Documente Academic
Documente Profesional
Documente Cultură
ndice
ndice ........................................................................................................................ 2
ndice de Figuras ..................................................................................................... 9
1.
Introduo ..................................................................................................... 23
2.
2.1.
2.2.
2.3.
3.
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
3.11.
Atualizaes.................................................................................................... 57
3.12.
3.13.
3.14.
3.15.
Relatrios ........................................................................................................ 75
3.16.
3.17.
3.18.
3.19.
3.20.
3.21.
3.22.
3.23.
4.
4.1.
4.2.
5.
5.1.
5.2.
6.
6.1.
6.2.
6.3.
6.4.
7.
7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
8.
8.1.
8.2.
8.3.
8.4.
9.
9.1.
9.2.
10.
10.1.
10.2.
10.3.
L2TP ..............................................................................................................295
10.4.
PPTP .............................................................................................................304
10.5.
10.6.
11.
11.1.
11.2.
12.
12.1.
12.2.
12.3.
13.
13.1.
13.2.
13.3.
Proteo de Flood..........................................................................................365
13.4.
13.5.
13.6.
13.7.
13.8.
13.9.
13.10.
14.
14.1.
14.2.
15.
15.1.
15.2.
15.3.
16.
16.1.
16.2.
16.3.
17.
17.1.
17.2.
18.
18.1.
18.2.
19.
19.1.
19.2.
Configurando os Relatrios............................................................................436
19.3.
20.
20.1.
20.2.
21.
21.1.
21.2.
21.3.
21.4.
22.
22.1.
22.2.
23.
23.1.
23.2.
23.3.
Regras ...........................................................................................................487
23.4.
23.5.
Geral ..............................................................................................................489
23.6.
FTP e GOPHER.............................................................................................490
23.7.
HTTP/HTTPS .................................................................................................493
23.8.
23.9.
23.10.
23.11.
23.12.
24.
24.1.
24.2.
25.
25.1.
26.
26.1.
27.
27.1.
28.
28.1.
29.
29.1.
30.
30.1.
30.2.
30.3.
31.
31.1.
31.2.
32.
32.1.
33.1.
33.2.
34.
34.1.
34.2.
34.3.
35.
35.1.
35.2.
35.3.
35.4.
35.5.
35.6.
36.
36.1.
36.2.
DHCP .............................................................................................................675
36.3.
DNS ...............................................................................................................678
36.3.1.
36.4.
36.4.1.
Geral ...........................................................................................................684
36.4.2.
Dinmico.....................................................................................................686
36.4.3.
Avanado....................................................................................................693
36.5.
36.6.
36.7.
36.8.
36.9.
37.
37.1.
37.2.
37.3.
37.4.
38.
38.1.
39.
40.
40.1.
40.2.
40.3.
40.4.
40.4.1.
40.4.2.
40.4.3.
40.4.4.
40.4.5.
40.4.6.
40.4.7.
40.4.8.
41.
ndice de Figuras
10
11
12
13
14
15
16
17
18
19
20
21
Introduo
22
1.
Introduo
Este o manual do usurio do Aker Firewall 6.5. Nos prximos captulos voc
aprender como configurar esta poderosa ferramenta de proteo s redes. Esta
introduo tem como objetivo descrever a organizao deste manual e tentar tornar
sua leitura o mais simples e agradvel possvel.
23
24
25
26
2.
Para o firewall
O Aker Firewall 6.5 roda sobre o sistema operacional proprietrio, em plataformas
Intel ou compatveis.
Para que o Aker Firewall execute de maneira satisfatria todos os componentes de
hardware necessrio possuir as seguintes configuraes:
Computador Intel ou compatvel 1.0 Ghz ou superior;
Para utilizar um link com alta taxa de transferncia ou utilizar criptografia em um
link com velocidade relativamente alta, recomenda-se o uso de um computador
mais potente.
512 Mbytes de memria RAM;
Para fazer um grande uso dos servios de proxy e de criptografia, provavelmente
ser necessrio utilizar memria maior ou igual a 512 Mbytes.
20 Gbytes de espao em disco;
Para armazenar os logs do sistema por um grande espao de tempo recomendase o uso de um disco maior.
Leitor de CD-ROMou pen-driver USB, monitor, mouse e teclado;
Isso s necessrio durante a instalao ou caso se pretenda utilizar a interface
texto a partir do console, entretanto altamente recomendado em todos os
casos.
Placa(s) de rede.
No existe um nmero mximo de placas de rede que podem ser colocadas no
Firewall. A nica limitao existente a limitao do prprio hardware. Caso
necessite de um grande nmero de interfaces de rede, pode-se optar por placas
com mais de uma sada na mesma interface.
Para a interface grfica
Aker Security Solutions
27
28
2. Selecione qual produto deseja instalar: Aker Firewall, Aker Secure Mail
Gateway ou Aker Web Gateway;
3. Podem-se instalar os Produtos em HD ou flash, ou ainda, instalar em HD e
deixar a flash zerado. Para o caso de falha utiliz-la. Estas opes iro variar
de acordo com o modelo de BOX. OBS: Todos os dados do HD ou flash
sero requisitados ao efetuar este processo;
4. Ao iniciar o instalador ser exibido um Menu, onde podem ser instalado em
uma flash, ou em um HD;
5. Instalando em flash. Esse modo deve ser utilizado em caso de problemas no
HD. Caso voc possua um Agente (Antivrus, AWCA, Spam Meter), ele ser
desativado
6. Instalando o Firewall em um HD. Modo recomendado. Os funcionaram com
todas as suas funcionalidades.
Aps reiniciar a mquina o programa fwinst o responsvel por efetuar a instalao
e a configurao do sistema para a execuo do Aker Firewall. Ao ser executado,
ele mostrar a seguinte tela:
29
Aps responder Sim, ser instalado todas as dependncias necessrias para que o
Aker Firewall funcione.
A prxima janela
30
eth0
eth1
eth2
Entre a interface externa:
A configurao da interface externa usada apenas para o controle de licenas do
firewall. Deve-se informar o nome da interface que estar conectada Internet.
A especificao da interface externa no possui nenhuma implicao de segurana.
Nenhum controle de acesso feito levando-se em conta esta interface.
31
Caso tenha optado por incluir um novo administrador, ser mostrada a tela pedindo
os dados do administrador a ser cadastrado. Um exemplo desta tela se encontra
abaixo (cabe mencionar que a senha do administrador a ser cadastrado no ser
mostrada na tela).
Em plataformas Windows
Para instalar as interface remota nas plataformas Windows XP ou superio, deve-se
colocar o CD-ROM do Aker Security Suite no drive e seguir as instrues que
aparecero na tela.
Caso a opo de auto-execuo esteja desabilitada, deve-se executar os seguintes
passos:
1. Clicar no menu Iniciar;
Aker Security Solutions
32
33
34
3.
35
36
A janela mostrada acima a janela principal do Aker Firewall e a partir dela que se
tem acesso a todas as opes de configurao, inclusive da ativao da licena do
Firewall. Sem ativao da licena no ser possvel realizar as configuraes
subseqentes.
No primeiro acesso os dados referentes licena aparecem todos em branco e
habilitados para que o Administrador possa carreg-lo. A licena de uso consta em
um arquivo, que aps clicar no boto "Carregar", ser indicado e assim que
confirmado o carregamento dos dados, a janela ser aberta com todos os dados da
licena atual, logo surgir uma janela confirmando e reiniciar o firewall.
Portanto clique no boto "Carregar", no canto superior direito da interface:
A interface grfica remota composta de 4 menus descritos brevemente abaixo
(quando existe um firewall selecionado, um quinto menu mostrado com opes
especficas para o mesmo):
Opes
O menu Opes contm as configuraes relacionadas ao layout da interface
grfica. Ao clicar neste menu, aparecero as seguintes opes:
Aker Security Solutions
37
Textos nos botes: marcando esta opo ser mostrada juntamente com
cada cone a ao correspondente do boto. Desmarcando esta opo, ser
mostrado apenas o cone.
Dicas para Entidades: quando esta opo estiver ativada, uma pequena
caixa com a descrio de cada entidade ir aparecer quando o mouse for
passado sobre seu cone.
Ajuda Rpida: esta opo ativa o help contextual automtico para cada
janela.
Mostrar cones nos botes: esta opo, se ativada, faz com que sejam
mostrados cones nos botes Ok, Cancelar e Aplicar das janelas.
Tempo de sesso ociosa: Permite definir o tempo mximo, em minutos, que
a interface permanecer conectada ao firewall sem receber nenhum
comando do administrador. Assim que este tempo limite for atingido, a
interface automaticamente ser desconectada do firewall, permitindo que
uma nova sesso seja estabelecida. Seu valor pode variar entre 1 e 60. A
caixa "Sem limite" quando estiver marcada no desconectar a interface do
firewall.
Valor padro: 1 minuto.
Sair: fecha a janela da interface grfica.
Firewalls
Este menu serve para cadastrar mais firewalls na interface grfica de modo que
possibilite simultaneamente a administrao de diversos Aker Firewalls. Com a
interface conectada a mais de um firewall simultaneamente, possvel usar a
facilidade de arrastar e soltar as entidades e regras entre firewalls, de modo a
facilitar a replicao de determinadas configuraes entre eles. Este menu ser
descrito em detalhes mais abaixo.
Janelas
Este menu possui as funes de configurao das janelas abertas e da barra de
menu.
Barra de ferramentas: esta opo permite definir se a barra de ferramentas na
parte superior da janela principal ser mostrada ou no.
Janelas: esta opo permite mostrar ou no as janelas padro do sistema: ajuda,
firewalls e entidades.
Aker Security Solutions
38
39
40
41
Figura 6. Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo Remoto.
42
43
44
45
Figura 10. Mudar Senha (inserir senha antiga, a nova senha e confirmao da mesma).
Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos
campos Nova senha e Confirmar a nova senha (as senhas aparecero na tela
como vrios asteriscos "*").
Aps preencher os campos, deve-se pressionar o boto OK, para alterar a senha ou
o boto Cancelar, caso no queira mud-la.
Os campos Senha antiga, Nova Senha e Confirmar senha, devem conter de 6
a 14 caracteres.
3.4. Visualizando informao de sesso
possvel a qualquer momento visualizar algumas informaes sobre a sesso de
administrao ativa. Para isso existe uma janela especfica que mostra informaes
teis como: login, nome e direitos do usurio que est administrando o firewall e a
verso e o release do Aker Firewall que estiver sendo administrado. So mostradas
tambm a hora de incio da conexo e h quanto tempo ela est ativa. Para abrir
esta janela, execute os seguintes passos:
46
47
48
49
Esta janela apenas informativa. Nela so mostrados todos os produtos que esto
instalados junto com o firewall e os dados referentes licena de cada um deles.
Entre estes dados pode-se verificar a data de expirao, nmero de licenas, ID e a
data de expirao do IDS e etc, para cada produto.
Caso se deseje inserir uma nova licena, deve-se clicar no boto Carregar,
localizado na barra de tarefas. Esta opo abrir um dilogo onde se pode
especificar o arquivo de onde a nova chave ser carregada. No caso do Firewall
Box, caso exista mais de um produto instalado junto com o firewall, as chaves dos
produtos adicionais tambm sero atualizadas.
Da verso 6.0 do Aker Firewall em diante no mais possvel atualizar as
chaves de ativao do firewall digitando-as, apenas carregando-as a partir do
arquivo enviado pela Aker Security Solutions ou um de seus representantes
autorizados.
50
51
Aps digitar o nome do arquivo salvo, deve-se clicar no boto Salvar. Caso no
queira mais gravar a cpia de segurana, deve-se clicar no boto Cancelar.
Esta opo permite restaurar a cpia de segurana da configurao completa do
firewall realizada atravs da opo anterior.
Aker Security Solutions
52
53
54
55
56
3.10.
Reinicializar Firewall
Esta opo serve para reinicializar o firewall, porm no deve ser utilizada em
condies normais de operao. A nica operao que exige a reinicializao do
firewall a carga de um algoritmo de criptografia externo.
Para reinicializar o firewall basta:
3.11.
Atualizaes
57
58
As atualizaes aplicadas por meio dos Patches e dos Hotfixes so alteraes que
podem ser desfeitas. Essa opo permite desfazer a ltima atualizao aplicada na
mquina, seja hotfix ou patch. Deve-se observar que as alteraes so desfeitas
uma por uma, ou seja, se a verso j estiver no Patch 3, e deseja-se voltar a verso
inicial, deve ser desfeito o patch 3, depois o patch 2, e assim por diante.
ltima atualizao: Identificao do ltimo patch aplicado no membro do cluster.
Hotfixes: Lista de hotfixes aplicados dentro do patch. Nessa lista, mostra a ordem
direta de aplicao dos hotfixes.
O hotfix uma pequena atualizao ou correo feita para um patch especfico.
Pode ser aplicado independente da ordem, o que no acontece com o patch, que
deve ser aplicado na ordem seqencial de atualizao.
Caso a atualizao ou correo sejam destinadas a uma verso diferente de
sistema operacional ou de verso do Aker Web Gateway, ento o boto Aplicar
ficar desabilitado, no permitindo sua aplicao.
Para carregar um arquivo de atualizao ou correo deve-se clicar no cone
que se encontra na barra de ferramentas. Com isso aberta uma janela, que
permite carregar um arquivo de atualizao do patch ou do hotfix, conforme mostra
a figura abaixo.
59
Caso queira aplicar o rollback, pelo menos uma mquina deve ser selecionada na
aba Patch, e logo em seguida deve-se clicar no cone
, sendo que essas
alteraes sero desfeitas uma a uma, na sequncia que foram atualizadas.
Para aplicar rollback em mais de uma mquina ao mesmo tempo, as mesmas
devem estar com a mesma atualizao, por exemplo: todas esto com a verso
patch 3, e quer voltar para o patch 1.
Aba Histrico
60
Essa aba permite, visualizar todo o histrico das aplicaes dos patches e hotfixes.
A aba composta dos seguintes campos:
ID: Mostra a identificao da mquina de onde foi feita a atualizao.
Usurio: Indica o usurio que aplicou a atualizao.
Restaurao: Indica se pode ser ou no desfeito a atualizao.
Data: Indica a data que foi feita alguma aplicao de patch ou hotfix.
A expresso "Verso Corrente" significa que no foi aplicado nenhuma patch.
Observao: Ao clicar no boto OK, o Patch ou o Hotfix no so aplicados,
somente fechada a janela.
61
3.12.
62
63
64
Segunda opo:
Selecionar o produto Aker desejado;
65
66
Terceira opo
Selecionar o produto Aker desejado;
67
68
3.13.
DNS Reverso
DNS reverso utilizado para resolver nomes de mquinas a partir de endereos IP.
A janela de resoluo de DNS reverso do Aker Firewall serve para prover resoluo
de endereos sem a necessidade de utilizao de programas adicionais.
Para ter acesso a janela de resoluo de DNS reverso, deve-se:
69
70
Esta janela consiste de um campo para digitar o endereo IP que deseja resolver e
uma lista com os endereos IP j resolvidos anteriormente.
O boto OK far com que a janela seja fechada.
A opo Mostrar todos se estiver marcada, far com que sejam mostrados
todos os endereos j resolvidos na lista na parte inferior da janela.
Para resolver um endereo, deve-se digit-lo no campo e pressionar o boto DNS
Reverso. Neste momento o endereo ser mostrado na lista na parte inferior da
janela, junto com o status da resoluo. Aps algum tempo, ser mostrado o nome
da mquina correspondente ao endereo ou uma indicao de que o endereo
informado no possui DNS reverso configurado.
3.14.
71
72
Varredura por IP
Quando a opo Varrer por IP estiver selecionada, a janela de varreduras ter o
seguinte formato:
Figura 40. Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e mscaras).
73
Figura 41. Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e entidade).
74
3.15.
Relatrios
Esta janela consiste de vrias opes distintas, uma para cada parte da
configurao do firewall, que podem ser selecionadas independentemente. Para
gerar um relatrio, deve-se proceder da seguinte forma:
1. Marcar os itens que se deseja imprimir.
2. Clicar no boto Procurar e escolha o diretrio onde iro ser armazenadas as
pginas html.
3. Abrir o diretrio e selecionar o arquivo html para imprimir seu relatrio.
Caso queira cancelar a emisso do relatrio, basta clicar no boto Cancelar.
3.16.
Busca de Entidades
75
76
Aba Entidade
Figura 44. Busca de Entidades (procura de entidade com IP ou nome e ltimos resultados).
Esta aba permite localizar entidades pelo endereo IP informado ou pelo seu nome.
Procurar: inicia a busca a partir dos dados informados.
Fechar: fecha a janela de localizao de entidades.
Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como
resultado da pesquisa, a janela de edio correspondente ser aberta,
possibilitando que se edite seus valores rapidamente.
77
Aba Servio
Esta aba permite localizar entidades do tipo servio que contenham o protocolo e o
servio especificados.
Procurar: inicia a busca a partir dos dados informados.
Fechar: fecha a janela de localizao de entidades.
Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como
resultado da pesquisa, a janela de edio correspondente ser aberta,
possibilitando que se edite seus valores rapidamente.
78
Aba Regras
79
3.17.
Janela de Alarmes
Esta opo permite visualizar os alarmes gerados pelo firewall, quando esta opo
estiver marcada nas regras de filtragem ou na janela de aes.
Para ter acesso janela de alarmes deve-se:
80
A janela de alarmes
3.18.
O firewall dispe de um prtico sistema para visualizar a rede onde ele se insere de
forma grfica. Para ter acesso janela de visualizao grfica da rede, deve-se:
81
82
83
3.19.
84
85
3.20.
86
Esta janela consiste de vrias abas. Cada uma das abas permite a captura de
trfego em uma interface distinta ou em pontos diferentes de uma mesma interface.
Para criar novas abas com sniffer deve-se clicar na ltima aba onde aparece o texto
Novo sniffer.
Para iniciar a captura, deve-se preencher os seguintes campos:
Onde capturar: Definir o ponto onde a captura deve ser realizada. As seguintes
opes esto disponveis:
Interface fsica: Definir que a captura deve ser feita exatamente como os pacotes
so recebidos pelo firewall
Antes da filtragem: Definir que os pacotes devem ser capturados imediatamente
antes de serem filtrados, i.e., aps serem decriptados e terem seus endereos
convertidos, se for o caso.
Aps filtragem: Definir que a captura ser feita apenas dos pacotes que passarem
pela filtragem e eles sero vistos decriptados e com seus endereos convertidos, se
for o caso.
Interface fsica: Definir qual a interface que ser utilizada para capturar os pacotes
Aker Security Solutions
87
Filtro: Este campo serve para definir o filtro que ser utilizado na captura dos
pacotes. O objetivo deste filtro limitar os pacotes recebidos somente ao que
interessa. Caso ele esteja em branco todos os pacotes sero capturados. A sintaxe
do filtro a mesma usada no popular programa tcpdump e todas suas opes so
suportadas. Um resumo das principais opes que podem ser utilizadas no filtro :
dir
Indica a direo em que a transferncia ocorrer, para e/ou do identificador. As
direes possveis so src, dst, src or dst e src and dst.
Exemplos:
``src foo''
``dst net 128.3''
''src or dst port ftp-data''
proto
Qualificador restrito a estipular um tipo particular de protocolo. As opes existentes
de protocolo so:
ether, ip, arp, rarp, tcp e udp.
Exemplos:
``ether src foo''
``arp net 128.3''
``tcp port 21''
Se no estipulado, todos os protocolos existentes em opo sero assumidos.
port port
Captura pacotes com a porta de origem ou de destino do pacote igual a port. Todas
as expresses de porta podem ser precedidas de tcp ou udp, assim:
tcp src port port
Capturar apenas pacotes tcp com porta de origem port.
O boto Travar seleo se estiver selecionado faz com que o pacote selecionado
fique sempre visvel na janela de captura.
O boto Iniciar captura inicia a captura de pacotes, porm envia o resultado
apenas para a janela.
O boto Capturar em arquivo inicia a captura de pacotes e grava os dados no
arquivo especificado. Este arquivo pode posteriormente ser aberto pela maioria dos
Sniffers tradicionais disponveis no mercado.
O boto OK encerra a captura e fecha a janela. Caso tenha capturado para um
arquivo, ele estar disponvel.
88
3.21.
89
Esta janela consiste de uma lista com o nome de todos os agentes extenos ativos
que sejam um dos seguintes tipos: Agentes de Antivrus, Agentes IDS,
Analisadores de URL, Autenticadores (Usurio/Senha, Token, RADIUS e LDAP),
Servidores de Log e SpamMeter.
Para cada agente listado sero mostradas as seguintes informaes:
Nome: Nome da entidade do nome do agente externo.
Tipo: Tipo do agente externo.
Status: Informa o estado atual da conexo com o agente externo. Os seguintes
estados podem ser mostrados nesta coluna:
Estado indefinido: Ainda no existem informaes disponveis sobre o estado
deste agente.
Conectado ao principal: O firewall conectou-se com sucesso ao IP principal do
agente externo.
Conectado ao primeiro backup: O firewall conectou-se com sucesso ao IP do
1 backup do agente externo. Por alguma razo ele no conseguiu inicialmente
conectar-se ao principal
Conectado ao segundo backup: O firewall conectou-se com sucesso ao IP do
2 backup do agente externo. Por alguma razo ele no conseguiu inicialmente
conectar-se ao principal nem ao 1 backup.
Erro de conexo: Existe um problema de comunicao com o agente externo.
Verifique os eventos para maiores informaes.
Aker Security Solutions
90
3.22.
91
92
Figura 58. Verificador de Configurao (Regras de Filtragem, Converso de endereo de rede (NAT),
Autenticao, Filtro web e Rede privada virtual (VPN).
93
Ferramentas de Diagnstico
94
Administrando usurios do
Firewall
95
4.
96
97
Esta janela consiste de uma lista de todos os usurios atualmente definidos para
acesso administrao do firewall, alm de um segredo compartilhado (ou senha),
para administrao centralizada pelo Aker Configuration Manager. No havendo o
segredo compartilhado, a configurao ser apenas efetuada pelos usurios
cadastrados.
Para cada usurio mostrado seu login, seu nome completo e suas permisses.
O boto OK far com que a janela de administrao de usurios seja fechada e
as modificaes salvas.
O boto Aplicar far com que as alteraes realizadas sobre um determinado
usurio sejam aplicadas, isto , realizadas permanentemente, sem fechar a
janela.
O boto Cancelar fechar a janela de administrao de usurios e descartar
todas as alteraes efetuadas.
Quando um usurio for selecionado, os seus atributos completos sero
mostrados nos campos Permisses.
Para alterar os atributos de um usurio, deve-se proceder da seguinte forma:
1. Selecionar o usurio a ser alterado clicando sobre seu nome com o boto
esquerdo do mouse. Neste momento sero mostrados os seus atributos nos
campos aps a listagem de usurios.
2. Alterar o valor dos atributos desejados e clicar no boto Aplicar ou no boto OK.
A partir deste momento as alteraes sero efetivadas.
Para incluir um usurio na lista, deve-se proceder da seguinte forma:
1. Clicar com o boto direito do mouse em qualquer lugar da rea reservada para
mostrar a lista (aparecer o boto Inserir) e selecionar a opo Incluir no menu
pop-up ou clicar no cone
que representa a incluso na barra de
ferramentas.
2. Preenche os campos do usurio a ser includo e clicar no boto Aplicar ou no
boto OK.
Para remover um usurio da lista, deve-se proceder da seguinte forma:
1. Selecionar o usurio a ser removido, clicando sobre seu nome com o boto
esquerdo do mouse e clicar no cone
que representa a remoo na barra de
ferramentas, ou clicar com o boto direito do mouse sobre o nome do usurio a
ser removido e selecionar a opo Excluir no menu pop-up.
Significado dos atributos de um usurio
Login
98
99
100
Esta aba consiste na configurao dos agentes externos que sero utilizados para a
autenticao dos usurios que administram o firewall, definindo assim regras de
autenticao para o acesso destes.
Habilitar autenticao via agentes externos
Ao selecionar essa opo permite a autenticao dos usurios, por meio dos
agentes externos que esto cadastrados no firewall. Permite definir o autenticador
externo, qual o usurio/grupo que ele pertence, quais as suas permisses de
acesso e a definio das entidades que o usurio utilizar para conectar ao firewall.
Autenticador
Ao clicar com o boto direito em cima da opo autenticador, poder selecionar um
autenticador (agente externo) habilitados na Janela autenticao aba Mtodos. Esse
Aker Security Solutions
101
102
Figura 63. Usurios Administrativos (mtodo de autenticao com certificao digital X509).
103
CN do certificado do firewall:
Nessa opo mostra qual certificado o Firewall est utilizando na sua autenticao.
104
Importa Certificado:
Ao clicar nesse cone, permite a incluso de um novo certificado, ou seja carrega-se
o certificado cadastrado no arquivo e incluindo-o no firewall.
Autoridade Certificadora:
A autoridade certificadora (CA - certificate authority) deve garantir ao usurio,
atravs da assinatura de seus certificados, que tais entidades so realmente quem
dizem ser. Ento, a CA tem um papel bsico de garantir a correspondncia entre a
identidade e a chave pblica de uma determinada entidade, sabendo que tal chave
pblica corresponde a uma chave privada que permanece sob guarda exclusiva
dessa entidade.
Para tanto, a CA deve ser capaz de realizar todos os processos de emisso de
certificados, verificao de validade, armazenamento, publicao ou acesso on-line,
revogao e arquivamento para verificao futura.
Em conseqncia, uma autoridade certificadora constitui-se de um sistema
computacional completo, com capacidade de comunicao processamento e
armazenamento. Alm disso, tanto as comunicaes envolvendo esse sistema,
assim como o prprio sistema, devem ser tambm protegidos e a prpria identidade
do sistema deve ser garantida, necessidades esta que so atendidas por intermdio
da publicao de uma chave pblica pertencente prpria autoridade certificadora.
Como tal chave deve tambm ser garantida com um certificado digital, ento, em
geral, uma autoridade certificadora deposita sua chave pblica junto a
outra autoridade certificadora, formando uma estrutura de certificao onde algumas
CA funcionam como autoridades certificadoras para outras CAs.
Essa opo permite selecionar uma autoridade a qual o usurio est vinculado.
105
Pseudo Group
Corresponde aos grupos de certificados, relacionados a autoridade certificadora
selecionada na opo acima. Este campo no editvel.
Permisses
Esse campo das permisses editvel, podendo, para cada CA selecionada
relacionar as permisses para cada grupo.
Nessa opo, uma vez escolhida uma Autoridade Certificadora e definidos os
nveis/permisses de acesso para cada grupo, ao trocar de CA todas as permisses
relacionadas a outra CA sero perdidos.
4.2. Utilizando a interface texto
Alm da interface grfica de administrao de usurios, existe uma interface local
orientada caracteres que possui praticamente as mesmas capacidades da
interface grfica. A nica funo no disponvel a de alterao das permisses
dos usurios. Essa interface texto, ao contrrio da maioria das demais interfaces
orientadas a caracteres do Firewall Aker, interativa e no recebe parmetros da
linha de comando.
Localizao do programa: /etc/firewall/fwadmin
Ao ser executado, o programa mostrar a seguinte tela:
106
Para executar qualquer uma das opes mostradas, basta digitar a letra mostrada
em negrito. Cada uma das opes ser mostrada abaixo, em detalhes:
Inclui um novo usurio
Esta opo permite a incluso de um novo usurio que poder administrar o Aker
Firewall remotamente. Ao ser selecionada, ser mostrada uma tela pedindo as
diversas informaes do usurio. Aps todas as informaes serem preenchidas
ser pedida uma confirmao para a incluso do usurio.
107
Figura 65. Execuo do programa para incluso de usurios como administradores do Aker Firewall.
Observaes importantes:
1. Nos campos onde aparecem as opes (S/N), deve-se digitar apenas S, para sim e
N para no.
2. A senha e a confirmao das senhas no sero mostradas na tela.
Remove um usurio existente
Esta opo, remove um usurio existente que esteja cadastrado no sistema. Ser
pedido o login do usurio a ser removido caso o usurio esteja cadastrado, ser
pedida a seguir uma confirmao para realizar a operao.
108
109
110
111
Esta opo no est presente na interface grfica e no possui uso freqente. Ela
serve para compactar o arquivo de usurios, removendo entradas no mais usadas.
Ele somente deve ser usado quando for removido um grande nmero de usurios
do sistema.
Ao ser selecionada, o arquivo ser compactado e ao final ser mostrada uma
mensagem indicando que a operao foi completada (a compactao do arquivo
costuma ser uma operao bastante rpida, durando poucos segundos).
Edita as opes do Configuration Manager
Esta opo permite alterar as configuraes do Aker Configuration Manager.
possvel habilitar/desabilitar acessos ao Aker Firewall pelo Configuration Manager e
modificar a shared secret. Se o acesso ao firewall no estiver habilitado, ser
mostrada uma tela pedindo a criao da shared secret. necessrio preencher a
senha e sua confirmao, onde as mesmas no sero exibidas na tela.
112
Figura 71. Edio das configuraes do Aker Configuration Manager (Firewall habilitado).
113
Figura 72. Edio das configuraes do Aker Configuration Manager (desabilita, modifica ou retorna).
Sai do fwadmin
Esta opo encerra o programa fwadmin e retorna para a linha de comando.
114
Configurando Parmetros do
Sistema
115
5.
116
Figura 74. Parametros de configurao do Aker Firewall (servidor, interface remota e endereos fixos
de configurao remota).
Nesta janela, estes parmetros so utilizados pelo filtro de estados e pelo conversor
de endereos. Eles consistem dos seguintes campos:
Interface Externa (Por motivo de controle de licena): Define o nome da
interface externa do firewall. Conexes que vierem por esta interface no contaro
na licena.
Valor padro: Configurado durante a instalao do firewall pelo administrador.
Aker Security Solutions
117
Tempo limite TCP: Define o tempo mximo, em segundos, que uma conexo TCP
pode permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor
pode variar de 0 a 259200 (72 horas).
Valor padro: 900 segundos.
Tempo limite UDP: Define o tempo mximo, em segundos, que uma conexo UDP
pode permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor
pode variar de 0 a 259200 (72 horas).
Valor padro: 180 segundos.
