Versão 21/12/2012
Índice Índice ........................................................................................................................ 2 1.
Introdução ......................................................................................................27
1.1.
Como está disposto este manual ...........................................................................27
1.2.
Interface Texto e Interface Remota ........................................................................27
1.3.
O Firewall ...............................................................................................................28
1.4.
Copyrights do Sistema ...........................................................................................29 2.
Instalando o Aker Firewall.............................................................................31
2.1.
Requisitos de hardware e software ........................................................................31
2.2.
Instalando a Interface Remota ...............................................................................32
2.3.
Instalando o Aker Firewall ......................................................................................39
2.4.
Firewall Aker - Programa de Instalação..................................................................41
2.5.
Módulo de administração de usuários remotos e Inclusão de usuários .................43 3.
Utilizando o Aker Control Center ..................................................................46
3.1.
O que é a administração remota do Aker Firewall? ................................................46
3.2.
Iniciando a interface remota ...................................................................................48
3.3.
Finalizando a administração remota .......................................................................66
3.4.
Mudando sua senha de usuário .............................................................................67
3.5.
Visualizando informação de sessão .......................................................................69
3.6.
Utilizando as ferramentas da Interface Remota .....................................................70
3.7.
Chaves de Ativação................................................................................................71
3.8.
Salvar configurações (backup) ...............................................................................72
3.9.
Restaurar configurações ........................................................................................75
3.10.
Reiniciar Firewall .................................................................................................78
3.11.
Atualizações ........................................................................................................79
3.12.
Módulo de atualização automática – Aker Update System (AUS) ......................84
3.13.
DNS Reverso ......................................................................................................88
3.14.
Simulação de Regras de Filtragem .....................................................................90
3.15.
Relatórios ............................................................................................................92
3.16.
Busca de Entidades ............................................................................................94
3.17.
Janela de Alarmes...............................................................................................98 2
3.18.
Mapa da rede ....................................................................................................100
3.19.
Estatísticas do sistema......................................................................................101
3.20.
Utilizando a janela de Sniffer de tráfego de pacotes IP .....................................104
3.21.
Visualizando o Estado dos Agentes Externos ...................................................107
3.22.
Utilizando o Verificador de configurações .........................................................109
3.23.
Diagnóstico .......................................................................................................113
4.
Administrando usuários do Firewall ..........................................................120
4.1.
Usuários Administradores ....................................................................................120
4.2.
Utilizando a Interface Texto ..................................................................................133 5.
Configurando os parâmetros do sistema ..................................................144
5.1.
Utilizando a Interface Remota ..............................................................................144
5.2.
Utilizando a Interface Texto ..................................................................................159 6.
Cadastrando Entidades ...............................................................................164
6.1.
Planejando a instalação .......................................................................................164
6.2.
Cadastrando entidades utilizando a Interface Remota .........................................168
6.3.
Utilizando a Interface Texto ..................................................................................206
6.4.
Utilizando o Assistente de Entidades ...................................................................211 7.
O Filtro de Estado ........................................................................................219
7.1.
Planejando a instalação .......................................................................................219
7.2.
Editando uma lista de regras usando a Interface Remota ....................................225
7.3.
Trabalhando com Políticas de Filtragem ..............................................................233
7.4.
Utilizando a Interface Texto ..................................................................................235
7.5.
Utilizando o assistente de regras..........................................................................239
7.6.
Utilizando Regras de Pipes ..................................................................................251 8.
Configurando a conversão de endereços..................................................254
8.1.
Planejando a instalação .......................................................................................254
8.2.
Utilizando a Interface Texto ..................................................................................280
8.3.
Utilizando o Assistente de Configuração NAT ......................................................284 9.
Criando canais de criptografia ...................................................................293
9.1.
Nat Transversal ....................................................................................................293
9.2.
Planejando a instalação. ......................................................................................294
9.3.
Utilizando a Interface Texto ..................................................................................317 10.
Configurando criptografia Cliente-Firewall ...............................................324 3
10.1.
Planejando a instalação. ...................................................................................324
10.2.
Aker Secure Roaming .......................................................................................325
10.3.
L2TP..................................................................................................................331
10.4.
PPTP .................................................................................................................340
10.5.
IPSEC Client .....................................................................................................361
10.6.
VPN – SSL ........................................................................................................377
11.
Configurando criptografia Cliente-Firewall ...............................................391
11.1.
Editando os parâmetros de um contexto SSL ...................................................392
11.2.
Configurando regras de Proxy SSL ...................................................................396
12.
Integração dos Módulos do Firewall ..........................................................398
12.1.
O fluxo de pacotes no Aker Firewall ..................................................................398
12.2.
Integração do filtro com a conversão de endereços ..........................................400
12.3.
Integração do filtro com a conversão e a criptografia ........................................401
13.
Configurando a Segurança .........................................................................403
13.1.
Proteção contra SYN Flood ...............................................................................403
13.2.
Utilizando a Interface Remota para Proteção contra SYN Flood ......................405
13.3.
Proteção de Flood .............................................................................................407
13.4.
Utilizando a Interface Remota para Proteção de Flood .....................................408
13.5.
Proteção Anti Spoofing......................................................................................411
13.6.
Utilizando a Interface Remota para Anti Spoofing .............................................412
13.7.
Utilizando a Interface Texto - Synge Flood .......................................................414
13.8.
Utilizando a Interface Texto - Proteção de Flood ..............................................416
13.9.
Utilizando a Interface Texto - Anti Spoofing ......................................................417
13.10.
Bloqueio por excesso de tentativas de login inválidas ...................................418
14.
Configurando Ações de Sistema ................................................................420
14.1.
Utilizando a Interface Remota ...........................................................................420
14.2.
Utilizando a Interface Texto ...............................................................................426
15.
Visualizando o log do Sistema ...................................................................432
15.1.
Utilizando a Interface Remota ...........................................................................433
15.2.
Formato e significado dos campos dos registros do log....................................443
15.3.
Utilizando a Interface Texto ...............................................................................447
16. 16.1.
Visualizando Eventos do Sistema ..............................................................451 Utilizando a Interface Remota ...........................................................................452 4
16.2.
Formato e significado dos campos das mensagens de eventos .......................459
16.3.
Utilizando a Interface Texto ...............................................................................459
17.
Visualizando Estatísticas ............................................................................463
17.1.
Utilizando a Interface Remota ...........................................................................464
17.2.
Utilizando a Interface Texto ...............................................................................469
18.
Visualizando e Removendo conexões .......................................................474
18.1.
Utilizando a Interface Remota ...........................................................................475
18.2.
Utilizando a Interface Texto ...............................................................................480
19.
Utilizando o Gerador de Relatórios ............................................................484
19.1.
Acessando Relatórios .......................................................................................484
19.2.
Configurando os Relatórios ...............................................................................485
19.3.
Lista dos Relatórios disponíveis ........................................................................491
20.
Exportação Agendada de Logs e Eventos.................................................494
20.1.
Acessando a Exportação Agendada de Logs e Eventos ..................................494
20.2.
Configurando a Exportação Agendada de Logs e Eventos ...............................495
21.
Trabalhando com Proxies ...........................................................................500
21.1.
Planejando a instalação ....................................................................................500
21.2.
Instalando o agente de autenticação em plataformas Unix ...............................505
21.3.
Instalando o agente de autenticação em Windows Servertm .............................507
21.4.
Configuração do agente de autenticação para Windows Servertm ....................508
22.
Configurando parâmetros de autenticação ...............................................513
22.1.
Utilizando a Interface Remota ...........................................................................513
22.2.
Utilizando a Interface Texto ...............................................................................530
23.
Perfis de acesso de Usuários .....................................................................534
23.1.
Planejando a instalação ....................................................................................534
23.2.
Cadastrando perfis de acesso ...........................................................................535
23.3.
Regras...............................................................................................................538
23.4.
Regras SOCKS .................................................................................................539
23.5.
Geral .................................................................................................................540
23.6.
FTP e GOPHER ................................................................................................541
23.7.
HTTP/HTTPS ....................................................................................................545
23.8.
Secure Roaming ...............................................................................................553
23.9.
VPN SSL (Proxy SSL) .......................................................................................556 5
23.10.
MSN Messenger ............................................................................................559
23.11.
Filtros de Aplicação ........................................................................................562
23.12.
Associando Usuários com Perfis de Acesso ..................................................564
24.
Autenticação de Usuários ...........................................................................570
24.1.
Visualizando e Removendo Usuários Conectados no Firewall .........................570
24.2.
Utilizando a Interface Texto Interface Texto ......................................................573
25. 25.1. 26. 26.1. 27. 27.1. 28. 28.1. 29. 29.1. 30.
Configurando o Proxy SMTP ......................................................................576 Editando os parâmetros de um contexto SMTP ................................................578 Configurando o Proxy Telnet ......................................................................602 Editando os parâmetros de um contexto Telnet ................................................602 Configurando o Proxy FTP..........................................................................607 Editando os parâmetros de um contexto FTP ...................................................608 Configurando o Proxy POP3 .......................................................................612 Editando os parâmetros de um contexto POP3 ................................................613 Utilizando as Quotas ...................................................................................620 Editando os parâmetros do Uso de Quota ........................................................621 Configurando o Filtro Web ..........................................................................626
30.1.
Planejando a instalação ....................................................................................626
30.2.
Editando os parâmetros de Filtro Web ..............................................................629
30.3.
Editando os parâmetros de Sessões Web ........................................................671
31.
Configurando o Proxy Socks ......................................................................674
31.1.
Planejando a instalação ....................................................................................674
31.2.
Editando os parâmetros do Proxy SOCKS ........................................................676
32. 32.1.
Configurando o Proxy RPC e o proxy DCE-RPC .......................................679 Editando os parâmetros de um contexto RPC ..................................................681
Editando os parâmetros de um contexto DCE-RPC.......................................................683 33.
Configurando o Proxy MSN ........................................................................686
33.1.
Planejando a instalação ....................................................................................686
33.2.
Editando os parâmetros do Proxy MSN ............................................................687
34.
Configurando a Filtragem de Aplicações ..................................................693
34.1.
Planejando a instalação ....................................................................................693
34.2.
Criando Regras de Filtragem de Aplicações .....................................................694
34.3.
Criando Filtros de Aplicações ............................................................................697 6
35.
Configurando IDS/IPS ..................................................................................703
35.1.
Acessando IPS/IDS ...........................................................................................703
35.2.
Visualizando os IPs bloqueados .......................................................................714
35.3.
Configurando a atualização de assinaturas ......................................................716
35.4.
Instalando o Plugin para IDS Externo no Windows ...........................................717
35.5.
Utilizando a Interface Texto - Portscan .............................................................723
35.6.
Utilizando a Interface Texto - IDS Externo ........................................................724
36.
Configurações TCP/IP .................................................................................728
36.1.
Configuração TCP/IP ........................................................................................728
36.2.
DHCP ................................................................................................................729
36.3.
DNS...................................................................................................................733
36.3.1.
Interfaces de Rede .........................................................................................734
36.4.
Roteamento .......................................................................................................739
36.4.1.
Geral ..............................................................................................................741
36.4.2.
Dinâmico ........................................................................................................743
36.4.3.
Avançado .......................................................................................................750
36.5.
Utilizando a Interface Texto nas Chaves de Ativação .......................................755
36.6.
Utilizando a Interface Texto na Configuração TCP/IP .......................................755
36.7.
Utilizando a Interface Texto na Configuração de Wireless ................................763
36.8.
Utilizando a Interface Texto na Configuração de DDNS ...................................766
36.9.
Configuração do Link 3G...................................................................................769
36.10
Agregação de link ..........................................................................................772
37.
Configurando o firewall em Cluster ...........................................................776
37.1.
Planejando a Instalação ....................................................................................776
37.2.
Configuração do Cluster....................................................................................778
37.3.
Estatística do Cluster ........................................................................................783
37.4.
Configurando um cluster coorporativo...............................................................785
37.5.
Utilizando a Interface Texto ...............................................................................796
38. 38.1.
Arquivos do Sistema ...................................................................................800 Arquivos do Sistema .........................................................................................800
39.
Aker Firewall Box .........................................................................................805
40.
Aker Web Content Analyzer - AWCA ..........................................................809
40.1.
Introdução .........................................................................................................809 7
40.2.
Pré-requisitos ....................................................................................................811
40.3.
Instalando o Aker Web Content Analyzer..........................................................812
40.4.
Instalação em Ambiente Windows ....................................................................812
40.5.
Instalação em Ambiente Linux (Fedora Core 8) ................................................819
40.6.
Configuração do AWCA ....................................................................................825
40.7.
