evitar o acesso direto ao MSN.15.4.2 Bloqueando o acesso direto ao MSNPor padrão o software MSN procura várias alternativas de comunicação com seu servidorna Internet, e para forçarmos a sua saida somente via Blitz, é necessário bloquear taisalternativas de acesso direto.Caso as estações da sua rede estejam utilizando o Proxy do Nettion, algumas configuraçõesdevem ser feitas:


15.4. BLITZ 1451. Bloquear a expressão “gateway.dll”, e para isso siga os seguintes passos:• Crie um grupo de objetos de expressões chamado “Bloquear MSN”. Qualquer dúvidaa respeito de como configurar os objetos de expressões, veja o Capítulo 4 - Objetos.• Inclua neste grupo o termo“gateway.dll”como sendo do tipo“palavra”, “não-inteira”,“qualquer posição”.2. Criar uma regra no seu Proxy bloqueando o grupo de expressões criado acima. Apliqueesta regra a todos os usuários ou aos usuários que você deseja bloquear o acesso diretoao MSN. Crie esta regra na primeira posição para evitar que outra regra mais genéricalibere o acesso. Qualquer dúvida sobre regras de Proxy, acesse o Capítulo 6 - Proxy.3. Liberar algumas URLS que o MSN utiliza para fazer a autenticação do usuário em seuservidor. Da mesma forma, crie um grupo de expressões chamado “Liberar logon MSN”e nele inclua os seguintes termos como sendo do tipo “expressão regular”:• nexus.passport.com:443• login.live.com:443• loginnet.passport.com:443• omega.contacts.msn.com:443• storage.msn.com:443• Install Messenger.exe4. Criar outra regra no Proxy liberando este grupo de expressões. Você pode liberarpara qualquer usuário uma vez que o controle vai ficar no próprio Blitz. Crie esta regrana posição 2, após a regra de bloqueio do MSN. Qualquer dúvida sobre regras de Proxy,acesse o Capítulo 6 - Proxy.Também é necessário criar regras no firewall que impeçam qualquer tentativa de acessoao MSN através de um possível mascaramento. Para isso, deve-se criar no firewall umaregra bloqueando o acesso de toda a intranet (ou pelo menos dos IPs dos usuários quedeverão acessar via Blitz) às redes da Microsoft (65.52.0.0/14 e 207.46.0.0/16) nas portas1863/TCP, 80/TCP e 443/TCP. Esta regra deve ficar nas primeiras posições, assegurandoassim que ela fique acima de qualquer mascaramento existente (salvo os mascaramentosde usuários que, porventura, não acessem o MSN via Blitz) como mostra a tabela 15.2.Regra: Intranet -> MicrosoftOrigem Destino Serv. Destino AçãoRede Interna Range MS1/Range MS2 msn/http/https BloquearTabela 15.2: Bloqueando o acesso ao MSN via mascaramentoObs1: Antes de criar a regra, crie objetos de “Hosts e Redes” contendo asranges da Microsoft aqui citadas (por exemplo RangeMS1 e RangeMS2).Para maiores informações sobre como criar objetos de “Hosts e Redes”, veja oCapítulo 4 – Objetos.


146CAPÍTULO 15. NETTIONPLUGSObs2: Crie também um objeto de serviço com a porta 1863/TCP chamadomsn. Para maiores informações sobre como criar objetos de serviços, veja oCapítulo 4 – Objetos.Obs3: Os serviços http e https também devem ser inclusos na regra de bloqueio.Veja a regra de resumo a seguir na tabela 15.2.15.4.3 AuditoriaTodas as conversas realizadas via Blitz são auditadas. Para acompanhar as conversas,clique no menu “Blitz > Auditoria”, todas as conversas serão exibidas por data. Paravisualizar o conteúdo de uma conversa, selecione-a e clique no botão“itens”, como mostraa figura 15.3 abaixo.Figura 15.3: Auditoria de Conversas do Blitz15.4.4 FirewallAgora é necessário liberar que o próprio Nettion faça conexões a partir do serviço Blitz.Para isso é preciso criar uma regra liberando o tráfego partindo do Nettion com destinoa porta 1863/TCP, como segue na regra de resumo a seguir na tabela 15.3.Regra: Blitz -> InternetOrigem Destino Serv. Destino Açãolocalhost Qualquer msn AceitarTabela 15.3: Liberando o serviço Blitz