Estes campos so de vital importncia para o correto funcionamento do firewall:
valores muito altos podero causar problemas de segurana para servios
baseados no protocolo UDP, faro com que o sistema utilize mais memria e o
tornaro mais lento. Valores muito baixos podero causar constantes quedas de
sesso e o mau funcionamento de alguns servios.
Tamanho mnimo de senha: Define o nmero mnimo de caracteres que as senhas
dos administradores devem ter para serem aceitas pelo sistema. Seu valor pode
variar entre 4 e 14 caracteres.
Valor padro: 6 caracteres.
importante que este valor seja o maior possvel, de modo a evitar a utilizao de
senhas que possam ser facilmente quebradas.
Endereos
fixos
de
configurao
remota:
So
endereos
que,
independentemente de regras e de extrapolao dos limites de licenas, podem
administrar o firewall (isto conectar na porta 1020). Eles servem como medida de
preveno anti-bloqueio do firewall, uma vez que s podem ser configurados via
interface texto.
118
Aba Log
119
120
Aba Segurana
Parmetros de Segurana
Permitir pacotes com rota para origem: Habilita a passagem de pacotes que
tenham a opo de registro de rota ou de roteamento dirigido. Se esta opo estiver
desmarcada, os pacotes com alguma destas opes no podero trafegar.
Valor padro: Pacotes IP direcionados no so permitidos.
Cabe ressaltar que a aceitao de pacotes com rota para a origem pode causar
uma falha sria de segurana. A no ser que se tenha uma razo especfica para
deix-los passar, esta opo deve ser mantida desmarcada.
Suporte FTP: Habilita o suporte especfico para o protocolo FTP.
121
122
firewall trate o H.323 de forma especial possibilitando que ele trafegue normalmente
atravs dele, mesmo com a converso de endereos (NAT) habilitada.
Suporte ao MSN: Habilita o suporte para o MSN Messenger
Valor padro: Suporte ao MSN Messenger est habilitado.
O MSN Messenger um protocolo de mensagens instantneas que permite a
comunicao entre duas ou mais pessoas ao mesmo tempo. Este parmetro faz
com que o firewall trate o Messenger de forma especial possibilitando que seu uso
seja controlado atravs dos perfis de acesso.
Suporte SIP: habilita o suporte para o protocolo SIP.
Valor padro: Suporte SIP est habilitado.
O Protocolo de Iniciao de Sesso (Session Initiation Protocol - SIP) um
protocolo de aplicao, que utiliza o modelo requisio-resposta, similar ao HTTP,
para iniciar chamadas e conferncias atravs de redes via protocolo IP.
Suporte DCE-RPC TCP: habilita o suporte o para protocolo DCE-RPC TCP.
Valor padro: Suporte DCE-RPC TCP est habilitado.
O DCE/RPC TCP um tipo de protocolo RPC, Chamada de Procedimento Remoto
(Remote Procedure Call), que tem como objetivo permitir o desenvolvimento de
aplicaes cliente/servidor. muito utilizado em administrao de domnio e
gerenciamento remoto do servidor.
Manter conexes das regras expiradas: mantm a conexo mesmo aps o prazo
de validade da regra ter expirado.
123
Aba SNMP
124
125
Aba Monitoramento
126
127
128
129
para
para
conexoes
conexoes
TCP
UDP
130
Parametros de seguranca:
-----------------------ip_direcionado : no
suporte_ftp
: sim
suporte_real_audio: sim
suporte_rtsp
end_remoto
: sim
: 1) 10.0.0.1
2) 10.0.0.2
3)10.0.0.3
: no
permanencia_log : 7 dias
permanencia_event : 7 dias
permanencia_stat : 7 dias
Parametros de configuracao de SNMP:
----------------------------------comunidade_leitura:
comunidade_escrita:
Exemplo 2: (habilitando pacotes IP direcionados)
#/aker/bin/firewall/fwpar ip_direcionado sim
Exemplo 3: (configurando o nome da comunidade de leitura SNMP)
#/aker/bin/firewall/fwpar comunidade_leitura public
Exemplo 4: (apagando o nome da comunidade de escrita SNMP)
#/aker/bin/firewall/fwpar comunidade_escrita
131
Cadastrando Entidades
132
6.
Cadastrando Entidades
Este captulo mostrar o que so, para que servem e como cadastrar entidades no
Aker Firewall.
Definindo entidades
Antes de explicar como cadastrar entidades no Aker Firewall necessria uma
breve explicao sobre os tipos de entidades possveis e o que caracteriza cada
uma delas.
Existem 9 tipos diferentes de entidades no Aker Firewall: mquinas, mquinas IPv6,
redes, redes IPv6, conjuntos, conjuntos IPv6, servios, autenticadores e interfaces.
As entidades do tipo mquina e rede, como o prprio nome j diz, representam
respectivamente mquinas individuais e redes. Entidades do tipo conjunto
representam uma coleo de mquinas e redes, em qualquer nmero. Entidades do
tipo servio representam um servio a ser disponibilizado atravs de um protocolo
qualquer que rode em cima do IP. Entidades do tipo autenticador representam um
tipo especial de mquina que pode ser utilizada para realizar autenticao de
Aker Security Solutions
133
134
Toda a vez que ocorre uma comunicao entre duas mquinas, usando o protocolo
IP, esto envolvidos no apenas os endereos de origem e destino, mas tambm
um protocolo de nvel mais alto (nvel de transporte) e algum outro dado que
identifique a comunicao unicamente. No caso dos protocolos TCP e UDP (que
so os dois mais utilizados sobre o IP), uma comunicao identificada por dois
nmeros: a Porta Origem e a Porta Destino.
A porta destino um nmero fixo que est associado, geralmente, a um servio
nico. Assim, temos que o servio Telnet est associado com o protocolo TCP na
porta 23, o servio FTP com o protocolo TCP na porta 21 e o servio SNMP com o
protocolo UDP na porta 161, por exemplo.
A porta origem um nmero seqencial escolhido pelo cliente de modo a
possibilitar que exista mais de uma sesso ativa de um mesmo servio em um dado
instante. Assim, uma comunicao completa nos protocolos TCP e UDP pode ser
representada da seguinte forma:
10.0.0.1
Endereo origem
1024
Porta origem
10.4.1.2
Endereo destino
23
Porta destino
TCP
Protocolo
Para um firewall, a porta de origem no importante, uma vez que ela randmica.
Devido a isso, quando se define um servio, leva-se em considerao apenas a
porta de destino.
Alm dos protocolos TCP e UDP existem outro protocolo importante: o ICMP. Este
protocolo utilizado pelo prprio IP para enviar mensagens de controle, informar
sobre erros e testar a conectividade de uma rede.
O protocolo ICMP no utiliza o conceito de portas. Ele usa um nmero que varia de
0 a 255 para indicar um Tipo de Servio. Como o tipo de servio caracteriza
unicamente um servio entre duas mquinas, ele pode ser usado como se fosse a
porta destino dos protocolos, TCP e UDP, na hora de definir um servio.
Por ltimo, existem outros protocolos que podem rodar sobre o protocolo IP e que
no so TCP, UDP ou ICMP. Cada um destes protocolos tem formas prprias para
definir uma comunicao e nenhum deles utilizado por um grande nmero de
mquinas. Ainda assim, o Aker Firewall optou por adicionar suporte para possibilitar
ao administrador o controle sobre quais destes protocolos podem ou no passar
atravs do firewall.
Para entender como isso feito, basta saber que cada protocolo tem um nmero
nico que o identifica para o protocolo IP. Este nmero varia de 0 a 255. Desta
forma, podemos definir servios para outros protocolos usando o nmero do
protocolo como identificao do servio.
135
136
137
138
O cone
, localizado na parte inferior da janela aciona o assistente de
cadastramento de entidades que ser descrito no final deste captulo.
Incluindo / editando mquinas
139
Para cadastrar uma entidade do tipo mquina IPv6 deve-se preencher os seguintes
campos:
Nome: o nome pelo qual a mquina ser sempre referenciada pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio,
manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so, portanto, consideradas
diferentes.
cone: o cone que aparecer associado mquina em todas as referncias. Para
alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma
lista com todos os possveis cones para representar mquinas. Para escolher entre
eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps
ver a lista, basta clicar no boto Cancelar.
Endereo IPv6 : o endereo IPv6 da mquina a ser criada.
Aker Security Solutions
140
Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos:
Nome: o nome pelo qual a rede ser sempre referenciada pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio,
manual.
Aker Security Solutions
141
142
Para cadastrar uma entidade do tipo rede IPv6 deve-se preencher os seguintes
campos:
Nome: o nome pelo qual a rede ser sempre referenciada pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio,
manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado rede em todas as referncias. Para
alter-lo deve clicar sobre o desenho do cone atual. O firewall ento mostrar uma
lista com todos os possveis cones para representar redes. Para escolher entre eles
tem que clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver
a lista, basta clicar no boto Cancelar.
Endereo IPv6: o endereo IPv6 da rede a ser criada.
Tamanho do prefixo da sub-rede : Define quais bits do endereo IP sero
utilizados para representar a rede.
Aps estarem todos os campos preenchidos, deve-se clicar no boto OK para
realizar a incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a
incluso, deve-se pressionar o boto Cancelar.
143
144
Aps preencher o nome e escolher o cone para o conjunto, deve-se definir quais
mquinas e redes faro parte do mesmo. Abaixo esto os passos que devero ser
seguidos.
1. Clicar com o boto direito do mouse no campo em branco e selecionar a opo
Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes
sobre ela ou clicando uma vez e logo abaixo em Adicionar).
ou
2. Clicar sobre a entidade que deseja incluir, com isso deve arrast-la e solt-la
dentro da janela de entidades do conjunto.
145
Para cadastrar uma entidade do tipo conjunto IPv6 deve-se preencher os seguintes
campos:
Nome: o nome pelo qual o conjunto ser sempre referenciado pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica se no, manual.
Aker Security Solutions
146
147
148
149
Esta janela permite definir, vrios tipos de quotas de acesso do usurio rede.
Para criar uma quota pode-se selecionar a opo Automtico para que seja
atribudo um nome padro ao tipo de quota a ser definido ou ento preencher o
campo nome, onde pode atribuir um nome especfico para a lista de quotas.
A opo Tipo da Quota permite escolher se a quota definida ser atribuda
diariamente, semanalmente ou mensalmente. Ao marcar qual o tipo de quota
desejada, pode associar a ela a checagem de tempo de acesso e/ou de volume de
dados.
A checagem de tempo pode ser definida em dias e/ou horas. Por exemplo,
diariamente s vai ser liberado 3 horas de acesso internet, ou semanalmente 3
dias ou at mesmo semanalmente liberado 7 dias.
150
151
Agentes IDS
Os agentes IDS (Intrusion Detection Systems - Sistemas detectores de intruso) so
sistemas que ficam monitorando a rede em tempo real procurando por padres
conhecidos de ataques ou abusos. Ao detectar uma destas ameaas, ele pode
incluir uma regra no firewall que bloquear imediatamente o acesso do atacante.
Mdulos de Antivirus
Os agentes anti-vrus so utilizados pelo proxy SMTP, POP3 e Filtro Web para
realizarem a checagem e a desinfeco de virus de forma transparente em e-mails e
nos downloads FTP e HTTP.
Analisadores de contexto
Os analisadores de contexto so utilizados pelo Filtro Web para controlar o acesso a
URLs baseados em diversas categorias pr-configuradas.
Servidores remotos de log
Os servidores de log remoto so utilizados pelo firewall para enviar o log para
armazenamento em uma mquina remota.
Autenticador Radius
O autenticador Radius utilizado para fazer autenticao de usurios no firewall a
partir de uma base Radius.
Autenticadores LDAP
O autenticador LDAP permite ao firewall autenticar usurio usando uma base LDAP
compatvel com o protocolo X500.
Spam Meters
Os servidores do spam meter so utilizados pelo firewall para classificar e-mails e
definir quais deles sero considerados SPAM.
possvel a instalao de diversos agentes externos em uma mesma mquina,
desde que sejam distintos.
Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo
o diretrio de Agentes Externos. Independemente de seu sub-tipo, todos os agentes
externos possuem os seguintes campos (os demais campos sero ento
modificados de acordo com o tipo do agente a ser cadastrado):
Nome: o nome pelo qual o agente ser sempre referenciado pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
Aker Security Solutions
152
153
154
Esta
opo
remove
da
lista
pseudo-grupo
selecionado.;
155
Figura 96. Definio de Pseudo-Grupos para usurios que se autenticarem por meio de autoridade
certificadora.
156
157
158
159
160
161
162
163
164
165
166
167
Figura 107. Opo para realizar uma operao sobre um e-mail ou domnio.
168
169
170
171
lista com todos os possveis cones para representar interfaces. Para escolher entre
eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps
ver a lista, basta clicar no boto Cancelar.
172
Sintaxe:
Uso: fwent ajuda
fwent mostra
fwent remove <nome>
fwent inclui maquina <nome> <IP
fwent inclui rede <nome> <IP> <mascara>
fwent inclui conjunto <nome> [<entidade1> [<entidade2>] ...]
fwent inclui maquina_ipv6 <nome> <ipv6>
fwent inclui rede_ipv6 <nome> <ipv6> / <prefixo>
fwent conjunto_ipv6 <nome> [<entidade1> [<entidade2>] ...]
fwent inclui autenticador<nome><IP1>[<IP2>][<IP3>]<senha> <t. cache>
fwent inclui token <nome><IP1>[<IP2>][<IP3>]<senha><t. cache>
fwent inclui ldap <nome><IP1>[<IP2>][<IP3>]<root_dn><root_pwd>
<base_dn><act_class><usr_attr><grp_attr>
<<pwd_attr>|<-bind> >< <-ssl>|<-tls>|<-nenhuma>>
< <-no_pwd>|<-pwd> > <t.cache>
< <-append_dn> | <-no_append_dn> >
< <-ldap_v3> | <-no_ldap_v3> >
< <-case_sensitive> | <-case_insensitive> >
fwent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache>
fwent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui ids <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui analisador-url <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui interface <nome> <dispositivo> [<comentario>]
fwent inclui acumulador <nome> [<comentario>]
fwent inclui servico <nome> [TCP | UDP | ICMP | OUTRO] <valor>[..<valor>
fwent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs>:
fwent inclui pipe <nome> <banda em Kbits/s> [<tamanho da fila> <bytes|pacts>]
fwent inclui log_remoto <nome> <IP> [IP] [IP] <senha>
fwent inclui quota <nome> [ kbytes <max kbytes> ] [ segundos <max seconds> ]
<tipo>
fwent - Interface texto para configuracao das entidades
Ajuda do programa :
inclui = inclui uma nova nova entidade
remove = remove uma entidade existente
ajuda = mostra esta mensagem
Aker Security Solutions
173
174
#fwent mostra
Maquinas:
--------cache 10.4.1.12
firewall 10.4.1.11
Redes:
-----AKER 10.4.1.0 255.255.255.0
Internet 0.0.0.0 0.0.0.0
Conjuntos:
---------Maquinas Internas cache firewall
Autenticadores:
--------------Autenticador NT 10.0.0.1 10.0.0.2 600
Unix 192.168.0.1 192.168.0.2 192.168.0.3 600
Autenticadores do tipo token:
----------------------------Autenticador token 10.0.0.1 10.0.0.2 600
Agentes IDS:
-----------Agente IDS 10.10.0.1
Anti-Virus:
----------Anti-virus local 127.0.0.1
Servicos:
--------echo reply ICMP 8
echo request ICMP 0
ftp TCP 21
snmp UDP 161
telnet TCP 23
Interfaces:
---------Interface Externa xl0
Interface Interna de0
Exemplo 2:(cadastrando uma entidade do tipo mquina)
#/aker/bin/firewall/fwent inclui maquina Servidor_1 10.4.1.4
Entidade incluida
Exemplo 3:(cadastrando uma entidade do tipo rede)
#/aker/bin/firewall/fwent inclui rede Rede_1 10.4.0.0 255.255.0.0
Entidade incluida
175
176
177
178
3 - Localizar o endereo IP. Para cadastrar uma mquina deve ser especificado o
endereo IP correspondente. Caso queira obter esse endereo, deve ser informado
o nome da mquina e logo em seguida clicar no boto Resolva:
179
180
181
182
O Filtro de Estado
183
7.
O Filtro de Estado
Este captulo mostrar como configurar as regras que propiciaro a aceitao ou
no de conexes pelo firewall. Este mdulo o mais importante do sistema e
onde normalmente se gasta o maior tempo de configurao.
184
185
Nos dois casos o administrador no tem como saber quais portas sero escolhidas
para estabelecer as conexes de dados e desta forma, se ele desejar utilizar o
protocolo FTP atravs de um filtro de pacotes tradicional, dever liberar o acesso
para todas as possveis portas utilizadas pelas mquinas clientes e servidores. Isto
tem implicaes srias de segurana.
O Aker Firewall tem a capacidade de vasculhar o trfego da conexo de controle
FTP e desta forma descobrir qual o tipo de transferncia que ser utilizada (ativa ou
passiva) e quais portas sero usadas para estabelecer as conexes de dados.
Desta forma, todas as vezes que o filtro de pacotes determinar que uma
transferncia de arquivos ser realizada, ele acrescenta uma entrada na tabela de
estados de modo a permitir que a conexo de dados seja estabelecida. Esta entrada
s fica ativa enquanto a transferncia estiver se realizando e caso a conexo de
controle esteja aberta, propiciando o mximo de flexibilidade e segurana. Neste
caso, para configurar o acesso FTP deve-se acrescentar uma regra liberando o
acesso para a porta da conexo de controle (porta 21). Todo o resto ser feito
automaticamente.
O problema do protocolo Real udio:
O protocolo Real udio o mais popular protocolo de transferncia de som e vdeo
em tempo real atravs da Internet.
Para que seja possvel uma transmisso de udio ou vdeo necessrio que o
cliente estabelea uma conexo TCP para o servidor de Real udio. Alm desta
conexo, para conseguir uma melhor qualidade de som, o servidor pode abrir uma
conexo UDP para o cliente, para uma porta randmica informada em tempo real
pelo cliente e o cliente tambm pode abrir uma outra conexo UDP para o servidor,
tambm em uma porta randmica informada pelo servidor no decorrer da conexo.
Os filtros de pacotes tradicionais no permitem o estabelecimento das conexes
UDP do servidor para o cliente e vice-versa, uma vez que as portas no so
conhecidas antecipadamente, fazendo com que a qualidade, do udio e vdeo
obtidas, seja bastante inferior.
O filtro de estados do Aker Firewall acompanha toda a negociao do servidor Real
udio com o cliente de modo a determinar se as conexes UDP sero abertas e
quais portas sero usadas acrescentando esta informao em uma entrada na sua
tabela de estados. Esta entrada na tabela de estados s fica ativa enquanto a
conexo de controle TCP estiver aberta, propiciando o mximo de segurana.
O problema do protocolo Real Video (RTSP):
O protocolo Real Vdeo suportado pelo firewall. Assim como o Real udio, as
transaes so controladas pelo firewall, permitindo uma total segurana do uso de
aplicaes de Real Vdeo.
186
&
255.255.0.0
->
10.2.0.0
&
255.255.0.0
Vamos agora aplicar a regra a um pacote que trafega da mquina 10.1.1.2 para a
mquina 10.3.7.7. Aplica-se a mscara da regra aos dois endereos, o da regra e o
do pacote e verifica se os endereos de destino e o de origem so iguais.
Para o endereo origem temos
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (para a regra)
10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (para o pacote)
Temos ento que os dois endereos origem so iguais aps a aplicao da
mscara. Veremos agora para o endereo destino:
10.2.0.0 AND 255.255.0.0 = 10.2.0.0 (para a regra)
10.3.7.7 AND 255.255.0.0 = 10.3.0.0 (para o pacote)
Como o endereo destino do pacote no est igual ao endereo destino da regra
aps a aplicao da mscara, por definio, esta regra no se aplicaria a este
pacote.
Esta operao feita em toda a lista de endereos e mscaras destino e origem at
o fim da lista, ou at uma das regras aplicar para o pacote examinado. Uma lista de
regras teria a seguinte forma:
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0
Aker Security Solutions
187
TCP
- Protocolo -
80
110
--Portas-
Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e que
utiliza os servios HTTP ou POP3 a trafegar pelo firewall.
Assim, em uma primeira etapa compara-se os endereos da regra com os do
pacote. Caso estes endereos sejam iguais aps a aplicao das mscaras, passase a comparar o protocolo e a porta destino no pacote com o protocolo e a lista de
portas associados regra. Se o protocolo for o mesmo e se for encontrada uma
porta da regra igual porta do pacote, esta regra por definio se aplica ao pacote,
caso contrrio a pesquisa continua na prxima regra.
Assim um conjunto de regras teria o seguinte formato:
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0
UDP 53
ICMP 0 8
188
189
190
191
Inserir: Incluir uma nova regra na lista. Se alguma regra estiver selecionada, a nova
regra ser inserida na posio da selecionada. Caso contrrio, a nova regra ser
includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Excluir: Remover da lista a regra selecionada.
Habilitar/Desabilitar: Desabilitar/habilitar a regra selecionada.
Adicionar entidades: Adicionar uma entidade cadastrada no firewall. Veja se o
ponteiro do mouse est sobre o campo o qual se quer inserir a entidade.
Remover entidades: Remover uma entidade que foi inserida na regra.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posio desejada, soltando em seguida.
Poltica Padro: pode-se definir uma nova poltica, clicando no boto "Poltica" na
barra de ferramentas do Firewall. possvel editar um nome e uma cor para cada
poltica, inclusive a padro.
Adicionando e removendo entidades e servios na regra
Para adicionar uma entidade a um destes campos, pode-se proceder de duas
formas:
1. Selecionar a entidade a ser includa, clicando sobre ela na tabela de entidades,
localizada na parte inferior esquerda da janela e a arraste para o campo
correspondente. As teclas Insert e Delete podem inserir e remover as entidades
respectivamente.
2. Clicar com o boto direito do mouse sobre o campo onde se deseja adicionar as
entidades, ser exibida uma lista das entidades pertinentes ao campo
selecionado, bem como que tipo de ao se deseja aplicar sobre as mesmas.
3. O duplo-clique na entidade ir permitir a edio da mesma.
Para remover uma entidade de um destes campos, deve-se proceder da seguinte
forma:
1. Clicar com o boto direito do mouse sobre o campo onde se encontra a entidade
que se deseja remover e ser exibida uma lista das entidades participantes do
campo com a opo de remoo da entidades no seguinte formato: remover
'entidade_removida'.
2. Pode-se utilizar a opo Remover Entidade para eliminar vrias entidades de
uma vez.
Na criao de regras ao selecionar as entidades, deve-se observar a origem e o
destino destas. Se especificar um endereo ipv4 na origem, obrigatoriamente devese especificar um endereo ipv4 no destino, a mesma coisa acontece caso a opo
seja o endereo ipv6.
Aker Security Solutions
192
Parmetros da regra:
Alm das especificaes bsicas de uma regra, entidades de origem, entidades de
destino e servios, deve-se levar em conta outros parmetros de configurao:
Acumulador: Define qual o acumulador para os pacotes da regra. A opo nenhum
desativa a contabilizao dos pacotes que se encaixem nesta regra. Se for
escolhido um acumulador, sero adicionados a ele a quantidade de bytes e pacotes
encaixados nesta regra.
Canal: Define o canal que ser utilizado para controlar a banda para a regra. A
opo nenhum desativa a utilizao de controle de banda para esta regra.
Ao: Este campo define qual a ao a ser tomada para todos os pacotes que se
encaixem nesta regra. Ela consiste nas seguintes opes:
Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem atravs do
firewall.
Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta
regra. Assim ser enviado um pacote ICMP para a mquina de origem do pacote
dizendo que o destino inatingvel. Esta opo no funciona para alguns tipos de
servio ICMP, devido a uma caracterstica inerente a este protocolo.
Descarta: Significa que os pacotes que se encaixarem nesta regra no passaro
pelo firewall, mas no ser enviado nenhum pacote para a mquina de origem.
Restries: Este campo permite especificar exigncias adicionais que um pacote
deve cumprir para que ele se encaixe nesta regra. Ele formado pelas seguintes
opes:
Nenhum: No existe nenhuma exigncia adicional.
Somente se encriptado: Neste caso, para que um pacote se enquadre nesta
regra, ele dever obrigatriamente vir encriptado/autenticado, ou seja, vir de
um canal seguro. Esta opo particularmente til quando est utilizando
clientes de criptografia e deseja que apenas conexes provenientes destes
clientes (ou de canais de criptografia firewall-firewall) sejam aceitas. Para
maiores informaes sobre criptografia e canais seguros, veja o captulo:
Criando canais de criptografia.
Somente se encriptado e de um usurio autenticado: Neste caso, para
que os pacotes sejam aceitos, alm deles virem encriptados/autenticados, o
usurio que estabeleceu o canal seguro deve ter sido autenticado pelo
firewall. A nica maneira de um pacote atender esta exigncia ele ser
proveniente de um cliente de criptografia e a opo de realizar autenticao
de usurios para os clientes de criptografia, estar ativa.
Aker Security Solutions
193
Log: Definir quais tipos de aes serem executadas pelo sistema quando um
pacote se encaixar na regra. Ele consiste em vrias opes que podem ser
selecionadas independentemente uma das outras. Os valores possveis so:
Logs: Se esta opo estiver selecionada, todos os pacotes que se
enquadrarem nesta regra sero registrados no log do sistema.
Envia email: Se esta opo estiver selecionada, ser enviado um e-mail
todas as vezes que um pacote enquadrar-se nesta regra (a configurao do
endereo de e-mail ser mostrada no captulo intitulado configurando as
aes do sistema).
Executar programa: Ao selecionar essa opo, ser executado um
programa definido pelo administrador todas as vezes que um pacote se
enquadrar nesta regra (a configurao do nome do programa a ser executado
ser mostrada no captulo intitulado configurando as aes do sistema).
Disparar mensagens de alarme: Ao selecionar essa opo, o firewall
mostrar uma janela de alerta todas as vezes que um pacote se enquadrar
nesta regra. Esta janela de alerta ser mostrada na mquina onde a interface
grfica remota estiver aberta e, se a mquina permitir, ser emitido tambm
um aviso sonoro. Caso a interface grfica no esteja aberta, no ser
mostrada nenhuma mensagem e esta opo ser ignorada.
Enviar Trap SMNP: Se esta opo estiver selecionada, ser enviada uma
Trap SNMP para cada pacote que enquadrar nesta regra (a configurao dos
parmetros para o envio das traps ser mostrada no captulo intitulado
configurando as aes do sistema).
No caso do protocolo TCP, somente sero executadas as aes definidas na
regra para o pacote de abertura de conexo. No caso do protocolo UDP, todos os
pacotes que forem enviados pela mquina cliente e se enquadrarem na regra
(exceto os pacotes de resposta) provocaro a execuo das aes.
Tabela de horrios: Definir as horas e dias da semana em que a regra ser
aplicvel. As linhas representam os dias da semana e as colunas representam as
horas. Caso queira que a regra seja aplicvel em determinada hora o quadrado
deve ser preenchido, caso contrrio o quadrado deve ser deixado em branco.
Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse
sobre um quadrado e a seguir arrast-lo, mantendo o boto pressionado. Isto faz
com que a tabela seja alterada na medida em que o mouse se move.
Perodo de validade: Permitir o cadastro de duas datas que delimitam um perodo
fora do qual a regra no tem validade. um recurso muito til para, por exemplo,
liberar o trfego relacionado a um evento no recorrente, como um teste. Se o
Aker Security Solutions
194
195
196
Para ajustes de prioridade de canal, basta clicar como o boto direito na entidade
Canal e escolher a prioridade pelo boto deslizando. Veja a figura abaixo:
197
Pode-se verificar os possveis fluxos de dados que podero ocorrer entre essas
redes. Para cada fluxo foi dada uma numerao e com isso pode-se concluir que os
fluxos com nmeros mais altos (5 e 6) sero considerados os mais inseguros, pois
envolvem o acesso da internet as redes DMZ e interna, respectivamente.
Estes fluxos para o firewall sero desdobrados em regras de filtragem, com isto
poderiam ter as seguintes regras:
198
199
Para criar novas Polticas basta clicar no cone da barra de ferramentas "Poltica".
200
A figura abaixo mostra o desdobramento das regras da poltica. Basta dar um duplo
clique na linha para exibir as regras que ela contm:
No caso de desabilitar uma poltica, todas as regras que ela contm tambm
sero desabilitadas.
7.4. Utilizando a interface texto
A utilizao da interface texto na configurao das regras de filtragem traz uma
dificuldade gerada pela grande quantidade de parmetros que devem ser passados
pela linha de comando.
No possvel configurar a tabela de horrios nem especificar comentrios para
as regras atravs da interface texto. Tambm no possvel especificar mais de
uma entidade para origem ou destino da regra. Todas as regras acrescentadas por
esta interface so consideradas aplicveis em todas as horas da semana.
Localizao do programa: /aker/bin/firewall/fwrule.
Sintaxe:
Uso: fwrule [ajuda | mostra]
fwrule [habilita | desabilita | remove] [forca] <pos>
fwrule inclui [forca] <pos> <origem> <destino>
<aceita | rejeita | descarta>
[pipe <pipe> <peso>] [acumulador <acumulador>]
Aker Security Solutions
201
202
: Internet
: Mail server
: Aceita
: Loga
: smtp
Regra 04
-------Origem
Destino
Acao
Log
Servicos
: Empresas externas
: Aker
: Aceita
: Loga
: smtp
Aker Security Solutions
203
Figura 130. Assistente de regras filtragem (janela exibida quando um nmero pequeno de regras for
detectado).
204
205
206
207
5 - Configurao da DMZ.
208
209
210
Figura 137. Escolha dos servios da internet e estaes de trabalho que o DMZ ter acesso.
211
212
213
214
215
216
217
218
Configurando converso de
endereos
219
8.
220
221
222
223
224
Desenho do Exemplo 1
Interligando departamentos
Neste exemplo, iremos mostrar como interligar departamentos de uma mesma
empresa, utilizando um conversor de endereos entre estes departamentos.