Gerenciamento da base de URLs .....................................................................825
40.8.
Categorias .........................................................................................................830
40.9.
Teste de URL ....................................................................................................840
41.
Aker Spam Meter - ASM...............................................................................843
41.1.
Introdução .........................................................................................................843
41.2.
Apresentando o produto ASM ...........................................................................844
41.3.
Como funciona a classificação ..........................................................................844
41.4.
Aker Control Center...........................................................................................845
41.5.
Banco de Dados ................................................................................................847
41.6.
Classificação de e-mail .....................................................................................851
41.7.
Configurações do Filtro .....................................................................................854
41.8.
Gráfico de notas ................................................................................................857
41.9.
Anexo – plugins .................................................................................................858
42.
Aker Antivírus - AKAV .................................................................................860
42.1.
Introdução .........................................................................................................860
42.2.
Apresentação do produto ..................................................................................861
42.3.
Características Principais ..................................................................................862
42.4.
O Aker Antivírus Module ...................................................................................863
42.5.
Configurando o Aker Antivírus Módulo ..............................................................863
42.6.
Configurações ...................................................................................................865
42.7.
Informações do Engine .....................................................................................867
42.8.
Gerenciamento de atualizações ........................................................................868
43.
Apêndice A – Mensagens do sistema ........................................................873
43.1.
Mensagens do log do Firewall ...........................................................................873
43.2.
Mensagens dos eventos do Firewall .................................................................879
43.3.
Formato de exportação de logs e eventos ........................................................920
43.3.1.
Eventos gerados pelo Filtro Web ...................................................................920
43.3.2.
Eventos gerados pelo Proxy MSN .................................................................923 8
43.3.3.
Eventos gerados pelo Proxy POP3 ................................................................927
43.3.4.
Eventos gerados pelo Proxy SMTP ...............................................................929
43.3.5.
Eventos gerados pelo Módulo de IDS/IPS e filtro de aplicativos....................931
43.3.6.
Eventos gerados pelo Aker Antivírus Module ................................................932
43.3.7.
Eventos gerados pelo Aker Web Content Analizer ........................................936
43.3.8.
Eventos gerados pelo Aker Spam Meter .......................................................941
44.
Apêndice B - Copyrights e Disclaimers .....................................................952
Índice de Figuras
Figura 1 – Seleção do idioma para realizar a instalação. .........................................32 Figura 2 - Mensagem de boas vindas do Assistente de Instalação do Aker Control Center 2. ...................................................................................................................33 Figura 3 - Contrato de licença do Programa. ............................................................34 Figura 4 – Informações do usuário. ..........................................................................35 Figura 5 - Pasta de destino. ......................................................................................36 Figura 6 – Instalação em pasta especifica. ...............................................................37 Figura 7 - Pronto para instalar o aplicativo. ..............................................................37 Figura 8 - Barra de status da instalação. ..................................................................38 Figura 9 - Mensagem de instalação realizada com êxito. .........................................39 Figura 10 - Selecione o produto a ser instalado ou configurado. ..............................40 Figura 11 - Leia atentamente o seguinte texto e confirme a instalação. ...................40 Figura 12 - Selecione em qual disco o produto será instalado. ................................41 Figura 13 - Termo de Licença. ..................................................................................42 Figura 14 – Acessando o Aker Control Center 2.......................................................48 Figura 15 - Janela de Acesso: Menu opções. ...........................................................49 Figura 16 - Tempo de sessão ociosa. .......................................................................50 Figura 17 – Esconder regras. ...................................................................................50 Figura 18 – Desabilitar perguntas. ............................................................................50 Figura 19 - Escolha do idioma que deseja acessar o Aker Control Center. ..............51 Figura 20 – Cor de fundo do Aker Control Center.....................................................51 Figura 21 - Formato horizontal. .................................................................................51 Figura 22 - Formato vertical. .....................................................................................52 Figura 23 - Formato Diagonal. ..................................................................................52 Figura 24 – Formato Automático horizontal. .............................................................52 Figura 25 - Formato Automático vertical. ..................................................................52 Figura 26 – Selecionar cor. .......................................................................................53 Figura 27 - Botão: Padrão. ........................................................................................53 9
Figura 28 - Aviso de sair do programa. .....................................................................53 Figura 29 - Menu Janelas. ........................................................................................54 Figura 30 - Janela de Acesso: dispositivo remoto.....................................................54 Figura 31 - Janela de Acesso: Entidades. ................................................................55 Figura 32 - Janela de Acesso: janelas. .....................................................................55 Figura 33 - Configuração Automática de Atualização. ..............................................55 Figura 34 - Notificador de Atualizações. ...................................................................56 Figura 35 - Notificador de Instalação de Atualizações. .............................................56 Figura 36 - Atualizações prontas. .............................................................................57 Figura 37 - Informações sobre o item: Sobre ...........................................................57 Figura 38 - Janela de Acesso: Aker Firewall. ............................................................58 Figura 39 - Caixa de descrição de entidade. ............................................................59 Figura 40 – Botão: Criar novo dispositivo remoto. ....................................................59 Figura 41 - Caixa de edição do dispositivo remoto. ..................................................60 Figura 42 - Informações requeridas para Editar o Dispositivo Remoto. ....................61 Figura 43 – Ícone utilizado para o carregamento de arquivo. ...................................62 Figura 44 - Ícone utilizado para mostrar informações do certificado. ........................62 Figura 45 - Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo Remoto. ..................................................................................................63 Figura 46 – Botão Conectar. .....................................................................................64 Figura 47 - Interface conectada ao Firewall escolhido. .............................................64 Figura 48 - Finalizador de administração remota do Aker Firewall (Desconectar do dispositivo remoto). ...................................................................................................66 Figura 49 – Botão: Sair deste programa. ..................................................................66 Figura 50 - Dispositivos remotos (realizar mudança de senha). ...............................67 Figura 51 - Mudar Senha (inserir senha antiga, a nova senha e confirmação da mesma). ....................................................................................................................68 Figura 52 - Dispositivos remotos (Visualizar Informações da sessão). .....................69 Figura 53 - Informação da sessão (mostra dados do Firewall, Licença e Usuário). .70 Figura 54 – Botão: Carregar/Mostrar licença. ...........................................................71 Figura 55 - Informações sobre ativação de licenças. ................................................72 Figura 56 – Botão: Salvar um backup do item selecionado. .....................................72 Figura 57 - Download das configurações personalizadas e bases de treinamento. .73 Figura 58 - Backup Informações de log. ...................................................................73 Figura 59 - Tela de escolha de arquivo para salvar configurações. ..........................74 Figura 60 - Salvar o backup automaticamente. ........................................................75 Figura 61 - Botões para restauração de backup. ......................................................75 Figura 62- Botão: Carrega backup do arquivo. .........................................................76 Figura 63 - Escolha de arquivo para carregar dados de configuração......................76 Figura 64 - Restauração do backup do Antivírus Module. ........................................77 Figura 65 - Restauração do backup do Aker Spam Meter. .......................................77 Figura 66 - Restauração do backup da Web Content Analyzer. ...............................78 Figura 67 - Reiniciar o Firewall. ................................................................................78 10
Figura 68 - Botão: Atualizações. ...............................................................................79 Figura 69 - Sistema de atualização de dados do Firewall. ........................................80 Figura 70 – Botão: Carregar arquivo de atualização.................................................81 Figura 71 - Escolha do arquivo para atualização ou correção. .................................82 Figura 72 – Aplicar patch ou hotfix............................................................................82 Figura 73 – Aplicar rollback. .....................................................................................82 Figura 74 - Visualização de históricos de aplicação de patchs e hotfixes. ................83 Figura 75 - Acessando o Aker Firewall. ....................................................................84 Figura 76 - Notificação sobre atualizações disponíveis no Aker Update System. ....84 Figura 77 - Visualizando atualizações disponíveis através do Aker Update System. ..................................................................................................................................85 Figura 78 - Acessando o Aker Firewall. ....................................................................86 Figura 79 - Acessando as janelas do Aker Update System. .....................................86 Figura 80 - Acessando o Aker Firewall. ....................................................................87 Figura 81 - Menu - ajuda...........................................................................................87 Figura 82 - Janela de DNS reverso...........................................................................88 Figura 83 - DNS reverso. ..........................................................................................89 Figura 84 - Janela de acesso a Simulação de Regras de Filtragem. ........................90 Figura 85 - Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e máscaras). .....................................................................................................91 Figura 86 - Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e entidade). .......................................................................................................91 Figura 87 – Janela de Acesso: relatório....................................................................92 Figura 88 - Relatório de configuração do firewall. .....................................................93 Figura 89 - Janela de acesso a Busca de Entidades. ...............................................94 Figura 90 - Busca de Entidades (procura de entidade com IP ou nome e últimos resultados). ...............................................................................................................95 Figura 91 - Busca de Entidades (Serviços, protocolo e últimos resultados). ............96 Figura 92 - Busca de Entidades (Regras, entidades e últimos resultados). ..............97 Figura 93 - Janela de acesso à Janela de Alarmes. .................................................98 Figura 94 - Janela de Alarmes (Descrição). ..............................................................99 Figura 95 - Janela de acesso: Mapa da Rede. .......................................................100 Figura 96 - Mapa da Rede. .....................................................................................100 Figura 97 - Janela de acesso: Estatísticas do Sistema...........................................101 Figura 98 - Estatísticas do Sistema. .......................................................................102 Figura 99 – Relatório de estatística do sistema. .....................................................103 Figura 100 - Acesso a janela: Sniffer de tráfego de pacotes IP. .............................104 Figura 101 - Sniffer de Pacotes – Sniffer 1. ............................................................105 Figura 102 - Janela de acesso: Agentes Externos..................................................107 Figura 103 - Agentes Externos (nome, tipo e status). .............................................108 Figura 104 - Janela de acesso: Verificador de Configuração. ................................110 Figura 105 - Verificador de Configurações .............................................................111 Figura 106 - Janela de acesso: Diagnósticos. ........................................................113 11
Figura 107 - Janela de Diagnósticos: Tudo ............................................................114 Figura 108 - Janela de Diagnósticos: Ping .............................................................115 Figura 109 - Janela de Diagnósticos: Traceroute. ..................................................116 Figura 110 - Janela de Diagnósticos: Netstat. ........................................................117 Figura 111 - Janela de Diagnósticos: Nslookup. .....................................................118 Figura 112 - Acesso a janela de Usuários administradores. ...................................120 Figura 113 - Janela de Usuários administradores (Usuários internos). ..................121 Figura 114 - Usuários Administradores: Agentes externos. ....................................125 Figura 115 - Usuários Administradores de autenticação - X509. ............................127 Figura 116 – Importar certificado. ...........................................................................129 Figura 117 – Certificado (importado). .....................................................................129 Figura 118 – Exportar certificado. ...........................................................................130 Figura 119 – Certificado (exportado). .....................................................................131 Figura 120 – Detalhes do Certificado......................................................................131 Figura 121 – Opção de escolhas do servidor. ........................................................133 Figura 122 - Execução do programa utilizando a Interface Texto. ..........................134 Figura 123 - Execução do programa para inclusão de usuários como administrados do Aker Firewall. .....................................................................................................135 Figura 124 - Execução do programa para a exclusão de usuários. ........................136 Figura 125 - Execução do programa para a alteração de senha do usuário. .........137 Figura 126 - Execução do programa para exibir a listagem de usuários e permissões. ............................................................................................................138 Figura 127 – Compactação do programa para exibir a compactação do arquivo de usuários. .................................................................................................................139 Figura 128 - Edição das configurações do Aker Configuration Manager. ...............140 Figura 129 - Edição das configurações do Aker Configuration Manager (Firewall habilitado). ..............................................................................................................141 Figura 130 - Edição das configurações do Aker Configuration Manager (desabilita, modifica ou retorna). ...............................................................................................142 Figura 131 - Acesso aos dispositivos remotos (Parâmetros de configuração). ......144 Figura 132 - Parâmetros de configuração do Aker Firewall: global.........................146 Figura 133 - Parâmetros de configuração: Log. ......................................................148 Figura 134 - Parâmetros de configuração: Segurança. ..........................................151 Figura 135 - Parâmetros de configuração: SNMP. .................................................154 Figura 136 - Parâmetros de configuração: Monitoramento. ....................................156 Figura 137 - Parâmetros de configuração – Data e hora. .......................................158 Figura 138 - Janela de entidades (Aker Firewall)....................................................168 Figura 139 - Botão F5 do teclado............................................................................168 Figura 140 - Entidades: Instância Aker Firewall. .....................................................169 Figura 141 - Cadastro de entidade: Tipo Máquina. .................................................170 Figura 142 - Cadastro de entidade Tipo Máquina IPv6...........................................171 Figura 143 - Inclusão e edição de redes. ................................................................173 Figura 144 - Inclusão e edição de redes IPv6. ........................................................174 12