15.4. BLITZ 147Obs: antes de criar a regra, verifique a existência de alguma regra que jácontemple esta liberação, caso contrário, crie antes de criar a regra sugeridaum objeto de serviço com a porta 1863/TCP chamado msn. Para maioresinformações sobre como criar objetos de serviços, veja o Capítulo 4 - Objetos.Além desta regra, é necessário também liberar o acesso da rede interna ao serviço Blitz,que funciona por padrão na porta TCP 1080. Veja a regra de resumo a seguir na tabela15.4.Regra: Intranet -> BlitzOrigem Destino Serv. Destino AçãoRede Interna localhost blitz AceitarTabela 15.4: Liberando acesso ao BlitzObs: antes de criar a regra, verifique a existência de alguma regra que jácontemple esta liberação, caso contrário, crie antes de criar a regra sugeridaum objeto de serviço com a porta 1080/TCP chamado blitz. Para maioresinformações sobre como criar objetos de serviços, veja o Capítulo 4 - Objetos.15.4.5 ConfiguraçõesAssim como o Proxy e o Firewall do Nettion, o Blitz também possui uma política depadrão de acesso. Ela vai definir o que será feito caso o usuário não se encaixe em algumaregra de acesso, que serão vistas mais à frente.A política padrão é configurada através do menu “Blitz > Configurações”. Nestemenu, também é possível definir se os usuários serão avisados que as suas conversasestarão sendo auditadas e gravadas. Para isso, marque a opção “Habilitar notificaçãode auditoria no início da sessão” como mostra a figura 15.4 abaixo.Figura 15.4: Configurações Básicas do Blitz


148CAPÍTULO 15. NETTIONPLUGSNormalmente a política padrão é definida como “Negar qualquer acesso” e através dasregras são liberados somente os usuários que realmente tenham que acessar o MSN, bemcomo os contatos com os quais podem se comunicar.15.4.6 Catalogação automática de contatosAtravés dos menus Contatos e Grupos do Blitz você pode inserir manualmente oscontatos com quem seus usuários poderão se comunicar com mostra a figura 15.5 abaixo.Figura 15.5: Inclusão Manual de um ContatoPorém, o Blitz oferece uma maneira automática de catalogação destes contatos, que ocorreno momento em que o usuário faz a sua primeira 1 conexão através do Blitz.Este processo facilita bastante a manutenção das regras, como será visto mais à frente.Na guia “Passports de Usuários”, é possível ver os contatos organizados por cada passport.Para ver os contatos de um passport, selecione-o e clique no botão “Itens” como mostra afigura 15.6 a seguir.Figura 15.6: Visualização de Contatos por Passaporte15.4.7 RegrasO Wizard de criação das regras do Blitz é muito semelhante ao dos outros serviços doNettion, como o Firewall e o Proxy.1 Nas conexões seguintes o Blitz só faz a manutenção destes contatos, incluindo ou excluindo, conforme necessário.


15.4. BLITZ 149Para criar regras no Blitz, clique no menu “Blitz > Regras” e siga os passos a seguir:Passo 1:Na tela de listagem de regras, clique no botão “Incluir”, conforme exibido na figura 15.7a seguir.Figura 15.7: Listagem/Inclusão de Regras do BlitzPasso 2:Na primeira tela do Wizard, defina uma descrição para a regra, uma ação, a posição(define a ordem de priodidade da regra) e, por fim, selecione o status da regra, comoexibido na figura 15.8 a seguir.Figura 15.8: Descrição da Regra no BlitzPasso 3:


150CAPÍTULO 15. NETTIONPLUGSNa tela seguinte, selecione o horário em que a regra será aplicada, de acordo com osobjetos de horários previamente definidos, veja a figura 15.9.Passo 4:Figura 15.9: Seleção de Horário para Regra no BlitzNesta tela você definirá com quais contatos os usuários poderão se comunicar. Em“Filtrosde Origem” selecione o(s) usuário(s), e em “Filtros de Destino” selecione o(s) contato(s)permitidos para este(s) usuário(s). Veja figura 15.10.Passo 5:Figura 15.10: Seleção de Usuários e Passaportes da RegraNa última tela do Wizard, você define se será permitido para o(s) usuário(s) da regrabate-papo e/ou transferência de arquivos com o(s) contato(s) selecionados. Para finalizara criação da regra, clique no botão “Concluir”. Veja figura 15.11 a seguir.