Equipamento: 1 roteador, 3 Aker Firewall, n clientes, 4 servidores na rede interna
Endereo vlido: A.B.C.x, mscara da rede 255.255.255.0
Endereo reservado: 10.x.x.x mscara da rede 255.255.0.0
Endereo reservado:172.16.x.x, mscara 255.255.0.0
Endereos da sub-rede 1:
10.1.x.x
Endereo do servidor: 10.1.1.1
Endereo dos clientes: 10.1.x.x
Endereos do roteador: Rede vlida A.B.C.1 , Internet: x.x.x.x
Configurao do Aker Firewall:
Rede interna: 10.1.0.1, Rede vlida A.B.C.2
IP virtual para a converso N-1: A.B.C.2
Rede privada: 10.0.0.0
Mscara da rede privada: 255.0.0.0
Endereos da sub-rede 2:
Externamente: 10.1.0.2
Internamente:172.16.x.x
Endereo do servidor: 172.16.1.1
Endereo dos clientes: 172.16.x.x
Configurao do Aker Firewall:
Sub-Rede 2: 172.16.0.1, Sub-rede 1:10.1.0.2
IP Virtual para converso N-1:10.1.0.2
Rede privada (2): 172.16.0.0
Mscara da rede privada: 255.255.0.0
Regras de converso 1-1:
10.2.1.1 - 172.16.1.1
Endereos da sub-rede 3:
225
Externamente: 10.1.0.3
Internamente:172.16.x.x
Endereo do servidor: 172.16.1.1
Endereo dos clientes: 172.16.x.x
Configurao do Aker Firewall:
Sub-Rede 3: 172.16.0.1, Sub-rede 1:10.1.0.3
IP Virtual para converso N-1:10.1.0.3
Rede privada (3): 172.16.0.0
Mscara da rede privada: 255.255.0.0
Regras de converso 1-1:
10.3.1.1 - 172.16.1.1
Na tabela de roteamento para este tipo de instalao devemos inserir rotas para
as sub-redes 10.1.x.x, 10.2.x.x, 10.3.x.x.
Figura 146. Exemplo 2 - configurao do Aker Firewall (mltiplas ligaes com a internet).
Desenho do Exemplo 2
Mltiplas ligaes com a Internet
Neste exemplo bem mais complexo, mostraremos como utilizar trs ligaes com a
Internet e duas redes internas, utilizando o conversor de endereos entre elas.
226
227
Desenho do Exemplo 3
Com o Aker Firewall possvel realizar um balanceamento dos links para realizar
um aproveitamento mais otimizado dos links. O firewall possui mecanismos de
verificao de ativao dos links, sendo possvel dividir o trfego de forma
inteligente pelos links ou desviar totalmente o trfego daquele que estiver fora do ar.
O administrador tambm poder atribuir pesos s suas conexes, ou seja, as
conexes mais rpidas podero ter um peso maior do que as conexes mais lentas,
desta forma o firewall dar preferncia em enviar o trfego para o link com maior
peso.
Montando regras de converso de endereos para o Aker Firewall
Configurar as regras de converso de endereos no Aker Firewall algo fcil em
funo de sua concepo inteligente. Toda a parte de endereos IP, mscaras,
protocolos e portas so configurados nas entidades (para maiores informaes, veja
o captulo intitulado (Cadastrando Entidades). Devido a isso, ao configurar uma
regra, no necessrio se preocupar com qual porta um determinado servio utiliza
ou qual o endereo IP de uma rede ou mquina. Tudo isso j foi previamente
cadastrado. Para facilitar ainda mais, todos os servios mais utilizados na Internet j
vem previamente configurado de fbrica, sendo desnecessrio perder tempo
pesquisando os dados de cada um.
Basicamente, para cadastrar uma regra de converso, deve-se especificar as
entidades de origem e destino, tipo de converso, interface virtual e servio (se for o
caso).
O funcionamento da converso simples: o firewall pesquisar uma a uma as
regras definidas pelo administrador, na ordem especificada, at que o pacote se
encaixe numa delas. A partir deste momento, ele executar o tipo de converso
associado regra. Caso a pesquisa chegue ao final da lista e o pacote no se
enquadre em nenhuma regra ento este no ser convertido.
Utilizando a interface grfica
Para ter acesso a janela de configurao da converso de endereos, basta:
228
229
230
231
232
nenhuma regra selecionada. Neste caso, somente as opes Incluir e Colar estaro
habilitadas).
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Excluir: Remover da lista a regra selecionada.
Habilita/Desabilita: Permitir habilitar/desabilitar a regra selecionada, ou seja, ela
permanecer cadastrada, mas o Firewall se comportar como se a mesma no
existisse (no caso do Disable) e prosseguir a pesquisa na regra seguinte.
Adicionar entidades: No ponto em que for feito o clique do mouse, ser
possvel inserir a entidade no campo correspondente da regra de converso.
Apenas um certo nmero de entidades poder ser visualizada. Para escolher
outra entidade faa a rolagem da janela na barra correspondente.
Dica: O mtodo mais prtico para o administrador montar sua regra de converso
ser arrastando diretamente as entidades para dentro da regra.
233
Dica 2: A posio de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posio desejada, soltando em seguida. Observe que o cursor
de indicao do mouse ir mudar para uma caixa pontilhada.
No caso de incluso ou edio de regras, ser mostrada a janela de propriedades,
descrita na seo abaixo:
1.1.1.1.1 A janela de incluso de regras de NAT
Tipos de NAT: Neste campo definido o tipo de converso que a regra realizar.
Ela possui as seguintes opes:
Sem Converso: Esta opo indica ao firewall que no deve haver converso
de endereos quando qualquer uma das mquinas pertencentes s Entidades
Origem for acessar qualquer uma das mquinas pertencentes s Entidades
Destino e vice-versa.
Converso 1-1: Esta opo indica ao firewall que quando a mquina listada nas
Entidades Origem for acessar qualquer uma das mquinas pertencentes s
Entidades Destino ela ter seu endereo convertido para o endereo da Entidade
Virtual. Todas as vezes que uma mquina pertencente s Entidades Destino
acessar o endereo da Entidade Virtual, esse ltimo ser automaticamente
convertido para o endereo real, definido pela entidade presente nas Entidades
Origem. Este tipo de converso til para possibilitar o acesso externo a
servidores internos.
Aker Security Solutions
234
Nas Entidades Origem deve-se colocar uma entidade com o endereo real
(interno, reservado) da mquina para a qual se far converso de 1-1. Na Entidade
Virtual deve-se colocar uma entidade com o endereo para o qual o endereo
interno ser convertido (endereo vlido) e que ser acessado pelas mquinas
externas.
Converso N-1: Esta opo indica ao firewall que quando qualquer mquina
listada nas Entidades Origem for acessar qualquer uma das mquinas
pertencentes s Entidades Destino ela ter seu endereo convertido para o
endereo da Entidade Virtual. Este tipo de converso til para possibilitar que
um grande nmero de mquinas utilize apenas um endereo IP vlido para se
comunicar atravs da Internet, entretanto ela no permite com que mquinas
externas (listadas nas Entidades Destino) iniciem qualquer comunicao com as
mquinas internas (listadas nas Entidades Origem).
Quando o mdulo de Cluster Cooperativo estiver funcionado na converso de N1, o IP da entidade virtual no pode ser nenhum dos atribudos as interfaces do
firewall.
Converso de Servios: Esta opo til para redes que dispem de apenas
um endereo IP e necessitam disponibilizar servios para a Internet. Ela
possibilita que determinados servios, ao serem acessados no firewall, sejam
redirecionados para mquinas internas.
No campo Entidades Origem, deve-se colocar o endereo IP interno (real) da
mquina para a qual os servios sero redirecionados. No campo Entidades
Destino, deve-se colocar as mquinas que iro acessar os servios externamente.
No campo Servios, deve-se escolher todos os servios que sero redirecionados
para a mquina presente em Entidades Origem quando uma mquina presente nas
Entidades Destino acess-los no endereo IP da Entidade Virtual.
Quando o mdulo de Cluster Cooperativo estiver funcionado no possvel a
converso de servios.
Converso 1-N: Esta opo utilizada para fazer balanceamento de carga, ou
seja, possibilitar que vrias mquinas respondam como se fossem uma nica.
No campo Entidades Origem deve-se colocar a lista de mquinas que faro parte
do balanceamento e que passaro a responder como se fossem uma nica. No
campo Entidades Destino, deve-se colocar as mquinas que iro acessar as
mquinas internas pelo endereo especificado na entidade presente no campo
Entidade Virtual.
235
Figura 153. Janela de configurao para aes que deseja ser realizada.
Converso 1:N para servios: Esta opo utilizada para fazer balanceamento
de carga para determinados servios, ou seja, possibilitar que vrias mquinas
respondam a requisies destes servios como se fosse uma nica.
Porta: Para efetuar converses no somente de endereos ip, mas tambm de
portas para conexo, utiliza-se este tipo de nat, que tambm conhecido com
PAT (port address translation).
1:N para Porta: Faz balanceamento de servidores efetuando converses no
somente de endereos ip, mas tambm as portas de conexo, sendo que aps a
converso os acessos so distribudos entre os servidores que fazem parte do
balanceamento.
Faz balanceamento de servidores efetuando converses no somente de endereos
ip, mas tambm das portas de conexo sendo, que aps a converso os acessos,
so distribudos entre os servidores que fazem parte do balanceamento.
Converso N:N: Esta opo indica ao firewall que os endereos pertencentes
rede listada nas Entidades Origem, ao acessar qualquer uma das mquinas
pertencentes s Entidades Destino, sero convertidos para os endereos da
rede no campo Entidade Virtual, ou seja, nesta converso deve-se usar uma
entidade de rede na coluna origem e uma entidade de rede na coluna entidade
virtual. O campo destino pode ser preenchido da mesma maneira como feito
para os demais tipos de NAT.
236
IP
Mscara de rede
Origem
192.168.0.0
255.255.255.0
Entidade
virtual
172.16.0.0
255.255.255.0
Nesse caso, todos os IPs da rede 192 sero convertidos para a 172.
O boto Avanado, que somente estar habilitado quando selecionar a converso
de endereos 1-N ou Converso de servios 1-N, permite configurar os parmetros
do monitoramento que ser realizado pelo firewall a fim de detectar se as mquinas
participantes do balanceamento esto no ar ou no e como o balanceamento ser
realizado. Ao clicar neste boto, a seguinte janela ser mostrada:
237
Regras de No Converso;
Regras de Converso de Servios;
Regras de Converso 1-1 e de N-N;
Regras de Converso de Servios 1-N;
Regras de Converso 1-N;
Regras de Converso N-1;
Regras de Converso N-N.
238
239
240
Finalizando, a regra 6 permite que qualquer outra mquina origine conexo para
Internet, no caso sendo visualizado o IP 200.120.210.15 no destino.
Apesar de ser possvel utilizar a converso de servios no caso do cenrio 1, a Aker
recomenda que esta configurao seja utilizada no caso da empresa possuir
somente um nico endereo IP vlido para Internet.
241
242
243
n-1
n-n
244
servico1 = lista de nomes dos servicos para a nova regra. Sao aceitos
apenas servicos dos protocolos TCP ou UDP Para habilita / desabilita /
remove temos:
pos
Regra 02
-------Tipo: servicos
Origem: Server
Destino: Internet
Entidade virtual: Firewall - interface externa
Servicos: MYSQL
POP3
SMTP
Regra 03
Aker Security Solutions
245
-------Tipo: 1-1
Origem: Web Server_001
Destino: Internet
Entidade virtual: External Web server
Regra 04
-------Tipo: n-n
Origem: rede1
Destino: internet
Entidade Virtual: rede2
Regra 05
-------Tipo: 1-n
Origem: server1,server2, server3
Destino: Internet
Entidade virtual: Virtual Server
Balanceamento: randomico Monitoramento: http
URL: www.aker.com.br
Regra 06
-------Tipo: n-1
Origem: Rede Interna
Destino: Internet
Entidade virtual: Firewall - interface externa
Exemplo 2 : (Incluindo uma regra de converso 1-1 no final da tabela. mapeando o
servidor SMTP Server, com endereo reservado para o External Server, com
endereo vlido para todas as mquinas da Internet).
#/aker/bin/firewall/fwnat inclui fim 1-1 "SMTP Server" Internet "External Server"
Regra incluida na posicao 6
Exemplo 3: (Incluindo uma regra de converso n-n na posio 5).
#/aker/bin/firewall/fwnat inclui 5 n-n rede1 internet rede2.
Regra incluida na posio 5
Aker Security Solutions
246
247
248
249
Figura 161. Seleo das redes que tem a necessidade de acessar a internet compartilhando um
endereo IP.
250
251
4 - Escolha a opo Sim caso queira configurar os servidores que devero aparecer
para Internet.
252
253
Figura 165. Escolha do endereo IP utilizados por mquinas externas a ser utilizado no servidor.
254
255
256
257
9.
258
O que autenticao?
Autenticao tambm a combinao de uma chave com um algoritmo matemtico
baseado em uma funo unidirecional. A diferena em relao a criptografia que
este algoritmo, quando aplicado sobre os dados, no produz dados indecifrveis
mas sim uma assinatura digital para estes. Essa assinatura gerada de tal forma
que qualquer pessoa que desconhea o algoritmo ou a chave utilizado para ger-la
seja incapaz de calcul-la.
Quando a assinatura digital gerada, ela passa a ser transmitida para o destino
junto com os dados. Caso estes tenham sofrido quaisquer alteraes no caminho, o
recipiente quando calcular a assinatura digital dos dados recebidos e compar-la
com a assinatura recebida ir perceber que as duas so diferentes e concluir que os
dados foram alterados.
A autenticao uma operao bastante rpida quando comparada com a
criptografia, porm ela sozinha no consegue impedir que os dados sejam lidos. Ela
deve ser usada apenas nos casos onde necessita confiabilidade dos dados, mas
no sigilo. Caso necessite de ambos, usa-se autenticao em conjunto com a
criptografia.
O que certificao digital?
Atravs do processo de autenticao descrito acima possvel garantir a origem
das mensagens em uma comunicao entre duas partes. Entretanto, para que isso
seja possvel necessrio que as entidades que esto se comunicando j tenham
previamente trocado informaes atravs de algum meio fora do trfego normal dos
dados. Esta troca de informaes normalmente consiste no algoritmo a ser utilizado
para a autenticao e sua chave.
O problema surge quando necessrio assegurar a origem das mensagens de uma
entidade com a qual nunca existiu comunicao prvia. A nica forma de resolver
este problema delegar a uma terceira entidade o poder de realizar estas
autenticaes (ou em termos mais tcnicos, realizar a certificao da origem de uma
mensagem). Esta terceira entidade chamada de Entidade Certificadora e para
que seja possvel ela assegurar a origem de uma mensagem, ela j deve ter
realizado uma troca de informaes com a entidade que est sendo certificada.
O que um certificado digital?
Certificado digital um documento fornecido pela Entidade Certificadora para cada
uma das entidades que ir realizar uma comunicao, de forma a garantir sua
autenticidade.
259
260
Este algoritmo consiste na aplicao do algoritmo DES trs vezes, usando trs
chaves distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo
com chave de 112 bits, o que representa uma segurana extremamente maior do
que a oferecida pelo DES. O problema deste algoritmo que ele duas vezes
mais lento que o DES (na implementao utilizada no Aker Firewall).
AES
O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para
substituir o j inseguro e ineficiente DES. AES um anagrama para Advanced
Encryption Standard. O algoritmo escolhido em concurso foi o Rijndael, e ele
utiliza 256 bits de chave, sendo ao mesmo tempo muito mais seguro e rpido
que o DES ou mesmo o 3DES.
O Aker Firewall trabalha com o AES utilizando chaves de 256 bits, o que garante
um nvel altssimo de segurana. Ele a escolha recomendada.
Blowfish
O algoritmo Blowfish foi criado como uma possvel substituio ao DES. Ele
um algoritmo extremamente rpido (quando comparado com outros algoritmos
de criptografia), bastante seguro e pode trabalhar com vrios tamanhos de
chaves, de 40 a 438 bits.
O Aker Firewall trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o
que garante um nvel altssimo de segurana.
Algoritmos de criptografia assimtricos:
Os algoritmos de criptografia assimtricos possuem um par de chaves associadas,
uma para encriptar e outra para decriptar os dados. Eles so bastante lentos se
comparados aos algoritmos simtricos e, devido a isso, normalmente so utilizados
apenas para realizar assinaturas digitais e no estabelecimento de chaves de sesso
que sero usadas em algoritmos simtricos.
RSA
O RSA um algoritmo baseado em aritmtica modular capaz de trabalhar com
chaves de qualquer tamanho, porm valores inferiores a 512 bits so
considerados muito frgeis. Ele pode ser utilizado para encriptar e decriptar
dados, porm, devido a sua grande lentido se comparado aos algoritmos
simtricos, seu principal uso em assinaturas digitais e no estabelecimento de
chaves de sesso.
Diffie-Hellman
O algoritmo Diffie-Hellman na verdade no pode ser encarado como algoritmo de
criptografia, uma vez que no serve para encriptar dados ou realizar assinaturas
digitais. Sua nica funo possibilitar a troca de chaves de sesso, feita de
Aker Security Solutions
261
forma a impedir que escutas passivas no meio de comunicao consigam obtlas. Ele tambm baseado em aritmtica modular e pode trabalhar com chaves
de qualquer tamanho, porm chaves menores que 512 so consideradas muito
frgeis.
Algoritmos de trocas de chaves
Um problema bsico que ocorre quando se configura um canal seguro como
configurar as chaves de autenticao e criptografia e como realizar trocas peridicas
destas chaves.
importante realizar trocas peridicas de chaves para diminuir a possibilidade de
quebra das mesmas por um atacante e para diminuir os danos causados caso ele
consiga decifrar uma das chaves. Suponha que um atacante consiga em seis meses
quebrar as chaves usadas por um algoritmo de criptografia (este tempo totalmente
hipottico, no tendo nenhuma relao com situaes reais). Se uma empresa usar
as mesmas chaves, por exemplo, durante 1 ano, ento um atacante conseguir
decifrar todo o trfego nos ltimos 6 meses desta empresa. Em contrapartida, se as
chaves forem trocadas diariamente, este mesmo atacante, aps 6 meses,
conseguir decifrar o trfego do primeiro dia e ter mais 6 meses de trabalho para
decifrar o trfego do segundo dia e assim por diante.
O Aker Firewall possui quatro mtodos para trocas de chaves: IPSEC-IKE, AKERCDP, SKIP e manual:
Troca de chaves via IPSEC-IKE
Esta opo estar disponvel apenas quando utilizar o conjunto completo de
protocolos IPSEC.
O IPSEC (IP Security) um conjunto de protocolos padronizados (RFC 2401RFC 2412) desenvolvidos pela IETF. O IPSec oferece transferncia segura de
informaes atravs de rede IP pblica ou privada. Uma conexo via IPSec
envolve sempre 3 etapas:
1. Negociao do nvel de segurana;
2. Autenticao e Integridade;
3. Confidencialidade.
Para implementar essas 3 etapas o IPSec utiliza-se 3 mecanismos:
AH - Autentication Header
ESP - Encapsulation Security Payload
IKE - Internet Key Exchange Protocol
Recomenda-se fortemente o uso desta opo na hora de configurar os canais
seguros.
262
263
comunicantes).
264
265
266
Regra de criptografia 2:
Sentido do canal: envia
Entidades origem: REDE2
Entidades destino: REDE1
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X3
Chave de criptografia: X4
Note que a regra 1 do Aker Firewall 1 exatamente igual regra 1 do Aker
Firewall 2, exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2.
Figura 168. Exemplo de configurao de um canal seguro firewall-firewall para uma sub-rede.
267
268
Note que neste caso as regras aparecem colocadas em uma ordem diferente nos
dois firewalls: a regra 1 no Firewall 1 igual a regra 2 do Firewall 2 (com os sentidos
invertidos) e a regra 2 no Firewall 1 igual a regra 1 no Firewall 2 (novamente com
os sentidos trocados). Neste exemplo, a ordem das regras no faz diferena
(observe, entretanto que em alguns casos isto pode no ser verdade).
Certificados IPSEC
Os certificados IPSEC so certificados padro X.509 utilizados pelo firewall para
identificarem-se junto a seus pares quando do estabelecimento dos canais
criptogrficos firewall-firewall no padro IPSEC (veja a seo Configurando tneis
IPSEC, logo abaixo). Seu uso, entretanto, no obrigatrio, j que possvel
estabelecer canais IPSEC usando segredos compartilhados.
Para que um firewall aceite um certificado apresentado por outro, preciso que
ele possua o certificado da Autoridade Certificadora que o emitiu.
Para ter acesso a janela de manuteno de certificados IPSEC basta:
269
270
271
O boto Inserir permite incluir uma nova requisio, podendo ser local ou
remota, sendo que as requisies e certificados locais ficam na janela "deste
firewall" e certificados e requisies remotas ficam na janela "outros firewalls".
O boto Copiar copia o certificado/requisio selecionado.
O boto Colar cola da memria o certificado/requisio copiado.
O boto Excluir remove da lista o certificado/requisio selecionado.
O boto Importar permite que seja carregado um certificado que foi exportado.
O boto Exportar permite que salve o certificado selecionado.
O boto Submeter permite que carregue um certificado exportado ou carregue
um certificado de acordo com uma requisio selecionada (somente aparece
quando inserindo um novo certificado).
O boto Instalar far com que a janela seja fechada e atualizada.
O boto Atualizar faz com seja recarregada as informaes de certificados.
Para gerar um certificado necessrio que primeiro gere uma requisio no Aker
Firewall, com esta requisio faa um pedido a uma autoridade certificadora para
gerar o certificado e depois importe o certificado para o Aker Firewal.
Esta janela atualizada dinamicamente, ou seja, no possvel cancelar quando
j feito o pedido. Quando incluir-se uma nova requisio local, as requisies e os
certificados locais sero apagados. Da mesma forma, ao importar novo Certificado
local com par de chaves (.pfx), sero apagados as requisies e os certificados
locais.
Desta maneira, a operao deve se dar da seguinte forma (para o certificado local):
1. Criar uma requisio local;
2. Enviar esta requisio a uma Autoridade Certificadora;
3. Esperar at que a Autoridade Certificadora emita o certificado
correspondente;
4. Carregar o certificado correspondente requisio (clicar na requisio e,
depois, em Carregar).
272
273
274
Figura 176. Menu de insero, copia ou excluso para definio dos fluxos de criptografia.
Inserir: Esta opo permite incluir um novo fluxo na lista. Se algum fluxo estiver
selecionado, o novo ser inserido na posio do fluxo selecionado. Caso
contrrio, o novo fluxo ser includo no final da lista.
Copiar: Esta opo copia o fluxo selecionado para uma rea temporria.
Colar: Esta opo copia o fluxo da rea temporria para a lista. Se um fluxo
estiver selecionado, o novo ser copiado para a posio do fluxo selecionado.
Caso contrrio ele ser copiado para o final da lista.
Excluir: Esta opo apaga o fluxo selecionado.
Habilitar/Desabilitar: Esta opo permite desabilitar o fluxo selecionado.
Aker Security Solutions
275
Dica: Todas estas opes podem ser executadas a partir da barra de ferramentas
localizada na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo,
clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
Caso queira incluir ou editar fluxos, pode-se fazer de duas formas: As entidades
envolvidas podem ser arrastadas para o fluxo que vo participar ou clicando com o
boto direito do mouse sobre o campo desejado, neste caso ser dada a opo de
inserir, apagar ou editar entidades como mostrado a seguir:
276
277
Figura 179. Definio dos algoritmos de criptografia e autenticao permitidos pelo firewall durante
negociao das chaves IKE.
278
Na janela acima, possvel visualizar quais SPIs IPSEC foram negociadas para
cada um dos tneis configurados, bastando para isso clicar sobre a regra
correspondente. Se houver mais de uma SPI, porque o firewall negocia uma nova
sempre antes da anterior acabar, de forma a nunca interromper o trfego dentro da
VPN. Descrio de cada coluna:
SPI: Nmero de identificao da poltica de segurana.
Algoritmo de criptografia: Mostra que algoritmo de criptografia foi negociado.
Algoritmo de Hash: Mostra que algoritmo deve ser utilizado para fazer o hash
das informaes.
Tamanho da chave de criptografia: Informa o tamanho da chave de
criptografia que ambos os lados do canal devem utilizar.
Tamanho da chave de autenticao: Informa o tamanho da chave de
autenticao negociado.
Protocolo: Conjunto de protocolos negociados para a SP.
Bytes negociados: Quantidade de bytes que devem ser transmitidos para que
uma nova politica de segurana seja negociada.
Bytes transferidos: Quantidade de bytes trafegados pela SP.
Tempo total: Tempo de validade da SP.
Ocioso: Tempo de inatividade do SP.
Expirao: Data no qual a SP deixar de ser utilizada.
279
Ao clicar em "grfico", pode-se ver um grfico de uso dos tneis, que atualizado a
cada cinco segundos. Ele mostra o trfego agregado de todas as SPIs de cada
regra, permitindo verificar, em tempo real, o uso efetivo de banda criptografada.
Para utilizar troca de chaves manual, deve-se selecionar a opo Manual, na janela
Firewall/Firewall. Isto provocar a alterao da janela de forma a mostrar os campos
necessrios para esta configurao.
280
Sintaxe:
Uso: fwipseccert ajuda
fwipseccert mostra [requisicao | certificado]
fwipseccert remove [requisicao | certificado] <numero>
fwipseccert requisita <local | remoto> <1024 | 2048> <email> <pais> <estado>
<cidade> <organizacao> <unid org> <dominio>
[use_email] [imprime]
fwipseccert instala <local | remoto> <certificado>
fwipseccert exporta <certificado> <arquivo PKCS12> <senha>
fwipseccert importa <arquivo PKCS12> <senha>
Ajuda do programa:
Firewall Aker - Verso 6.5
fwipseccert - Criacao e manejamento de requisicoes e certificados x.509
Uso: fwipseccert ajuda
fwipseccert mostra [requisicao | certificado]
fwipseccert remove [requisicao | certificado] <numero>
fwipseccert requisita <local | remoto> <1024 | 2048> <email> <pais> <estado>
<cidade> <organizacao> <unid org> <dominio>
[use_email] [imprime]
fwipseccert instala <local | remoto> <certificado>
fwipseccert exporta <certificado> <arquivo PKCS12> <senha>
fwipseccert importa <arquivo PKCS12> <senha>
ajuda = mostra esta mensagem
mostra = mostra uma lista contendo as requisicoes pendentes ou os
certificados instalados
remove = remove uma requisicao ou certificado de acordo com seu numero
requisita = cria um par de chaves publicas e privadas juntamente com uma
requisicao de um certificado x.509
instala = instala um certificado x.509 cujo o par de chaves deve ter
sido criado anteriormente pelo sistema atraves do comando
requisita
exporta = exporta o certificado e seu par de chaves correspondente para
para um arquivo de formato pkcs12
importa = obtem do arquivo pkcs12 um certificado e seu par de chaves e o
instala como certificado local(ver abaixo)
Para requisita temos:
local = o certificado local e' usado na indentificacao do proprio
Aker Security Solutions
281
282
283
284
285
286
Configurando criptografia
Cliente-Firewall
287
10.
10.1.
Planejando a instalao.
288
10.2.
289
290
291
292
Tipo da lista de controle de acesso: Aqui voc escolhe qual o tipo da Lista
de controle de acesso:
1. Nenhum: Sem controle de acesso. Todo cliente tem permisso para
conectar ao servidor.
2. Permitir entidades listadas: Somente os endereos IP listados, ou
endereos que pertenam s entidades rede e/ou conjunto listadas,
podero estabelecer conexo.
3. Proibir entidades listadas: As entidades listadas, ou que pertenam a
entidades rede e/ou conjunto listadas, no sero capazes de estabelecer
conexes. As demais entidades sero.
Lista de controle de acesso:
Para adicionar uma entidade lista, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse na lista, ou
Arrastar a entidade do campo entidades, localizado no lado inferior
esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse sobre a entidade que ser removida,
ou
Selecionar a entidade desejada e pressione a tecla Delete.
A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele
mostrado ao clicar com o boto direito do mouse em alguma entidade listada.
No exemplo da figura, a entidade clicada foi Host4:
293
Aba Endereos
294
10.3.
L2TP
295
Figura 189. Lista de endereos que podem ser fornecidos a clientes conectados remotamente ao
firewall.
296
Habilitar L2TP: Este campo habilita o servidor de L2TP no Aker Firewall e permite
configurar outros campos como:
Servidor de DNS Primrio e secundrio: Configura dois servidores DNS
a serem usados durante a sesso criptogrfica. Usado para o caso de
haver um servidor de DNS interno na corporao;
Usar autenticao IPSEC: Habilita os modos de autenticao e
encapsulamento dos dados L2TP em pacotes IPSEC, os modos de
autenticao so atravs de Segredo compartilhado ou certificado X.509.
Conjunto de Endereos: Lista de endereos que podem ser atribudos a
clientes remotamente conectados ao firewall. Os endereos de mquinas
listados e todos os endereos que compem as redes e conjuntos includos
somam-se para definir o conjunto de endereos atribuveis a clientes.
Notar que as entidades listadas devem estar conectadas a algum adaptador de
rede configurado no firewall. Caso contrrio, no ser possvel estabelecer
conexo com tal entidade.
Para adicionar uma entidade lista, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse na lista, ou
Arrastar a entidade do campo entidades, localizado no lado inferior
esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse sobre a entidade que ser removida,
ou
Selecionar a entidade desejada e pressione a tecla Delete.
A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele
mostrado ao clicar com o boto direito do mouse em alguma entidade listada.
No exemplo da figura, a entidade clicada foi Host4:
297
Windows Vista / XP
No Windows Vista, crie uma nova conexo de VPN, no Network and Sharing Center.
No Windows XP, isso deve ser feito na janela Network Connections. Um assistente
para a criao desta conexo aparecer, e deve ser preenchido de acordo com as
imagens abaixo:
298
299
Figura 194. Configurando o cliente L2TP (nome do usurio e senha utilizados para autenticar o
cliente de VPN no Aker Firewall).
Aker Security Solutions
300
Na imagem acima, devem ser preenchidos o nome de usurio e senha que sero
utilizados para autenticar o cliente de VPN no AKER FIREWALL.
Aps clicar em Close, ser criada uma nova conexo, que precisa ser editada, no
passo seguinte. No clique em Connect now.
Abra a janela Network Connections, e edite as propriedades da conexo recm
criada de acordo com as janelas abaixo:
301
302
303
10.4.