Figura 145 - Inclusão e edição de conjuntos. .........................................................175 Figura 146 - Adição de entidades. ..........................................................................177 Figura 147 - Edição de conjuntos IPv6. ..................................................................178 Figura 148 - Edição de conjuntos IPv6 (entidades a ser adicionada). ....................179 Figura 149 - Inclusão e edição das listas de categorias. ........................................180 Figura 150 - Inclusão e edição dos padrões de buscas. .........................................181 Figura 151 - Inclusão e edição de quotas. ..............................................................182 Figura 152 - Inclusão e edição de agentes externos. .............................................183 Figura 153 - Cadastro de um agente externo tipo autenticador ou autenticados token. ......................................................................................................................185 Figura 154 - Cadastro de um agente externo tipo Autoridade Certificadora. ..........187 Figura 155 - Definição de Pseudo-Grupos para usuários que se autenticarem por meio de autoridade certificadora. ............................................................................189 Figura 156 - Cadastro de agente externo tipo Agente IDS. ....................................190 Figura 157 - Cadastro de agente externo tipo Analisador de texto. ........................190 Figura 158 - Cadastro de agente externo tipo Módulo de Antivírus. .......................191 Figura 159 - Cadastro de agente externo tipo Spam Meter. ...................................191 Figura 160 - Cadastro de agente externo Servidor Remoto. ..................................192 Figura 161 - Cadastro de agente externo Autenticador LDAP. ...............................193 Figura 162 - Cadastro de agente externo Autenticador Radius. .............................195 Figura 163 - Inclusão e edição de serviços. ............................................................197 Figura 164 - Inclusão e edição de interfaces. .........................................................199 Figura 165 - Inclusão e edição de listas de e-mails. ...............................................200 Figura 166 - Opção para realizar uma operação sobre um e-mail ou domínio. ......201 Figura 167 - Lista dos tipos de arquivos. ................................................................202 Figura 168 - Opção para realizar uma operação (Entrada da lista). .......................203 Figura 169 - Acumuladores. ....................................................................................203 Figura 170 - Cadastro de entidade tipo Canal. .......................................................205 Figura 171 - Mensagem de entrada no Assistente de criação de entidades. .........212 Figura 172 - Escolha do tipo de entidade. ..............................................................213 Figura 173 - Inserção do endereço de IP da máquina. ...........................................214 Figura 174 - Atribuição do nome da entidade. ........................................................215 Figura 175 - Escolha do ícone da entidade. ...........................................................216 Figura 176 - Mensagem de finalização do cadastramento de entidades. ...............217 Figura 177 - Dispositivos remotos (Acesso a janela de configuração das regras). .225 Figura 178 - Janelas de regras de filtragem. ..........................................................226 Figura 179 - Menu com opções de entidades referente ao campo. ........................227 Figura 180 - Ícones de verificação de regras. .........................................................230 Figura 181 - Verificador de regras. .........................................................................231 Figura 182 - Regras de filtragem (Exemplo de canal de 10Mb - ADSL). ................232 Figura 183 - Ajustes de prioridade de canal. ..........................................................232 Figura 184 - Exemplo de como trabalhar com políticas de filtragem. .....................233 Figura 185 - Exemplo de regras de filtragem. .........................................................234 13
Figura 186 - Interface regras de filtragem. ..............................................................234 Figura 187 - Barra de ícones (Política). ..................................................................234 Figura 188 - Exibição das regras de filtragem. .......................................................235 Figura 189 - Assistente de regras filtragem (janela exibida quando um número pequeno de regras for detectado. ...........................................................................239 Figura 190 - Mensagem de boas vindas ao Assistente de regras filtragem. ...........240 Figura 191 - Escolha da rede interna e configuração inicial. ..................................241 Figura 192 - Tela de acesso para escolha de acesso restrito ou não à internet. ....242 Figura 193 - Escolha se possui ou não DMZ. .........................................................243 Figura 194 - Escolha da entidade DMZ. .................................................................244 Figura 195 - Máquinas DMZ (acesso restrito ou não à Internet). ............................245 Figura 196 - Escolha para configurar outro servidor ou não. ..................................250 Figura 197 - Aviso de finalização de configuração das regras de filtragem. ...........251 Figura 198 - Janela com as regras de Pipes. .........................................................252 Figura 199 - Exemplo 1 de configuração do Aker Firewall (interligando departamentos). ......................................................................................................259 Figura 200 - Exemplo 2 de configuração do Aker Firewall (múltiplas ligações com a Internet). .............................................................................................................261 Figura 201 - Exemplo 3 de configuração do Aker Firewall (montando regras de conversão de endereços). ......................................................................................263 Figura 202 - Janela de configuração da conversão de endereços. ........................264 Figura 203 – Janela de configuração da conversão de endereços (NAT). .............265 Figura 204 - Janela de configuração de balanceamento de link. ............................267 Figura 205 - Janela de configuração para adicionar entidades. .............................269 Figura 206 - Janela de inclusão de regras de NAT. ................................................270 Figura 207 - Janela de configuração para ações que deseja ser realizada. ...........272 Figura 208 - Máscaras de rede da entidade de origem e virtual devem ser iguais. 273 Figura 209 - Configuração dos parâmetros de monitoramento a ser realizado pelo firewall. ....................................................................................................................273 Figura 210 - Exemplo 1, conversão de endereços..................................................276 Figura 211 - Exemplo 2, conversão de serviços. ....................................................277 Figura 212 - Balanceamento de link (primeira fase). ..............................................278 Figura 213 - Montagem das regras do NAT (Segunda fase). .................................279 Figura 214 - Mensagem de boas vindas ao Assistente de configuração de NAT. ..284 Figura 215 - Seleção das redes que tem a necessidade de acessar à Internet compartilhando um endereço IP. ............................................................................285 Figura 216 - Seleção do IP da máquina virtual para realizar a conversão de N-1. .286 Figura 217 - Mensagem se deseja configurar os servidores acessíveis externamente. .........................................................................................................287 Figura 218 - Escolha da entidade que deseja tornar acessível na internet. ............288 Figura 219 - Escolha do endereço IP utilizados por máquinas externas a ser utilizado no servidor. ...............................................................................................289 Figura 220 - Escolha para configurar mais servidores. ...........................................290 14
Figura 221 - Finalização do assistente de regras. ..................................................291 Figura 222 - Exemplo de configuração de um canal seguro firewall-firewall para uma sub-rede. .................................................................................................................303 Figura 223 - Canal seguro entre redes. ..................................................................305 Figura 224 - Dispositivos remotos (Acesso a janelas de Certificados IPSEC). .......306 Figura 225 - Janela de Certificados IPSEC. ...........................................................307 Figura 226 - Barra de ferramentas (Certificados IPSEC). .......................................308 Figura 227 - Janela de ação para Certificados IPSEC............................................308 Figura 228 - Dispositivos remotos (Acesso a janela de Firewall/Firewall). .............309 Figura 229 - Janela de Criptografia Firewall/Firewall. .............................................310 Figura 230 - Menu de inserção, copia ou exclusão para definição dos fluxos de criptografia. .............................................................................................................311 Figura 231 - Menu de inclusão ou alteração de fluxos. ...........................................311 Figura 232 - Configuração de canais IPSEC. .........................................................312 Figura 233 - Definição dos algoritmos de criptografia e autenticação permitidos pelo firewall durante negociação das chaves IKE. .........................................................314 Figura 234 - Visualização do tráfego IPSEC. ..........................................................315 Figura 235 - Gráfico de acompanhamento (Bytes de logs transferidos). ................316 Figura 236 - Dispositivos remoto (Acesso as configurações do Security Roaming). ................................................................................................................................325 Figura 237 - Configuração geral do Security Roaming ...........................................326 Figura 238 - Configuração do Security Roaming. ...................................................327 Figura 239 - Lista de controle de acesso do Security Roaming. .............................328 Figura 240 - Menu com escolha das entidades a ser adicionadas. ........................329 Figura 241 - Conjunto de endereços do Security Roaming. ...................................330 Figura 242 - Configuração da VPN L2TP. ..............................................................332 Figura 243 - Lista de endereços que podem ser fornecidos a clientes conectados remotamente ao firewall. .............................................. Erro! Indicador não definido. Figura 244 - Menu com escolhas da entidade para adicionar. ...............................333 Figura 245 - Configurando o cliente L2TP (Windows Vista/XP). .............................334 Figura 246 - Configurando o cliente L2TP (utilizando VPN). ..................................335 Figura 247 - Configurando o cliente L2TP (escolha do IP e nome da conexão). ....336 Figura 248 - Configurando o cliente L2TP (nome do usuário e senha utilizados para autenticar o cliente de VPN no Aker Firewall). ........................................................337 Figura 249 - Configuração da VPN L2TP concluída. ..............................................338 Figura 250 – Propriedades de Conexão VPN (edição das propriedades de conexão). ................................................................................................................................339 Figura 251 - Configurando a VPN PP TP. ..............................................................340 Figura 252 - Menu com escolhas da entidades para adicionar. ..............................342 Figura 253 - Configurando o Cliente PPTP para autenticação com PAP (Windows Vista/XP). ................................................................................................................343 Figura 254 - Janela de configuração da VPN no Microsoft Windows®. ..................344 Figura 255 - Janela de configuração de rede da VPN no Microsoft Windows®. .....345 15
Figura 256 - Janela de configuração de usuário e senha da VPN no Microsoft Windows®. ..............................................................................................................346 Figura 257 - Configuração da VPN no Microsoft Windows® concluída. .................347 Figura 258 - Configurações do Servidor de autenticação Radius do Microsoft Windows Server®. ..................................................................................................349 Figura 259 - Configurações do Shared secret do servidor de autenticação Radius do Microsoft Windows Server®. ...................................................................................350 Figura 260 - Definição das regras de acesso remoto do servidor de autenticação Radius do Microsoft Windows Server®...................................................................351 Figura 261 - Especificação das condições de conexão do servidor de autenticação Radius do Microsoft Windows Server®...................................................................352 Figura 262 - Especificação das condições de conexão - Edição. ...........................353 Figura 263 - Especificação das condições de conexão – IP. ..................................354 Figura 264 - Especificação das condições de conexão – Multilink. ........................355 Figura 265 - Especificação das condições de conexão – Authentication................356 Figura 266 - Especificação das condições de conexão – Encryption. ....................357 Figura 267 - Especificação das condições de conexão – Advanced. .....................358 Figura 268 - Informações dos usuários podem efetuar autenticações....................359 Figura 269 - Propriedades dos usuários que podem efetuar autenticações. ..........360 Figura 270 - Clientes VPN - IPSEC. .......................................................................362 Figura 271 - Lista de endereços que podem ser atribuídos aos clientes. ...............364 Figura 272 - Lista de endereços que são redes protegidas. ...................................365 Figura 273 - Configurações recomendadas para clientes de criptografia – Shared Secret. ....................................................................................................................367 Figura 274 - Configurações recomendadas para clientes de criptografia – X.509..368 Figura 275 - Configuração da VPN – General. .......................................................369 Figura 276 - Configuração da VPN – Authentication. .............................................370 Figura 277 - Configuração da VPN – Phase 1. .......................................................370 Figura 278 - Configuração da VPN – Phase 2. .......................................................371 Figura 279 - Configuração da VPN – Connect. .......................................................371 Figura 280 - Configuração iPhone – certificado. .....................................................372 Figura 281 - Configuração iPhone– estabelecendo VPN........................................373 Figura 282 - Configuração VPN com certificado. ....................................................374 Figura 283 - Configuração VPN - Authentication – Local Identity. ..........................375 Figura 284 - Configuração VPN - Authentication – Remote Identity. ......................375 Figura 285 - Configuração VPN - Authentication – Authentication Method.............376 Figura 286 - Janela de acesso – VPN SSL.............................................................377 Figura 287 - VPN SSL - Portais. .............................................................................378 Figura 288 - VPN SSL - Applet. ..............................................................................380 Figura 289 – Mensagem de boas vindas ao Assistente de Instalação do Aker Authentication Agent. ..............................................................................................382 Figura 290 – Contrato de licença de instalação do programa. ................................383 Figura 291 – Pasta de destino de instalação. .........................................................384 16