15.4. BLITZ 151Figura 15.11: Definição das Atividades Permitidas via Blitz15.4.8 Iniciando o serviço BlitzPara iniciar o serviço, clique no menu “Sistema > Serviços”. Depois clique no botão“Start” referente ao serviço “Blitz”. Para manter o serviço sempre ativo no boot do Nettion,marque a caixa “Auto” e clique em “Ativar mudanças para os serviços selecionados”.15.4.9 Configurando as estaçõesAgora é necessário fazer a configuração das estações, apontando no MSN o IP do NettionBlitz. Dependendo da versão do MSN, o local da configuração pode variar. Porém, deum modo geral, você deve indicar o servidor socks e http do seu MSN. Geralmente ocaminho é “Ferramentas > Opções > Conexão”. Aponte para o IP do Nettion oserviço socks e http proxy. É necessário que você também indique as informações deautenticação do usuário (usuário e senha).Figura 15.12: Configurações de Conexão do MSN via Blitz


152CAPÍTULO 15. NETTIONPLUGS15.4.10 Mais informaçõesAcesse também o Passo a Passo disponível no site do Nettion (www.nettion.com.br) paramais informações de como configurar o servidor e os clientes deste plugin.15.5 OpenVPNO OpenVPN é mais uma forma de VPN oferecida pelo Nettion. Através deste recursovocê pode interligar redes entre matriz e filiais, ou permitir que um usuário externoacesse a sua rede de forma simples e segura. Um grande diferencial do OpenVPN é suapossibilidade de operar mesmo em ambientes de internet com mascaramento(NAT), comoem redes de hoteis, cyber-cafés ou aeroportos.Após a instalação (ver tópico 15.2 deste capítulo), você acessa este plugin através do menu“VPN > OpenVPN” do seu Nettion. Ele oferece dois tipos de conexões, coforme serámostrado a seguir:15.5.1 Nettion-NettionEsta opção permite interligar duas ou mais redes através da VPN (como interligar filiaisà Matriz). Cada uma com um Nettion e com o Plugin OpenVPN instalado. Neste caso,um dos Nettions vai ser o servidor da VPN e o outro será o Cliente.15.5.2 Configurando o Servidor OpenVPNPara configurar uma conexão OpenVPN Nettion-Nettion, acesse o menu“VPN > Open-VPN > Nettion-Nettion > Conexões”. A seguinte tela será exibida:Figura 15.13: Listagem das Conexões OpenVPNPara criar uma nova conexão, clique no botão “Incluir”. Os seguintes passos devem serseguidos:Passo 1:Na primeira página do Wizard defina os seguintes campos:


15.5. OPENVPN 153• Tipo: Servidor;• Nome: identifique o nome da conexão;• Status: Ativo;• Porta: o Nettion já oferece uma sugestão de porta automaticamente. Cada túnelOpenVPN funcionará em uma porta diferente - lembre-se de criar a regra de Firewallcorrespondente a esta porta para liberar a conexão VPN;• Protocolo: UDP (padrão);• Compressão LZO: aplique para otimizar o tráfego dentro da VPN com a compressãodos dados.Veja a figura a seguir:Passo 2:Na página seguinte defina:• LocalFigura 15.14: Criação da Regra OpenVPN– IP: indique o IP/Hostname pelo qual o(s) Nettion(s) cliente(s) encontrarão esteNettion;– IP Virtual: indique um IP virtual para conexão entre os Nettions após o estabelecimentoda VPN. Ex: 192.168.200.1;– Redes: indique a(s) rede(s) locais que farão comunicação com a(s) rede(s) remota(s);• Remoto– IP: indique o IP do Nettion cliente. Caso ele não possua um IP fixo, deixe estecampo em branco.– IP Virtual: este campo será preenchido automaticamente.– Redes: indique a(s) rede(s) remotas que farão comunicação com a(s) rede(s)locais(s);• Clique no botão “Concluir” para criar a conexão.Veja a figura a seguir:


154CAPÍTULO 15. NETTIONPLUGSFigura 15.15: Definição das Redes da Conexão OpenVPNConfigurando o Cliente OpenVPNAgora que o servidor está criado, é hora de configurar o(s) Nettion(s) cliente(s). Parafacilitar esta tarefa, o Nettion servidor da VPN oferece a exportação do arquivo que faztoda a configuração do cliente.Para exportar o arquivo, acesse o Nettion Servidor da OpenVPN, vá até a listagem deconexões e clique duas vezes na conexão servidor que você acabou de criar. Na telaseguinte, em “Exportar configurações para clientes Nettion”, defina uma senha de segurançapara o arquivo e clique em no botão “Exportar”. Em seguida, salve o arquivopara que seja utilizado na configuração do Nettion cliente. Veja a imagem a seguir:Figura 15.16: Exportação do arquivos de Configuração do Cliente Nettion OpenVPNAgora, acesse o Nettion cliente da VPN e siga os passos a seguir:• Acesse o menu “VPN > OpenVPN > Nettion-Nettion > Conexões”;