PPTP
304
Habilitar PPTP: Este campo habilita o servidor de PPTP no Aker Firewall e permite
configurar outros campos como:
Servidor de DNS Primrio e secundrio: Configura dois servidores DNS
a serem usados durante a sesso criptogrfica. Usado para o caso de
haver um servidor de DNS interno na corporao;
Segurana: Permite especificar os mtodos de encriptao da
auteticao e dos dados trafegados, as opes so:
PAP: Autenticao no cifrada e dados no cifrados. Funciona com
qualquer tipo de autenticador que possa ser cadastro no Firewall;
CHAP: Autenticao cifrada, dados no cifrados. Funciona
somente com o autenticador RADIUS;
MS-CHAPv2: Autenticao cifrada, dados no cifrados. Funciona
somente com o autenticador RADIUS;
MPPE (MS-CHAPv2 + MPPE): Autenticao cifrada, dados
cifrados com RC4 e chave de 40 a 128 bits. Funciona somente com
o autenticador RADIUS;
MPPE-128(MS-CHAPv2 + MPPE-128): Autenticao cifrada, dados
cifrados com RC4 e chave de 128 bits. Funciona somente com o
autenticador RADIUS.
Aker Security Solutions
305
306
Windows Vista / XP
No Windows Vista, crie uma nova conexo de VPN, no Network and Sharing Center.
No Windows XP, isso deve ser feito na janela Network Connections. Um assistente
para a criao desta conexo aparecer, e deve ser preenchido de acordo com as
imagens abaixo:
307
Figura 201. Configurando o Cliente PPTP para autenticao com PAP (Windows Vista/XP).
308
309
310
Na imagem acima, devem ser preenchidos o nome de usurio e senha que sero
utilizados para autenticar o cliente de VPN no AKER FIREWALL.
311
Aps clicar em Close, ser criada uma nova conexo, que precisa ser editada, no
passo seguinte. No clique em Connect now.
Abra a janela Network Connections, e edite as propriedades da conexo recm
criada de acordo com as janelas abaixo:
312
313
314
Figura 208. Janela de configuraes dos parmentros de rede da VPN no Microsoft Windows.
315
316
317
Figura 211. Definio das regras de acesso remoto do servidor de autenticao Radius do Microosft
Windows Server.
318
319
320
321
322
323
324
325
326
10.5.
IPSEC Client
O conjunto de protocolos IPSEC (em especial IKE e ESP) no foi projetado para o
uso em modo cliente-servidor. Por isso, diversas extenses na sua implementao
original (RFC 2401 e famlia) so necessrias para que o mesmo possa ser utilizado
com esta finalidade.
Diferentemente do que ocorre com as VPNs L2TP/IPSEC e PPTP, no existe um
padro devidamente normatizado para essas extenses necessrias ao
funcionamento de VPNs IPSEC modo tnel para clientes remotos. O que existe so
uma srie de propostas de RFCs (Internet Drafts) que nunca foram aceitas pelo
Aker Security Solutions
327
328
Habilitar Cliente IPSEC: Este campo habilita o servidor de IPSEC Client no Aker
Firewall e permite configurar outros campos como:
Servidor de DNS Primrio, secundrio e tercirio: Configura at trs
servidores DNS a serem usados durante a sesso criptogrfica. Usado
para o caso de haver um servidor de DNS interno na corporao;
Servidor WINS Primrio, secundrio e tercirio: Configura at trs
servidores WINS a serem usados durante a sesso criptogrfica. Usado
para o caso de haver um servidor de WINS interno na corporao;
Mensagem de autenticao: Mensagem de apresentao (banner) a ser
mostrada para os clientes.
329
Figura 222. Lista de endereos que podem ser atribudos aos clientes.
330
331
332
grupo
Configurando os Clientes
De modo genrico, as configuraes recomendadas para clientes de criptografia
so as seguintes:
Shared Secret
Fase
1
1
Configurao
Forma de autenticao
Forma de identificao
1
1
1
Valor
secret + XAUTH
KEY_ID. Use o mesmo nome do grupo
criado no fwipseccli. Alguns clientes chamam
essa configurao de grupo mesmo.
333
2
2
Algortimos
PFS / Grupo diffie
hellman
Tempo de vida de SA
Control Center)
AES-256 / SHA-1 HMAC-96
No / 0
3600 segundos
X.509
A configurao X.509 muito parecida:
Fase
1
1
Configurao
Forma de autenticao
Forma de identificao
1
1
1
2
2
2
Valor
X.509 (RSA SIG) + XAUTH.
FQDN. Use o nome do Subject Alternative
Name do certificado. Alguns clientes exigem
que esse nome seja o mesmo do endereo IP
ou domnio de conexo.
Exemplos:
ShrewSoft VPN Client com com segredo compartilhado
Para a configurao deve ser preenchido os campos de acordo com as imagens
abaixo:
334
335
336
337
338
339
340
341
VPN SSL
10.6.
A configurao do Portal VPN SSL e do Applet bastante simples, uma vez que
todos os detalhes de funcionamento do portal e do applet so responsabilidade do
firewall. Ao administrador cabe definir nome do portal, qual o certificado ser
utilizado pelo firewall e etc.
Todas estas configuraes so feitas na janela VPN SSL. Para acess-la, basta:
342
cone
permite exportar um arquivo com extenso *.p12/*.pfx contendo um
certificado.
Aker Security Solutions
343
344
Applet
345
Cliente
O cliente necessita de um browser e do Java virtual Machine instalado para ter
acesso, que realizado atravs da seguinte url:
https://<ip_do_firewall>
O usurio aps aceitar os certificados aparecer uma tela de autenticao, onde o
usurio e senha definir qual o perfil de acesso e quais portas de comunicao ter
permisso na VPN.
Aps a auteticao ser realizada com sucesso teremos o Applet rodando com as
informaes que foram configuradas na sesso Applet que vimos a pouco:
346
347
348
11.
349
11.1.
350
351
352
Aba Certificado
Esta aba utilizada para especificar o certificado X.509 que ser apresentado ao
cliente quando ele tentar estabelecer uma Proxy SSL. possvel criar uma
requisio que posteriormente ser enviada para ser assinada por uma CA ou
importar um certificado X.509 j assinado, em formato PKCS#12.
Criar requisio:
Este boto permite que seja criada uma requisio que posteriormente ser enviada
a uma CA para ser assinada. Ao ser clicado, sero mostrados os campos do novo
certificado a ser gerado e que devem ser preenchidos.
Aps o preenchimento deve-se clicar no boto OK, que far com que a janela seja
alterada para mostrar os dados da requisio recm criada, bem como dois botes
para manipul-la: O boto Salvar em arquivo permite salvar a requisio em um
arquivo para que ela seja ento enviada a uma CA que ir assin-la. O boto
Instalar esta requisio permite importar o certificado j assinado pela CA.
Importar certificado PKCS#12:
Aker Security Solutions
353
11.2.
354
355
12.
12.1.
O mdulo de montagem
O mdulo de montagem o responsvel por armazenar todos os fragmentos de
pacotes IP recebidos at que estes possam ser montados e convertidos em um
pacote completo. Este pacote ser ento entregue para os demais mdulos.
O filtro de pacotes
O filtro de pacotes possui a funo bsica de validar um pacote de acordo com as
regras definidas pelo administrador, e a sua tabela de estados, e decidir se este
Aker Security Solutions
356
deve ou no ser autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode
trafegar, este ser repassado para os demais mdulos, caso contrrio ser
descartado e o fluxo terminado.
O conversor de endereos
O conversor de endereos recebe um pacote j autorizado a trafegar e verifica, de
acordo com sua configurao, se este deve ter o endereo de origem convertido.
Em caso positivo, ele o converte do contrrio o pacote no sofre quaisquer
alteraes.
Independente de ter sido convertido ou no, o pacote ser repassado para o mdulo
de criptografia.
O mdulo de encriptao
O mdulo de encriptao recebe um pacote validado e com os endereos
convertidos e decide baseado em sua configurao, se este pacote deve ser
encriptado ou autenticado antes de ser enviado ao destino. Em caso positivo, o
pacote ser autenticado, encriptado, e sofrer o acrscimo de cabealhos
especficos destas operaes.
Independentemente de ter sido encriptado/autenticado ou no, o pacote ser
enviado pela rede.
O fluxo de fora para dentro
Todo o pacote proveniente da rede externa, em direo rede interna, ao atingir o
firewall passa pelos mdulos na seguinte ordem: mdulo de montagem, mdulo de
decriptao, conversor de endereos e filtro de pacotes.
O mdulo de montagem
O mdulo de montagem o responsvel por armazenar todos os fragmentos de
pacotes IP recebidos at que estes possam ser montados e convertidos em um
pacote completo. Este pacote ser ento entregue para os demais mdulos.
O mdulo de decriptao
357
12.2.
Quando vai configurar as regras de filtragem para serem usadas com mquinas
cujos endereos sero convertidos surge a seguinte dvida: Deve-se usar os
endereos reais das mquinas ou os endereos virtuais?
Esta dvida facilmente respondida ao analisar o fluxo dos pacotes:
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depois
possuem seus endereos convertidos (se for o caso), ou seja, o filtro recebe os
endereos reais das mquinas.
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversor
de endereos que converte os endereos destino dos IPs virtuais para os endereos
Aker Security Solutions
358
359
Configurando a Segurana
360
13.
Configurando a Segurana
Este captulo mostrar como configurar a proteo contra ataques no mdulo de
segurana do Aker Firewall.
13.1.
361
O Aker Firewall possui um mecanismo que visa impedir que um ataque de SYN
flood seja bem sucedido. Seu funcionamento baseia-se nos seguintes passos:
1. Ao chegar um pacote de abertura de conexo (pacote com flag de SYN,
mostrado no tpico acima) para uma mquina servidora a ser protegida, o
firewall registra isso em uma tabela e deixa o pacote passar (evidentemente, ele
s deixar o pacote passar se este comportamento for autorizado pelas regras
de filtragem configuradas pelo administrador. Para maiores detalhes veja o
captulo intitulado O filtro de estados);
2. Quando chegar a resposta do servidor dizendo que a conexo foi aceita (pacote
com os flags SYN e ACK), o firewall imediatamente enviar um pacote para o
servidor em questo confirmando a conexo e deixar o pacote de resposta
passar em direo mquina cliente. A partir deste momento, ser acionado um
relgio interno no firewall que marcar o intervalo de tempo mximo em que o
pacote de confirmao do cliente dever chegar;
3. Se a abertura de conexo for uma abertura normal, dentro de um intervalo de
tempo menor que o mximo permitido, a mquina cliente responder com um
pacote confirmando o estabelecimento da conexo. Este pacote far o firewall
considerar vlido o pedido de abertura de conexo e desligar o relgio interno;
4. Caso a mquina cliente no responda dentro do tempo mximo permitido, o
firewall mandar um pacote especial para a mquina servidora que far com que
a conexo seja derrubada.
Com estes procedimentos, o firewall consegue impedir que a fila de conexes em
andamento na mquina servidora fique cheia, j que todas as conexes pendentes
sero estabelecidas to logo os pacotes de reposta atinjam o firewall. O ataque de
SYN flood, portando, no ser efetivado.
Cabe enfatizar que todo o funcionamento desta proteo baseia-se no intervalo
de tempo mximo de espera pelos pacotes de confirmao dos clientes. Se o
intervalo de tempo for muito pequeno, conexes vlidas podem ser recusadas. Se o
intervalo for muito grande, a mquina servidora, no caso de um ataque, ficar com
Aker Security Solutions
362
Para ter acesso a janela de configurao dos parmetros de proteo contra SYN
Flood, basta:
363
364
O valor ideal deste campo pode variar para cada instalao, mas sugere-se
valores entre 3 e 10, que correspondem a intervalos de tempo entre 1,5 e 5
segundos.
A lista de mquinas e redes a proteger
Esta lista define as mquinas ou redes que sero protegidos pelo firewall.
Para incluir uma nova entidade na lista de proteo, deve-se proceder de um dos
seguintes modos:
Executar uma operao de drag-n-drop (arrastar e soltar) da janela de entidades
diretamente para a lista de hosts e redes a proteger
Abrir o menu de contexto na janela na lista de hosts e redes a proteger com o
boto direito do mouse ou com a tecla correspondente no teclado e seleciona-se
Adicionar entidades, para ento escolher aquelas que sero efetivamente
includas na lista.
Para remover uma entidade da lista de proteo, deve-se marc-la e pressionar a
tecla delete, ou escolher a opo correspondente no menu de contexto, acionado
com o boto direito do mouse ou com a tecla correspondente:
Deve-se colocar na lista de entidades a serem protegidas todas as mquinas
servidoras de algum servio TCP passvel de ser utilizado por mquinas externas.
No se deve colocar o endereo do prprio firewall nesta lista, uma vez que o
sistema operacional Linux no suscetvel a ataques de SYN flood.
13.3.
Proteo de Flood
365
possam ser abertas simultaneamente a partir de uma mesma mquina para uma
entidade que est sendo protegida.
O administrador do firewall deve estimar este limite dentro do funcionamento
cotidiano de cada servidor ou rede a ser protegida.
13.4.
366
367
13.5.
O que um Spoofing?
O spoofing do IP envolve o fornecimento de informaes falsas sobre uma pessoa
ou sobre a identidade de um host para obter acesso no-autorizado a sistemas e/ou
aos sistemas que eles fornecem. O spoofing interfere na forma como um cliente e
um servidor estabelecem uma conexo. Apesar do spoofing poder ocorrer com
diversos protocolos especficos, o spoofing do IP o mais conhecido dentre todos
os ataques de spoofing.
A primeira etapa de um ataque de spoofing identificar duas mquinas de destino,
que chamaremos de A e B. Na maioria dos casos, uma mquina ter um
relacionamento confivel com a outra. esse relacionamento que o ataque de
spoofing tentar explorar. Uma vez que os sistemas de destino tenham sido
identificados, o violador tentar estabelecer uma conexo com a mquina B de
forma que B acredite que tem uma conexo com A, quando na realidade a conexo
com a mquina do violador, que chamaremos de X. Isso feito atravs da criao
de uma mensagem falsa (uma mensagem criada na mquina X, mas que contm o
endereo de origem de A) solicitando uma conexo com B. Mediante o recebimento
dessa mensagem, B responder com uma mensagem semelhante que reconhece a
solicitao e estabelece nmeros de seqncia.
Em circunstncias normais, essa mensagem de B seria combinada a uma terceira
mensagem reconhecendo o nmero de seqncia de B. Com isso, o "handshake"
seria concludo, e a conexo poderia prosseguir. No entanto, como acredita que
est se comunicando com A, B envia sua resposta a A, e no para X. Com isso, X
ter de responder a B sem conhecer os nmeros de seqncia gerados por B.
Portanto, X dever adivinhar com preciso nmeros de seqncia que B utilizar.
Em determinadas situaes, isso mais fcil do que possa imaginar.
No entanto, alm de adivinhar o nmero de seqncia, o violador dever impedir
que a mensagem de B chegue at A. Se a mensagem tivesse de chegar a A, A
negaria ter solicitado uma conexo, e o ataque de spoofing falharia. Para alcanar
esse objetivo, normalmente o intruso enviaria diversos pacotes mquina A para
esgotar sua capacidade e impedir que ela respondesse mensagem de B. Essa
tcnica conhecida como "violao de portas". Uma vez que essa operao tenha
chegado ao fim, o violador poder concluir a falsa conexo.
O spoofing do IP, como foi descrito, uma estratgia desajeitada e entediante. No
entanto, uma anlise recente revelou a existncia de ferramentas capazes de
executar um ataque de spoofing em menos de 20 segundos. O spoofing de IP
uma ameaa perigosa, cada vez maior, mas, por sorte, relativamente fcil criar
mecanismos de proteo contra ela. A melhor defesa contra o spoofing configurar
roteadores de modo a rejeitar qualquer pacote recebido cuja origem alegada seja
um host da rede interna. Essa simples precauo impedir que qualquer mquina
externa tire vantagem de relacionamentos confiveis dentro da rede interna.
Aker Security Solutions
368
13.6.
369
370
Protegida significa que a interface est conectada a uma rede interna e somente
sero aceitos pacotes com endereos IP originados em alguma das entidades
especificadas na regra. Externa significa que uma interface conectada a Internet
da qual sero aceitos pacotes provenientes de quaisquer endereos origem, exceto
os pertencentes a entidades listadas nas regras de interfaces marcadas como
Protegidas.
Entidades: Ao definir uma interface Protegida, deve-se incluir neste campo a lista
de todas as redes e/ou mquinas que encontram-se conectadas a esta interface.
13.7.
371
13.8.
Localizao do programa:/aker/bin/firewall/fwmaxconn
Sintaxe:
Firewall Aker - Versao 6.5
Uso: fwmaxconn ajuda
fwmaxconn mostra
fwmaxconn inclui <pos> <origem> <destino> <servico> <n_conns>
fwmaxconn remove <pos>
fwmaxconn < habilita | desabilita > <pos>
os parametros sao:
pos: posicao da regra na tabela
origem: maquina/rede de onde se origina as conexoes
destino: maquina/rede a que se destinam as conexoes
servico: servico de rede para o qual existe a conexao
n_conns: numero maximo de conexoes simultaneas de mesma origem
Exemplo 1: (visualizando a configurao)
#/aker/bin/firewall/fwmaxconn mostraRegra 01
-------Origem: Rede_Internet
Destino: NT1
Servicos: HTTP
Conexoes: 5000
Regra 02
-------Origem: Rede_Internet
Destino: NT3
Servicos: FTP
Conexoes : 10000
Aker Security Solutions
372
Regra 03
-------Origem: Rede_Internet
Destino: Rede_Interna
Servicos: Gopher
Conexoes: 100
13.9.
Localizao do programa:/aker/bin/firewall/fwifnet
Firewall Aker - Verso 6.5
Uso: fwifnet [ajuda | mostra]
fwifnet inclui interface <nome_if> [externa]
fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ...
fwifnet remove [-f] interface <nome_if>
fwifnet remove rede <nome_if> <endereco_IP> <mascara>
fwifnet <habilita | desabilita>
Ajuda do programa:
Uso: fwifnet [ajuda | mostra]
fwifnet inclui interface <nome_if> [externa]
fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ...
fwifnet remove [-f] interface <nome_if>
fwifnet remove rede <nome_if> <endereco_IP> <mascara>
para inclui/remove temos:
interface: o nome da interface de rede a ser controlada
externa: se esta palavra estiver presente, a interface ser considerada externa
pelo firewall
rede: uma rede permitida em uma interface nao externa
Exemplo 1: (visualizando a configurao)
#/aker/bin/firewall/fwifnet mostra
Firewall Aker - Versao 6.5
Status do modulo anti-spoofing: habilitado
Interface cadastrada: Interf_DMZ
Rede permitida: Rede_DMZInterface
cadastrada: Interf_externa (externa)
Interface cadastrada: Interf_interna
Rede permitida: Rede_Interna
373
13.10.
O firewall, por padro, vem com bloqueio de excesso de tentativas de login invlidas
via control center. Caso um IP realize trs tentativas de conexes com usrios e/ou
senhas invlidos, o firewall no permite mais conexes por um perodo de tempo.
So criados eventos de log que podem ser vistos na janela de log, eles contm
informaes sobre o horrio do bloqueio e o IP que realizou a tentativa.
374
Configurando as Aes do
Sistema
375
14.
14.1.
376
377
378
379
380
381
14.2.
382
383
Parametros de configuracao:
programa: /aker/bin/pager
usuario: nobody
e-mail: root
comunidade:
ip:
Devido ao grande nmero de mensagens, s esto sendo mostradas as
primeiras e as ltimas. O programa real mostrar todas ao ser executado.
Exemplo 3: (atribuindo as aes para os Pacotes fora das regras e mostrando as
mensagens)
#fwaction atribui 0 loga mail alerta
#fwaction mostra
Condicoes Gerais:
00 - Pacote fora das regras
>>>> Loga Mail Alerta
Mensagens do log:
01 - Possivel ataque de fragmentacao
>>>> Loga
02 - Pacote IP direcionado
>>>> Loga
03 - Ataque de land
>>>> Loga
04 - Conexao nao consta na tabela dinamica
>>>> Loga
05 - Pacote proveniente de interface invalida
>>>> Loga
06 - Pacote proveniente de interface nao determinada
>>>> Loga
07 - Conexao de controle nao esta aberta
>>>> Loga
(...)
237 - O Secure Roaming encontrou um erro
>>>> Loga
238 - O Secure Roaming encontrou um erro fatal
Aker Security Solutions
384
>>>> Loga
239 - Usuarios responsaveis do Configuration Manager
>>>> Loga
Parametros de configuracao:
programa : /aker/bin/pager
usuario : nobody
e-mail : root
comunidade:
ip :
Devido ao grande nmero de mensagens, s esto sendo mostradas as
primeiras e as ltimas. O programa real mostrar todas as mensagens, ao ser
executado.
Exemplo 4: (cancelando todas as aes para a mensagem de Pacote IP
direcionado e mostrando as mensagens)
#fwaction atribui 2
#fwaction mostra
Condicoes Gerais:
00 - Pacote fora das regras
>>>> Loga Mail Alerta
Mensagens do log:
01 - Possivel ataque de fragmentacao
>>>> Loga Mail
02 - Pacote IP direcionado
>>>>
03 - Ataque de land
>>>> Loga
04 - Conexao nao consta na tabela dinamica
>>>> Loga
05 - Pacote proveniente de interface invalida
>>>> Loga
06 - Pacote proveniente de interface nao determinada
>>>> Loga
07 - Conexao de controle nao esta aberta
>>>> Loga
Aker Security Solutions
385
(...)
237 - O Secure Roaming encontrou um erro
>>>> Loga
238 - O Secure Roaming encontrou um erro fatal
>>>> Loga
239 - Usuarios responsaveis do Configuration Manager
>>>> Loga
Parametros de configuracao:
programa: /aker/bin/pager
usuario: nobody
e-mail: root
comunidade:
ip:
Devido ao grande nmero de mensagens, s esto sendo mostradas as
primeiras e as ltimas. O programa real mostrar todas ao ser executado.
386
387
15.
388
15.1.
389
390
391
392
Para monitorar um servio especfico deve-se colocar seu nmero no campo Porta.
A partir deste momento s sero mostradas entradas cujo servio especificado for
utilizado. importante tambm que seja selecionado o protocolo correspondente ao
servio desejado no campo protocolo, mostrado abaixo.
No caso dos protocolos TCP e UDP, para especificar um servio, deve-se
colocar o nmero da porta destino, associada ao servio, neste campo. No caso do
ICMP deve-se colocar o tipo de servio. Para outros protocolos, coloca-se o nmero
do protocolo desejado.
Alm destes campos, existem outras opes que podem ser combinadas para
restringir ainda mais o tipo de informao mostrada:
Ao:
Representa qual ao o sistema tomou ao lidar com o pacote em questo. Existem
as seguintes opes possveis, que podem ser selecionadas independentemente:
Aceito: Mostra os pacotes que foram aceitos pelo firewall.
Aker Security Solutions
393
Prioridade:
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for a
prioridade associada a um determinado registro, mais importncia deve-se dar a ele.
Abaixo est a lista com todas as prioridades possveis, ordenada da mais importante
para a menos (caso tenha configurado o firewall para mandar uma cpia do log para
o syslogd, as prioridades com as quais as mensagens sero geradas no syslog so
as mesmas apresentadas abaixo):
Aviso
Os registros que se enquadram nesta prioridade normalmente indicam que
algum tipo de ataque ou situao bastante sria (como por exemplo, um erro na
configurao dos fluxos de criptografia) est ocorrendo. Este tipo de registro
sempre vem precedido de uma mensagem que fornece maiores explicaes
sobre ele.
Nota
Normalmente se enquadram nesta prioridade os pacotes que foram rejeitados ou
descartados pelo sistema, em virtude destes terem se encaixado em uma regra
configurada para rejeit-los ou descart-los ou por no terem se encaixado em
nenhuma regra. Em algumas situaes eles podem ser precedidos por
mensagens explicativas.
Informao
Os registros desta prioridade acrescentam informaes teis mas no to
importantes para a administrao do Firewall. Estes registros nunca so
precedidos por mensagens explicativas. Normalmente se enquadram nesta
prioridade os pacotes aceitos pelo firewall.
Depurao
Os registros desta prioridade no trazem nenhuma informao realmente til,
exceto quando se est configurando o sistema. Se enquadram nesta prioridade
as mensagens de converso de endereos.
Mdulo:
394
Protocolo:
Este campo permite especificar o protocolo dos registros a serem mostrados. As
seguintes opes so permitidas:
TCP
Sero mostrados os registros gerados a partir de pacotes TCP. Se esta
opo for marcada, a opo TCP/SYN ser automaticamente desmarcada.
TCP/SYN
Sero mostrados os registros gerados a partir de pacotes TCP de abertura de
conexo (pacotes com o flag de SYN ativo). Se esta opo for marcada, a
opo TCP ser automaticamente desmarcada.
UDP
Sero mostrados os registros gerados a partir de pacotes UDP.
ICMP
Sero mostrados os registros gerados a partir de pacotes ICMP.
Outro
Sero mostrados registros gerados a partir de pacotes com protocolo diferente de
TCP, UDP e ICMP. Pode-se restringir mais o protocolo a ser mostrado,
especificando seu nmero atravs do campo Porta destino ou Tipo de Servio.
O boto OK aplicar o filtro escolhido e mostrar a janela de log, com as
informaes selecionadas.
O boto Cancelar far com que a operao de filtragem seja cancelada e a
janela de log mostrada com as informaes anteriores.
A janela de log
395
A janela de log ser mostrada aps a aplicao de um filtro novo. Ela consiste de
uma lista com vrias entradas. Todas as entradas possuem o mesmo formato,
entretanto, dependendo do protocolo do pacote que as gerou, alguns campos
podem estar ausentes. Alm disso, algumas entradas sero precedidas por uma
mensagem especial, em formato de texto, que trar informaes adicionais sobre o
registro (o significado de cada tipo de registro ser mostrado no prximo tpico).
Observaes importantes:
Os registros sero mostrados de 100 em 100.
S sero mostrados os primeiros 10.000 registros que se enquadrem no filtro
escolhido. Os demais podem ser vistos exportando o log para um arquivo ou
utilizando um filtro que produza um nmero menor de registros.
No lado esquerdo de cada mensagem, ser mostrado um cone colorido
simbolizando sua prioridade. As cores tm o seguinte significado:
Azul
Depurao
Verde
Informao
Amarelo
Nota
396
Vermelho
Aviso
397
Para exportar o contedo do log, basta fornecer o nome do arquivo a ser criado,
escolher seu formato e clicar no boto Salvar. Para cancelar a operao, clique em
Cancelar.
Se j existir um arquivo com o nome informado ele ser apagado.
O boto Prximos, representado como uma seta para a direita na barra de
ferramentas, mostrar os prximos 100 registros selecionados pelo filtro. Se no
existirem mais registros, esta opo estar desabilitada.
O boto ltimos, representado como uma seta para a esquerda na barra de
ferramentas, mostrar os 100 registros anteriores. Se no existirem registros
anteriores, esta opo estar desabilitada.
O boto Ajuda mostrar a janela de ajuda especfica para a janela de log.
15.2.
398
399
400
401
15.3.
402
403
Visualizando Eventos do
Sistema
404
16.
16.1.
405
406
407
408
Abaixo, est a lista com todas as prioridades possveis, ordenadas das mais
importantes para as menos importantes (caso tenha configurado o firewall para
mandar uma cpia dos eventos para o syslog, as prioridades com as quais as
mensagens sero geradas no syslog so as mesmas apresentadas abaixo):
Erro
Os registros que se enquadrem nesta prioridade indicam algum tipo de erro de
configurao ou de operao do sistema (por exemplo, falta de memria).
Mensagens desta prioridade so raras e devem ser tratadas imediatamente.
Alerta
Os registros que se enquadrarem nesta prioridade indicam que algum tipo de
situao sria e no considerada normal ocorreu (por exemplo, uma falha na
validao de um usurio ao estabelecer uma sesso de administrao remota).
Aviso
Enquadram-se nesta prioridade os registros que trazem informaes que so
consideradas importantes para o administrador do sistema, mas esto
associadas a uma situao normal (por exemplo, um administrador iniciou uma
sesso remota de administrao).
Informao
Os registros desta prioridade acrescentam informaes teis mas no to
importantes para a administrao do Firewall (por exemplo, uma sesso de
administrao remota foi finalizada).
Depurao
Os registros desta prioridade no trazem nenhuma informao realmente
importante, exceto no caso de uma auditoria. Nesta prioridade se encaixam as
mensagens geradas pelo mdulo de administrao remota todas as vezes que
feita uma alterao na configurao do firewall e uma mensagem gerada todas
as vezes que o firewall reinicializado.
Como ltima opo de filtragem, existe o campo Filtrar no complemento por.
Este campo permite que seja especificado um texto que deve existir nos
complementos de todas as mensagens para que elas sejam mostradas. Desta
forma, possvel, por exemplo, visualizar todas as pginas WWW acessadas por
um determinado usurio, bastando para isso colocar seu nome neste campo.
O boto OK aplicar o filtro escolhido e mostrar a janela de eventos, com as
informaes selecionadas.
O boto Cancelar far com que a operao de filtragem seja cancelada e a
janela de eventos ser mostrada com as informaes anteriores.
Aker Security Solutions
409
A janela de eentos
A janela de eventos ser mostrada aps a aplicao de um novo filtro. Ela consiste
de uma lista com vrias mensagens. Normalmente, cada linha corresponde a uma
mensagem distinta, porm existem mensagens que podem ocupar 2 ou 3 linhas. O
formato das mensagens ser mostrado na prxima seo.
Observaes importantes:
As mensagens sero mostradas de 100 em 100.
S sero mostradas as primeiras 10.000 mensagens que so enquadradas no
filtro escolhido. As demais podem ser vistas exportando os eventos para um
arquivo ou utilizando um filtro que produza um nmero menor de mensagens.
No lado esquerdo de cada mensagem, ser mostrado um cone colorido
simbolizando sua prioridade. As cores tm o seguinte significado:
410
Azul
Depurao
Verde
Informao
Amarelo
Notcia
Vermelho
Advertncia
Preto
Erro
411
Para exportar o contedo dos eventos, basta fornecer o nome do arquivo a ser
criado, escolher seu formato e clicar no boto Salvar. Para cancelar a operao,
clique em Cancelar.