Figura 292 – Mensagem que o assistente está pronto para realizar a instalação. .385 Figura 293 – Barra de status da instalação. ...........................................................386 Figura 294 – Mensagem de instalação do Aker Authentication Agent foi instalado com sucesso. ..........................................................................................................387 Figura 295 - Perfil de acesso – Permissão VPN. ....................................................388 Figura 296 - VPN SSL – Instruções gerais. ............................................................389 Figura 297 - VPN SSL – Instruções gerais. ............................................................392 Figura 298 - Edição dos parâmetros de um contexto SSL. .....................................393 Figura 299 - Exibição do certificado do proprietário – X.509. .................................395 Figura 300 - Fluxo do pacote da rede interna ao atingir o firewall. .........................398 Figura 301 - Fluxo do pacote da rede externa em direção à rede interna. .............399 Figura 302 - Janela de acesso ao SYN Flood. .......................................................405 Figura 303 - SYN Flood – Ativação de proteção SYN Flood. .................................406 Figura 304 - Janela de acesso: Proteção de Flood.................................................408 Figura 305 - Proteção de Flood - Configuração. .....................................................409 Figura 306 - Janela de acesso: Anti Spoofing. .......................................................412 Figura 307 - Anti Spoofing – Ativação do controle. .................................................413 Figura 308 - Bloqueio de excesso de tentativas de login inválidas - Eventos. ........418 Figura 309 - Janela de acesso - Ações...................................................................420 Figura 310 - Ações – Mensagens de logs. ..............................................................421 Figura 311 - Ações a serem executadas para mensagens exibidas. ......................422 Figura 312 - Ações: Parâmetros. ............................................................................423 Figura 313 - Janela de acesso: log. ........................................................................433 Figura 314 - Barra de ferramentas de log. ..............................................................433 Figura 315 – Botão: Filtragem do Firewall. .............................................................434 Figura 316 – Botão: Interromper busca do Firewall. ...............................................434 Figura 317 - Botão: Exportar log. ............................................................................434 Figura 318 – Botão: Apagar log do Firewall. ...........................................................434 Figura 319 - Botão: Resolução reversa dos IP .......................................................434 Figura 320 - Botão: atualização de telas de log. .....................................................434 Figura 321 - Botão: tempo de atualização do log....................................................435 Figura 322 - Botão: percorre log. ............................................................................435 Figura 323 - Botão: expandir mensagens de log. ...................................................435 Figura 324 - Filtro de log. ........................................................................................436 Figura 325 - Filtro de log. ........................................................................................437 Figura 326 - Lista com várias entradas de log. .......................................................440 Figura 327 - Exportador de log. ..............................................................................442 Figura 328 - Barra de exportação de log – porcentagem realizada. .......................442 Figura 329 - Janela de acesso: Eventos. ................................................................452 Figura 330 - Barra de ferramentas: Eventos. ..........................................................452 Figura 331 - Filtro de eventos. ................................................................................453 Figura 332 - Descrição dos Eventos. ......................................................................456 Figura 333 - Exportar log de eventos. .....................................................................458 17
Figura 334 - Janelas de eventos - Estatística. ........................................................464 Figura 335 - Regras de estatística. .........................................................................465 Figura 336 - Barra de ferramentas - Regras de estatística. ....................................466 Figura 337 - Visualizar Estatísticas. ........................................................................467 Figura 338 - Botão: gráfico. ....................................................................................467 Figura 339 - Botão: Texto. ......................................................................................467 Figura 340 - Botão: remover. ..................................................................................468 Figura 341 - Visualizar Estatísticas – Gráfico. ........................................................468 Figura 342 - Botão: salvar estatística......................................................................469 Figura 343 - Exportar Estatística.............................................................................469 Figura 344 - Barra de ferramentas: visualização das estatísticas. ..........................469 Figura 345 - Janela de acesso: Conexões TCP. ....................................................475 Figura 346 - Conexões TCP – Conexões IPv4. ......................................................476 Figura 347 - Conexões TCP – Conexões IPv6. ......................................................477 Figura 348 - Barra de ferramentas: conexões TCP. ...............................................478 Figura 349 - Conexões TCP – Gráfico de conexões IPv4. .....................................479 Figura 350 - Janela de acesso: Relatório. ..............................................................484 Figura 351 - Configurando relatório - Diário............................................................485 Figura 352 - Configuração do relatório - geral. .......................................................486 Figura 353 - Configuração do relatório – sub-relatório............................................487 Figura 354 - Configuração do relatório – método de publicação. ...........................489 Figura 355 - Configuração do relatório – método de SMTP....................................490 Figura 356 - Janela de acesso: Exportação Agendada de Logs e Eventos. ...........494 Figura 357 - Exportação Agendada de Logs e Eventos - diário. .............................495 Figura 358 - Configuração da Exportação Agendada de Logs e Eventos - geral. ..496 Figura 359 - Configuração da Exportação Agendada de Logs e Eventos – método de publicação. ..............................................................................................................497 Figura 360 - Configuração da Exportação Agendada de Logs e Eventos – tipo de publicação. ..............................................................................................................498 Figura 361 - Funcionamento básico de um Proxy tradicional. ................................501 Figura 362 - Funcionamento básico de um Proxy transparente. ............................502 Figura 363 - Proxies transparentes e contextos......................................................502 Figura 364 - Agente de autenticação - Aker. ..........................................................508 Figura 365 - Agente de autenticação – Firewall Aker. ............................................509 Figura 366 - Agente de autenticação - Log. ............................................................510 Figura 367 - Agente de autenticação - Sobre. ........................................................511 Figura 368 - Janela de acesso: Autenticação. ........................................................513 Figura 369 - Autenticação de acesso: Controle de acesso. ....................................514 Figura 370 - Autenticação de acesso: Listagem de grupos ou usuários. ................516 Figura 371 - Autenticação de acesso: Escolha do perfil desejado. .........................516 Figura 372 - Autenticação de acesso: Métodos. .....................................................518 Figura 373 - Autenticação de acesso: Adicionar entidades. ...................................520 Figura 374 - Autenticação de acesso: Remover entidades. ....................................520 18
Figura 375 - Autenticação de acesso: Métodos 1. ..................................................521 Figura 376 - Autenticação de acesso: Métodos (habilitar autenticação do Token). 522 Figura 377 - Autenticação de acesso: Autenticação para proxies. .........................523 Figura 378 - Autenticação de acesso: Autenticação local. ......................................524 Figura 379 - Aba para inclusão de usuário. ............................................................524 Figura 380 - Autenticação – Autenticação local. .....................................................525 Figura 381 - Autenticação – alteração de senha ou grupo. ....................................525 Figura 382 - Autenticação local – criar ou remover grupos. ....................................526 Figura 383 - Controle de acesso por IP. .................................................................527 Figura 384 - Configuração NTLM............................................................................528 Figura 385 - Segurança do Windows – solicitação de usuário e senha. .................529 Figura 386 - Janela de acesso: Perfis.....................................................................535 Figura 387 - Perfis – Aker Firewall. .........................................................................536 Figura 388 - Janela de configuração de perfil (inserir e excluir). ............................536 Figura 389 - Regras: regras de filtragem para o perfil de acesso. ..........................538 Figura 390 - Perfis: Socks. ......................................................................................539 Figura 391 - Perfis: Geral. .......................................................................................540 Figura 392 - Perfis: FTP e GOPHER. .....................................................................541 Figura 393 - Janela de acesso Perfis (inserir e desabilitar). ...................................542 Figura 394 - Geral: HTTP e HTTPS. .......................................................................545 Figura 395 - Janela de acesso: Bloqueio de Banners.............................................546 Figura 396 - Bloqueio de Banners (URL de banners). ............................................547 Figura 397 - Perfis: bloqueio de URL. .....................................................................548 Figura 398 - Barra de ferramentas (inserir ou desabilitar). .....................................548 Figura 399 - Perfis: Arquivos bloqueados. ..............................................................550 Figura 400 - Escolhas de operações. .....................................................................551 Figura 401 - Perfis: Security Roaming. ...................................................................553 Figura 402 - Perfis: Security Roaming (conjunto de endereços). ............................555 Figura 403 - Perfis: VPN-SSL (Proxy SSL). ............................................................556 Figura 404 - Conexão Direta: Proxy Reverso SSL..................................................557 Figura 405 - Conexão Via Apllet. ............................................................................557 Figura 406 - Conexão Cliente Applet / SSL / Normal. .............................................557 Figura 407 - Perfis – MSN Messenger. ...................................................................559 Figura 408 - Menu (inserir/desabilitar) para executar qualquer operação sobre a regra. ......................................................................................................................560 Figura 409 - Perfis: Filtragem de aplicação. ...........................................................562 Figura 410 - Menu (inserir/desabilitar) para executar qualquer operação sobre a regra. ......................................................................................................................563 Figura 411 - Janela de acesso: Autenticação. ........................................................564 Figura 412 - Autenticação: Controle de acesso. .....................................................565 Figura 413 - Menu de escolha do usuário. ..............................................................566 Figura 414 - Menu de escolha do perfil...................................................................566 Figura 415 - Controle de acesso por IP. .................................................................567 19
Figura 416 - Janela de acesso: usuários conectados. ............................................570 Figura 417 - Usuários conectados (máquina, nome, domínio, perfil, inicio, TPC e nº de usuários conectados.) ........................................................................................571 Figura 418 - Barra de ferramentas: usuários conectados. ......................................571 Figura 419 - Serviços: relay. ...................................................................................578 Figura 420 - Serviços: geral. ...................................................................................579 Figura 421 - Serviços: relay. ...................................................................................580 Figura 422 - Serviço: regras. ..................................................................................581 Figura 423 - Menu (inserir, copiar, editar, excluir ou renomear). ............................582 Figura 424 - Edição de regra: SMTP. .....................................................................583 Figura 425 - Serviço: DNS. .....................................................................................586 Figura 426 - Menu (inserir, copiar, editar, excluir ou renomear). ............................587 Figura 427 - Serviço: DNS. .....................................................................................588 Figura 428 - Serviço: anexos. .................................................................................589 Figura 429 - Menu (inserir, copiar, editar, excluir ou renomear). ............................590 Figura 430 - Regra: edição de regras e anexos. .....................................................591 Figura 431 - Regra: edição de regras e anexos. .....................................................593 Figura 432 - Serviço: Spam Meter. .........................................................................595 Figura 433 - Serviço: Avançado. .............................................................................599 Figura 434 - Serviço: propriedade de um contexto Telnet. .....................................603 Figura 435 - Menu (inserir). ....................................................................................604 Figura 436 - Janela de inclusão de usuários ou grupos..........................................605 Figura 437 - Serviços: propriedades de um contexto FTP. .....................................608 Figura 438 - Janela de lista de regras (aceitas ou não). .........................................609 Figura 439 - Propriedades de um contexto POP3. .................................................614 Figura 440 - Operações sobre determinada regra. .................................................615 Figura 441 - Edição de regras de arquivos. ............................................................616 Figura 442 - Janela de acesso: Uso de quotas. ......................................................621 Figura 443 - Uso de quotas: visualização do usuário. ............................................622 Figura 444 - Uso de quotas: visualização da quota. ...............................................623 Figura 445 - Conexão (internet, rede interna, firewall e DMZ. ................................627 Figura 446 - Janela de acesso: filtro web. ..............................................................629 Figura 447 - Configuração dos parâmetros do filtro web (geral). ............................630 Figura 448 - Filtro Web: cliente de autenticação. ....................................................634 Figura 449 - Filtro Web: controle de conteúdo. .......................................................636 Figura 450 - Filtro Web: tipo de arquivo. .................................................................638 Figura 451 - Escolhas dos operadores. ..................................................................641 Figura 452 - Filtro Web: antivírus. ...........................................................................642 Figura 453 - Diagrama de certificados envolvidos no acesso. ................................645 Figura 454 - Filtro web: configuração......................................................................647 Figura 455 - Certificado de erro do Firefox. ............................................................649 Figura 456 - Certificado assinado pela CA de erro. ................................................649 Figura 457 - Erro de acesso. ..................................................................................650 20