15.5. OPENVPN 155• Na tela seguinte, da listagem de conexões, clique no botão “Incluir”;• Na primeira página do Wizard defina os seguintes campos:– Tipo: Selecione agora o tipo “Cliente”;– Nome: indique um nome para a conexão;– Em “Importar configurações”, selecione o arquivo exportado pelo servidor, insiraa senha de segurança do arquivo e clique em “Importar”. Neste momento oNettion importará toda a configuração necessária da conexão.– Clique no botão “Concluir” conforme a figura a seguir.Figura 15.17: Importação do arquivo de Configuração do OpenVPNFirewallComo comentado anteriormente, cada túnel OpenVPN funciona em uma porta diferente,de acordo com a sua configuração no momento de criar o túnel servidor. Para que asconexões possam ser estabelecidas, libere no seu Firewall a conexão entre os servidoresnas portas utilizadas.Supondo que o servidor esteja configurado para a porta 1184/UDP, crie um objeto deserviço com esta porta e crie uma regra de Firewall conforme mostrado na tabela 15.5:Regra: Liberando servidor OpenVPNOrigem Destino Serv. Destino AçãoClienteOpenVPN localhost openvpn1 AceitarTabela 15.5: Acesso ao servidor OpenVPNNeste caso, estamos liberando apenas para o objeto ClienteOpenVPn conectar ao servidor.Caso não seja possível identificar a origem da conexão, deixe a origem em branco(Qualquer).Além da regra para permitir a interligação entre os Nettions, é necessário também liberaro tráfego entre as redes da VPN de acordo com as suas necessidades. Veja resumo daregra necessária na tabela 15.6.


156CAPÍTULO 15. NETTIONPLUGSRegra: Liberando tráfego dentro da VPNOrigem Destino Serv. Destino AçãoRede Local Rede Remota Qualquer AceitarTabela 15.6: Liberando Tráfego dentro da VPNIniciando o serviço OpenVPNAgora que o servidor e o cliente estão devidamente configurados, inicie o serviço OpenVPNem cada Nettion (servidor e cliente) no menu “Sistema > Serviços”.Por último, inicie o túnel. Através da tela de listagem das conexões clique no botão“Start” correspodente à conexão criada para iniciar o túnel entre os Nettions (Veja otópico 15.5.2). Neste momento o status indicativo da conexão deve ficar verde e asestações das redes já podem se comunicar entre si. Caso não, verifique se não esqueceualgum passo acima.15.5.3 Nettion-UsuáriosEsta modalidade de OpenVPN permite a conexão segura de usuários externos à suaorganização. Através do túnel estabelecido, os usuários podem ter acesso aos recursosda rede como compartilhamentos, sistemas e impressoras de acordo com a política desegurança adotada, como se estivessem conectados localmente à rede.Como comentado anteriormente, um dos grandes diferenciais deste plugin é sua possibilidadede operar mesmo em ambientes de internet com mascaramento(NAT), como emredes de hoteis, cyber-cafés ou aeroportos. Outras características importantes são a suafacilidade de configuração (tanto servidor quanto clientes) e a sua flexibilização quantoà autenticação dos usuários, que opera juntamente com a autenticação centralizada doNettion.15.5.4 ConfiguraçõesPara configurar o servidor OpenVPN, acesse“VPN > OpenVPN > Nettion-Usuários> Configurações” e siga os passos a seguir:Passo 1: Na primeira página da tela de configuração informe os seguintes itens:• Status: indique o status do servidor - Ativo;• Nome da conexão: indique um nome para a conexão - o Nettion já fará uma sugestão;• Interface de funcionamento: aqui você pode escolher uma interface específica (a quepossui IP público) ou “Todas” para esperar conexões em qualquer interface;• IP do Servidor: indique o IP através do qual seu Nettion será encontrado pelosclientes. Geralmente será o IP público do seu Nettion, mas em situações onde oNettion está sendo mascarado (NAT) por um roteador, por exemplo, indique o IPpúblico do roteador;• Rede virtual - Rede que será criada entre o Nettion e os usuários conectados