Se j existir um arquivo com o nome informado ele ser apagado.
O boto Prximos 100, representado como uma seta para a direita na barra de
ferramentas mostrar as ltimas 100 mensagens selecionadas pelo filtro. Se no
existirem mais mensagens, esta opo estar desabilitada.
O boto ltimos 100, representado como uma seta para a esquerda na barra de
ferramentas mostrar as 100 mensagens anteriores. Se no existirem
mensagens anteriores, esta opo estar desabilitada.
O boto Ajuda mostrar a janela de ajuda especfica para a janela de eventos.
16.2.
412
O programa que faz a interface texto com os eventos o mesmo usado para a
interface com o log e foi mostrado tambm no captulo anterior.
Localizao do programa: /aker/bin/firewall/fwlog
Sintaxe:
Firewall Aker - Verso 6.5
fwlog apaga [log | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]
Ajuda do programa:
Uso: fwlog ajuda
fwlog apaga [log | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]
413
414
Visualizando Estatsticas
415
17.
Visualizando Estatsticas
Este captulo mostrar sobre o que a janela de estatstica e suas caractersticas.
416
17.1.
417
418
419
em formato grfico
ou texto
. Estas informaes so relativas a data de
incio e fim especificadas na parte superior da janela. Para alterar esta data deve-se
escolher os campos de Data, colocando as datas de incio e de finalizao da
pesquisa.
Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro refere a
contabilizao dos acumuladores da estatstica em um determinado tempo.
O boto Remover
especificado.
420
421
17.2.
422
O smbolo . (ponto) informa que a regra so vlida para o dia da semana que
segue o caractere / .Ex: Dom/Seg - Seg
O smbolo ' (acento) informa que a regra so vlida para o dia da semana que
antecede o caractere / .Ex: Dom/Seg - Dom
Localizao do programa: /aker/bin/firewall/fwstat
Sintaxe:
fwstat ajuda
mostra [[-c] <estatistica> [<data inicial> <data final>]]
inclui <estatistica> <periodo> [<acumulador1> [acumulador2] ...]
remove <estatistica>
desabilita <estatistica> [<dia> <hora>]
habilita <estatistica> [<dia> <hora>]
Ajuda do programa:
Firewall Aker - Verso 6.5
Uso: fwstat ajuda mostra [[-c] <estatistica> [<data inicial> <data final>]]
inclui <estatistica> <periodo> [<acumulador1> [acumulador2] ...]
remove <estatistica>
desabilita <estatistica> [<dia> <hora>]
habilita <estatistica> [<dia> <hora>]
423
424
Visualizando e Removendo
Conexes
425
18.
18.1.
426
427
visualizar grficos em tempo real das mquinas e servios mais acessados, das
conexes IPv4e IPv6.
Pasta de conexes IPv4
428
As pastas, conexo IPv4 e conexo IPv6, consistem de uma lista com uma entrada
para cada conexo ativa. Na parte inferior da janela mostrada uma mensagem
informando o nmero total de conexes ativas em um determinado instante. As
velocidades, total e mdia, so exibidas na parte inferior da janela.
O boto OK faz com que a janela de conexes ativas seja fechada.
Caixa Filtro exibe as opes de filtragem sendo possvel selecionar os
endereos origem ou destino e/ou portas para serem exibidos na janela.
A opo Mostrar itens selecionados no topo coloca as conexes selecionadas
no topo da janela para melhor visualizao.
A opo Remover, que aparece ao clicar com o boto direito sobre uma
conexo, permite remover uma conexo.
Aker Security Solutions
429
430
mais acessam servios ou que mais so acessadas. No lado direito existe uma
legenda mostrando qual mquina ou servio correspondem a qual cor do grfico.
431
18.2.
432
Ajuda do programa:
fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino
fwlist remove sessao IP_origem
ajuda = mostra esta mensagem
mostra = lista as conexoes ou sessoes ativas
remove = remove uma conexao ou sessao ativa
Exemplo 1: (listando as conexes ativas TCP)
#fwlist mostra TCP
Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado
------------------------------------------------------------------------------10.4.1.196:1067 10.4.1.11:23 15:35:19 00:00 Estabelecida
10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida
Exemplo 2: (listando as conexes ativas UDP)
#fwlist mostra UDP
Origem (IP:porta) Destino (IP:porta) Inicio Inativo
----------------------------------------------------------10.4.1.1:1099 10.4.1.11:53 15:35:19 00:00
10.4.1.18:1182 10.5.2.1:111 15:36:20 00:10
Exemplo 3: (removendo uma conexo TCP e listando as conexes)
#fwlist remove tcp 10.4.1.196 1067 10.4.1.11 23
#fwlist mostra TCP
Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado
------------------------------------------------------------------------------10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida
433
Utilizando o Gerador de
Relatrios
434
19.
19.1.
Acessando Relatrios
435
Configurando os Relatrios
436
437
Esta aba composta por duas colunas, onde ser necessrio indicar filtros para
ambas.
Na coluna de "Sub-relatrio" dever ser includo qual tipo de sub-relatrio e como
ser agrupado, por exemplo: "No agrupar", "Quota", "Usurio". Esta opo varia
conforme o tipo de sub-relatrio selecionado. possvel definir relacionamentos
com lgica "E" ou "OU" e um limite para TOP.
Na coluna de "Filtros" haver mais uma possibilidade de filtro de acordo com o tipo
de dado.
438
Mtodos de Publicao
Mtodo FTP
Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os
relatrios via ftp.
Como utilizar:
Selecione o(s) servidor (es);
Digite o usurio;
Digite a senha de acesso;
Digite o caminho de destino do relatrio.
439
Mtodo SMTP
Nesta aba o usurio poder indicar at trs destinatrios, para onde sero enviados
os relatrios atravs de e-mail.
Como utilizar:
Digite o endereo do remetente ("De");
Digite o endereo do destinatrio ("Para");
Digite o "Assunto";
Caso deseje possvel incluir uma mensagem, no campo "Mensagem".
440
19.3.
441
442
443
20.
20.1.
444
20.2.
445
446
447
Local:
Nesta aba, o usurio poder indicar em qual pasta local do Aker Firewall deseja
salvar os dados exportados.
448
449
21.
21.1.
Planejando a instalao
O que so proxies?
Proxies so programas especializados que geralmente rodam em firewalls e que
servem como ponte entre a rede interna de uma organizao e os servidores
externos. Seu funcionamento simples: eles ficam esperando por uma requisio
da rede interna, repassam esta requisio para o servidor remoto na rede externa, e
devolvem sua resposta de volta para o cliente interno.
Na maioria das vezes os proxies so utilizados por todos os clientes de uma subrede e devido a sua posio estratgica, normalmente eles implementam um
sistema de cache para alguns servios. Alm disso, como os proxies trabalham com
dados das aplicaes, para cada servio necessrio um proxy diferente.
Proxies tradicionais
Para que uma mquina cliente possa utilizar os servios de um proxy necessrio
que a mesma saiba de sua existncia, isto , que ela saiba que ao invs de
estabelecer uma conexo com o servidor remoto, ela deve estabelecer a conexo
com o proxy e repassar sua solicitao ao mesmo.
Existem alguns clientes que j possuem suporte para proxies embutidos neles
prprios (como exemplo de clientes deste tipo, pode-se citar a maioria dos browsers
existentes atualmente). Neste caso, para utilizar as funes de proxy, basta
configur-los para tal. A grande maioria dos clientes, entretanto, no est preparada
para trabalhar desta forma. A nica soluo possvel neste caso, alterar a pilha
TCP/IP em todas as mquinas clientes de modo a fazer com que transparentemente
as conexes sejam repassadas para os proxies.
Esta abordagem traz inmeras dificuldades, j que alm de ser extremamente
trabalhoso alterar todas as mquinas clientes, muitas vezes no existe forma de
alterar a implementao TCP/IP de determinadas plataformas, fazendo com que
clientes nestas plataformas no possam utilizar os proxies.
Um outro problema dos proxies tradicionais, que eles s podem ser utilizados para
acessos de dentro para fora (no pode solicitar para que clientes externos repassem
suas solicitaes para o seu proxy para que este repasse para seu servidor interno).
Aker Security Solutions
450
Proxies transparentes
O Aker Firewall introduz um novo conceito de firewall com a utilizao de proxies
transparentes. Estes proxies transparentes so capazes de serem utilizados sem
nenhuma alterao nas mquinas clientes e nas mquinas servidoras,
simplesmente porque nenhuma delas sabe de sua existncia.
Seu funcionamento simples, todas as vezes que o firewall decide que uma
determinada conexo deve ser tratada por um proxy transparente, esta conexo
desviada para o proxy em questo. Ao receber a conexo, o proxy abre uma nova
conexo para o servidor remoto e repassa as requisies do cliente para este
servidor.
A grande vantagem desta forma de trabalho, que torna possvel oferecer uma
segurana adicional para certos servios sem perda da flexibilidade e sem a
necessidade de alterao de nenhuma mquina cliente ou servidora. Alm disso,
possvel utilizar proxies transparentes em requisies de dentro para fora e de fora
para dentro, indiferentemente.
451
452
Suponha agora que queira configurar o firewall para desviar todas as conexes
SMTP para o proxy SMTP, de modo a assegurar uma maior proteo e um maior
controle sobre este trfego.
importante que exista um meio de tratar diferentemente as conexes para A com
origem em B e C: a rede B utilizar o servidor SMTP de A como relay ao enviar seus
e-mails, entretanto este mesmo comportamento no deve ser permitido a partir da
rede C. Pode-se tambm querer limitar o tamanho mximo das mensagens
originadas na rede C, para evitar ataques de negao de servio baseados em falta
de espao em disco, sem ao mesmo tempo querer limitar tambm o tamanho das
mensagens originadas na rede B.
Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos.
Contextos nada mais so que configuraes diferenciadas para os proxies
transparentes de modo a possibilitar comportamentos diferentes para conexes
distintas.
No exemplo acima, poderia criar dois contextos: um para ser usado em conexes de
B para A e outro de C para A.
Os proxies do Aker Firewall
O Aker Firewall implementa proxies transparentes para os servios FTP, Telnet,
SMTP, POP3, HTTP, HTTPS, RPC, DCE-RPC, SIP, H323, MSN e proxies no
transparentes para os servios acessados atravs de um browser WWW (FTP,
Gopher, HTTP e HTTPS) e para clientes que suportem o protocolo SOCKS. Para
utilizar os proxies no transparentes necessrio um cliente que possa ser
configurado para tal. Dentre os clientes que suportam este tipo de configurao,
pode-se citar o Mozilla Firefox (Tm) e o Internet Explorer(Tm).
Os proxies transparentes podem ser utilizados tanto para controlar acessos
externos s redes internas quanto acessos de dentro para fora. Os proxies no
transparentes somente podem ser usados de dentro para fora.
O Aker Firewall permite ainda implementar Proxies criados pelo usurio que so
proxies criados por terceiros utilizando a API de desenvolvimento que a Aker
Security Solutions prov. O objetivo possibilitar que instituies que possuam
protocolos especficos possam criar suporte no firewall para estes protocolos.
Os autenticadores do Aker Firewall
Os proxies SOCKS, Telnet e WWW do Aker Firewall suportam autenticao de
usurios, isto , podem ser configurados para s permitir que uma determinada
sesso seja estabelecida caso o usurio se identifique para o firewall, atravs de um
nome e uma senha, e este tenha permisso para iniciar a sesso desejada.
453
454
21.2.
455
456
Onde pid o nmero do processo do agente de autenticao. Para ser obtido este
nmero, pode-se executar o comando.
457
458
459
Pasta de log
460
Depurao
Azul
Informao
Amarelo
Notcia
Vermelho
Advertncia
Preto
Erro
Caso no queira que uma determinada prioridade de mensagens seja gerada, basta
desmarcar a opo a sua esquerda.
A opo Usar visualizador de eventos, se estiver marcada, faz com que as
mensagens sejam enviadas para o visualizador de eventos do Windows.
Aker Security Solutions
461
Pasta de sobre
Esta uma pasta meramente informativa e serve para obter algumas informaes
do cliente. Dentre as informaes teis se encontram sua verso e release.
Remoo do agente de autenticao para Windows Servertm
Para facilitar a remoo do agente de autenticao para NT, existe um utilitrio que
a realiza automaticamente. Para inici-lo, deve-se clicar no menu Iniciar, selecionar
o grupo Firewall Aker e dentro deste grupo a opo Remover agente de
autenticao. Ao ser feito isso, ser mostrada uma janela de confirmao.
Caso deseje desinstalar o agente, deve-se clicar no boto Sim, caso contrrio,
deve-se clicar no boto No, que cancelar o processo de remoo.
462
Configurando parmetros de
autenticao
463
22.
464
465
466
4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu abaixo:
467
Para alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte
forma:
1. Clicar na regra a ser movida de posio;
2. Arrastar para a posio desejada.
A ordem das associaes na lista de fundamental importncia. Quando um
usurio se autenticar, o Aker Firewall pesquisar a lista a partir do incio procurando
pelo nome desse usurio ou por um grupo de que ele faa parte. To logo um
desses seja encontrado, o perfil associado ao mesmo ser utilizado.
Aba Mtodos
468
469
470
471
3. Clique em Incluir;
4. Pode-se tambm clicar em uma autoridade certificadora e arrast-la para
posio desejada
Para remover uma autoridade certificadora da lista de autoridades confiveis, devese proceder da seguinte forma:
1. Selecionar a autoridade a ser removida e apertar a tecla delete ou
2. Clicar no boto direito do mouse sobre a entidade a ser removida e escolher
a opo Apagar
Habilitar autenticao por token: Essa opo indica se o firewall aceitar ou no a
autenticao de usurios por meio de tokens. Caso ela esteja ativa, deve-se configurar o
nome do autenticador token a ser consultado para validar os dados recebidos.
472
Estes parmetros indicam que tipos de autenticao sero aceitas nos proxies e em
que ordem sero validadas. Isso importante pois quando um usurio autenticado
atravs de um browser, por exemplo, no possvel que ele especifique se est
utilizando token ou usurio/senha. As opes possveis de configurao so:
Autenticao Token antes da autenticao usurio/senha;
Autenticao usurio/senha antes da autenticao Token;
Autenticao Token somente;
Autenticao usurio/senha somente;
473
Nessa pasta, pode cadastrar uma srie de usurios e associar um grupo a cada um
deles. Se a opo de usar a base local de usurios estiver habilitada, ento esses
usurios tambm sero verificados como se estivessem em um autenticador
remoto. Eles compem o autenticador local.
Para incluir um usurio, clique com o boto da direita e escolha inserir, ou ento use
o toolbar e clique no boto inserir. Pode-se usar o boto Inserir no seu teclado.
Para alterar o nome do usurio e seu nome completo, basta dar um duplo clique no
campo correspondente:
474
Para alterar a senha ou o grupo a que est associado o usurio, use o menu de
contexto sobre o item, clicando com o boto direito do mouse.
475
Grupos vazios no sero mantidos pelo firewall, apenas aqueles que contiverem
ao menos um usurio.
476
preciso escolher uma entidade rede ou uma entidade mquina, que definiro a
origem do trfego e associ-las ao perfil, de forma que o trfego originrio dessas
entidades no precisar de autenticao por usurio.
O Acesso por IP estar habilitado sempre que houver pelo menos uma regra
habilitada nesta aba.
477
Aba NTLM
478
Autenticao
Usurio: usurio com privilgios de administrao do domnio para
integrao.
Senha: senha do usurio citado acima.
Status/Atualizar status: Informa o status da integrao e logs em caso de falhas.
479
22.2.
480
481
482
23.
23.1.
Planejando a instalao
Os perfis de acesso do Aker Firewall definem quais pginas WWW podem ser
visualizadas e quais tipos de servio podem ser acessados. Para cada pgina
Aker Security Solutions
483
484
A janela de Perfis
485
Inserir perfil filho: Incluir um novo perfil que filho do perfil atual, i.e.,
estabelece uma hierarquia de perfis.
Inserir: Permitir a incluso de um novo perfil na lista.
Copiar: Copiar o perfil selecionado para uma rea temporria.
Colar: Copiar o perfil da rea temporria para a lista.
Excluir: Remover da lista o perfil selecionado.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas, bem como a opo de relatrio dos Perfis, todos localizados logo
acima da lista. Neste caso, primeiro selecionam-se os itens para relatrio, e em
seguida indica o caminho e clique no boto Gerar.
Relatrio dos perfis: Gera relatrio da lista de perfis em um documento HTML.
Recomenda-se a no utilizao de caracteres especiais (espaos, traos, sinais,
acentos, aspas e etc..) na criao ou edio dos "perfis de acesso" do Firewall,
exemplo: "Perfil Administrao", a forma correta "Perfil_Administracao.
Para excluir um perfil de acesso, ele no poder estar associado a nenhum
usurio (para maiores informaes veja o tpico Associando Usurios com Perfis
de Acesso)
O perfil filho, criado com a opo Inserir perfil filho herdar automaticamente as
configuraes do perfil pai.
Na parte superior de ambas as pastas se encontram o campo Nome, que serve
para especificar o nome que identificar unicamente o perfil de acesso. Este nome
ser mostrado na lista de perfis e na janela de controle de acesso. No podem
existir dois perfis com o mesmo nome.
Cada perfil de acesso composto de sete tpicos diferentes. Dependendo do tpico
selecionado em um momento, a parte direita da janela mudar de modo a mostrar
as diferentes opes. Os tpicos de configurao so:
486
23.3.
Regras
487
23.4.
Regras SOCKS
488
23.5.
Geral
489
23.6.
FTP e GOPHER
490
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Excluir: Remover da lista a regra selecionada.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Desabilitar: Ativar ou desativar a regra selecionada na lista.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posio desejada, soltando em seguida. Observe que o cursor
de indicao do mouse ir mudar para uma mo segurando um basto.
A ordem das regras na lista de regras de filtragem de fundamental importncia.
Ao receber uma solicitao de acesso a um endereo, o firewall pesquisar a lista a
partir do incio, procurando por uma regra na qual o endereo se encaixe. To logo
uma seja encontrada, a ao associada a ela ser executada.
Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa
ser feita e, o texto a ser pesquisado. As seguintes opes operao esto
disponveis:
CONTM: A URL deve conter o texto informado em qualquer posio.
NO CONTM: A URL no pode conter o texto informado.
: O contedo da URL deve ser exatamente igual ao texto informado.
NO : O contedo da URL deve ser diferente do texto informado.
COMEA COM: O contedo da URL deve comear com o texto informado.
NO COMEA COM: O contedo da URL no pode comear com o texto
informado.
TERMINA COM: O contedo da URL deve terminar com o texto informado.
NO TERMINA COM: O contedo da URL no pode terminar com o texto
informado.
EXPRESSO REGULAR: O campo a ser pesquisado dever ser uma expresso
regular.
Seguem as definies dos campos da janela:
N: Nmero da regra de filtragem.
Aker Security Solutions
491
Limite de busca: Esse campo permite escolher em qual parte da URL ser feito a
busca, sendo que os parmetros a serem pesquisados foram definidos no campo
Text Patterns.
Padres de texto: Ao clicar com o boto direito do mouse nesse campo, permite
selecionar uma entidade lista de padres criada
anteriormente. Com isso, ser
possvel associar a regra uma entidade padro de pesquisa, permitindo definir
qual ser a string ou
os parmetros que sero pesquisados na URL acessada e
qual operao a ser efetuada.
Ao: Define a ao a ser executado caso o endereo que o usurio desejou
acessar no se encaixe em nenhuma regra de filtragem.
Consiste em
duas opes.
Permitir: Se esta opo for a selecionada, ento o firewall aceitar as URLs que
no se enquadrarem em nenhuma regra.
Bloquear: Se esta opo for a selecionada, ento o firewall rejeitar as URLs que
no se enquadrarem em nenhuma regra.
Categorias: Nesse campo, permite associar alguma entidade categoria regra que
est sendo criada.
Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de
determinados servios, mquinas, redes e/ou usurios.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos pelos
funcionrios, com acesso sites da WEB. Assim as quotas so os limites em
termos de tempo de acesso e volume de dados, por usurio. Nessa opo permite
associar ao usurio alguma entidade quota criada.
Time: Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo:
Permite definir que nas segundas-feiras e nas quartas-feiras o usurio ter acesso a
internet somente das 12:00 s 14:00.
Perodo de Validade: Perodo de validade e aplicao da regra. definido em ms
e ano.
492
23.7.
HTTP/HTTPS
Aba Geral
493
incmodas para alguns ambientes. Ela possui quatro opes que podem ser
selecionadas independentemente: Javascript, Java e ActiveX.
A filtragem de Javascript, Java e ActiveX feita de forma com que a pgina
filtrada seja visualizada como se o browser da mquina cliente no tivesse suporte
para a(s) linguagem(ns) filtrada(s). Em alguns casos, isto pode fazer com que as
pginas percam sua funcionalidade.
Bloqueio de Banners: Esta opo realiza o bloqueio de banners publicitrios
em pginas Web. Caso ela esteja marcada, o firewall substituir os banners por
espaos vazios na pgina, diminuindo o seu tempo de carga.
Uma vez configurado que se deve realizar o bloqueio, o mesmo ser feito atravs
de regras globais, iguais para todos os perfis. Para configurar estas regras de
bloqueio de banners, basta:
494
Esta janela formada por uma srie de regras no formado de expresso regular.
Caso uma URL se encaixe em qualquer regra, a mesma ser considerada um
banner e ser bloqueada.
A pasta de filtragem HTTP/HTTPS permite a definio de regras de filtragem de
URLs para os protocolos HTTP/HTTPS. Ela consiste de uma lista onde cada regra
mostrada em uma linha separada.
O protocolo HTTPS, para a URL inicial filtrado como se fosse o protocolo HTTP.
Alm disso, uma vez estabelecida comunicao no mais possvel para o
firewall filtrar qualquer parte de seu contedo, j que a criptografia realizada
diretamente entre o cliente e o servidor.
495
Na parte inferior da pasta existe um grupo que define a ao a ser executado caso o
endereo que o cliente desejou acessar no se encaixe em nenhuma regra de
filtragem. Este grupo chamado de Ao padro para o protocolo e consiste de
trs opes.
Permitir: Se esta opo for a selecionada, ento o firewall aceitar as URLs que
no se enquadrarem em nenhuma regra.
Bloquear: Se esta opo for a selecionada, ento o firewall rejeitar as URLs que
no se enquadrarem em nenhuma regra.
Para executar qualquer operao sobre uma determinada regra, basta clicar sobre
ela e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes
opes esto disponveis:
496
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Excluir: Remover da lista a regra selecionada.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Desabilitar: Ativar ou desativar a regra selecionada na lista.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posio desejada, soltando em seguida. Observe que o cursor
de indicao do mouse ir mudar para uma mo segurando um basto.
A ordem das regras na lista de regras de filtragem WWW de fundamental
importncia. Ao receber uma solicitao de acesso a um endereo, o firewall
pesquisar a lista a partir do incio, procurando por uma regra na qual o endereo se
encaixe. To logo uma seja encontrada, a ao associada a ela ser executada.
Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa
ser feita e, o texto a ser pesquisado. As seguintes opes operao esto
disponveis:
CONTM: A URL deve conter o texto informado em qualquer posio.
NO CONTM: A URL no pode conter o texto informado.
: O contedo da URL deve ser exatamente igual ao texto informado.
NO : O contedo da URL deve ser diferente do texto informado.
COMEA COM: O contedo da URL deve comear com o texto informado.
NO COMEA COM: O contedo da URL no pode comear com o texto
informado.
TERMINA COM: O contedo da URL deve terminar com o texto informado.
NO TERMINA COM: O contedo da URL no pode terminar com o texto
informado.
EXPRESSO REGULAR: O campo a ser pesquisado dever ser uma expresso
regular.
Seguem as definies dos campos da janela:
N: Nmero da regra de filtragem.
Limite de busca: Esse campo permite escolher em qual parte da URL ser feito
a busca, sendo que os parmetros a serem
pesquisados foram definidos
no campo Text Patterns.
Padres de texto: Ao clicar com o boto direito do mouse nesse campo, permite
selecionar uma entidade lista de padres criada anteriormente. Com isso, ser
possvel associar a regra uma entidade padro de pesquisa, permitindo definir
qual ser a string ou os parmetros que sero pesquisados na URL acessada
e qual operao a ser efetuada.
Ao: Define a ao a ser executado caso o endereo que o usurio desejou
acessar no se encaixe em nenhuma regra de filtragem.
Consiste em
duas opes.
Aker Security Solutions
497
Permitir: Se esta opo for a selecionada, ento o firewall aceitar as URLs que
no se enquadrarem em nenhuma regra.
Bloquear: Se esta opo for a selecionada, ento o firewall rejeitar as URLs
que no se enquadrarem em nenhuma regra.
Categorias: Nesse campo, permite associar alguma entidade categoria regra
que est sendo criada.
Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de
determinados servios, mquinas, redes e/ou usurios.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos
pelos funcionrios, com acesso sites da WEB. Assim as quotas so os
limites em termos de tempo de acesso e volume de dados, por usurio. Nessa
opo permite associar ao usurio alguma entidade quota criada.
Time:Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo:
Permite definir que nas segundas-feiras e nas
quartas- feiras o usurio
ter acesso a internet somente das 12:00 s 14:00.
Perodo de Validade: Perodo de validade e aplicao da regra. definido em
ms e ano.
Aba Arquivos Bloqueados
498
Especificar os arquivos que sero bloqueados pelo perfil juntamente com o Filtro
Web.
possvel utilizar dois critrios complementares para decidir se um arquivo
transferido deve ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um
destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre
aqueles a serem bloqueados, ento o arquivo dever ser bloqueado pelo firewall.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo
e o segundo indica o subtipo. O navegador usa esta informao para decidir como
mostrar a informao que ele recebeu do mesmo modo como o sistema operacional
usa a extenso do nome do arquivo.
Sites Excludos:
Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se
enquadrarem na lista de excludos no sero analisados.
As escolhas dos operadores podem ser vistas abaixo:
499
URL Bloqueada:
Permitir a configurao de qual ao deve ser executada pelo firewall quando um
usurio tentar acessar uma URL no permitida. Ela consiste das seguintes: opes:
Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo, o
firewall mostrar uma mensagem de erro informando que a URL que se
tentou acessar se encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opo, o firewall
redirecionar todas as tentativas de acesso a URLs bloqueadas para uma
URL especificada pelo administrador. Nesse caso, deve-se especificar a URL
para quais os acessos bloqueados sero redirecionados (sem o prefixo
http://) no campo abaixo.
Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio,
quando a tentativa de acesso a uma URL for bloqueada. Ento pode-se optar
em mostrar a pgina padro ou redirecionar para a pgina escolhida, que
ser personalizada de acordo com os chekboxs selecionados. Segue abaixo
a descrio de cada opo e o detalhamento das variveis criadas.
Cada um desses checkbox selecionado, um parmetro. Isso utilizado para
identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina
foi bloqueada porque caiu em alguma categoria, passar por parmetro qual a
categoria que causou o bloqueio da pgina.
Domnio: Ao selecionar essa opo ser mostrada o domnio da URL.
Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br.
Ao selecionar o domnio, criada a varivel domain.
Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT,
POST. Ao selecionar o Mtodo criada a varivel method.
Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar
essa opo criada a varivel perfil.
Ip do usurio: Endereo IP do usurio que tentou acessar a URL que foi
bloqueada. Ao selecionar o Mtodo criada a varivel ip.
Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa
opo ser mostrada a razo do bloqueio do site. Por exemplo, temos as
seguintes razes:
"categoria da URL",
"regra de bloqueio",
"quota bytes excedidos",
"quota bytes insuficientes",
"quota tempo excedido",
Aker Security Solutions
500
501
23.8.
Secure Roaming
Aba Configurao
502
503
504
23.9.
Esta pasta permite configurar os servios para que possam ser acessados atravs
de Proxy SSL e/ou VPN SSL pelos usurios que se enquadrarem neste perfil de
acesso. Seu formato exatamente igual janela de regras de filtragem com as
excees de que no se deve especificar entidades origem para a regra e de que
nem todas as opes esto disponveis (acumulador, canal, etc). Aqui tambm
possvel trabalhar com Polticas de Regras de Filtragem. (para maiores informaes,
consulte o captulo intitulado O Filtro de Estados).
N.: Nmero da regra de filtragem.
Destino: Nesta coluna pode-se controlar o destino da conexo.
Servios: Permite indicar a porta de comunicao do protocolo.
Tipo: Indica o tipo de conexo SSL. Pode ser direta ou por meio do applet.
A conexo direta denominada Proxy Reverso SSL, que possibilita a utilizao de
certificados X.509 com tamanhos de chaves 1024, 2048 ou 4096 bits. O Cliente abre
uma conexo SSL com o Firewall e o Firewall abre uma conexo normal com o
servidor.
505
Na conexo via applet o cliente abre uma conexo via SSL com o Firewall por meio
de uma pgina WEB. O Firewall disponibiliza um applet de redirecionamento que o
cliente ir baix-lo em sua mquina. Esse applet inicia uma conexo com o Firewall
via SSL e o Firewall inicia uma conexo com o servidor.
506
507
23.10.
MSN Messenger
508
Permite notificaes do Hotmail: Esta opo (que s estar ativa caso o acesso
filtrado ao MSN Messenger tenha sido selecionado) permite que o usurio receba
notificaes de mensagens disponveis no Hotmail.
Incluir conversas nos registros de log: Esta opo registrar todas as conversas
entre os usurios.
Bloquear verso: Estas opes permitem que sejam bloqueadas as verses
especficas do cliente MSN Messenger.
Caso tenha selecionado a opo de acesso controlado ao Messenger, necessrio
criar uma ou mais regras para definir que tipo de acesso ser permitido. Para
executar qualquer operao sobre uma regra, basta clicar sobre ela com o boto
direito e a seguir escolher a opo desejada no menu que ir aparecer. As
seguintes opes esto disponveis:
Figura 341. Menu (inserir/desabilitar) para executar qualquer operao sobre a regra.
509
510
23.11.
Filtros de Aplicao
Essa pasta permite configurar as regras para filtros de aplicao. Estas regras
permitem, por exemplo, que determinados tipos de arquivos sejam bloqueados de
acordo com seu tipo real, independentemente de sua extenso ou protocolo que
esteja sendo utilizado para envi-los. possvel tambm ao invs de bloquear,
simplesmente mudar a prioridade de um servio ou tipo de arquivo sendo
transmitido.