Figura 458 - Certificado de informação. ..................................................................653 Figura 459 - Certificado de informação. ..................................................................654 Figura 460 – Certification Authority. ........................................................................655 Figura 461 - Certificado CA – properties.................................................................655 Figura 462 - Certificado CA – General. ...................................................................656 Figura 463 - Certificado CA – Details......................................................................657 Figura 464 - Certificado CA – All tasks / Back up Ca. .............................................658 Figura 465 - Certificado Authority Backup Wizard. .................................................658 Figura 466 - Certificado Authority Backup Wizard – senha e confirmação. ............659 Figura 467 - Microsoft Management Console. ........................................................660 Figura 468 - Adicionar ou remover Snap-is. ...........................................................661 Figura 469 - Microsoft Management Console – certificates, all task, import). .........662 Figura 470 - Escolha do diretório onde deseja importar o relatório.........................663 Figura 471 - Mozilla Firefox (importar certificado). ..................................................664 Figura 472 - Mozilla Firefox (criptografia). ..............................................................664 Figura 473 - Gerenciador de certificados – autoridades. ........................................666 Figura 474 - Filtro Web: avançado. .........................................................................667 Figura 475 - Filtro Web: avançado. .........................................................................668 Figura 476 - Filtro Web: avançado. .........................................................................669 Figura 477 - Sessões Web. ....................................................................................671 Figura 478 - Janela de acesso: Proxy Socks ..........................................................676 Figura 479 - Autenticação dos usuários Socks. ......................................................676 Figura 480 - Propriedades de um contexto RCP. ...................................................681 Figura 481 - Menu de execução da janela RPC. ....................................................682 Figura 482 - Menu de execução da janela RPC (inserir, apagar, rejeitar ou aceitar). ................................................................................................................................682 Figura 483 - Propriedades de um contexto DCE-RPC............................................683 Figura 484 - Menu de execução da janela DCE-RPC.............................................684 Figura 485 - Menu de execução da janela DCE-RPC (inserir, apagar, rejeitar ou aceitar). ...................................................................................................................684 Figura 486 - Janela de acesso: Proxy Messenger. .................................................687 Figura 487 - Proxy Messenger – Aba Tipo Serviço.................................................688 Figura 488 - Proxy Messenger – Aba Mensagens. .................................................689 Figura 489 - Proxy Messenger – Controle de acesso. ............................................690 Figura 490 - Proxy Messenger – Configurações. ....................................................691 Figura 491 - Janela de acesso: Filtragem de aplicações. .......................................694 Figura 492 - Filtragem de aplicações – Regras de filtragem de aplicações. ...........695 Figura 493 - Menu de operação sobre uma regra...................................................696 Figura 494 - Janela de acesso: Filtragem de aplicações. .......................................698 Figura 495 – Filtro de Aplicações............................................................................699 Figura 496 - Menu de operação sobre um filtro. .....................................................699 Figura 497 - Menu de operação para acessar o nome do filtro ou forma de concatenação. ........................................................................................................700 21
Figura 498 - Operações de filtragem. .....................................................................700 Figura 499 - Janela de acesso: IPS/IDS. ................................................................703 Figura 500 - IPS/IDS – Regras IDS. .......................................................................704 Figura 501 - Menu para execução de operação de regras. ....................................705 Figura 502 - IPD/IDS – Filtros IDS. .........................................................................707 Figura 503 - Filtros IDS – Configuração do filtro. ....................................................708 Figura 504 - IPD/IDS - Portscan. ............................................................................710 Figura 505 - IPD/IDS – IDS Externo. ......................................................................712 Figura 506 - Janela de acesso: IPs bloqueados. ....................................................714 Figura 507 - IPs bloqueados. ..................................................................................715 Figura 508 - Janela de Acesso – atualização de assinaturas. ................................716 Figura 509 - Atualização de assinaturas. ................................................................717 Figura 510 - Configuração IDS – configuração. ......................................................718 Figura 511 - Firewalls usados. ................................................................................720 Figura 512 - Configuração de IDS – log..................................................................721 Figura 513 - Configuração de IDS – eventos. .........................................................722 Figura 514 - Janela de acesso: TCP/IP. .................................................................728 Figura 515 - Janela de Acesso: DHCP. ..................................................................729 Figura 516 - Servidor DHCP. ..................................................................................730 Figura 517 - Relay DHCP entre redes. ...................................................................731 Figura 518 - Servidor DHCP interno. ......................................................................732 Figura 519 - Janela de Acesso: DNS. .....................................................................733 Figura 520 - TCP/IP - DNS .....................................................................................733 Figura 521 - Janela de Acesso: Interfaces de rede.................................................734 Figura 522 - Janela de acesso: Interfaces de redes. ..............................................735 Figura 523 - Menu: configuração ou modificação de endereço IP. .........................736 Figura 524 - Menu de criação: VLAN. .....................................................................736 Figura 525 - Configuração PPPoE. .........................................................................737 Figura 526 - Janela de Acesso: Roteamento. .........................................................739 Figura 527 - Janela de Roteamento........................................................................740 Figura 528 - Roteamento - Geral. ...........................................................................741 Figura 529 - Roteamento dinâmico. ........................................................................743 Figura 530 - Roteamento dinâmico. ........................................................................746 Figura 531 - Roteamento avançado (OSPF). .........................................................748 Figura 532 - Roteamento avançado........................................................................750 Figura 533 - Exemplo de laboratório de teste – balanceamento de rotas. ..............751 Figura 534 - Teste e configurações – NAT – exemplo A. .......................................751 Figura 535 - Teste e configurações – Balanceamento de link – exemplo B. ..........752 Figura 536 - Teste e configurações – NAT exemplo B. ..........................................752 Figura 537 - Teste e configurações – Balanceamento de link – exemplo B. ..........753 Figura 538 - Roteamento. .......................................................................................753 Figura 539 - Modo de configuração para interfaces de rede. .................................755 Figura 540 - Configuração de Interfaces.................................................................756 22
Figura 541 - Lista da interfaces de rede. ................................................................757 Figura 542 - Módulo de configuração para interfaces de rede. ...............................757 Figura 543 - Cadastro de VLan. ..............................................................................758 Figura 544 - Configuração de interfaces. ................................................................759 Figura 545 - Configuração de rotas estáticas. ........................................................760 Figura 546 - Configuração de rotas estáticas – entrada de dados. ........................761 Figura 547 - Configuração de DNS. ........................................................................762 Figura 548 - Módulo de configuração para interfaces de rede. ...............................762 Figura 549 - Configuração de link 3G. ....................................................................770 Figura 550 - Configuração 3G no Aker Firewall. .....................................................771 Figura 551 - Janela de acesso: Configuração do cluster. .......................................778 Figura 552 - Criar cluster. .......................................................................................779 Figura 553 - Configuração do cluster – configurações gerais. ................................780 Figura 554 - Configuração do cluster: Adicionar membro. ......................................782 Figura 555 - Janela de acesso: Estatísticas do cluster. ..........................................783 Figura 556 - Estatísticas do cluster: Firewall 1. ......................................................784 Figura 557 - Estatísticas do cluster: Gráfico. ..........................................................785 Figura 558 - Janela de Acesso: configuração do Cluster........................................786 Figura 559 - Criar Cluster. ......................................................................................786 Figura 560 - Preenchimento dos campos para criar cluster. ...................................787 Figura 561 – Exemplo: criar cluster. .......................................................................788 Figura 562 - Mensagem de configuração realizada com sucesso. .........................788 Figura 563 – Mensagem que o usuário será desconectado para as configurações serem recarregadas. ...............................................................................................789 Figura 564 - Escolha do cluster corporativo. ...........................................................789 Figura 565 - Pop-up informando que ao mudar o tipo de cluster será realizado um reinício do servidor..................................................................................................790 Figura 566 - Configuração do Cluster. ....................................................................791 Figura 567 - Escolha Multicast. ...............................................................................792 Figura 568 - Adicionar entidades. ...........................................................................793 Figura 569 - Acesso ao servidor SSH. ....................................................................794 Figura 570 - Cadastro de MAC. ..............................................................................794 Figura 571 - Cluster cooperativo montado. .............................................................795 Figura 572 - Interface Texto – exemplo 1: mostrando a configuração da interface. ................................................................................................................................797 Figura 573 - Esquema de funcionamento do Web Content Analyzer. ....................810 Figura 574 - Escolha do idioma no qual deseja realizar a instalação. ....................812 Figura 575 – Contrato de licença do programa. ......................................................813 Figura 576 - Preenchimento de informações do usuário. .......................................814 Figura 577 - Seleção dos recursos que deseja instalar. .........................................815 Figura 578 - Mensagem de aplicativo pronto para ser instalado. ...........................816 Figura 579 - Barra de progressão de instalação. ....................................................817 Figura 580 - Concluindo a Instalação. ....................................................................818 23
Figura 581 - Instalação Linux: Descompactação. ...................................................819 Figura 582 - Instalação Linux: Execução Script de Instalação. ...............................820 Figura 583 - Termo de Licença. ..............................................................................821 Figura 584 – Instalação do Módulo de Log. ............................................................822 Figura 585 – Confirmação de usuário e senha. ......................................................823 Figura 586 - Instalação Linux: Criação de Usuário Administrador. .........................824 Figura 587 - Opções de Configuração do Aker Web Content Analyzer. .................825 Figura 588 - Janela de acesso: Gerenciamento de base de URLs. ........................825 Figura 589 – Menu: Gerenciamento da base de URLs. ..........................................826 Figura 590 - Gerenciamento da base de URLs: geral.............................................827 Figura 591 – Menu: Gerenciamento da base de URLs frequência de atualização. 828 Figura 592 – Menu: Gerenciamento da base de URLs atualiza os sites. ...............829 Figura 593 - Janela de Acesso: Categorias. ...........................................................830 Figura 594 – Menu: Categorias cria categoria pai. .................................................831 Figura 595 -– Menu: Categorias cria categoria filho. ..............................................832 Figura 596 - Botão: ícone. ......................................................................................832 Figura 597 – Escolha dos ícones da categoria. ......................................................833 Figura 598 – Janela: Nova Categoria. ....................................................................833 Figura 599 – Criação das listas de expressões. .....................................................834 Figura 600 – Menu: categorias cria lista de expressões. ........................................835 Figura 601 – Menu: Categorias define local de busca. ...........................................836 Figura 602 - Botão: de pesquisa. ............................................................................836 Figura 603 – Menu: Categorias. .............................................................................837 Figura 604 – Importar arquivo. ................................................................................838 Figura 605 - Janela de acesso: Teste de URLs. .....................................................840 Figura 606 – Teste de URL. ....................................................................................840 Figura 607 – Teste de URL já categorizado. ..........................................................841 Figura 608 - Aker Spam Meter: Esquema de Funcionamento. ...............................845 Figura 609 - Janela de Acesso: Spam Meter. .........................................................846 Figura 610 - Menu de o Spam Meter. .....................................................................846 Figura 611 - Janela de Acesso: Bancos de dados. .................................................847 Figura 612 - Bancos de dados. ...............................................................................847 Figura 613 – Menu Base de Dados: Lista das bases de Dados. ............................849 Figura 614 - Botões: Salva Backup e Restaura Backup. ........................................849 Figura 615 - Botões: Atualizar, Recalcular e Excluir·. .............................................849 Figura 616 - Parâmetros. ........................................................................................850 Figura 617 – Parâmetros: usando Proxy. ...............................................................851 Figura 618 - Janela de Acesso: Classificação de e-mail.........................................852 Figura 619 – Menu Filtro: Classificação de e-mail. .................................................852 Figura 620 - Abri um arquivo de e-mail. ..................................................................853 Figura 621 - Janela de Acesso: Configurações do filtro..........................................854 Figura 622 - Mensagens salvas para treinamento. .................................................854 Figura 623 – Configurações do filtro. ......................................................................855 24
Figura 624 - Botão: Padrão. ....................................................................................856 Figura 625 - Botão: Atualização do Servidor. .........................................................856 Figura 626 - Janela de Acesso: Gráfico de notas. ..................................................857 Figura 627 – Gráfico de notas. ...............................................................................857 Figura 628 – Plugin de o Aker Spam Meter para Mozilla Thunderbird....................858 Figura 629 - Aker Antivírus Module: Esquema de Funcionamento 1. .....................862 Figura 631 - Esquema de Funcionamento 3. ..........................................................863 Figura 632 –Janela de Acesso: Antivírus. ...............................................................864 Figura 633 - Opções de Configuração do Aker Antivírus Module. ..........................865 Figura 634 – Configurações avançadas. ................................................................866 Figura 635 - Menu “Informações do Engine” ..........................................................867 Figura 636 – Gerenciamento de atualizações. .......................................................868 Figura 637 - Menu “Gerenciamento de atualizações” – ..........................................869 Figura 638 - Menu “Gerenciamento de Atualizações” -> “Atualização da base de vírus” .......................................................................................................................870
25
Introdução
26
1.
Introdução Seja bem vindo ao manual do usuário do Aker Firewall 6.5. Nos próximos capítulos você aprenderá como configurar esta poderosa ferramenta de proteção às redes. Esta introdução tem como objetivo descrever a organização deste manual tornando sua leitura a mais simples e agradável possível.