15.5. OPENVPN 157– Rede: será a rede virtual - o Nettion já fará a indicação automática;– Marcara da rede: indique a máscara da rede - o Nettion também indicará;– IP do servidor: será o IP do Nettion dentro da rede virtual;– IPs dos clientes: será o intervalo de IPs que será fornecido aos clientes da VPN;• Redes acessadas pelos usuários - Redes que o nettion fornece acesso para usuáriosconectados;– Selecione para a coluna da esquerda as redes locais que serão oferecidas aosusuários da VPN;Veja a tela a seguir:Figura 15.18: Configuração da Conexão Nettion-UsuáriosPasso 2: Na página de Controle de Acesso indique:• Por padrão os usuários válidos (autenticados) da rede terão acesso. Mas é possívelespecificar quais usuários terão acesso. Para isso, selecione a opção “Permitir apenasos usuários selecionados”;• Em Grupos e Usuário, especifique quais grupos e/ou usuários terão permissão deacesso. Como dito anteriormente, os usuários serão autenticados, no momento daconexão, na base indicada no sistema de Autenticação centralizada do Nettion.Obs 1.: Para criar um usuário e conceder-lhe o acesso via OpenVPN ele deveser criado antes da criação da regra do OPenVPN. Para isso veja como procederpara a criação de Usuários no capítulo 5 deste manual;Obs 2.: É recomendável que sejam selecionados SOMENTE os usuários quedevem ter acesso à VPN para evitar a ação de usuários mal-intencionados;Obs 3.: É recomendável o uso de senhas fortes, ou seja, senhas que contenhamletras (maiúsculas e minúsculas), números e caracteres especiais.


158CAPÍTULO 15. NETTIONPLUGSVeja a figura a seguir:Figura 15.19: Seleção de Usuários para Acesso via OpenVPNPasso 3: Na página de configurações Avançadas indique:• Porta: o Nettion já sugere a porta de conexão;• Procoloco: o protocolo padrão é o UDP;• Compressão LZO: utilize compressão para otimizar o tráfego dentro do túnel;• Tipo do servidor: utilize a opção Tunel para ponto a ponto (padrão) ou Ethernetpara conexão semelhante a uma rede Ethernet;• Permitir conexão entre clientes: Por padrão a conexão entre clientes é permitida.Veja a seguinte figura:Figura 15.20: Especificações Avançadas da Conexão OpenVPN


15.5. OPENVPN 15915.5.5 Conexões AtivasEm Conexões Ativas serão listadas as conexões VPN atualmente estabelecidas ao Nettion.Na listagem é possível identificar o nome do Usuário, data e hora em que a conexão foietabelecida e é possível também desconectar o usuário através do botão “Stop”. Vejafigura 15.21.Figura 15.21: Lista de Usuários AtivosRelatóriosEm“VPN > OpenVPN > Nettion-Usuários > Relatórios > Conexões”você temacesso ao histórico de conexões feitas ao servidor OpenVPN. Através do filtro, é possívelfazer buscas detalhadas sobre os acessos feitos, como mostra a figura 15.22 abaixo.Figura 15.22: Relatório de Acessos do OpenVPNFirewallPara que os usuários externos possam conectar-se ao Nettion é necessário fazer uma liberaçãono Firewall do Nettion. Para isso crie uma regra permitindo o acesso de Qualquerhost (Internet) em direção ao Nettion na porta estabelecida para o servidor.Supondo que o servidor esteja configurado para a porta padrão, 1183/UDP, crie umobjeto de serviço com esta porta chamado openvpn-clientes, e crie uma regra de Firewallconforme mostrado na tabela 15.7:


160CAPÍTULO 15. NETTIONPLUGSRegra: Liberando servidor OpenVPNOrigem Destino Serv. Destino AçãoQualquer localhost openvpn-Clientes AceitarTabela 15.7: Acesso ao servidor OpenVPNAlém da regra para permitir a interligação dos clientes ao Nettions, é necessário tambémliberar o tráfego entre as redes locais permitidas e a rede virtual configurada. Veja resumoda regra necessária na tabela 15.8.Regra: Liberando tráfego dentro da VPNOrigem Destino Serv. Destino AçãoRede Local Rede Virtual Qualquer AceitarTabela 15.8: Liberando Tráfego dentro da VPNObservação: o objeto “Rede Virtual” corresponde ao IP estabelecido na configuração doservidor OpenVPN - veja seção 15.5.4.Iniciando o serviço OpenVPNInicie o servidor OpenVPN através do menu “Sistema > Serviços”. Para obter maisinformações sobre como iniciar serviços no Nettion, consulte o tópico 14.1.Configuração dos clientesNas estações clientes Windows, baixe e instale o software“OpenVPN Client”. A instalaçãonas estações é bastante simples e segue o padrão de instaladores de software para estaplataforma.Figura 15.23: Exportação das Configurações para o OpenVPN ClientUma vez instalado, é hora de fazer a configuração. Para facilitar esta tarefa, o Nettionservidor da VPN oferece a exportação do arquivo que faz toda a configuração do cliente.Veja a figura acima.