Uma das grandes utilizaes destes filtros para otimizar o acesso Internet.
possvel, por exemplo, que todos os usurios tenham um acesso rpido a Internet,
porm quando estes tentarem baixar arquivos cujos tipos no sejam considerados
importantes, i.e, mp3, vdeos, etc, a conexo sendo utilizada para transferir estes
arquivos automaticamente fique com uma largura de banda bastante reduzida.
Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o
boto direito e a seguir escolher a opo desejada no menu que ir aparecer. As
seguintes opes esto disponveis:
Figura 343. Menu (inserir/desabilitar) para executar qualquer operao sobre a regra.
Aker Security Solutions
511
512
23.12.
Uma vez que os perfis de acesso esto criados, torna-se necessrio associ-los
com usurios e grupos de um ou mais autenticadores ou autoridades certificadoras
do firewall. Isto feito atravs da janela de controle de acesso.
Para ter acesso a janela de controle de acesso deve-se:
513
514
4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu abaixo:
515
516
517
Autenticao de Usurios
518
24.
Autenticao de Usurios
Este captulo mostrar o que o Cliente de Autenticao Aker e para que serve
essa ferramenta que propicia grande nvel de segurana.
24.1.
519
Figura 350. Usurios conectados (mquina, nome, domnio, perfil, inicio, TPC e n de usurios
conectados.)
Esta janela consiste de uma lista com uma entrada para cada usurio. Na parte
inferior da janela mostrada uma mensagem informando o nmero total de usurios
com sesses estabelecidas um determinado instante. Para os usurios logados via
Secure Roaming, sero mostrados tambm os dados da conexo (endereo IP e
portas) junto com o estado de estabelecimento da mesma.
O boto OK faz com que a janela de usurios seja fechada.
O boto Cancelar fecha a janela.
A caixa Itens selecionados no topo coloca os itens que foram selecionados
para o topo da janela de usurios conectados.
Barra de Ferramentas de Usurios Conectados:
520
521
Perfil: Qual o perfil de acesso correspondente a esta sesso. Se este campo est
em branco, o usurio se autenticou antes de a tabela de perfis ser alterada, de
forma que ele est utilizando um perfil que no existe mais.
Incio: Hora de abertura da sesso.
24.2.
522
523
524
25.
525
O corpo composto pela mensagem propriamente dita, da forma com que foi
produzida pelo emissor.
Ataques contra um servidor SMTP
Existem diversos ataques passveis de serem realizados contra um servidor SMTP.
So eles:
Ataques explorando bugs de um servidor
Neste caso, o atacante procura utilizar um comando ou parmetros de um
comando que conhecidamente provocam falhas de segurana.
O proxy SMTP do Aker Firewall impede estes ataques na medida em que s
permite a utilizao de comandos considerados seguros e validando os
parmetros de todos os comandos.
Ataques explorando estouro de reas de memria (buffer overflows)
Estes ataques consistem em enviar linhas de comando muito grandes, fazendo
com que um servidor que no tenha sido corretamente desenvolvido apresente
falhas de segurana.
O proxy SMTP do Aker Firewall impede estes ataques na medida em que limitam
o tamanho mximo das linhas de comando que podem ser enviadas para o
servidor.
Ataques de relay
Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar
suas mensagens de correio eletrnico. Desta forma, utiliza-se os recursos
computacionais que deveriam estar disponveis para requisies vlidas.
O proxy SMTP do AkerFirewall impede ataques de relay desde que corretamente
configurado.
Utilizando o proxy SMTP
526
25.1.
527
Aba Geral
528
E-mail padro: Indica o endereo de e-mail padro, para o qual sero enviadas as
cpias das mensagens que no se enquadrarem em nenhuma regra SMTP deste
contexto (se a opo Envia Cpia de todas as mensagens estiver marcada). Este email tambm pode ser referenciado em qualquer regra de filtragem do contexto.
Aba de Relay
Esta pasta serve para especificar uma lista de domnios vlidos para recebimento
de e-mails. E-mails destinados a quaisquer domnios no listados sero rejeitados
antes mesmo que se comece sua transmisso.
Caso a lista de domnios esteja em branco o firewall no far controle de relay,
ou seja, aceitar e-mails destinados a quaisquer domnios.
Diferentemente do controle de relay de servidores SMTP, o firewall apenas pode
basear seu controle no destinatrio dos e-mails, e no no remetente, uma vez que
no possui a lista de usurios vlidos do servidor SMTP protegido.
529
Aba de Regras
530
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Editar: Abrir a janela de edio para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a
regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
A ordem das regras na lista de regras de filtragem SMTP de fundamental
importncia. Ao receber uma mensagem, o firewall pesquisar a lista a partir do
incio procurando uma regra na qual a mensagem se enquadre. To logo uma seja
encontrada, a ao associada a ela ser executada.
No caso de incluso ou edio de regras, ser mostrada a janela de edio,
mostrada abaixo:
531
532
Campo: Definir o nome do campo dentro da mensagem SMTP onde ser feita a
pesquisa. Ele pode assumir um dos seguintes valores (alguns valores so
mostrados em ingls devido ao fato de serem nomes de campos fixos de uma
mensagem):
NENHUM: No ser feita pesquisa.
PARA (Todos): A pesquisa feita no endereo de destino da mensagem (todos
os recipientes devem se encaixar na regra).
PARA (Qualquer): A pesquisa feita no endereo de destino da mensagem
(pelo menos um recipiente deve se encaixar na regra).
DE: A pesquisa feita no endereo de origem da mensagem.
CC: A pesquisa realizada sobre a lista de endereos que iro receber uma
cpia da mensagem.
REPLY-TO: A pesquisa feita no campo REPLY-TO, que indica o endereo
para o qual a mensagem deve ser respondida.
ASSUNTO: A pesquisa feita no campo que define o assunto da mensagem.
CABEALHO: A pesquisa realizada sobre todos os campos que compem o
cabealho da mensagem.
CORPO: A pesquisa feita no corpo da mensagem (onde existe efetivamente a
mensagem).
Os campos TO e CC so tratados de forma diferente pelo proxy SMTP: o campo
TO tratado com uma lista dos vrios recipientes da mensagem, retirados do
envelope da mensagem. O campo CC tratado como um texto simples, retirado do
cabealho da mensagem, e sua utilidade bastante limitada.
Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. So elas:
CONTM: O campo a ser pesquisado deve conter o texto informado em
qualquer posio.
NO CONTM: O campo a ser pesquisado no pode conter o texto informado.
: O contedo do campo a ser pesquisado deve ser exatamente igual ao texto
informado.
NO : O contedo do campo a ser pesquisado deve ser diferente do texto
informado.
COMEA COM: O contedo do campo a ser pesquisado deve comear com o
texto informado.
NO COMEA COM: O contedo do campo a ser pesquisado no pode
comear com o texto informado.
TERMINA COM: O contedo do campo a ser pesquisado deve terminar com o
texto informado
NO TERMINA COM: O contedo do campo a ser pesquisado no pode
terminar com o texto informado.
CONTM PALAVRAS: Neste tipo de pesquisa, o texto informado considerado
como formado por palavras individuais (separadas por espaos), ao invs de um
texto contnuo. Para se enquadrar na pesquisa, o campo em questo deve
conter todas as palavras informadas, independente de sua posio.
Aker Security Solutions
533
Texto: Texto a ser pesquisado. Este campo tratado como um texto contnuo que
ser comparado com o campo especificado, exceto no caso da pesquisa CONTM
PALAVRAS, quando ele tratado como diversas palavras separadas por espaos.
Em ambos os casos, letras maisculas e minsculas so consideradas como
sendo iguais.
Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma,
possvel definir at 3 condies distintas que uma mensagem deve cumprir para que
seja enquadrada pela regra. Caso no queira especificar trs condies, basta
deixar as demais com o valor NENHUM no parmetro campo.
Ativao dos filtros: Este campo s tem sentido quando especifica mais de uma
condio. Ele indica que tipo de operao ser usada para relacion-las:
Somente se todos so verdadeiros: Para que uma mensagem enquadre na
regra, necessrio que ela satisfaa todas as condies.
Se qualquer um for verdadeiro: Para que uma mensagem enquadre na regra,
basta ela satisfazer uma das condies.
Ao: Este campo indica se as mensagens que se enquadrarem na regra devem
ser aceitas ou rejeitadas pelo proxy SMTP.
Registrar na lista de eventos: Este campo indica se as mensagens que se
enquadrarem na regra devem ou no ser registradas na lista de eventos.
Enviar cpia: Para toda mensagem que se enquadrar na regra,
independentemente de ter sido aceita ou rejeitada, possvel enviar uma cpia
completa dela para um endereo de e-mail qualquer. Este campo indica se deve ou
no ser enviada esta cpia. Caso ele esteja marcado, deve-se escolher uma das
seguintes opes de envio:
Padro: A cpia da mensagem enviada para o e-mail padro.
e-mail: A cpia da mensagem enviada para o endereo especificado no campo
direita.
534
Aba de DNS
535
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Editar: Abrir a janela de edio para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a
regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
No caso de incluso ou edio de regras, ser mostrada a janela de edio,
mostrada abaixo:
A janela de edio de regras DNS reverso
536
537
538
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Editar: Abrir a janela de edio para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a
regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
A ordem das regras na lista de regras de filtragem de arquivos anexados de
fundamental importncia. Para cada arquivo anexado de uma mensagem, o firewall
pesquisar a lista a partir do incio procurando uma regra na qual ele se enquadre.
To logo uma seja encontrada, a ao associada a ela ser executada.
No caso de incluso ou edio de regras, ser mostrada a janela de edio,
mostrada abaixo:
539
540
Filtrar por nome: Permitir a realizao de filtragens a partir (de parte) do nome, do
arquivo anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser
efetuada e o texto a ser pesquisado. Estes campos so anlogos aos campos de
mesmo nome da regra de filtragem SMTP, descrita acima.
Operador de pesquisa: Este campo anlogo ao campo de mesmo nome da regra
de filtragem SMTP, descrita acima.
Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se
enquadrar na regra. Ela consiste de trs opes:
Aceita o anexo: Se essa opo for selecionada o firewall ir manter o arquivo
anexado na mensagem.
Remove o anexo: Se essa opo for selecionada o firewall ir remover o arquivo
anexado da mensagem.
Descarta mensagem: Se essa opo for selecionada o firewall recusar a
mensagem completa.
Remove anexo infectado: Se essa opo for selecionada o firewall ir verificar
o arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall
tomar uma das seguintes aes: se o arquivo puder ser desinfectado, o vrus
ser removido e o arquivo re-anexado mensagem. Caso o arquivo no possa
ser desinfectado, o firewall o remover e acrescentar uma mensagem
informando ao destinatrio desse fato.
Descarta mensagem infectada: Se essa opo for selecionada o firewall ir
verificar o arquivo anexado da mensagem contra vrus. Caso exista vrus o
firewall tomar uma das seguintes aes: se o arquivo puder ser desinfectado, o
vrus ser removido e o arquivo re-anexado mensagem. Caso o arquivo no
possa ser desinfectado, o firewall recusar a mensagem.
Recomenda-se utilizar as aes que removem os arquivos anexados nos emails
recebidos pela companhia e as que bloqueiam a mensagem por completo nas
regras aplicadas aos emails que saem.
Remove arquivos encriptados: Se essa opo estiver marcada, o firewall
remover os arquivos anexados que estejam cifrados, de forma que no possam ser
checados quanto a presena de vrus.
Remove arquivos corrompidos: Se essa opo estiver marcada, o firewall
remover os arquivos anexados que estejam corrompidos.
Notifica emissor no caso de remoo do arquivo anexado: Se essa opo
estiver marcada, o firewall enviar uma mensagem para o emissor de um e-mail
todas as vezes que um ou mais de seus arquivos anexados for removido.
Envia cpia para o administrador do arquivo anexado for removido: Se essa
opo estiver marcada, o firewall enviar uma cpia de todos os arquivos removidos
541
para o administrador. Caso ela esteja marcada, deve-se escolher uma das
seguintes opes de envio:
Padro: A cpia da mensagem enviada para o e-mail padro.
E-mail: A cpia da mensagem enviada para o endereo especificado no
campo direita.
Aba RBL (Real-time Black List)
542
543
544
Nveis de Spam: Este controle permite a definio de dois limites de notas (entre 0
e 100) para a filtragem de mensagens: Limite 1 e Limite 2.
Limite 1: Define o limite, faixa verde, at o qual as mensagens so consideradas
como no SPAM.
Limite 2: Define, junto com o Limite 1, as faixas amarelas e vermelhas. A faixa
amarela indica e-mails que potencialmente so SPAM mas que o SPAM Meter no
tem certeza suficiente. A faixa vermelha indica mensagens que foram consideradas
SPAM.
Deteco de SPAM aprimorada: Se esta opo estiver selecionada o Spam Meter
tentar detectar a maior quantidade possvel de mensagens SPAM, com o
inconveniente de eventualmente poder gerar mais falsos positivos, ou seja,
mensagens que seriam vlidas classificadas como potenciais SPAM.
Reduo de Falso-positivo: Se esta opo estiver selecionada, o Spam Meter
tentar reduzir ao mximo os falsos positivos, com o inconveniente de
eventualmente classificar como inofensiva uma mensagem que seria SPAM.
Ao: Este campo indica as aes que devem ser executadas pelas mensagens
que se enquadrarem em cada uma das reas definidas pelos limites 1 e 2. As
seguintes opes esto disponveis:
Aceitar: As mensagens que se enquadrarem nesta faixa sero aceitas sem
qualquer modificao. Normalmente esta ao associada faixa verde.
Descartar: As mensagens que se enquadrarem nesta faixa sero descartadas pelo
firewall, isto , elas sero recebidas por ele e o servidor que as enviou ser
informado do sucesso no envio, no entanto elas nunca sero reenviadas aos
usurios que as deveriam receber. Esta ao deve ser utilizada apenas na faixa
vermelha e seu objetivo impedir que potenciais emissores de SPAM saibam se
conseguiram ou no enviar suas mensagens.
Rejeitar: As mensagens que se enquadrarem nesta faixa sero rejeitadas pelo
firewall, isto , o servidor que as enviou ser informado que elas foram recusadas e
que ele no deve tentar envi-las novamente. Esta ao deve ser utilizada apenas
na faixa vermelha.
Adicionar assunto: As mensagens que se enquadrarem nesta faixa sero aceitas
porm tero seu assunto precedido de um texto qualquer definido pelo
administrador. O campo direita serve para o administrador definir o texto que ser
adicionado ao assunto. Esta ao normalmente utilizada na faixa amarela, mas
pode tambm ser utilizada na vermelha. A idia configurar um filtro, para o texto a
ser adicionado, nos leitores de e-mail de modo a fazer com que as mensagens
suspeitas ou consideradas SPAM sejam automaticamente separadas em uma outra
caixa postal.
Aker Security Solutions
545
546
547
Aba Avanado
548
549
550
26.
551
552
553
554
555
556
27.
27.1.
557
558
conexes sero informados que o limite foi atingido e que devem tentar novamente
mais tarde.
Tempo limite de inatividade: Definir o tempo mximo, em segundos, que o proxy
pode ficar sem receber dados da sesso FTP e ainda consider-la ativa.
O valor deste campo deve ser menor ou igual ao valor configurado no campo
Tempo limite TCP, nos parmetros de configurao globais. (para maiores
informaes, veja o captulo intitulado Configurando os parmetros do sistema.
Esta janela permite a criao de uma lista de regras que podero ser aceitas ou
no, de acordo com cone na coluna Ao que tero as opes Aceita ou Rejeita.
Para poder inserir um comando na coluna FTP necessrio clicar com o boto
direito dentro do componente e selecionar a opo inserir, assim depois de inserida
a regra, deve-se clicar na coluna FTP e selecionar a opo desejada ou digitar outro
comando.
559
560
561
28.
562
28.1.
563
564
565
566
Filtrar por nome: Permitir realizar filtragens a partir (de parte) do nome, do arquivo
anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o
texto a ser pesquisado. As seguintes opes de pesquisa esto disponveis:
CONTM: O nome deve conter o texto informado em qualquer posio.
NO CONTM: O nome no pode conter o texto informado.
: O contedo do nome deve ser exatamente igual ao texto informado.
NO : O contedo do nome deve ser diferente do texto informado.
COMEA COM: O contedo do nome deve comear com o texto informado.
NO COMEA COM: O contedo do nome no pode comear com o texto
informado.
TERMINA COM: O contedo do nome deve terminar com o texto informado.
NO TERMINA COM: O contedo do nome no pode terminar com o texto
informado.
CONTM PALAVRAS: Neste tipo de pesquisa, o texto informado considerado
como formado por palavras individuais (separadas por espaos), ao invs de um
texto contnuo. Para enquadrar na pesquisa, o nome deve conter todas as
palavras informadas, independente de sua posio.
Ativao do filtro: Caso tenha especificado filtragem por tipo MIME e por nome,
esse campo permite especificar se a regra deve ser aplicada Somente se ambos
so verdadeiros (valor E) ou Se qualquer um for verdadeiro (valor OU).
Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se
enquadrar na regra. Ela consiste em trs opes:
Aceita o anexo: Ao selecionar essa opo o firewall ir manter o arquivo
anexado na mensagem.
Remove o anexo: Ao selecionar essa opo o firewall ir remover o arquivo
anexado da mensagem.
Remove anexo infectado: Ao selecionar essa opo o firewall ir verificar o
arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall tomar
uma das seguintes aes: se o arquivo puder ser desinfectado, o vrus ser
removido e o arquivo re-anexado mensagem. Caso o arquivo no possa ser
desinfectado, o firewall o remover e acrescentar uma mensagem informando o
destinatrio desse fato.
Caso a caixa Registrar na lista de eventos estiver marcado, quando a regra for
atendida a mesma ser registrada no log de eventos.
Remover arquivos encriptados: Ao selecionar essa opo, o firewall remover os
arquivos anexados que estejam compactados e cifrados, porque no poder
examin-los para testar a presena de vrus.
Remover arquivos corrompidos: Ao selecionar essa opo, o firewall remover os
arquivos anexados que estejam compactados, porm corrompidos, porque no
poder examin-los para testar a presena de vrus.
567
568
Utilizando as Quotas
569
29.
Utilizando as Quotas
Este captulo mostrar como so utilizadas as quotas.
O que so quotas?
A produtividade dos funcionrios de fundamental importncia para o
desenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos de
rede devem ser utilizados de forma racional. A partir dessa necessidade, o Aker
Firewall tornou-se uma ferramenta indispensvel para o controle de acesso s
pginas web, que so visitadas pelos empregados de uma corporao. Com o uso
desse produto, os usurios s tero acesso sites dentro dos limites estabelecidos
pelas quotas de acesso. As Quotas so utilizadas para controlar e racionalizar o
tempo gasto pelos funcionrios, com acesso sites da WEB. Assim as quotas so
os limites em termos de tempo de acesso e volume de dados, por usurio. Estes
limites so definidos na seguinte forma:
Quanto periodicidade de acesso, pode ser definido diariamente, semanalmente
e mensalmente;
Quanto quantidade de horas e de dias disponveis;
Quanto ao volume de dados de bytes trafegados.
Observao 1: A contagem do tempo funciona da seguinte forma: quando o usurio
acessa uma pgina, conta um relgio de 31 segundos, se o usurio acessar uma
outra pgina, comea a contar do zero, mas no deixar de contar, por exemplo, os
10 segundos que o usurio gastou ao acessar a pgina anterior.
Observao 2: Para o consumo de quota, funciona da seguinte forma: no MSN,
para cada janela de conversao, o tempo contato separadamente, j na WEB ser
tiver acessando 10 sites, ser contato somente o tempo de um.
570
29.1.
571
Visualizao do Usurio
572
573
574
575
30.
30.1.
Planejando a instalao
576
Neste tipo de instalao, para assegurar uma total proteo, basta configurar o filtro
de estados (para maiores informaes, veja o captulo intitulado O Filtro de
Estados) de forma a permitir que a mquina com o cache seja a nica que possa
acessar os servios ligados ao WWW, e que as mquinas clientes no possam abrir
nenhuma conexo em direo mquina onde se encontra o cache. Feito isso,
configura-se todas as mquinas clientes para utilizarem o Filtro Web do firewall e
configura-se o firewall para utilizar o cache na mquina desejada.
577
30.2.
578
579
O boto OK far com que a janela de configurao do Filtro Web seja fechada e
as alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas, porm
manter a janela aberta.
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
Aker Security Solutions
580
581
582
fazer a anlise dos dados, por isso que nesses casos, essa opo bastante
importante. O mais aconselhado deixar esta opo desmarcada, pois o
padro da janela.
Logar toda URL aceita: Permite que o Firewall logue todas as URL que so
realizadas um mtodo (GET, POST e etc), sendo assim teremos um volume de
logs muito maior para gerao de relatrios e contabilizao de Quotas.
Exemplo: com esta opo desmarcado o acesso ao endereo
http://www.terra.com.br ser gerado apenas um log informando o acesso ao
portal, j com a opo marcada ser gerado logs para cada GET que o browser
faz para receber todo o site.
Quotas
Interromper a transferncia quando a quota for excedida: Essa opo
permite interromper a transferncia dos arquivos caso a quota tenha excedido.
Caso essa opo no esteja marcada o firewall vai verificar a quota do usurio
antes dele comear a fazer o download.
Exemplo: Se o usurio tiver 50 MB de quota, e quer fazer um download de um
arquivo de 100 MB, com certeza ele no ir
conseguir finalizar
essa transferncia. Todas s vezes que essa opo estiver marcada, e for mais
de um download simultneo ou um download que no foi informado o seu
tamanho, o firewall permite o download, mas ir interromper antes do trmino.
583
584
Esta aba serve para compor o Layout da janela de autenticao do Aker Firewall.
Crie um ttulo para a janela de autenticao.
Autenticao - Este campo composto por duas opes que sero disponibilizadas
para o usurio quando do logon no Firewall; e poder se conectar habilitando:
Mostrar boto S/Key - Esta opo permite que os usurios se autentiquem
usando S/Key.
Mostrar campo domnio - O usurio informar o domnio para logar-se no Filtro
Web.
Logotipo
Usar logo personalizada. Neste caso ao marcar esta opo, ser preciso indicar
o caminho que se encontra a logotipo.
E possvel acompanhar as mudanas na Visualizao.
Mostrar tela de splash antes da janela de autenticao: Esta opo exibe uma
janela com a URL especificada antes de solicitar a autenticao do usurio atravs
do cliente de autenticao em Java.
585
586
Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio,
quando a tentativa de acesso a uma URL for bloqueada. Ento pode optar em
mostrar a pgina padro ou redirecionar para a pgina escolhida, que
ser personalizada de acordo com os chekboxs selecionados. Segue abaixo a
descrio de cada opo e o detalhamento das variveis criadas.
Cada um desses checkbox selecionado um parmetro. Isso utilizado para
identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi
bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria
que causou o bloqueio da pgina.
Domnio: Ao selecionar essa opo ser mostrado o domnio da URL.
Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br.
Ao selecionar o domnio, criada a varivel domain.
Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET,
PUT, POST. Ao selecionar o Mtodo criada a varivel method.
Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar
essa opo criada a varivel perfil.
IP do usurio: Endereo IP do usurio que tentou acessar a URL que foi
bloqueada. Ao selecionar o Mtodo criada a varivel IP.
Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa
opo ser mostrada a razo do bloqueio do site. Por exemplo, temos as
seguintes razes:
"categoria da URL",
"regra de bloqueio",
"quota bytes excedidos",
"quota bytes insuficientes",
"quota tempo excedido",
"tipo de objeto no permitido",
"tipo de arquivo no permitido globalmente",
"tipo de arquivo no permitido no perfil",
"connect para a porta especificada no permitida
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao
selecionar a Categoria criada a varivel cats.
Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao
selecionar o nome do usurio criada a varivel user.
Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou.
Ao selecionar o nmero da regra criada a varivel rule.
Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi
bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url.
No preview, aparece como ser a URL e o que ser enviado via mtodo GET.
587
Arquivos Bloqueados
Especificar os arquivos que sero bloqueados pelo Filtro Web.
possvel utilizar dois critrios complementares para decidir se um arquivo
transferido deve ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um
destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre
aqueles a serem bloqueados, ento o arquivo dever ser bloqueado pelo firewall.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo
e o segundo indica o subtipo. O navegador usa esta informao para decidir como
mostrar a informao que ele recebeu do mesmo modo como o sistema operacional
usa a extenso do nome do arquivo.
588
589
No preview, aparece como ser a URL e o que ser enviado via mtodo
GET.
Downloads
Especificar os arquivos que sero analisados contra vrus pelo Download manager
do Aker Firewall, ou seja, para os quais o firewall mostrar ao usurio uma pgina
web com o status do download do arquivo e realizar seu download em background.
Esta opo interessante para arquivos potencialmente grandes (arquivos
compactados, por exemplo) ou para arquivos que normalmente no so
visualizveis de forma on-line pelo navegador.
possvel utilizar dois critrios complementares para decidir se um arquivo
transferido deve ser analisado: a extenso do arquivo ou seu tipo MIME. Se um
destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre
aqueles a serem analisados, ento o arquivo dever ser analisado pelo firewall.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo
e o segundo indica o subtipo. O navegador usa esta informao para decidir como
mostrar a informao que ele recebeu do mesmo modo como o sistema operacional
usa a extenso do nome do arquivo.
Sites Excludos:
Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se
enquadrarem na lista de excludos no sero analisados.
As escolhas dos operadores podem ser vistas abaixo:
590
Configuraes:
Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo
encriptado.
Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo
corrompido.
Online
Da mesma maneira que em downloads o administrador do firewall deve escolher os
tipos MIME e as extenses.
591
Aba Antivrus
592
593
594
595
596
Ao final de qualquer um dos dois processos escolhidos haver dois arquivos que
sero utilizados no processo do Proxy HTTPS:
1. Arquivo no formato X.509, com extenso .cer;
2. Arquivo no formato PKCS#12, com extenso .pfx.
597
Configurao
O proxy HTTPS ativo habilitado por padro e tem como opo a filtragem do
servio para determinadas portas e entidades.
Controle SSL (proxy Ativo): Permitir a definio das portas de conexo segura
(HTTPS) que sero aceitas pelo firewall. Caso um cliente tente abrir uma conexo
para uma porta no permitida, o firewall mostrar uma mensagem de erro e no
possibilitar o acesso.
Permite HTTPS apenas para a porta padro (443): caso queira utilizar
apenas a porta padro (443), deve-se selecionar a primeira opo. Essa
a configurao a ser utilizada na grande maioria dos firewalls.
Permite HTTPS para todas as portas: indica ao firewall que ele deve
aceitar conexes HTTPS para quaisquer portas. Essa configurao no
recomendada para nenhum ambiente que necessite de um nvel de
segurana razovel, j que possvel para um usurio utilizar o proxy
para acessar servios no permitidos simulando uma conexo HTTPS.
Permite HTTPS para as entidades abaixo: que possibilita ao
administrador definir exatamente quais portas ser permitido. Nesse caso
Aker Security Solutions
598
599
600
601
= .rnd
[ ca ]
default_ca
= CA_default
[ CA_default ]
certs
= certs
crl_dir
= crl
database
= database.txt
new_certs_dir
= certs
certificate = cacert.pem
serial
= serial.txt
crl
= crl.pem
private_key = private\cakey.pem
RANDFILE
= private\private.rnd
default_days
= 365
default_crl_days= 3
default_md = sha1
preserve
= no
policy
= policy_match
[ policy_match ]
commonName
= supplied
emailAddress
= optional
countryName
= optional
stateOrProvinceName
= optional
localityName
= optional
organizationName = optional
organizationalUnitName = optional
[ req ]
default_bits
= 1024
default_keyfile
= privkey.pem
distinguished_name
= req_distinguished_name
[ req_distinguished_name ]
Aker Security Solutions
602
commonName
= Common Name (eg, your website's domain
name)
commonName_max
= 64
emailAddress
= Email Address
emailAddress_max
= 40
countryName
= Country Name (2 letter code)
countryName_min
= 2
countryName_max
= 2
countryName_default
= BR
stateOrProvinceName
= State or Province Name (full name)
localityName
= Locality Name (eg, city)
0.organizationName
= Organization Name (eg, company)
organizationalUnitName
= Organizational Unit Name (eg,
section)
countryName_default
= BR
[ v3_ca ]
certificatePolicies=2.5.29.32.0
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints=critical,CA:TRUE
keyUsage = critical,cRLSign, keyCertSign, digitalSignature
7. Crie o certificado X.509. Este o arquivo que ser utilizado futuramente para
instalao nos clientes:
openssl req -extensions v3_ca -config autoassinado.conf -new -x509 days 3650 -key ca.key -out firewall.cer
603
Porm temos dois arquivos, um para a chave privada e outro para o certificado,
desta forma ser necessrio coloc-los em um nico arquivo no formato PKCS#12,
que o formato reconhecido pelo firewall.
604
Utilizando CA Microsoft:
Este item no demonstra como efetuar a instalao de uma autoridade certificadora
(CA) no Windows, e sim como utilizar uma j instalada, sendo a instalao desta um
pr-requisito para continuidade deste processo.
1. Abra a console de gerenciamento de autoridade certificadora em Start >
Administrative Tools > Certification Authority (Iniciar > Ferramentas
Administrativas > Autoridade de certificao)
605
2. Selecione a sua CA
606
607
6. Selecione um local para salvar o arquivo. Este o arquivo que ser utilizado
futuramente para instalao nos clientes.
7. Nestes prximos passos iremos Exportar o arquivo no formato PKCS#12
para a utilizao no firewall.
8. Volte para a tela principal da autoridade certificadora. Clique com o boto
direito do mouse no nome da CA e clique em All Tasks (Todas as tarefas) e
clique em Back up CA (Fazer Backup da autoridade de cert...)
608
609
10. Nesta tela (baixo) indique a senha de proteo do arquivo PKCS#12. Esta
senha ser utilizada no momento da importao do arquivo PKCS#12 no
firewall.
Aps este processo ser gerado o arquivo PKCS#12 com a chave privada e o
certificado desta CA.