1.1. Como está disposto este manual
Este manual é organizado em vários capítulos. Cada capítulo mostra um aspecto da configuração do produto e todas as informações relevantes ao aspecto tratado. Todos os capítulos começam com uma introdução teórica sobre o tema a ser tratado seguido dos aspectos específicos de configuração do Aker Firewall. Juntamente com esta introdução teórica, alguns módulos possuem exemplos práticos do uso do serviço a ser configurado, em situações hipotéticas, porém, bastante próximas da realidade. Buscamos com isso tornar o entendimento das diversas variáveis de configuração o mais simples possível. Recomendamos que este manual seja lido, pelo menos uma vez por inteiro, na ordem apresentada. Posteriormente, se for necessário, pode-se usá-lo como fonte de referência. Para facilitar seu uso como referência, os capítulos estão divididos em tópicos, com acesso imediato pelo índice principal. Desta forma, pode-se achar facilmente a informação desejada. No decorrer deste manual, aparecerá o símbolo seguido de uma frase escrita em letras vermelhas. Isto significa que a frase em questão é uma observação muito importante e deve ser totalmente entendida antes que se prossiga com a leitura do capítulo.
1.2. Interface Texto e Interface Remota
O Aker Firewall possui duas interfaces distintas para sua configuração: uma Interface Remota e uma Interface Texto Local.
27
A Interface Remota: é chamada de remota porque através dela é possível administrar remotamente, via Internet, um Aker Firewall localizado em qualquer parte do mundo. Esta administração é feita através de um canal seguro entre a interface e o firewall, com um forte esquema de autenticação e criptografia, de modo a torná-la totalmente segura. A Interface Remota: é de uso intuitivo e está disponível para plataformas Windows e Linux.
A Interface Texto: é totalmente orientada à linha de comando que roda na máquina onde o firewall está instalado. O seu objetivo básico é possibilitar a automação de tarefas da administração do Aker Firewall (através da criação de scripts) e possibilitar uma interação de qualquer script escrito pelo administrador com o Firewall. Praticamente todas as variáveis que podem ser configuradas pela Interface Remota poderão ser configuradas também pela Interface Texto. Como as duas interfaces tratam das mesmas variáveis, a funcionalidade, os valores e os comentários destas têm validade tanto para Interface Remota quanto para a Interface Texto. Devido a isso, os tópicos referentes à Interface Texto normalmente serão curtos e se limitarão a mostrar seu funcionamento. Caso tenha dúvida sobre algum parâmetro, deve-se recorrer à explicação do mesmo no tópico relativo à Interface Remota.
Não é possível o uso simultâneo de várias interfaces gráficas para um mesmo Firewall, nem o uso da Interface Texto enquanto existir uma Interface Remota aberta.
1.3. O Firewall
Com a evolução da Internet, o ambiente das aplicações em nível de routers, tornouse dinâmico e constantemente oferece novos protocolos, serviços e aplicações. Os roteadores e proxies não são suficientes para garantir a segurança necessária às diversas aplicações da Internet nem para cumprir as novas necessidades empresariais, alto bandwidth e as exigências de segurança de redes. Diante dessa necessidade das organizações protegerem suas redes, a Aker desenvolveu o Aker Firewall. A segurança que envolve a rede é construída por um conjunto de programas e técnicas que tem por finalidade liberar ou bloquear serviços dentro de uma rede interligada à Internet de forma controlada. Sendo o Firewall a parte mais importante em um programa de segurança, deve-se sempre se lembrar da importância de utilizar ferramentas que auxiliam na detecção de brechas e vulnerabilidades dos sistemas operacionais que estão em uso na rede, bem como, o uso de programas que detectam intrusos ou ataques. É importante também, saber qual ação a ser tomada quando uma violação ou um serviço importante parar. 28
1.4. Copyrights do Sistema
Copyright (c) 1997-2003 Aker Security Solutions; Utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright © 1995 Eric Young; Utiliza o algoritmo AES implementação do Dr. B. R. Gladman (brg@gladman.uk.net); Utiliza o algoritmo MD5 retirado da RFC 1321. Copyright © 1991-2 RSA Data Security, Inc; Utiliza a biblioteca CMU SNMP. Copyright© 1997 Carnegie Mellon University; Utiliza a biblioteca de compressão Zlib. Copyright © 1995-1998 Jean-loup Gailly and Mark Adler; Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright © 1997; Inclui software desenvolvido pela Universidade da Califórnia, Berkeley e seus colaboradores; Inclui software desenvolvido por Luigi Rizzo, Universita di Pisa Portions Copyright 2000 Akamba Corp; Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan Olsson; Inclui software desenvolvido por Ericsson Radio Systems.
29
Instalando o Aker Firewall
30
2.
Instalando o Aker Firewall Este capítulo mostra como se instala o Aker Firewall, seus requisitos de hardware, software e instalação.
2.1. Requisitos de hardware e software
Para o firewall O Aker Firewall roda sobre o sistema operacional proprietário, em plataformas Intel ou compatíveis. Para que o Aker Firewall execute todos os componentes de hardware de maneira satisfatória, é necessário possuir as seguintes configurações: Computador Intel ou compatível com 500MHz ou superior; Para utilizar um link com alta taxa de transferência ou aplicar criptografia em um link com velocidade relativamente alta, recomenda-se o uso de um computador mais potente. 512 Mbytes de memória RAM; Para fazer um melhor uso dos serviços de proxy e de criptografia, será necessário utilizar memória maior ou igual a 512 Mbytes. 20 Gbytes de espaço em disco; Para armazenar os logs do sistema por um grande espaço de tempo recomenda-se o uso de discos maiores. Leitor de CD-ROM ou pen drive USB, monitor, mouse e teclado; Isso só é necessário durante a instalação ou caso se pretenda utilizar a Interface Texto a partir do console, entretanto é altamente recomendado em todos os casos. Placa(s) de rede. Não existe um número máximo de placas de rede que podem ser colocadas no Firewall. A única limitação existente é a limitação do próprio hardware. Caso necessite de um grande número de interfaces de rede, pode-se optar por placas com mais de uma saída na mesma interface.
31
Para a Interface Remota A Interface Remota de administração do Aker Firewall roda em plataformas Windows, Linux, em plataformas Intel ou compatíveis. Para que a Interface Remota execute de maneira satisfatória os componentes de hardware devem possuir as seguintes configurações:
Computador Intel ou compatível com 500MHz ou superior; 256 Mbytes de memória RAM; 2 Gbytes de espaço livre em disco; Monitor; Mouse; Teclado; Placa de rede.
Todos os componentes do hardware devem ser suportados pelo sistema operacional na qual a interface será instalada, em alguma das versões aceitas pelo produto.
2.2. Instalando a Interface Remota
A Interface Remota poderá ser instalada nas plataformas Windows ou Linux. Faça o download e instale Aker Control Center no site: http://www.aker.com.br. Selecionar o idioma no qual deseja realizar a instalação (Português ou Inglês) e clicar no botão ‘OK’.
Figura 1 – Seleção do idioma para realizar a instalação.
32
Surgirá a seguinte tela: ‘Bem-vindo ao Assistente de Instalação do Aker control Center 2’. Leia as recomendações e clicar no botão ‘Avançar’.
Figura 2 - Mensagem de boas vindas do Assistente de Instalação do Aker Control Center 2.
33
Logo em seguida, surgirá a tela com o ‘Contrato de Licença do Programa’. Leia todas as informações com atenção. Selecionar a opção ‘Aceito o contrato de licença’ e clicar no botão ‘Avançar’.
Figura 3 - Contrato de licença do Programa.
34
A seguir, aparecerá a tela de ‘Informações do usuário’. Os seguintes campos devem ser preenchidos: Nome completo: nome do usuário; Empresa: nome da Empresa.
Abaixo aparece um texto, dizendo que as configurações do aplicativo podem ser instaladas para o usuário atual ou para todos os que partilham o computador (para isso é necessário ter direitos de administrador). Escolher uma das opções: ‘Qualquer pessoa que usa este computador’ ou ‘Somente para mim’. Ao término, clicar no botão ‘Avançar’.
Figura 4 – Informações do usuário.
35
A tela ‘Pasta de destino’ permite ao usuário selecionar uma pasta aonde deseja instalar o aplicativo.
Figura 5 - Pasta de destino.
Em caso de uma pasta especifica clicar em ‘Procurar’ e surgirá a tela:
36
Figura 6 – Instalação em pasta especifica.
Procure a pasta na qual deseja salvar. Clicar no botão ‘OK’. Retornando à tela de destino, clique em ‘Avançar’. A mensagem ‘Pronto para instalar o aplicativo’ surge. Clicar no botão ‘Avançar’.
Figura 7 - Pronto para instalar o aplicativo.
37
É possível verificar o status da instalação através da barra de status ‘Atualizando o sistema’.
Figura 8 - Barra de status da instalação.
38
Ao concluir a instalação será apresentada a mensagem que o ‘Aker Control Center 2 foi instalado com êxito’.
Figura 9 - Mensagem de instalação realizada com êxito.
Para finalizar a instalação, basta clicar no botão ‘Concluir’.
2.3. Instalando o Aker Firewall O Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box. Sendo comprado desta forma, o produto já vem instalado e pré-configurado. Caso tenha optado por comprar apenas o software (versão IS), a instalação deverá ser feita na máquina escolhida, o que será explicado neste tópico. Para instalá-lo deve-se iniciar a máquina com o CD-ROM de instalação ou com o PEN DRIVE cujos downloads podem ser efetuados no site da Aker. Para gravar o PEN DRIVE, siga os passos abaixo: 1. Efetue o download do arquivo no site da Aker (www.aker.com.br); 2. Verifique se o pen drive no Linux está com sdb, digite o comando como root. 39
“#dmesg | grep sd” ou “#fdisk –l” serão mostradas as informações de disco da máquina e encontre o pen drive. 3.
Após identificar em qual device o Linux montou o pen drive, digite o comando “dd if=<nome do arquivo que fez o download> | gunzip | dd of=/dev/<device que se encontra o pen drive>”. Exemplo: “dd if=<aker-box-2.0-pt-installer.img.gz | gunzip | dd of=/dev/sdb” 4. Pronto. Seu pen drive é um instalado dos produtos da Aker. Os procedimentos a seguir devem ser realizados na mesma máquina na qual o Firewall será instalado: 1. Insira o dispositivo no seu hardware, em seguida reinicie o sistema; 2. Selecione qual produto deseja instalar: Aker Firewall, Aker Secure Mail Gateway ou Aker Web Gateway;
Figura 10 - Selecione o produto a ser instalado ou configurado.
3. Selecione a opção ‘Instalar Aker Firewall’; 4. Leia cuidadosamente o texto a seguir e confirme a instalação;
Figura 11 - Leia atentamente o seguinte texto e confirme a instalação.
5. Escolha o dispositivo no qual o Aker Firewall será instalado e nesse caso digite o texto ‘sda’:
40
Figura 12 - Selecione em qual disco o produto será instalado.
3. Confirme a instalação; 4. Instalação concluída com sucesso, clique na opção ‘sair’ e remova o dispositivo. Após reiniciar a máquina, o programa fwinst é o responsável por efetuar a instalação e a configuração do sistema para a execução do Aker Firewall. 2.4. Firewall Aker - Programa de Instalação
Este programa realiza a Instalação do Firewall Aker e da Interface Texto de configuração local. Surgirá a seguinte pergunta: Deseja prosseguir com a Instalação do firewall (‘S’ para SIM ou ‘N’ para NÃO)? Após responder ‘Sim’, o programa de instalação mostra a licença de uso do Aker Firewall. Para prosseguir, é necessário aceitar todos os termos e condições contidas na licença. Quando aceitos, o programa prosseguirá com a instalação mostrando seu progresso através de uma série de mensagens autoexplicativas. Após terminar de copiar os arquivos, o programa de instalação fará algumas perguntas de modo a realizar a configuração específica para cada sistema. Será mostrada a seguinte tela:
41
Figura 13 - Termo de Licença.
Após responder ‘Sim’, serão instaladas todas as dependências necessárias para que o Aker Firewall funcione. Configuração do sistema completada. E necessário agora ativar a cópia instalada através da digitação da chave de ativação que foi entregue ao se adquirir o produto. A chave de ativação, o nome da empresa e o endereço IP da interface externa devem ser digitados exatamente como constam no documento entregue pela Aker Consultoria e Informática ou seu representante. Pressione ‘Enter’ para continuar. Após digitar enter, o programa mostra uma tela solicitando o caminho onde o arquivo da chave de ativação está salvo. Caso a chave seja válida, o programa prosseguirá com a instalação. É necessário definir se o nome da interface de rede externa do firewall e os endereços IP que se originarem desta interface não serão contabilizados no número máximo de licenças do produto. A interface externa deve assumir um dos seguintes valores: 42
eth0; eth1; eth2.