15.6. DNS 161Para exportar este arquivo, entre novamente nas configurações do OpenVPN Nettion-Usuários e clique no botão “Download”. Caso esta opção ainda não esteja disponível éporque a configuração do servidor ainda não foi efetuada.Agora, na estação Windows, com o OpenVPN Client instaldo, clique com o botão direitono ícone do OpenVPN Client e escolha a opção “Nova Conexão (Nettion)”. Na janelaseguinte, selecione o arquivo exportado pelo Nettion. Com isso a configuração estaráfinalizada.Obs.: Após a instalação, note que um novo ícone aparecerá ao lado do relógiodo Windows, na barra do menu Iniciar.Figura 15.24: Importação do Arquivo de Configuração no OpenVPN ClientAgora é hora de conectar. para isso, clique novamente com o botão direito no íconedo OpenVPN Client e escolha a opção “Conectar”. Neste momento aparecerá uma telasolicitando seu nome de usuário e senha para autenticação no Nettion. Lembrando queesta autenticação é feita de acordo com a autenticação centralizada configurada no seuNettion.Após a conexão acesse a sua rede normalmente.15.5.6 Mais informaçõesAcesse também o Passo a Passo disponível no site do Nettion (www.nettion.com.br) paramais informações sobre a configuração deste plugin.15.6 DNSDNS é o NettionPlug responsável pelas resoluções de nomes diretos e reversos.O DNS é um sistema hierárquico. O mais alto nível é representado por “.” e denominado“raiz”. Sob “.” há diversos “Domínios de Alto Nível” (TLDs), sendo ORG, COM, EDU eNET os mais conhecidos.


162CAPÍTULO 15. NETTIONPLUGSExistem 13 servidores DNS raiz no mundo todo e sem eles a Internet não funcionaria.Destes, dez estão localizados nos Estados Unidos da América, um na Ásia e dois naEuropa.Para Aumentar a base instalada destes servidores, foram criadas Réplicas localizadas portodo o mundo, inclusive no Brasil desde 2003. Ou seja, os servidores de diretórios responsáveispor prover informações como nomes e endereços das máquinas são normalmentechamados servidores de nomes. Na Internet, o serviço de nomes usado é o DNS, que apresentauma arquitetura cliente/servidor, podendo envolver vários servidores DNS durantea resposta a uma consulta.15.6.1 Como funciona?A Arquitetura do serviço DNS é distribuida em Masters e Slaves. O primeiro é o responsávele deve ser alterado inicialmente. É ele quem notifica os outros servidores, ondeestão as replicas das informações. Esses são chamados de Slaves, pois apenas recebem asinformações do Master.Existem dois tipos de resoluções: uma direta, quando queremos encontrar um IP deum nome, e outra quando temos um IP e queremos saber o seu nome. Esta segundaforma tem uma organização diferenciada e garante que um determinado IP é de uma redeconhecida. Por exemplo, um servidor de E-Mail (SMTP) recebe uma conexão do hostde origem reconhecido por 192.168.5.4. Para este IP poder enviar e-mails tem que ter oreverso configurado. Isto, para prevenir uma possível fraude. Os domínios reversos estãona árvore ’in-addr.arpa’. Esta árvore não está aberta ao público. Por isso, é confiável.No exemplo acima o reverso do IP seria 4.5.168.192.in-addr.arpa.Após a instalação, você acessa este plugin através do menu “DNS > Domínios”.Figura 15.25: Demonstração de um esquema de DNS15.6.2 Domínios MastersEsta modalidade permite que você crie e gerencie seus domínios Masters. Existem doiscampos que aparecem somente na criação do domínio: SOA e NS, itens necessários aofuncionamento de qualquer DNS. O SOA (Start Of Autority) é o servidor de consultainicial. É ele quem determinará os outros nomes do domínio. O NS é a autoridade dodomínio ele pode ser usado para resolver os nomes do domínio, mas geralmente é utilizadopara ’desafogar’ o SOA.


15.6. DNS 163Para configurar um domínio, acesse no menu “DNS > Domínios” e clique no botão“Incluir”. Na primeira tela do wizard de inclusão, configure:• Nome: Nome do domínio que você irá criar;• Descrição: Descrição do domínio a qual você irá gerenciar;• Tipo: O tipo de domínio que você irá criar. Neste caso Master;• Status: Ativo;• SOA: Início da autoriade do domínio (Somente na criação do master);• NS: NS do domínio master.Como mostra a figura abaixo.Figura 15.26: Configuração de um Domínio DNSNa segunda tela do wizard, selecione os servidores slaves que serão notificados pelo master,lembrando que a toda a lista de Itens do tipo NS serão notificados também.Figura 15.27: Seleção de Slavers DNSNa terceira tela do wizard (Botão de configurações avançadas), que é opcional, configure:


164CAPÍTULO 15. NETTIONPLUGS• TTL: Tempo de validade das informações de cache em outros servidores;• Expira em: Tempo total de tentativas de atualização;• Atualiza em: Tempo requerido para a atualização;• Retenta em: Tempo de retentativas em caso de falhas nas atualizações;• Postmaster: E-mail do administrador do domínio;Veja a figura.Figura 15.28: Configurações Avançadas de um Domínio DNS15.6.3 Itens do Domínio MasterPara acessar esta modalidade, selecione o domínio ao qual se deseja incluir os itens eclique no botão “Itens”, no lado direito e inferior da tela. Na janela seguinte, clique nobotão “Incluir”. Na tela que será exibida, informe:• No campo Tipo: Definir o tipo do item. Existem 6 tipos de de itens:– SOA: Start of Authority, marca o começo dos dados de uma zona e defineparâmetros que afetam a zona inteira.– NS: Identifica o servidor de nomes de um domínio.– MX: Mail eXchange, Lista de servidores de e-mail para entrega (SMTP).– A: Resolução direta de um nome para um IP.– CNAME: Define um alias para um hostname.– PTR: Mapeia o endereço para um hostname.– TXT: Permite a criação de registros SPF, DKIM (DomainKeys) e fornecimentode informações adicionais.∗ Exemplo:SPF: example.net. IN TXT “v=spf1 a mx ip4:192.0.2.32/27 -all”DKIM: mail. domainkey.example.net. IN TXT“g=\; k=rsa\; t=y\;p=MF...XYZ”INFO: example.net. IN TXT “em caso de problema ligue (85)4005-1188”


15.6. DNS 165• Campo descrição: Descrição para o gerenciamento dos itens;• Campo Prioridade: Definir a prioridade do servidor MX;• Campo IP/Host: Para definir hosts de resoluções aos tipos PTR, A e CNAME;• Campo Resolve em: Usado para determinar a resolução do nome ou tipo;• Campo Status: Definir o status do item;Figura 15.29: Inclusão de Itens no Domínio DNS15.6.4 Domínios SlavesEsta modalidade permite que você crie e gerencie seus domínios Slaves. Para isso, acesseno menu “DNS > Domínios” e clique no botão “Incluir”. Na primeira tela do wizardde inclusão, configure:• Nome: Nome do domínio que você irá criar;• Descrição: Descrição do domínio a qual você irá gerenciar;• Tipo: O tipo de domínio que você irá criar. Neste caso Slave;• Status: Ativo;Figura 15.30: Inclusão de Domínio Slave no DNS


166CAPÍTULO 15. NETTIONPLUGSNa segunda tela do wizard, selecione os servidores Masters que ele deve sincronizar. Deveser selecionado obrigatoriamente um servidor 1 , como mostra a figura abaixo.Figura 15.31: Seleção de Masters DNS15.6.5 Itens do Domínio Slave• Os itens do domínio Slave serão todos os itens importados do domínio Master.15.6.6 Domínios ReversosOs domínios reversos são tipos especiais. Sua sintax é in-addr.arpa. Eles seguem Aolado do campo NOME, existe um botão chamado GERAR O REVERSO, no wizard decriação, que facilitará o trabalho. Ao ser clicado, ele solicitará o ip/máscra no formatoxxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy. Assim, o nome será mudado para o formato correto.15.6.7 Iniciando o serviço DNSInicie o servidor DNS através do menu “Sistema > Serviços > Servidor de Nomes”.Para obter mais informações sobre como iniciar serviços no Nettion, consulte o tópico 14.1.15.6.8 Firewall com DNSPara que os usuários externos possam conectar-se ao Nettion é necessário fazer umaliberação no Firewall do Nettion. Para isso, crie uma regra permitindo o acesso dequalquer host (Internet) em direção ao Nettion, na porta estabelecida para o servidor.Supondo que o servidor esteja configurado para a porta padrão, 53/UDP 53/TCP, utilizeo serviço predefinido DNS e crie uma regra de Firewall, conforme mostrado na tabela15.9:1 Crie um objeto com o nome do servidor e seu IP associado. Veja o capítulo 4 - Objetos