Usar um certificado de CA personalizado em caso de erro no proxy: aqui
possvel importar/exportar CA utilizada quando h erro na validao do certificado
remoto. Quando a opo de utilizar CA de erro desmarcada, a opo de visualizar
a CA de erro fica desabilitada.
Importando certificado X.509 no Windows
A importao deste certificado na base do Windows tem efeito em todos os
aplicativos que consultam esta base como base dos certificados confiveis desta
forma os certificados gerados pelo Filtro Web sero validados nas estaes de
trabalho filtradas, sem apresentar as mensagens de segurana mostradas acima.
Na lista destes aplicativos esto:
Internet Explorer;
Google Chrome;
Windows live messager (MSN).
Aker Security Solutions
610
611
612
613
614
615
616
617
30.3.
Sesses Web
618
619
620
31.
31.1.
Planejando a instalao
621
31.2.
622
623
624
625
32.
626
627
628
Figura 413. Menu de execuo da janela RPC (inseir, apagar, rejeitar ou aceitar).
629
630
Figura 416. Menu de execuo da janela DCE-RPC (inseir, apagar, rejeitar ou aceitar).
631
632
33.
33.1.
Planejando a instalao
633
634
Esta aba define os servios adicionais que podero ser utilizados atravs de uma
conexo MSN. Estes servios podero posteriormente ser controlados a partir das
regras dos perfis de cada usurio.
Para inserir um novo tipo de servio, deve-se clicar com o boto direito e selecionar
a opo Novo.
Para remover um tipo de servio, deve-se clicar com o boto direito sobre o servio
a ser removido e escolher a opo Remover.
635
Para editar qualquer um dos campos de um servio, basta clicar com o boto direito
sobre a coluna cujo valor se deseja alterar e modificar o dado diretamente no menu
que ir aparecer.
possvel adicionar automaticamente vrios servios pr-configurados, bastando
para isso clicar no boto Adicionar Servios Padro, localizado na barra de
tarefas.
Aba Mensagens
Esta aba permite configurar as mensagens que sero mostradas aos usurios
internos e externos quando eles no tiverem permisso de executar uma
determinada ao atravs do proxy messenger.
636
Essa aba controla o acesso dos usurios, por meio da vinculao de um passport a
um perfil.
No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa
entidade ser associada a algum perfil definido no Firewall.
Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usurios
que tiverem o login no MSN terminando por @aker.com.br ir automaticamente cair
no perfil teste.
637
Aba Configuraes
638
Configurando a Filtragem de
Aplicaes
639
34.
34.1.
Planejando a instalao
640
641
Esta janela composta por duas abas, uma com a definio das regras globais da
filtragem de aplicaes e outra que permite a criao dos filtros que sero utilizados
nestas regras e nas regras de filtragem dos perfis de acesso.
O boto OK far com que a janela seja fechada e as alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas, porm
manter a janela aberta.
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
Regras de Filtragem de Aplicao
Esta aba disponibiliza as regras de aplicao que sero utilizadas pelo firewall de
forma global. possvel tambm criar regras especficas para os perfis de acesso
(para maiores informaes veja Cadastrando perfis de acesso).
Estas regras permitem, por exemplo, que determinados tipos de arquivos sejam
bloqueados de acordo com seu tipo real, independentemente de sua extenso ou
protocolo que esteja sendo utilizado para envi-los. possvel tambm ao invs de
bloque-lo, simplesmente mudar a prioridade de um servio ou tipo de arquivo
sendo transmitido.
Aker Security Solutions
642
Uma das grandes utilizaes destes filtros para otimizao do acesso Internet.
possvel, por exemplo, que todos os usurios tenham um acesso rpido a Internet,
porm quando estes tentarem baixar arquivos cujos tipos no sejam considerados
importantes, i.e, mp3, vdeos, etc, a conexo sendo utilizada para transferir estes
arquivos automaticamente fique com uma largura de banda bastante reduzida.
Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o
boto direito e a seguir escolher a opo desejada no menu que ir aparecer. As
seguintes opes esto disponveis:
643
Filtros de Aplicao: Indicar quais os filtros que estaro ativos para as conexes
que forem em direo a um dos destinos especificados na regra e utilizando um dos
servios tambm especificados. A definio dos filtros feita na janela de Filtragem
de Aplicaes. Para maiores informaes veja o captulo Configurando Filtragem
de Aplicaes.
Ao: Indicar a ao que ser tomada pelo firewall caso um dos filtros especificados
seja aplicado. Ela consiste das seguintes opes:
Aceita: Significa que a conexo ser autorizada a passar atravs do firewall.
Rejeita: Significa que a conexo no passar pelo firewall e ser enviado um
pacote de reset para a mquina originria da comunicao.
Descarta: Significa que a conexo no passar pelo firewall, mas no ser enviado
nenhum pacote para a mquina de origem.
Mudar prioridade: Indica que a conexo ser aceita, porm com uma prioridade
diferente, que dever ser especificada na coluna Canal.
Bloqueia origem: Indica que a mquina que originou a conexo dever ser
bloqueada por algum tempo (isso significa que todas as conexes originadas nela
sero recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto
tempo a mquina permanecer bloqueada.
Canal: Esta coluna s estar habilitada caso a ao Mudar prioridade tenha sido
selecionada. Ela indica qual a nova prioridade que ser atribuda conexo. Devese inserir uma entidade do tipo canal (para maiores informaes veja o captulo
Cadastrando entidades).
Tempo de bloqueio: Esta coluna s estar habilitada caso a ao Bloqueia
origem tenha sido selecionada. Ela indica por quanto tempo a mquina origem ser
bloqueada.
34.3.
644
645
Esta janela est dividida em duas partes. Na parte superior aparece uma lista dos
filtros atualmente criados. Ao selecionar um filtro, sero mostrados na parte inferior
da janela as operaes de pesquisa relacionadas a ele.
Para executar qualquer operao sobre um filtro, basta clicar sobre ele com o boto
direito e a seguir escolher a opo desejada no menu que ir aparecer. As
seguintes opes esto disponveis:
646
Figura 428. Menu de operao para acessar o nome do filtro ou forma de concatenao.
O que filtrar: Neste campo deve-se colocar a seqncia de bytes que deve ser
pesquisada na conexo.
Seqncia de bytes: Especificar se a procura deve ser a partir do incio do arquivo
ou da comunicao ou em um ponto qualquer do mesmo.
Iniciar em: Caso se tenha escolhido que a pesquisa deve ser feita a partir do meio
do arquivo ou comunicao, este campo serve para especificar em que posio
deve-se comear a pesquisa.
647
648
Configurando IDS/IPS
649
35.
Configurando IDS/IPS
Este captulo mostrar as funes oferecidas pelo conjunto IPS/IDS e como realizar
sua configurao.
Acessando IPS/IDS
650
651
Esta aba contm todas as regras de IDS definidas no Aker Firewall. Cada regra ser
mostrada em uma linha separada, composta de diversas clulas. Caso uma das
regras esteja selecionada, ela ser mostrada em uma cor diferente.
Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o
boto direito e a seguir escolher a opo desejada no menu que ir aparecer. As
seguintes opes esto disponveis:
652
653
Filtros IDS
Esta janela serve para se ver os filtros de IDS que esto disponveis no firewall bem
como criar novos filtros. Ela consiste de uma lista com os filtros atualmente criados.
possvel ver esta lista de trs maneiras distintas: por grupo de filtros (conforme
mostrado no tpico anterior), por classe de ameaa ou uma lista linear com todos os
filtros. O campo Organizar por, localizado na parte superior da janela permite a
escolha da forma de visualizao mais adequada.
Classes de ameaa:
Ataque: ataques diretos que exploram bugs ou vulnerabilidades de
aplicativos ou sistemas operacionais.
Malware: ataques originados de vrus e cavalos-de-tria.
Sondagem: varredura de portas ou identificao de vulnerabilidades.
654
655
656
Portscan
Esta aba serve para configurar a proteo contra ataques de varreduras de portas.
Estes ataques consistem em tentar acessar todas ou vrias portas de comunicao
em uma ou mais mquinas de uma rede. Ele normalmente o primeiro ataque feito
por um hacker, j que objetiva determinar quais os servios e mquinas que esto
ativos em uma rede.
Para configurar a proteo contra varredura de portas, os seguintes parmetros
devem ser preenchidos:
Deteco de portscan ativada: Esta opo deve estar marcada para ativar o
suporte deteco de varreduras de portas e desmarcada para desativ-lo.
Nmero permitido de portas varridas: Este campo indica o nmero mximo de
portas que podem ser acessadas em uma mesma mquina. Tentativas de acesso
de um nmero maior de portas faro que a mquina origem seja bloqueada.
657
658
659
Habilitar agente de IDS: Esta opo deve estar marcada para ativar o suporte a
agentes IDS externos e desmarcada para desativ-lo. (ao se desabilitar o suporte a
agentes IDS, as configuraes antigas continuam armazenadas, mas no podem
ser alteradas).
Agente IDS a ser usado: Esse campo indica o agente IDS que estar habilitado a
incluir regras de bloqueio no firewall. Esse agente deve ter sido previamente
cadastrado no firewall. Para maiores informaes veja o captulo intitulado
Cadastrando entidades.
Status permite ao administrador verificar o status da conexo com o agente IDS.
Um valor verde, com a palavra Conectados, indica que o firewall conseguiu
autenticar-se e estabelecer com sucesso a comunicao com o agente.
O boto Atualizar far com que o status da conexo seja renovado.
O boto Remover far com que todas as regras cadastradas pelo agente IDS sejam
excludas do firewall.
35.2.
660
661
Esta janela consiste de uma lista onde cada IP bloqueado mostrado em uma linha,
com as seguintes informaes:
IP Bloqueado: Endereo IP de uma mquina que foi bloqueada;
Inserido por: Mdulo que inseriu a regra de bloqueio temporria;
Data de expirao: At quando este IP permanecer bloqueado;
Para remover um IP da lista, basta selecion-lo e ento clicar com o boto direito.
Ao ser mostrado o menu pop-up , basta selecionar a opo Remover IP;
Para atualizar a lista de IPs, basta clicar com o boto direito e selecionar a opo
Atualizar no menu pop-up.
35.3.
fundamental que qualquer IDS esteja sempre atualizado com as assinaturas dos
ataques mais recentes, caso contrrio, em pouco tempo ele se torna obsoleto. O
Aker Firewall permite que configurar o seu IDS interno para automaticamente baixar
Aker Security Solutions
662
663
Esta janela consiste de duas partes: no lado esquerdo pode configurar os dias da
semana em que o download de assinaturas ser realizado e em que horrio. No
lado direito, pode visualizar informaes sobre a ltima atualizao de assinaturas
realizada: seu horrio, se foi bem sucedida ou no, entre outras informaes.
O boto OK far com que a janela seja fechada e as alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta.
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
35.4.
664
Esta janela consiste de 4 pastas. Na primeira, que est sendo mostrada acima,
onde feita a configurao do plugin. Ela consiste de uma lista com o nome das
diversas configuraes criadas pelo administrador e que depois sero mostradas
como opo de ao no console de administrao do Real Secure. Pode-se
Aker Security Solutions
665
666
Firewalls Usados: Este campo serve para definir em quais firewalls as regras
temporrias sero acrescentadas. Para cada firewall deve-se configurar uma senha
de acesso e seu endereo IP. A senha de acesso deve ser a mesma configurada na
definio da entidade do agente IDS (para maiores informaes veja o captulo
Cadastrando Entidades). Ao clicar no boto incluir ou editar, a seguinte janela ser
mostrada:
667
Log
668
Eventos
Esta pasta muito til para acompanhar o funcionamento do agente. Ela consiste
de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada
mensagem existe um cone colorido, simbolizando sua prioridade.
35.5.
669
Sintaxe:
fwportscan [ajuda | mostra | ativa | desativa]
fwportscan [max_portas | max_acessos] <numero>
fwportscan [tempo_deteccao | tempo_bloqueio] <tempo em segundos>
fwportscan [inclui | remove] protegida <entidade>
fwportscan [inclui | remove] autorizada <entidade>
Ajuda do programa:
fwportscan - Configura parametros da portscan
Uso: fwportscan [ajuda | mostra | ativa | desativa]
mostra = mostra a configuracao atual.
ativa = ativa protecao contra portscan.
desativa = desativa protecao contra portscan.
max_portas = define o numero maximo de portas que podem ser acessadas por
uma maquina em um mesmo servidor sem que isso seja considerado portscan.
max_acessos = define o numero maximo de acessos distintos.
(portas X No. de servidores) que podem ser acessadas por uma maquina, sem ser
considerado portscan.
tempo_deteccao = define o tempo, em segundos, que um acesso feito por uma
maquina nao mais sera contabilizado em futuras deteccoes contra portscan
tempo_bloqueio = define o tempo, em segundos, que uma maquina sera bloqueada
apos se detectar um portscan.
inclui = inclui uma nova entidade na lista especificada.
remove = remove uma entidade da lista especificada.
ajuda = mostra esta mensagem.
Para inclui/remove temos:
protegida = inclui/remove entidade da lista de entidades protegidas contra portscan.
autorizada = inclui/remove entidade da lista de entidades que podem realizar
portscan.
Exemplo 1: (Ativando o suporte a deteco de portscan)
#/aker/bin/firewall/fwportscan ativa
Aker Security Solutions
670
35.6.
tempo
671
672
Configuraes TCP/IP
673
36.
Configuraes TCP/IP
Este capitulo mostrar para que serve e como configurar a rede no Aker Firewall.
36.1.
Configurao TCP/IP
674
36.2.
DHCP
675
676
677
36.3.
DNS
678
36.3.1.
Interfaces de Rede
679
VLAN
Para criar uma VLAN associada a uma interface, deve-se clicar na interface
desejada no lado esquerdo da janela. Aparecer o seguinte menu suspenso:
Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma
conexo somente o switch tenha acesso a todas as suas VLANs, inclusive
controlando o acesso entre elas. Para cada uma, uma interface virtual ser criada
dentro do Firewall.
Nesse menu tambm permite habilitar o monitoramento e escolher a opo Habiltar
monitoramento, possibilita monitorar todas as interfaces de rede do cluster e
detalhes de replicao de sesso, identificando possveis falhas, caso uma interface
de algum nodo cluster falhe "falta de conectividade ou falha de rota, ou etc" o nodo
do cluster ir desativar todas as outras interfaces e fazer com que outro n assuma,
permitindo assim uma maior disponibilidade dos links.
PPPoE
A opo Usar PPPoE permite definir que esta interface trabalhe com PPPoE (usado
basicamente para a conexo com modems ADSL). Ao ser selecionada, a seguinte
janela ser mostrada:
680
Nome do dispositivo: Este campo indica o nome do dispositivo interno que ser
utilizado na comunicao PPPoE. importante que no caso de que haja mais de
uma interface trabalhando em PPPoE, que eles sejam distintos.
Usar a configurao de DNS do servidor: Se esta opo estiver marcada, o
firewall utilizar como servidor de DNS o valor recebido atravs do PPPoE.
Usar a rota padro do servidor: Se esta opo estiver marcada, o firewall utilizar
como rota padro o valor recebido atravs do PPPoE.
Servio PPPoE ativado sob demanda: Se esta opo estiver marcada, o firewall
ativar o servio PPPoE apenas quando houver trfico de rede direcionado atravs
desta interface de rede.
Nome do Usurio: Nome do usurio que ser utilizado na autenticao durante o
estabelecimento da sesso PPPoE.
Senha: Senha que ser utilizada na autenticao durante o estabelecimento da
sesso PPPoE.
Confirmao: Confirmao da senha que ser utilizada na autenticao durante o
estabelecimento da sesso PPPoE.
Provedor: o provedor do servio de PPPoE.
S possvel configurar endereos IP de interfaces de rede reconhecidas pelo
sistema operacional no qual o firewall est rodando. Caso tenha acrescentado uma
Aker Security Solutions
681
682
36.4.
Roteamento
683
36.4.1.
Geral
Esta janela possibilita configurar rotas IPv4 e Ipv6 no firewall. Se divide em duas
partes:
A primeira parte se refere configurao do endereamento IPv4 e consiste dos
seguintes campos:
Rede: Configurao dos endereos IP
Mscara de rede: Informa o endereo da mscara de rede
Gateway: Nesse campo deve ser informado o endereo IP do roteador.
Mtrica: o valor de distncia da rede. A distncia pode ser medida, por nmero de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por
um valor associado a velocidade do link.
Rota Padro: Pode-se especificar o roteador padro e de uma lista com as diversas
rotas configuradas no firewall.
684
Para a incluso de uma nova rota, basta clicar no boto direito do mouse e ir
aparecer o menu
Para remover ou editar uma rota, basta clicar com o boto direito sobre ela.
685
36.4.2.
Dinmico
686
687
688
RIP
689
RIPv2 com MD5: Autenticao com MD5. So enviados os dados juntamente com
uma assinatura digital que contm dados mais o segredo.
Senha RIP: Nesse campo ser informada a senha relacionada com a autenticao
do protocolo.
Confirmao: Deve ser informada a senha, para que seja confirmada a senha rip.
Na opo Vizinhos RIP
Nesta opo so definidos quais roteadores e quais os protocolos que iro
comunicar-se entre si. apenas necessrio preencher esse campo em caso de
operao em modo passivo.
Desabilitar Separao Horizontal: Ao selecionar essa opo, desativa a omisso
do envio de rotas que passam pelo n que receber a mensagem, ou seja, no vai
evitar que um roteador RIP propague rotas para a mesma interface que ele
"aprendeu" e nem o loop entre estes ns.
Mtrica RIP: o valor de distncia da rede. A distncia pode ser medida, por
nmero de dispositivos que o pacote deve cruzar, tempo que leva da origem ao
destino ou por um valor associado a velocidade do link. Normalmente RIPD
incrementa a mtrica quando a informao da rede recebida. A mtrica das rotas
distribudas configurada em 1.
Atualizar o temporizador: O tempo de atualizao padro de 30 segundos. Cada
vez que ele expira, o processo RIP acordado para enviar uma mensagem no
solicitada, contendo a tabela de roteamento completa para todos os roteadores RIP
vizinhos.
Temporizador de timeout: Aps a expirao do timeout, o roteador considerado
fora de funcionamento; entretanto, mantida por um breve perodo a informao
desse roteador na tabela de roteamento, para que os vizinhos possam ser
notificados que ele foi removido. O tempo de timeout padro de 180 segundos.
Temporizador do coletor de lixo: o tempo que o firewall leva para considerar
uma rota expirada. Se passar esse tempo sem que o outro roteador informe
novamente a rota, ela removida automaticamente.
690
OSPF
691
Definio ABR
Ao selecionar alguma das opes abaixo, opta-se em definir como o protocolo
OSPF distribuir as rotas entre os roteadores.
Padro
CISCO
IBM
Ativar compatibilidade com RFC 1583: Ao selecionar essa opo opta em se
utilizar um padro mais antigo.
A RFC2328 a sucessora da RFC1583, e sugere que, de acordo com a seo
G.2 na seo 16.4 mudanas no caminho no algoritmo de preferncia que previnem
possveis loops de roteamento que poderiam acontecer ao utilizar a verso antiga
de OSPFv2. Mais especificamente ela demanda que as rotas da inter-rea e os da
intra-rea so de iguais preferncias, embora ambos prefiram rotas externas.
ID da Roteador: Endereo ID que identifica o roteador no processo OSPF, ou seja,
contm a identificao numrica do roteador que originou o pacote.
Intervalo morto: Perodo mximo em segundos desde o ltimo recebimento de um
pacote hello, antes de o roteador considerar o seu "vizinho" como no acessvel. O
valor padro de 40 segundos.
Intervalo do "Hello": O intervalo em segundos entre as transmisses do pacote
hello. Configurando este valor, os pacotes hello sero enviados periodicamente de
acordo com o tempo especificado na interface. Este valor deve ser o mesmo para
todos os roteadores existentes na rede. O valor padro dez segundos.
Intervalo de retransmisso: Este valor usado quando, a base de dados de
descrio e os pacotes de requisio de estado de link so retransmitidos. O valor
padro de 5 segundos.
Prioridade: Ao configurar um valor de prioridade mais alto, o roteador ter maiores
chances de se tornar o roteador designado, ou seja, o roteador que ser
considerado vizinho de todos os demais roteadores da rede. Configurando o valor
para 0, o roteador no ser mais a rota prefervel. O valor padro 1.
692
36.4.3.
Avanado
693
Laboratrio
Testes e configuraes
Configuraes do FW A:
694
695
696
-P : Persistncia de conexo.
36.5.
697
36.6.
698
699
Para configurar uma interface deve-se digitar o nome da mesma. A tecla <enter>
retorna ao menu anterior
700
701
702
703
704
36.7.
Esta opo configurada apenas pelo console do Aker Firewall e est disponvel
somente no Aker Firewall Box com suporte para conexo Wireless.
A seguir, sero demonstrados seus comandos e alguns exemplos de configurao:
Localizao do programa: /aker/bin/firewall/akwireless
705
este espao estiver entre os sinais "[ e ]" (colchetes), ser facultativo a insero dos
mesmos.
Vrios desses comandos so auto-explicativos, por este motivo ser enfatizada s
particularidades dos comandos mais importantes:
akwireless cria_interface <interface> <sta | adhoc | ap | monitor | wds | ahdemo>
<b:g> = cria uma interface.
Sintaxe: wireless cria_interface ath0 ap g
Dentre os modos existentes, o mais utilizado o "AP" (Modo Master), que permite
outras mquinas se conectarem nele.
Existem vrios protocolos como A, B, G, N, porm, apenas os protocolos B e G so
suportados pela Aker.
As interfaces wireless so definidas por "ath", logo, caso existam 3 interfaces
listadas,estas sero definidas por: ath0, ath1 e ath2.
akwireless destroi_interface <interface> = destroi uma interface.
Sintaxe: wireless destroi_interface ath0
akwireless muda_protocolo <inteface> <b:g> = altera o protocolo a ser utilizado.
Sintaxe: wireless muda_protocolo ath0 g
Cabe ressaltar que a placa wireless suporta apenas um protocolo para todas as
interfaces.
akwireless lista_interface [interface] = mostra todas as interfaces listadas.
Sintaxe: wireless lista_interface
Caso queira listar uma determinada interface, basta defin-la na frente do comando.
akwireless muda_modo <interface> <sta | adhoc | ap | monitor | wds | ahdemo> =
altera o modo a ser utilizado.
Sintaxe: wireless muda_modo ath0 ap
akwireless muda_SSID <interface> <SSID> = criar/alterar nome da rede wireless.
Sintaxe: wireless muda_SSID ath0 rede1
706
707
Esta opo configurada apenas pelo console do Aker Firewall e est disponvel
somente no Aker Firewall Box com suporte para conexo Wireless.
A seguir, sero demonstrados seus comandos e alguns exemplos de configurao:
Localizao do programa: /aker/bin/firewall/akddns
708
709
36.9.
Configurao do Link 3G
O Aker Firewall traz para seus usurios duas novas funcionalidades no acesso
Internet. A partir de agora, a soluo UTM da Aker suporta conexo pelos modems
3G e redes wireless.
Essas funcionalidades foram desenvolvidas com o objetivo de possibilitar uma maior
mobilidade e facilidade no acesso Internet.
Conexo via modem 3G
O Aker Firewall permite que voc conecte um modem 3G em sua porta USB e essa
conexo passa a ser utilizada como um link de dados para acesso Internet. O 3G
pode ser de qualquer.
E possvel assim, proporcionar maior economia, alto desempenho e facilidade na
instalao para os usurios do Aker Firewall, pois os links 3G, alm de mais baratos
e rpidos, so fcies de se instalar, no necessitando de nenhum equipamento nem
cabos de rede.
Configurando o modem 3G
O procedimento de configurao dividido em duas partes:
1. Configurao dos drivers do modem;
2. Configurao do modem 3G no Aker Firewall.
Configurao dos drivers do modem:
Procedimento manual:
Execute o comando "config3g.sh". Sero listados todos os dispositivos USB
conectados ao firewall. Ao identificar o modem na lista de dispositivos USB que lhe
Aker Security Solutions
710
foi listado, os campos "product id" e "vendor id" devem ser preenchidos. Aps esse
preenchimento, o script ir configurar os drivers do modem corretamente.
Procedimento automtico:
Execute o comando "config3gauto.sh". Automaticamente ser identificado o modem
da lista de dispositivos USB conectados.
Configurao do modem 3G no Aker Firewall
Neste passo, a configurao ocorre atravs da interface grfica na janela
"Configuraes do Sistema TCP/IP".
Na janela ir aparecer uma nova interface chamada 3G. Essa apenas uma
interface virtual que significa que existe um modem 3G configurado. Para configurar
uma interface real, clique com o boto direito na interface virtual 3G e opte pela
opo "Usar 3G".
711
712
713
Configurando o Firewall em
Cluster
714
37.
37.1.
Planejando a Instalao
715
716
37.2.
Configurao do Cluster
717
718
Caso o usurio deseje fazer alguma alterao nas configuraes do cluster criado,
dever acessar a Janela de Configurao de Cluster. Abaixo seguem as descries
dos campos:
Informaes Gerais
Nessa parte da janela so mostradas informaes gerais do cluster criado.
Tipo de Cluster: Esta opo permite selecionar o tipo de cluster desejado ou
desabilit-lo.
Interface de Controle: Essa informao definida na hora da habilitao do
cluster, no podendo ser alterada posteriormente. Todos os seus outros membros
utilizaro essa mesma entidade.
Informaes dos Membros
Nessa parte da Janela mostra todas as informaes sobre os membros do cluster.
Aker Security Solutions
719
720
721
37.3.
presente
Estatstica do Cluster
722
Aba Grfico
Esta janela permite a visualizao grfica das informaes referentes ao tratamento
dado, aos pacotes dos nodos, pelo Firewall. Esse grfico permite a visualizao de
at 8 nodos.
As informaes do trfego de cada nodo so mostradas em porcentagem. Esta aba
possui vrios tipos de filtros, permitindo ao usurio, para uma eventual comparao
de dados, filtrar informaes em percentual, das atividades de cada firewall.
723
37.4.
724
Ajuda do programa:
Firewall Aker - Verso 6.5
Uso: fwcluster [ajuda | mostra]
fwcluster interface_controle <if>
fwcluster peso <peso>
fwcluster <habilita | desabilita>
fwcluster <inclui | remove> <if> [maquina | -f]
fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast] (!) onde:
if : entidade interface
peso : peso deste firewall no cluster
maquina : endereco IP virtual a remover ou incluir (entidade maquina)
Exemplo 1: (mostrando a configurao)
Como efeito didtico ser explanada a topologia de uma rede com trs firewalls em
cluster e duas redes (rede 192 e rede 10).
725
726
Arquivos do Sistema
727
38.
Arquivos do Sistema
Este captulo mostrar onde esto localizados e para que so usados os arquivos
que fazem parte da verso 6.1 do Aker Firewall.
38.1.
Arquivos do Sistema
728
729
730
731
732
39.
733
quit
exit
Descrio
Comando
help
?
Descrio
Comando
shutdown
Descrio
Comando
reboot
Descrio
Reinicia o firewall
Comando
Descrio
Comando
password
Descrio
734
Comando
Descrio
Comando
Descrio
735
Apndice A Mensagens do
Sistema
736
40.
40.1.
737
738
739
onde um dos lados est configurado para usar SKIP ou Aker-CDP e o outro no (ver
o captulo intitulado Criando Canais de Criptografia).
018 - SA para o pacote no contm informaes SKIP
Esta mensagem indica que o mdulo de criptografia recebeu um pacote com um
header SKIP e a associao de segurana (SA) correspondente no possui
informaes sobre SKIP (ver o captulo intitulado Criando Canais de Criptografia).
Isto provavelmente causado por uma configurao errada na tabela de criptografia
onde possivelmente um dos lados est configurado para usar SKIP ou Aker-CDP e
o outro no.
019 - Verso do protocolo SKIP invlida
Esta mensagem indica que a verso do protocolo SKIP indicada no pacote em
questo diferente da verso suportada. O Aker Firewall implementa a verso 1 do
protocolo SKIP.
020 - Valor do contador do protocolo SKIP invlido
O protocolo SKIP envia em cada pacote um contador, que incrementado de hora
em hora, com o objetivo de evitar ataques de repetio de seqncia. Esta
mensagem indica que o contador recebido no pacote em questo invlido. Isto
pode ter duas causas distintas: ou relgio interno dos dois firewalls se comunicando
est defasado em mais de uma hora ou ocorreu uma tentativa de ataque de
repetio de seqncia.
021 - SPI invlido para autenticao com SKIP
Esta mensagem indica que foi recebido um pacote SKIP cujo nmero de SPI
especificado no cabealho de autenticao era invlido (o protocolo SKIP exige que
o nmero do SPI utilizado seja 1).
022 - Prximo protocolo do cabealho SKIP invlido
Esta mensagem indica que o protocolo seguinte ao cabealho SKIP do pacote em
questo no suportado (o Aker Firewall exige que aps o cabealho SKIP venha o
cabealho de autenticao).
023 - Algoritmo de autenticao do SKIP invlido
Esta mensagem indica que o algoritmo de autenticao especificado no cabealho
SKIP no suportado (o Aker Firewall somente suporta os algoritmos de
autenticao MD5 e SHA-1).
024 - Algoritmo de criptografia do SKIP invlido
740
741
742
40.2.
743
744
745
746
747
O servidor SMTP enviou uma linha de tamanho muito grande que no pode ser
tratada pelo proxy SMTP. Verifique se o servidor segue a padronizao da RFC ou
ajuste o mesmo para tal.
083 - Servidor SMTP fechou conexo
O servidor SMTP fechou inesperadamente a conexo. Isto pode ter acontecido por
problemas de trafego excessivo ou erro no prprio servidor. Normalmente as
conexes so restabelecidas automaticamente. Se o problema esta ocorrendo com
freqncia tente aumentar os tempos de negociao do protocolo SMTP no proxy.
084 - Servidor SMTP acusou erro
Esta mensagem indica que o servidor SMTP considerou uma das transaes SMTP
errada.
085 - Endereo de e-mail invlido enviado pelo cliente SMTP
Esta mensagem indica que o cliente SMTP no forneceu um endereo de e-mail em
formato vlido.
086 - Tentativa de relay no permitido bloqueada
Esta mensagem indica que uma tentativa de relay foi bloqueada pelo firewall.
Verifique o captulo Editando os parmetros de um contexto SMTP para liberar
domnios permitidos para relay.