Insira a interface externa: a configuração da interface externa é usada apenas para o controle de licenças do firewall. Deve-se informar o nome da interface que estará conectada à Internet. A especificação da interface externa não possui nenhuma implicação de segurança. Nenhum controle de acesso é feito levando-se em conta esta interface. Ativação do sistema completada. Agora se configura alguns parâmetros do Firewall Aker: Você pode cadastrar agora um endereço IP para possibilitar que o firewall seja administrado remotamente a partir de outra máquina. Deseja cadastrar este IP (S/N). Após responder ‘Sim’, digite o endereço IP da máquina onde está instalado o Aker Control Center. Pode-se cadastrar automaticamente um administrador capaz de gerenciar remotamente o firewall. Este administrador tem plenos poderes em relação ao firewall e a partir dele novos usuários poderão ser cadastrados. Em caso de NÃO cadastramento de administrador, não será possível administrar o firewall a partir da Interface Remota, apenas através da Interface Texto local. Você deseja criar este administrador (S/N)? Para que seja possível administrar o firewall a partir da Interface Remota é necessário cadastrar um administrador, devendo-se responder ‘S’ a esta pergunta. De qualquer forma é possível cadastrar posteriormente outros administradores através das interfaces locais de administração. A explicação de como fazer isso, se encontra no capítulo intitulado ‘Administrando usuários do firewall’. Caso tenha optado por incluir um novo administrador, uma tela abre pedindo os dados do administrador a ser cadastrado. Um exemplo desta tela se encontra abaixo (cabe mencionar que a senha do administrador a ser cadastrado não é mostrada na tela).
2.5. Módulo de administração de usuários remotos e Inclusão de usuários
Firewall Aker Entre o login: administrador Entre o nome completo: Administrador do Firewall Aker 43
Entre a senha (6-14): digitar uma senha de 6 a 14 caracteres; Confirme a senha: confirmar a senha digitada acima; Confirma inclusão do usuário? (S/N). Após ter ou não incluído o administrador, é mostrada uma mensagem perguntando sobre o cadastro de um segredo compartilhado para administração do Firewall através do Aker Configuration Manager. Se você não possui este produto, responda ‘Não’, caso contrário consulte o manual do mesmo. Finalmente, aparece uma mensagem indicando o término da instalação que solicita que a máquina seja reinicializada para ativar o Aker Firewall. Após reinicializar a máquina, o firewall já funcionará automaticamente podendo ser configurado remotamente.
A senha digitada deve conter de 6 a 14 caracteres.
44
Utilizando o Aker Control Center
45
3.
Utilizando o Aker Control Center Este capítulo lida com o funcionamento da Interface Remota de administração do Aker Firewall.
3.1. O que é a administração remota do Aker Firewall?
O Aker Firewall pode ser totalmente configurado e administrado remotamente a partir de qualquer máquina que possua um sistema operacional compatível com uma das versões da interface remota, que tenha TCP/IP e que consiga acessar a máquina na qual o firewall está instalado. Isto permite um alto grau de flexibilidade e facilidade de administração, possibilitando que um administrador monitore e configure vários firewalls a partir de sua estação de trabalho. Além dessa facilidade, a administração remota economiza recursos na medida em que permite que a máquina rodando o firewall não possua monitor ou quaisquer outros periféricos. Esta comunicação entre a interface remota e os produtos Aker é criptografada com uma chave de 256 bits. Como funciona a administração remota do Aker Firewall? Para possibilitar a administração remota existe um processo rodando na máquina do firewall responsável por receber as conexões, validar os usuários e executar as tarefas solicitadas por estes usuários. Quando um usuário inicia uma sessão de administração remota, a Interface Remota estabelece uma conexão com o módulo de administração remota do firewall e mantém esta conexão aberta até que o usuário finalize a sessão. Toda a comunicação entre a interface remota e o firewall é feita de maneira segura, novas chaves de criptografia e autenticação são geradas no início de cada sessão. Além disso, são empregadas técnicas de segurança para impedir outros tipos de ataques, como por exemplo: ataques de repetição de pacotes. Seguem comentários sobre algumas observações importantes da administração remota: Para que a interface remota consiga se conectar ao firewall precisa da adição de uma regra liberando o acesso TCP para a porta 1020 a partir da máquina da qual se 46
deseja conectar. Informações de como fazer isso se encontram no capítulo intitulado: ‘O Filtro de Estados’. 1. Só é possível a abertura de uma conexão de administração remota em um determinado instante. Se já existir uma interface conectada, pedidos subsequentes de conexão são recusados e a interface remota informa que já há uma sessão ativa existente. 2. Cada um dos usuários da interface remota deve estar cadastrado no sistema. O programa de instalação pode criar automaticamente um administrador com poderes para cadastrar os demais administradores. Caso tenha eliminado este administrador ou perdido sua senha é necessário o uso do módulo local da Interface Remota ou da Interface Texto para criar um novo administrador. Detalhes de como fazer isso se encontram no capítulo intitulado: ‘Administrando Usuários do Firewall’. Como utilizar a interface A interface é bastante simples de ser utilizada, entretanto, existe uma observação que deve ser comentada: O botão esquerdo e direito do mouse, tem funções diferentes na interface. O botão esquerdo é usado para selecionar entradas em uma lista . O botão direito tem como função mostrar um menu de opções para uma determinada lista.
47
3.2. Iniciando a interface remota Para iniciar a execução da Interface Remota deve-se executar um dos seguintes passos: Em máquinas Windows, clicar no menu ‘Iniciar’ e selecionar o ‘“Aker Control Center 2’”. É exibida a seguinte janela:
Figura 14 – Acessando o Aker Control Center 2.
Em Linux deve-se acessar o diretório de instalação do Control Center e executar o seguinte script: 'aker_control_center2_init.sh'. A janela mostrada acima é a principal do Aker Firewall e é a partir dela que se tem acesso a todas as opções de configuração, inclusive à ativação da licença do Firewall. Sem ativação da licença não é possível realizar as configurações subsequentes.
48
No primeiro acesso, todos os dados referentes à licença aparecem em branco e habilitados para que o Administrador possa carregá-lo. A Licença de Uso consta em um arquivo, que, será indicado após o botão ‘Carregar’ ter sido clicado, e assim que forem confirmados, os dados carregados, a janela abre com todos os dados da licença atual, então, surgirá uma janela confirmando e reiniciando o firewall. Portanto clique no botão ‘Carregar’, no canto superior direito da interface: A Interface Remota é composta de 4 menus descritos brevemente a seguir (quando existe um firewall selecionado, um quinto menu é mostrado com opções específicas para o mesmo): Opções O menu ‘Opções’ contém as configurações relacionadas ao layout da Interface Remota.
Figura 15 - Menu opções.
Ao clicar neste menu, as seguintes opções aparecem: Mostrar Tooltips: é uma dica de contexto. É aquela moldura pop up que abre quando você passa o mouse sobre um elemento HTML (normalmente uma palavra em um texto) e que contém uma explicação adicional sobre aquele elemento que recebeu o ponteiro do mouse sobre ele. Sessão ociosa: Permite definir o tempo máximo, em minutos, que a interface permanecerá conectada ao firewall sem receber nenhum comando do administrador. Assim que este tempo limite for atingido, a interface automaticamente será desconectada do firewall, permitindo que uma nova sessão seja estabelecida. Seu valor pode variar entre 1 e 60. A caixa ‘Sem limite’ quando estiver marcada não desconectará a interface do firewall. O Valor padrão é de 1 minuto. Após alterações clicar no botão ‘OK’, caso não realize nenhuma alteração, clicar no botão ‘Cancelar’.
49
Figura 16 - Tempo de sessão ociosa.
Remoção: Caso deseje remover alguma regra, filtro, etc, será enviado uma mensagem com um a pergunta se deseja realmente remover o item selecionado; Suprimir plugins inexistentes: caso não tenha um plugin da Aker instalado, ao clicar nessa opção, será mostrada a mensagem do que está faltando. Firewall: este menu para cadastrar mais firewalls na Interface Remota de modo que possibilite simultaneamente a administração de diversos Aker Firewalls. Com a interface conectada a mais de um firewall simultaneamente, é possível usar a facilidade de arrastar e soltar as entidades e regras entre firewalls, de modo a facilitar a replicação de determinadas configurações entre eles. Dentro do menu Firewall, tem-se:
Figura 17 – Esconder regras.
Esconder regras: colapsa as politicas de regra.
Figura 18 – Desabilitar perguntas.
Desabilitar perguntas Assistente de regras de filtragem: assistente para a criação de regras de filtragem; Assistente de Nat: cria regras de Nat; Verificador de regras: checagem das regras de filtragem para verificar se não há regras sobrepostas.
50
Idiomas: é possível escolher em qual idioma deseja acessar a Interface Remota (Inglês ou Português).
Figura 19 - Escolha do idioma que deseja acessar o Aker Control Center.
Editar cor de fundo: é possível escolher com qual cor de fundo deseja-se trabalhar. Posteriormente serão dados maiores explicações;
Figura 20 – Cor de fundo do Aker Control Center.
o Formato: define o formato como deseja padronizar a tela do Aker Control Center:
Figura 21 - Formato horizontal.
51
Figura 22 - Formato vertical.
Figura 23 - Formato Diagonal.
Figura 24 – Formato Automático horizontal.
Figura 25 - Formato Automático vertical.
o Pontos: podem-se alterar as cores finais e iniciais. Basta escolher a cor e clicar no botão ‘OK’.
52
Figura 26 – Selecionar cor.
o Opção Padrão: Quando selecionada está opção a tela seguirá com uma configuração padrão pré-determinada pela Aker.
Figura 27 - Botão: Padrão.
Após realizar as escolhas desejadas, clicar no botão ‘OK’. Sair: Quando selecionada a opção sair surgirá à mensagem abaixo:
Figura 28 - Aviso de sair do programa.
Se clicar no botão ‘Sim’ a Interface Remota será fechada, se clicar no botão ‘Não’, a interface continua aberta.
53
Janelas O Menu “Janelas” possui as funções de configuração das janelas abertas e da barra de menu.
Figura 29 - Menu Janelas.
Barra de ferramentas: esta opção permite definir se a barra de ferramentas na parte superior da janela principal será mostrada ou não. Janelas: mostra o item de dispositivos remotos (essa opção também pode ser acessada pressionando o botão do teclado ‘F9’).
Figura 30 - Dispositivos remotos
54
Entidades: mostra as entidades (pode também ser acessada pressionando o botão ‘F9’ do teclado).
Figura 31 - Entidades.
Lado a Lado: selecionando esta opção, as janelas abertas do lado direito da Interface Remota se ajustam de forma que todas aparecem visíveis. Cascata: esta opção faz com que as janelas abertas no lado direito da Interface Remota fiquem posicionadas em forma de cascata, uma na frente da outra.
Janelas:
Figura 32 - Menu Ajuda.
Configuração de atualização automática: permite a configuração automática. Nesta janela é possível ‘Habilitar atualização automática’, ‘Baixar atualizações automaticamente’, e ‘Habilitar atualizações dos manuais’.
Figura 33 - Configuração Automática de Atualização.
Realizado as escolhas, basta clicar no botão ‘OK’.
55
Janelas de Atualizações: neste menu encontram-se os itens Janelas de Downloads que mostram as atualizações que se deseja baixar.
Figura 34 - Notificador de Atualizações.
A janela ‘Notificador de Instalação de Atualizações' permite selecionar as atualizações que se deseja instalar.
Figura 35 - Notificador de Instalação de Atualizações.
Busca por atualizações: Quando selecionada esta opção uma busca por atualizações pendentes é realizada, conforme mostra imagem abaixo: 56
Figura 36 - Atualizações prontas.
Sobre: mostra informações sobre o Aker Control Center.
Figura 37 - Informações sobre o item: Sobre
Para encerrar, clicar no botão ‘OK’. Aker Firewall
57
Figura 38 - Menu Aker Firewall.
Inicialmente nem todas as opções dos menus se encontram habilitadas, por funcionarem apenas quando houver uma conexão estabelecida. Para ter acesso às demais opções devem estabelecer uma sessão de administração remota com o firewall que deseja administrar. Para tanto se devem seguir os seguintes passos: Cadastrar o firewall selecionando o menu ‘Firewalls’ e a opção ‘Novo Firewall’ (veja o item ‘Cadastrando Firewalls’ logo a seguir); Selecionar o firewall com o qual se deseja conectar; Clicar na opção Conectar.