15.7. GETMAIL 16715.6.9 Mais informaçõesRegra: Liberando servidor DNSOrigem Destino Serv. Destino AçãoQualquer localhost DNS AceitarTabela 15.9: Acesso ao servidor DNSPara maiores informações sobre a configuração deste plugin, acesse também o Passo aPasso, disponível no site do (www.nettion.com.br).15.7 GetMailO NettionPlug GetMail funciona como um captador de mensagens de e-mail de servidoresremotos (POP ou IMAP) e direciona-os a um único servidor de e-mail (geralmente oservidor de e-mails padrão da empresa), facilitando a gerência de mensagens que dizemrespeito ao negócio da empresa. Com o GetMail os usuários não precisam acessar contasde e-mails de terceiros, nem webmails, e contam ainda com a segurança de um anti-víruse um anti-spam para filtrar as mensagens baixadas, caso o servidor de e-mails da empresaseja o próprio Nettion (contas locais). Dessa forma, você diminui significativamente osriscos de adquirir vírus e garante uma maior produtividade dos seus colaboradores.15.7.1 VantagensO NettionPlug GetMail proporciona as seguintes vantagens:• Velocidade e segurança no acesso aos e-mails;• Controle de vírus e spam no acesso às mensagens de provedores externos;• Melhor gerência de recursos;• Compatibilidade com a solução de mensagens utilizada na sua empresa, estando aptopara qualquer ambiente de rede;• Busca de mensagens em diversos servidores de -mail, independente do provedor;• Criação de permissão de acesso, determinando quais contas externas podem seracessadas.15.7.2 ConfiguraçõesPara configurar o GetMail, acesse o menu “GetMail > Configurações”. Na tela queserá exibida, informe:• Intervalo de verificação: Intervalo de tempo (em segundos) dentro do qual as verificaçõespor novos e-mails serão efetuadas;• Servidor de Destino (SMTP): Servidor que será utilizado para o envio das mensagens(Geralmente o próprio Nettion).


168CAPÍTULO 15. NETTIONPLUGSDepois, clique no botão “Salvar Configurações”, como mostra a figura 15.32 abaixo.Figura 15.32: Configuração Básica do GetMail15.7.3 Contas de OrigemPara iniciarmos a criação das regras do GetMail, precisamos primeiramente cadastrar ascontas de origem, ou seja, as contas das quais desejamos obter os e-mails. Para incluir ascontas, cliqe no botão “Incluir”conforme mostrado na figura 15.33 apresentada a seguir.Na tela que será exibida, informe:Figura 15.33: Lista de Contas de Origem Criadas• Servidor de Origem: o nome/IP do servidor POP/POP3 da conta de origem. Exemplo:pop3.bol.com.br;• Usuário: o usuário de acesso da conta;• Senha: a senha utilizada para login;• Confirmação: redigite a senha para login.As informações acima devem ser digitadas corretamente para que o acesso do GetMail àconta possa ser realizado com sucesso. Tais informações devem ser obtidas diretamentecom os usuários de cada conta de origem cadastrada. Veja a figura 15.34 a seguir.


15.7. GETMAIL 16915.7.4 RegrasFigura 15.34: Criação da Conta de OrigemO processo de criação de uma regra no GetMail é bastante simples. Basicamente, consisteem especificar uma ou mais contas de origem e especificar uma conta de destino, que podeser local(Contas no próprio Nettion) ou remota (Contas em outros servidores). Para isso,siga os seguintes passos:Passo 1:Para criar uma regra no GetMail, acesse“Getmail > Regras”. Na tela que será exibida,informe:• Descrição: Descrição resumida da regra;• Protocolo: Selecione aqui o protocolo a ser utilizado POP ou IMAP;• Status: Ativo, para fazer com que a regra entre em efeito imediatamente.Veja a figura 15.35 a seguir.Figura 15.35: Criação da Regra no GetMail


170CAPÍTULO 15. NETTIONPLUGSPasso 2:Na tela seguinte, especifique em “Contas de Origem” as contas das quais você deseja obteros e-mails (Lembre-se que elas devem ser criadas previamente). Em “Conta de Destino”,especifique se a conta de destino é Local ou Remota. Para Local, selecione a conta dee-mail local para a qual os e-mails serão encaminhados. Para Remota, digite o endereçoeletrônico da conta de e-mail do servidor remoto. Selecione também uma das três opçõesabaixo:• Obter também os e-mails já lidos: Especifica que o GetMail também deve trazere-mails que já tenham sido lidos;• Manter mensagens no servidor: Especifica se será deixada no servidor de origemcópias das mensagens que estão sendo obtidas;• Conectar de forma segura (TLS): Marque esta opção se o servidor de origem exigirautenticação segura.Veja a figura 15.36 abaixo.Figura 15.36: Seleção das Contas de Origem/DestinoAo final, clique no botão “Concluir” para finalizar a criação da regra.15.7.5 Iniciando o serviço GetMailInicie o GetMail através do menu “Sistema > Serviços > Getmail”. Para obter maisinformações sobre como iniciar serviços no Nettion, consulte o tópico 14.1.15.7.6 Mais informaçõesPara maiores informações sobre este plugin, acesse também o site em (www.nettion.com.br).

More magazines by this user
Similar magazines