087 - Falta de espao (disco cheio) para analisar mensagem
Esta mensagem indica que o disco rgido do firewall est cheio. Tente esvaziar os
arquivos de logs ou aumentar a capacidade do disco para o firewall poder analisar a
mensagem.
088 - Mensagem estourou tamanho mximo permitido
Esta mensagem indica que a mensagem SMTP ultrapassou o tamanho mximo
permitido. Verifique o captulo Editando os parmetros de um contexto SMTP
para aumentar o tamanho de recebimento da mensagem.
089 - Mensagem com erro de sintaxe
Esta mensagem indica que a mensagem SMTP estava com erro de sintaxe dos
comandos SMTP. Geralmente programas de spammers fazem com que este erro
acontea.
090 - Anexo com vrus removido
748
Esta mensagem indica que um anexo da mensagem continha vrus e foi removido.
O complemento da mensagem indica quem o remetente e o destinatrio da
mensagem, assim como o nome do vrus encontrado.
091 - Anexo removido
Esta mensagem indica que um anexo da mensagem foi removido. O complemento
da mensagem indica quem so o remetente e o destinatrio da mensagem.
092 - Mensagem descartada por causa de seu anexo
Esta mensagem indica que uma mensagem tinha um anexo inaceitvel (veja suas
regras) e foi bloqueada pelo proxy SMTP do Firewall. O complemento da mensagem
indica quem so o remetente e o destinatrio da mensagem.
093 - Anexo continha vrus e foi desinfectado
Esta mensagem indica que um anexo da mensagem continha vrus e foi
desinfectado. O complemento da mensagem indica quem so o remetente e o
destinatrio da mensagem, assim como o nome do vrus encontrado.
094 - Anexo incorretamente codificado (mensagem defeituosa)
Esta mensagem indica que um anexo de mensagem est incorretamente codificado,
ou seja, apresenta erro na codificao do tipo MIME. Normalmente este arquivo
pode ser descartado pelo firewall caso o administrador configure a opo desejada.
Para mais informaes leia o captulo intitulado Configurando o proxy SMTP.
095 - URL aceita
Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL feito por
um usurio. A mensagem complementar entre parnteses indica o nome do usurio
que fez a requisio. A linha de mensagem seguinte indica o endereo IP da
mquina da qual a requisio se originou e a terceira linha indica qual URL foi
acessada.
Esta mensagem somente ser produzida para URLs do protocolo HTTP quando
elas resultarem em cdigo HTML. Para os protocolos FTP e Gopher, ela ser
gerada para cada requisio aceita, independente do seu tipo.
Formato do evento para exportao:
DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> URL Aceita
<usuario> <perfil> <ip_origem> <url>
096 - Download de arquivo local aceito
Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL feito por
um usurio. A mensagem complementar entre parnteses indica o nome do usurio
Aker Security Solutions
749
750
751
752
753
Esta mensagem indica que o firewall conseguiu se conectar ao Spam Meter, porm
no conseguiu estabelecer uma comunicao. A mensagem complementar indica o
nome do agente Spam Meter que provocou o problema e o endereo IP da mquina
onde ele est rodando.
Soluo: Verifique se a senha de acesso na definio da entidade est igual a
senha colocada na configurao do agente Spam Meter. Para maiores informaes,
veja o captulo intitulado Cadastrando Entidades.
117 - Erro ao conectar com servidor de antivrus
Esta mensagem indica que o firewall no conseguiu se conectar ao servidor de
antivrus que estaria rodando em uma determinada mquina. A mensagem
complementar indica o nome do servidor que no pode ser conectado e o endereo
IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est
correto na definio da entidade (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades) e que o agente est realmente sendo executado
na mquina em questo.
118 - Erro de comunicao com servidor de antivrus
Esta mensagem indica que o firewall conseguiu se conectar ao servidor de antivrus,
porm no conseguiu estabelecer uma comunicao. A mensagem complementar
indica o nome do agente antivrus que provocou o problema e o endereo IP da
mquina onde ele est rodando.
Soluo: Verifique se a senha de acesso na definio da entidade est igual
senha colocada na configurao do agente antivrus. Para maiores informaes,
veja o captulo intitulado Cadastrando Entidades.
119 - Erro ao conectar com Web Content Analyzer
Esta mensagem indica que o firewall no conseguiu se conectar ao Web Content
Analyzer que estaria rodando em uma determinada mquina. A mensagem
complementar indica o nome do analisador que no pode ser conectado e o
endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o analisador estaria rodando
est correto na definio da entidade (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades) e que ele est realmente sendo executado na
mquina em questo.
120 - Erro de comunicao com Web Content Analyzer
Esta mensagem indica que o firewall conseguiu se conectar ao Web Content
Analyzer, porm no conseguiu estabelecer uma comunicao. A mensagem
Aker Security Solutions
754
755
756
757
758
759
Diante disso, a criao do novo processo foi cancelada e a conexo que deveria ser
tratada pelo novo processo foi abortada.
Soluo: Aumente o nmero mximo de processos no sistema. Para maiores
informaes, consulte o Apndice B - Perguntas e respostas.
152 - Mquina de converso 1-N fora do ar
Essa mensagem indica que uma das mquinas participantes de uma converso 1-N
(balanceamento de canal) se encontra fora do ar. A mensagem complementar
mostra o endereo IP da mquina em questo.
153 - Mquina de converso 1-N operacional
Essa mensagem indica que uma das mquinas participantes de uma converso 1-N
(balanceamento de canal) que se encontrava fora do ar voltou a funcionar
normalmente. A mensagem complementar mostra o endereo IP da mquina em
questo.
154 - Pedido de conexo de administrao
Esta mensagem gerada pelo mdulo de administrao remota do Aker Firewall
todas as vezes que este recebe um pedido de abertura de conexo. Na mensagem
complementar mostrado o endereo IP da mquina que solicitou a abertura de
conexo.
155 - Sesso de administrao estabelecida
Esta mensagem gerada pelo mdulo de administrao remota do Aker Firewall
quando um usurio consegue se autenticar corretamente e iniciar uma sesso de
administrao. Na mensagem complementar mostrado o login do usurio que
estabeleceu a sesso e os seus direitos.
Os direitos do usurio so representados atravs de trs siglas independentes.
Caso o usurio possua um determinado direito ser mostrada a sigla
correspondente a ele, caso contrrio ser mostrado o valor "--". As siglas e seus
significados so os seguintes:
CF - Configura Firewall
CL - Configura Log
GU - Gerencia usurios
156 - Sesso de administrao finalizada
Esta mensagem indica que a sesso de administrao estabelecida anteriormente
foi terminada a pedido do cliente.
157 - Usurio no cadastrado para administrao
Aker Security Solutions
760
761
762
763
764
765
766
767
768
Esta mensagem indica que as informaes de licena do Firewall esto com algum
problema srio que impedem sua leitura. Reinsira a chave de ativao no Firewall.
222 - Tentativa de login (console) frustrada por senha incorreta
Esta mensagem indica que algum tentou efetuar login no console do Firewall Box,
mas no tinha a senha correta.
223 - Sistema com defeito irremedivel. Contate o revendedor
Esta mensagem informa que um erro grave de configurao foi encontrado que
impede o login no console do Firewall Box. Contate o suporte tcnico de seu
revendedor.
224 - Login no console efetuado
Esta mensagem registra o fato de algum operador ter efetuado login no console do
Firewall Box.
225 - Linha de resposta muito grande
Esta mensagem indica que o proxy POP3 transparente recebeu uma linha de
resposta demasiado grande. Veja a RFC 1939 para maiores informaes.
226 - Erro recebendo dados do servidor POP3
Esta mensagem indica que o proxy POP3 transparente encontrou um erro de
conexo ao receber dados do servidor. As mensagens complementares informam
qual a conexo em questo.
227 - Erro recebendo dados do cliente POP3
Esta mensagem indica que o proxy POP3 transparente encontrou um erro de
conexo ao receber dados do cliente. As mensagens complementares informam
qual a conexo em questo.
228 - Erro enviando dados ao cliente POP3
Esta mensagem indica que o proxy POP3 transparente encontrou um erro de
conexo ao enviar dados para o cliente. As mensagens complementares informam
qual a conexo em questo.
229 - Erro enviando dados ao servidor POP3
Esta mensagem indica que o proxy POP3 transparente encontrou um erro de
conexo ao enviar dados ao servidor. As mensagens complementares informam
qual a conexo em questo.
230 - Resposta invlida do servidor POP3
Aker Security Solutions
769
Esta mensagem indica que o proxy POP3 transparente recebeu uma resposta
incorreta do servidor. As mensagens complementares informam que resposta foi
esta
231 - Erro conectando-se ao servidor POP3
Esta mensagem indica que o proxy POP3 transparente no consegui estabelecer a
conexo com o servidor. Provavelmente o endereo est errado ou o servidor est
fora do ar.
232 - Servidor POP3 recusou a conexo
Esta mensagem indica que o proxy POP3 transparente conectou-se ao servidor e
este informou estar fora do ar.
233 - Comando POP3 invlido ou erro de sintaxe
Esta mensagem indica que o proxy POP3 transparente leu um comando incorreto
do cliente e fechou a conexo sem repass-lo ao servidor. O comando em questo
encontra-se nas mensagens complementares.
234 - Erro abrindo arquivo para spool
Esta mensagem indica que o proxy POP3 transparente no conseguiu abrir o
arquivo temporrio para salvar a mensagem.
235 - Erro gravando dados no arquivo
Esta mensagem indica que o proxy POP3 transparente encontrou um erro ao gravar
a mensagem em espao de armazenamento temporrio.
236 - Falta de espao gravando arquivo
Esta mensagem indica que faltou espao em disco para o proxy POP3 transparente
gravar as mensagens recebidas.
237 - Erro de sintaxe no email POP3 (erro de parser)
Esta mensagem indica que o proxy POP3 transparente recebeu uma mensagem
incorretamente formatada e a descartou por no poder analis-la.
238 - Entrando em modo STLS - nenhuma anlise possvel
Esta mensagem indica que o firewall entrou em modo STLS. Entre em contato com
o suporte tcnico para a soluo.
239 - Erro recebendo dados do firewall servidor
770
771
772
773
Esta mensagem indica que uma conexo foi encerrada devido aplicao de uma
regra de filtragem de aplicativos.
266 - Erro recebendo pacote do kernel
Esta mensagem gerada quando o mdulo de filtragem de aplicativos no
conseguir ler os pacotes enviados pelo kernel do firewall. Ela no deve ocorrer
nunca em condies normais. Caso ocorra, deve-se contatar o suporte tcnico.
267 - Pacotes perdidos na anlise - sistema possivelmente lento
Esta mensagem indica que o mdulo de anlise de aplicativos no conseguiu tratar
em tempo hbil todos os pacotes que deveria a fim de verificar todas as regras de
filtragem de aplicativos configuradas no firewall. Possveis aes que podem ser
realizadas pelo administrador so:
Verificar se algum dos filtros est com profundidade de pesquisa muito grande. Se
tiver, tentar diminuir ao mximo este valor;
No usar regras do tipo: procurar MP3 em todos os servios. Utilizar somente nos
servios nos quais este tipo de arquivo possa trafegar nos protoclos: FTP, HTTP,
SMTP, etc.
No colocar regras Internet - Internet. Sempre que possvel utilizar regras do tipo
origem Rede Interna, destino Internet ou vice-versa.
No verificar arquivos e protocolos da Rede Interna para a DMZ.
268 - Pacote truncado recebido do kernel
Esta mensagem gerada quando o mdulo de filtragem de aplicativos leu um
pacote de tamanho invlido enviado pelo kernel do firewall. Ela no deve ocorrer
nunca em condies normais. Caso ocorra, deve-se contatar o suporte tcnico.
269 - Erro expandindo regras de filtragem de aplicativos
Esta mensagem indica que o firewall detectou um erro ao expandir as regras de
filtragem de aplicativos. Ela no deve ocorrer nunca em condies normais. Caso
ocorra, deve-se contatar o suporte tcnico.
270 - Erro carregando regras globais de filtragem de aplicativos
Esta mensagem indica que o firewall detectou um erro ao carregar as regras globais
de filtragem de aplicativos. Ela no deve ocorrer nunca em condies normais. Caso
ocorra, deve-se contatar o suporte tcnico.
271 - Erro expandindo regras de IDS/IPS
Esta mensagem indica que o firewall detectou um erro ao expandir as regras de
IDS/IPS. Ela no deve ocorrer nunca em condies normais. Caso ocorra, deve-se
contatar o suporte tcnico.
Aker Security Solutions
774
775
776
Esta mensagem gerada todas as vezes que um usurio sem permisso tenta
acessar o servio MSN Messenger passando atravs do Firewall.
292 - Ligao Iniciada
Proxy SIP detectou o inicio de uma ligao.
293 - Ligao Finalizada
Proxy SIP detectou o fim de uma ligao.
294 - Erro obtendo data de expirao do IDS
No foi possvel ler a data de expirao de uma base IDS em disco. Provvel base
corrompida.
295 - Erro fazendo download das atualizaes dos filtros
Esta mensagem indica que ocorreu um erro quando o firewall tentou fazer o
download das novas assinaturas de IDS e/ou da Filtragem de aplicativos.Verifique o
complemento para maiores informaes.
296 - Download das atualizaes dos filtros completo
Esta mensagem indica que o firewall conseguiu baixar uma nova atualizao das
assinaturas de IDS ou da Filtragem de Aplicativos.
297 - Mensagem descartada por configurao do Spam Meter
Esta mensagem gerada quando uma mensagem de e-mail descartada pelo
proxy SMTP devido a ter recebido uma nota do Spam Meter cuja configurao do
proxy indicou ao firewall para descart-la.
298 - Mensagem rejeitada por configurao do Spam Meter
Esta mensagem gerada quando uma mensagem de e-mail rejeitada pelo proxy
SMTP devido a ter recebido uma nota do Spam Meter cuja configurao do proxy
indicou ao firewall para rejeit-la.
299 - Mensagem aceita pela configurao do Spam Meter
Esta mensagem gerada quando uma mensagem de e-mail aceita pelo proxy
SMTP devido ter recebido uma nota do Spam Meter cuja configurao do proxy
indicou ao firewall para aceit-la.
300 - Mensagem modificada para treinamento pelo Spam Meter
777
778
779
780
781
782
783
40.3.
URL_ACEITA
Usuario/Autenticado, Perfil
ip Origem,host
19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD
,Suporte Tcnico,10.2.0.243,http://189.22.237.40/
40.4.
40.4.1.
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO
DA MENSAGEM, MSG1, MSG2
Aker Security Solutions
784
ERRO_AUTH_PROXY
Usuario/Autenticado
ip Origem
16/01/2010,15:28:51,Info,340, Proxy HTTP, Falha de autenticacao para proxy
,rodrigo.aranha/AD,source: 10.4.0.186
HTTP_VIRUS_NS_CRYPT
NULL URL do Virus
20/01/2010,10:43:17,Warning,249,Proxy HTTP,Arquivo nao pode ser
analisado pois estava cifrado,,http://www.eicar.org/download/eicarcom2.zip
785
QUOTA_EXPIRED_BYTES
Usuario/Autenticado - Perfil
Origem IP Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes
expirado,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86
URL: http://www.google.com
QUOTA_INSUFFICIENT_BYTES
Usuario/Autenticado - Perfil
Origem IP Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes
insuficiente para a operacao,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229
Destino: 74.125.45.86 URL: http://www.google.com
URL_ACEITA
Usuario/Autenticado, Perfil
ip Origem,host
19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD
,Suporte Tcnico,10.2.0.243,http://189.22.237.40/
URL_BANNER
Usurio/Autenticaao - Perfil
Origem: IP Destino: IP URL:
URL 19/01/2010,08:49:19,Notice,098, Proxy HTTP,Banner
removido,apoio.administrativo/AD - Adminsitrativo,Origem: 10.0.0.234 Destino:
64.233.163.149 URL:
http://ad.doubleclick.net/adi/gna.br/homepage;tile=4;sz=234x100;ord=196681?area
ERRO_CON_ANALISADOR
IP do analizador
NULL
27/01/2010,19:38:24,Error,119, Proxy HTTP,Erro ao conectar com Web
Content Analyzer,127.0.0.1,
786
QUOTA_COMM_ERR
quota read: retorno e erro NULL
19/01/2010,18:42:01,Warning,324,Proxy HTTP,Erro de comunicacao com o
servico de quotas,quota read: -3 25,
NAO_LEU_ACL
NULL NULL 19/01/2010,18:42:01,Error,64,Proxy HTTP,Erro ao
carregar perfis de acesso,,
NAO_LEU_CATLIST
Retorno da funo e errno NULL
19/01/2010,18:16:01,Error,323,Erro carregando lista de categorias, -2 34
ERRO_SERV_AUTH
connect (errno)
NULL
20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao comunicar
com servidor de autenticacao,connect(10),
v_auth
NULL 20/01/2010,11:28:56,Error,109,Proxy MSN
Messenger,Erro ao comunicar com servidor de autenticacao,v_auth,
40.4.2.
787
Messenger,IP:
10.3.0.6
Prof:
Suporte
Tcnico,Passport:
edilson.moura@aker.com.br [ 00:07:53 ] Username: edilson.moura/AD
Cant connect
Server : IP 27/01/2010,19:23:30,Warning,350,Proxy
Messenger,Erro no antivirus,Cant Connect, Server:xxx.xxx.xxx.xxx
MSN
av_auth
Unable to auth
27/01/2010,19:23:30,Warning,350,Proxy
Messenger,Erro no antivirus,av_auth,Unable to auth
MSN
av_greeting_h
Can't
receive
server
greeting
header
27/01/2010,19:23:30,Warning,350,Proxy
MSN
Messenger,Erro
no
antivirus,av_greeting_h,Can't receive server greeting headert
av_greeting_b
Can't
receive
server
27/01/2010,19:23:30,Warning,350,Proxy
MSN
antivirus,av_greeting_b,Can't receive server greeting body
greeting
Messenger,Erro
body
no
from
Messenger,Erro
AV
no
av_get_answer
Error
on
answer
received
27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus,
Error on answer received
IP: - TimeOut:
Passaporte:
\nNome
do
Usuario\Autenticao
27/01/2010,18:18:30,Notice,286, Proxy MSN Messenger,Conexao encerrada
por timeout,IP: 10.2.0.217 - Timeout: 600 s,Passport: edilson.moura@aker.com.br
Username: edilson.moura/AD
sendto
Error: inteiro Errno: inteiro 20/01/2010,12:38:49,Warning,109,
Proxy
MSN Messenger,Erro ao comunicar com servidor de autenticacao,sendto,error: -3
errno: 11
find Prof: nome da profiao
20/01/2010,12:38:49,Warning,109, Proxy MSN
Messenger,Erro ao comunicar com servidor de autenticacao,find,Suporte Tcnico
788
IP Profiao Passaporte:
\nNome
do
Usuario\Autenticao
20/01/2010,12:36:44,Info,289,Proxy MSN Messenger,Usuario entrou no MSN
Messenger,IP:
10.0.0.232
Prof:
Adminsitrativo,Passport:
diego.fernandes@aker.com.br Username: recepcao/AD
MSN
File clean
FILENAME 20/01/2010,16:16:58,Info,349,Proxy
Messenger,Arquivo nao tem virus,File clean,chines.TXT
MSN
nome da funo
Empty File! Sess_d: ID
20/01/2010,16:16:59,Error,346,Proxy
MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Empty
file! Sess_id: 26192345
nome da funo
Out of order packet! Current: pkg, Expected: pkg
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Out of order packet! Current:current_pkg
Expected: Expected_
nome da funo
"Error
on
fork!
Numero
da
Linha
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Error on fork! Line: 2736
789
790
IP Profiao Passaporte
do
Usuario
\nNome
do
Usuario\Autenticao
20/01/2010,11:27:44,Notice,291,Proxy
MSN
Messenger,Usuario
sem
permissao tentou entrar no MSN Messenger,10.4.0.19 Prof: Estagirio,
bruno.lobo@aker.com.br bruno.lobo/AD
IP Profiao Passaporte
do
Usuario
\nNome
do
Usuario\Autenticao
20/01/2010,11:27:44,Notice,281,Proxy MSN Messenger,Notificacao do
Hotmail bloqueada,10.4.0.19 Prof: Estagirio, bruno.lobo@aker.com.br
bruno.lobo/AD
de
MSN
Messenger,Quota
de
MSN
Messenger,Quota
de
MSN
Messenger,Erro
791
40.4.3.
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO
DA MENSAGEM, MSG1, MSG2
POP3_CLI_RCV
digitado
pelo
CMD: recv
POP3_CLI_SND
digitado
digitado
pelo
792
POP3_INVALID_CMD
cliente de POP3
digitado
pelo
POP3_WRITE_FILE
POP3_MIME_ERROR
POP3_STLS_MODE
40.4.4.
Source:
IP
Destination:IP
\nFrom:
EMAIL
To:
EMAIL
27/01/2010,19:23:30,Warning,226,Proxy
SMTP,Mensagem
SMTP
aceita,Mensagem enviada,Source 10.4.0.19 Destination: 10.4.0.18\nFrom bruno.l
bruno.lobo2@aker.com.brobo@aker.com.br - To:
Source: IP Destination:IP
793
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
794
40.4.5.
NULL
Commit
Modulo de IDS/IPS\nRaso(STRING)
Modulo
de
filtragem
de
NULL
795
NULL NULL
Err: Retorno(INT) Errno(INT)
NULL
NULL
NULL
NULL
NULL
updates"
NULL
updates"
errno: (INT)
NULL
796
Err: Retorno(INT)
40.4.6.
Tipo de mensagem
Complemento 1
Complemento 2
Information
License expiration date updated successfully NULL
02/04/2010,17:24:03,Informao do Antivrus,License expiration date updated
successfully,
Engine successfully loaded
Engine(PANDA OU AVG)
02/04/2010,17:24:03,Informao
do
Antivrus,Engine
loaded,AVG
successfully
installed
NULL
02/04/2010,17:24:03,Informao
do
applied
797
Notice
License not found NULL
Antivrus,License not found,
02/03/2010,15:34:19,Aviso
importante
do
File is corrupted
PID do processo que esta logando
02/03/2010,15:34:19,Aviso importante do Antivrus,File is corrupted,123456
File is encrypted
PID do processo que esta logando
02/03/2010,15:34:19,Aviso importante do Antivrus,File is encrypted,123456
Virus found Nome do virus(STRING) PID do processo que esta logando
02/03/2010,15:34:19,Aviso importante do Antivrus,Virus found,virus.txt
123465
Configuration file not found, default loaded
NULL
02/03/2010,15:34:19,Aviso importante do Antivrus,Configuration file not
found, default loaded,
Update already in progress
NULL
02/03/2010,15:34:19,Aviso
importante do Antivrus,Update already in progress,
Update canceled NULL
Antivrus,Update canceled,
02/03/2010,15:34:19,Aviso
importante
do
798
Error
Scan error PID do processo que esta logando
02/03/2010,15:34:19,O Antivrus encontrou um erro,Scan error,123465
Error changing license expiration date NULL
02/03/2010,15:34:19,O
Antivrus encontrou um erro,Error changing license expiration date,
No engine loaded NULL
um erro,No engine loaded,
02/03/2010,15:34:19,O
Antivrus
Warning
Error loading engine
Engine(PANDA OU AVG)
02/02/2010,09:24:04,Mensagem de alerta do Antivrus,Error
engine,Panda
loading
do
Antivrus,Error
installing
do
Antivrus,Error
applying
do
Antivrus,Error
applying
Antivrus,Error
trying
799
do
Antivrus,Error
getting
loading
loading
Antivrus,Update
file
800
40.4.7.
error:
Mensagem Complemento
Complement
Date,
Time,
Tipo
do
evento,
Message,
upload: errno
be sent
upload: errno
upload: errno
upload: errno
sent
CF: erro
801
NULL
Invalid URL
cat_list.xml - no 'Last-Modified'
Header do arquivo(STRING)
FileName
makeindex
recv==0 header
FileName
802
decompress_file: erro
NULL
NULL
cluster_read_st = AKERURL_REPL_UNDEFS_URLS
NULL
NULL
NULL
NULL
/usr/local/akerurl/db/base.udx
/usr/local/akerurl/db/base.udx
database
803
empacota_user_cat_list fail
xmlNewDoc fail
NULL
NULL
NULL
NULL
NULL
NULL
NULL
Upload
NULL
NULL NULL
Header len: NULL
Ip
NULL
Upload
804
NULL NULL
FileMapping: erro(INT)
NULL
MappingView: erro(INT)
NULL
Ip
NULL
NULL URL
NULL
X remaining days
X remaining days
Ip
NULL
NULL NULL
40.4.8.
805
DATA,
LOG_BAYES_AUTH_ERR
HORA,
TIPO,
NOME DA BASE
Mete,Base
do
Erro de autenticacao
Header
Data
LOG_BAYES_SEND_ERR
NULL
LOG_BAYES_RECV_ERR
NULL
LOG_BAYES_NEW_CONNECTION
LOG_BAYES_INVALID_DATA
NULL
NULL
Packet Size
Invalid Greeting Operation OP
Greeting Size
Context Number
New classification data length
New classification base name
Message end length
New training data length
Aker Security Solutions
806
LOG_BAYES_CONNECTION_OK
Conexao autenticada OK
LOG_BAYES_ENGINE_ERR
807
LOG_BAYES_CONN_REFUSED
OPERATION - State ESTADO
LOG_BAYES_INVALID_OP
unrecognized
Op
OPERATION
LOG_BAYES_CREATE_FILE_ERR
ERRNO
code
Op
State
OP_CODE
LOG_BAYES_DOWNLOAD_ERR
proxy data to base64
converting
808
LOG_BAYES_PROXY_AUTH_ERR
converting proxy data to base64
Error
Base
NOME DO PROXY
LOG_BAYES_DOWNLOAD_START
DATA
of
Complete base
LOG_BAYES_DOWNLOAD_SUCCESSFULL Download
NULL
LOG_BAYES_RECALC_OK
Recalculo completo OK
completado
OK
NOME DA BASE
LOG_BAYES_RECALC_ERR
%ERRNO
809
LOG_BAYES_UPLOAD_SUCCESSFULL
LOG_BAYES_UPLOAD_ERR
END_PROXY
upload completado OK
Error
NULL
resolving
host
810
LOG_BAYES_LICENSE_EXPIRED
Licenca expirou
LOG_BAYES_ACCUMULATE_ERR
LOG_BAYES_PATCH_ERR
NULL
LOG_BAYES_PATCH_SUCCESSFULL
aplicacao do patch ok
NULL
811
LOG_BAYES_BASE_BACKUP_SUCCESSFULL
usuario completado com sucesso
NULL
backup de treinamentos de
LOG_BAYES_MSG_CLASSIFY_SUCCESSFUL
sucesso na classificacao de
uma mensagem da interface
Score: SCORE Id: ID
Score: SCORE Base: NOME DA BASE
Delta: (DELTA, DELTA_INTERNO)
Cache rate: RATE
812
LOG_BAYES_CONNECTION_CLOSED
LOG_BAYES_HOST_DL_ERR
ERRO
Error creating file
Error requesting data: ERRO
Host list is empty
Error packing data
download already in progress
Aker Security Solutions
813
LOG_BAYES_WRITE_FILE_ERR
FILENAME Error ERRNO
File
LOG_BAYES_HOST_DL_START
iniciando download do arquivo de hosts
NULL 02/02/2010,11:24:14,Informao do Spam Meter,,Iniciando download
da lista de hosts (Active Node)
LOG_BAYES_HOST_DL_SUCCESSFULL
download do arquivo de hosts
finalizado
NULL 02/02/2010,11:24:14,Informao do Spam Meter,,Download da
lista de hosts realizado com sucesso (Active Node)
LOG_BAYES_DOWNLOAD_INFO
License
BayesLog
System
database
Invalid
LOG_BAYES_ROLLBACK_SUCCESSFULL
NULL
814
Apndice B - Copyrights e
Disclaimers
815
41.
816
THE
USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH
DAMAGE.
The licence and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied and put under another distribution licence
[including the GNU Public Licence.]
Biblioteca de criptografia libcrypto
Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
All rights reserved.
This package is an SSL implementation written
by Eric Young (eay@cryptsoft.com).
The implementation was written so as to conform with Netscapes SSL.
This library is free for commercial and non-commercial use as long as
the following conditions are aheared to. The following conditions
apply to all code found in this distribution, be it the RC4, RSA,
lhash, DES, etc., code; not just the SSL code. The SSL documentation
included with this distribution is covered by the same copyright terms
except that the holder is Tim Hudson (tjh@cryptsoft.com).
Copyright remains Eric Young's, and as such any Copyright notices in
the code are not to be removed.
If this package is used in a product, Eric Young should be given attribution
as the author of the parts of the library used.
This can be in the form of a textual message at program startup or
in documentation (online or textual) provided with the package.
Redistribution and use in source and binary forms, with or without
modification, are permitted provided that the following conditions
are met:
1. Redistributions of source code must retain the copyright
notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright
notice, this list of conditions and the following disclaimer in the
documentation and/or other materials provided with the distribution.
3. All advertising materials mentioning features or use of this software
must display the following acknowledgement:
"This product includes cryptographic software written by
Eric Young (eay@cryptsoft.com)"
The word 'cryptographic' can be left out if the rouines from the library
being used are not cryptographic related :-).
4. If you include any Windows specific code (or a derivative thereof) from
the apps directory (application code) you must include an acknowledgement:
"This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
Aker Security Solutions
817
818
Cdigos do FreeBSD
Copyright (c) 1982, 1986, 1993
The Regents of the University of California. All rights reserved.
Redistribution and use in source and binary forms, with or without
modification, are permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of
conditions
and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list
of conditions
and the following disclaimer in the documentation and/or other materials provided
with the
distribution.
3. All advertising materials mentioning features or use of this software must display
the following
acknowledgement: This product includes software developed by the University of
California, Berkeley and its contributors.
4. Neither the name of the University nor the names of its contributors may be used
to endorse or
promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS
IS''
AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
LIMITED
TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE
REGENTS OR
CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
SPECIAL,
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
DATA,
OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON
ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF
THE
USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH
DAMAGE.
Algoritmo MD5
Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
License to copy and use this software is granted provided that it is identified as the
"RSA Data
Aker Security Solutions
819
820
821