Novo Dispositivo Remoto: Cadastra um novo disposto Editar: realiza edições; Excluir: exclui dispositivo; Conectar ao dispositivo selecionado: conecta ao dispositivo; Reiniciar dispositivo: reinicia o mesmo; Desligar dispositivo: desliga o dispositivo remoto; Salva backup automaticamente: os backups serão salvos.
Os itens descritos acima serão abordados nas próximas páginas.
Textos nos botões: marcando esta opção será mostrada juntamente com cada ícone a ação correspondente do botão. Desmarcando esta opção, será mostrado apenas o ícone.
58
Dicas para Entidades: quando esta opção estiver ativada, uma pequena caixa com a descrição de cada entidade irá aparecer quando o mouse for passado sobre seu ícone.
Figura 39 - Caixa de descrição de entidade.
Mostrar ícones nos botões: esta opção, se ativada, faz com que sejam mostrados ícones nos botões ‘OK’, ‘Cancelar’ e ‘Aplicar’ das janelas. Janelas: esta opção permite mostrar ou não as janelas padrão do sistema: ‘ajuda’, ‘firewalls’ e ‘entidades’.
Cadastrando Firewalls Nesta seção demonstramos como cadastrar um ou mais firewalls quando selecionamos a opção ‘Novo dispositivo remoto’ dentro do menu ‘Firewalls’ ou no ícone ‘Criar dispositivo remoto’.
Figura 40 – Botão: Criar novo dispositivo remoto.
59
Aparecerá a seguinte janela ‘Editar Dispositivo remoto’. Nessa janela, é possível escolher o tipo de autenticação desejada. De acordo com cada opção a janela será alterada, mostrando os campos correspondentes. Tipo de Autenticação: Usuário/Senha
Figura 41 - Caixa de edição do dispositivo remoto.
Modo de demonstração: Quando selecionada essa opção, será criado um firewall de demonstração com uma configuração padronizada. Nenhuma conexão real será feita ao tentar se conectar neste firewall, podendo-se criar quantos firewalls de demonstração for desejado, cada um com a configuração distinta um do outro; Nome: cadastrar o nome pelo qual o firewall será referenciado na Interface Remota; Nome da máquina: Caso o servidor do Firewall no qual se deseja conectar possua um nome associado ao IP da máquina, basta colocar este nome nesta opção para que o Control Center resolva o DNS automaticamente e se conecte no servidor; Endereço IPv4 e IPv6: cadastrar o endereço IP para conectar no firewall; Usuário: esse campo identifica o usuário que acessará o firewall. Este campo grava o usuário, onde aparecerá todas as vezes que o firewall for acessado.
60
Senha: a senha do usuário. Caso deixe a caixa ‘Salvar Senha’ marcada, não será necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como vários asteriscos ’*’). Caso ela esteja desmarcada, este campo estará desabilitado. A cada 3 tentativas inválidas, o cliente é bloqueado de acessar a Control Center por 3 minutos. A cada tentativa inválida gera-se um evento ‘Excesso de tentativas invalidas’ do módulo Daemons do Firewall. No final basta clicar em ‘OK’ e o firewall estará cadastrado, como o tipo de autenticação selecionado. No caso de cancelar o cadastro do firewall, basta clicar em ‘Cancelar’.
Tipo de Autenticação: X.509
Figura 42 - Informações requeridas para Editar o Dispositivo Remoto.
Essa opção permite autenticação com certificação digital X509. Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra o Domínio (C.N) desse certificado.
61
Ao clicar no ícone mostrado abaixo, carrega-se um arquivo com extensão ‘*.cer/*.crt’ que contém o certificado.
Figura 43 – Ícone utilizado para o carregamento de arquivo.
O ícone a seguir, mostra um resumo das informações do certificado.
Figura 44 - Ícone utilizado para mostrar informações do certificado.
Certificado do Usuário: essa opção permite carregar um pacote de certificado no formato PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado e outro com a chave. Carrega um certificado com uma senha e a outra senha é para salvar o arquivo da chave, salvando assim, de forma encriptada. Senha: Senha com a qual a chave primária foi salva. Se informar (cadastro), decifra a chave e manda para o firewall fazer a autenticação. Caso deixe a caixa ‘Salvar Senha’ marcada, não será necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como vários asteriscos ‘*’). Caso ela esteja desmarcada, este campo estará desabilitado. Alterar Senha: Altera a senha cadastrada no campo senha. Salvar Senha: Permite que a senha seja salva automaticamente.
62
Tipo de Autenticação: Agente externo usuário/senha
Figura 45 - Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo Remoto.
Essa opção permite autenticação por meio de Agentes Externos. Usuário: O usuário que acessará o firewall. Este campo grava o usuário, é onde aparecerá todas as vezes que o firewall for acessado. Domínio: Nome do domínio no qual o agente externo está rodando Senha: A senha do usuário. Caso deixe a caixa ‘Salvar Senha’ marcada, não será necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como vários asteriscos ‘*’). Caso ela esteja desmarcada, este campo estará desabilitado. Fingerprint: É um resumo da identificação do certificado digital do Firewall. Essa opção possibilita ao usuário identificar quando tem uma mudança do firewall que se costuma conectar. Observação: Na primeira vez que há a tentativa da conexão não haverá a identificação do firewall. A partir da segunda vez todas às vezes que é conectado vai comparar com o fingerprint.
63
Eraser Fingerprint: Zera e começa do estado inicial. Se há uma troca do Firewall a identificação será diferente, então não será possível à conexão, somente se clicar no erase fingerprint. Depois de cadastrarmos o firewall, pode-se clicar duas vezes no ícone do firewall criado, no lado esquerdo da janela, ou clicar uma vez para selecioná-lo e, em seguida, no botão ‘Conectar’.
Figura 46 – Botão Conectar.
Ele fará com que a interface se conecte ao firewall escolhido, como mostrado na figura abaixo:
Figura 47 - Interface conectada ao Firewall escolhido.
64
Caso não seja possível estabelecer a sessão de administração, será mostrada uma janela com o erro que impossibilitou sua abertura. Neste caso, existem várias mensagens possíveis. Abaixo estão listadas as mensagens de erro mais comuns: Aker já sendo utilizado por outra interface; O Aker Firewall só permite a existência de uma sessão de administração em um determinado instante. Se esta mensagem for mostrada, significa que já existe outra interface remota conectada ou um módulo de administração local sendo utilizado. Erro de rede ou conexão encerrada pelo servidor; Este é um erro genérico e pode ter uma série de causas. A sua causa mais comum é um erro na digitação do login ou da senha. Se o login do usuário não estiver cadastrado ou sua senha estiver errada, o servidor encerrará a conexão. Verifique primeiramente se o seu login e sua senha foram digitados corretamente. Caso o erro continue, siga a seguinte sequência de passos: 1. Verifique se o usuário que está tentando se conectar está cadastrado no sistema e se a sua senha está correta (para fazer isso, utilize o módulo local de administração de usuários. Veja o capítulo intitulado ‘Administrando usuários do firewall’). 2. Verifique se a rede está funcionando corretamente. É possível fazer isso de várias formas, uma delas é utilizando o comando ping. (Não se esqueça de acrescentar uma regra liberando os serviços ICMP ‘echo request’ e ‘echo reply’ para a máquina que se está testando em direção ao firewall, caso vá utilizar o ping. Para aprender como fazer isso, veja o capítulo intitulado ‘O Filtro de Estados’). Se isso não funcionar, então a rede está com problemas de conectividade e isto deve ser corrigido antes de tentar a administração remota. Caso funcione, veja o passo 3. 3. Verifique se existe uma regra cadastrada liberando o acesso a partir da máquina que queira conectar ao firewall, utilizando o serviço Aker (TCP, porta 1020). Caso não exista, insira esta regra (para aprender como fazer isso, veja o capítulo intitulado ‘O Filtro de Estados’).
65
3.3. Finalizando a administração remota
Existem três formas de finalizar a administração remota do Aker Firewall: Finalizando a sessão clicando com o botão direito do mouse no firewall conectado e selecionando ‘Desconectar do dispositivo remoto’;
Figura 48 - Finalizador de administração remota do Aker Firewall (Desconectar do dispositivo remoto).
Clicando em ‘Desconectar do firewall’ na barra de ferramentas ou fechando a Interface Remota. Neste caso você perderá a conexão com todos os firewalls que estiverem conectados. Caso queira sair do programa, deve-se clicar no botão ‘Sair’, na barra de ferramentas da janela principal ou clicar no ‘x’ no canto superior direito da janela.
Figura 49 – Botão: Sair deste programa.
66
3.4. Mudando sua senha de usuário
É possível para qualquer usuário do Aker Firewall alterar a sua senha sempre que desejado. Para tanto se deve primeiro estabelecer uma sessão de administração (como mostrado no tópico ‘Iniciando a interface remota’) e após isso executar os seguintes passos:
Figura 50 - Dispositivos remotos (realizar mudança de senha).
Selecionar o firewall a ser configurado; Clicar em Ferramentas; Clicar duas vezes em Mudar senha.
67
Será mostrada então a seguinte janela:
Figura 51 - Mudar Senha (inserir senha antiga, a nova senha e confirmação da mesma).
Deve-se digitar a senha anterior no campo ‘Senha antiga’ e digitar a nova senha nos campos ‘Nova senha’ e ‘Confirmar senha’ (as senhas aparecerão na tela como vários asteriscos ‘*’). Após preencher os campos, deve-se pressionar o botão ‘OK’, para alterar a senha ou o botão ‘Cancelar’, caso não queira mudá-la. Os campos ‘Senha antiga’, ‘Nova senha’ e ‘Confirmar senha’, devem conter de 6 a 14 caracteres.
68
3.5. Visualizando informação de sessão
É possível a qualquer momento visualizar algumas informações sobre a sessão de administração ativa. Para isso existe uma janela específica que mostra informações úteis como: login, nome e direitos do usuário que está administrando o firewall e a versão e o release do Aker Firewall que estiver sendo administrado. São mostradas também à hora de início da conexão e há quanto tempo ela está ativa. Para abrir esta janela, execute os seguintes passos:
Figura 52 - Dispositivos remotos (Visualizar Informações da sessão).
Selecionar o firewall a ser configurado; Clicar em Informação; Clicar duas vezes em Informação de sessão.
69
Será mostrada então a seguinte janela:
Figura 53 - Informação da sessão (mostra dados do Firewall, Licença e Usuário).
3.6. Utilizando as ferramentas da Interface Remota
O que são as ferramentas da Interface Remota do Aker Firewall? As ferramentas são um conjunto de utilitários presentes apenas na Interface Remota do Aker Firewall. Elas servem para facilitar a administração do firewall, provendo uma série de funções bastante úteis no dia-a-dia.
70
3.7. Chaves de Ativação
Esta opção permite atualizar a chave de ativação do Aker Firewall e dos demais produtos que possam estar instalados juntos: Antivírus, Spam Meter, Secure Roaming e Web Content Analyzer. Para visualizar ou atualizar a licença, deve-se: Clicar no botão ‘Carregar/Mostrar licença’ na barra de tarefas do firewall que estiver conectado.
Figura 54 – Botão: Carregar/Mostrar licença.
A janela de ativação de licença
71
Figura 55 - Informações sobre ativação de licenças.
Esta janela é apenas informativa. Nela são mostrados todos os produtos que estão instalados junto com o firewall e os dados referentes à licença de cada um deles. Entre estes dados pode-se verificar a data de expiração, número de licenças, ID e a data de expiração do IDS e etc., para cada produto. Caso se deseje inserir uma nova licença, deve-se clicar no botão ‘Carregar’, localizado na barra de tarefas. Esta opção abrirá um diálogo onde se pode especificar o arquivo de onde a nova chave será carregada. No caso do Firewall Box, caso exista mais de um produto instalado junto com o firewall, as chaves dos produtos adicionais também serão atualizadas. Da versão 6.0 do Aker Firewall em diante não é mais possível atualizar as chaves de ativação do firewall digitando-as, apenas carregando-as a partir do arquivo enviado pela Aker Security Solutions ou um de seus representantes autorizados.
3.8. Salvar configurações (backup)
Esta opção permite salvar a configuração completa do firewall na máquina onde está administrando. No caso de algum desastre, pode-se facilmente restaurar esta configuração posteriormente. Para salvar as configurações conecte em um dispositivo remoto e clique no ícone ‘Salvar um backup do item selecionado’:
Figura 56 – Botão: Salvar um backup do item selecionado.
72
Realizar o download das configurações personalizadas e bases de treinamento dos produtos:
Figura 57 - Download das configurações personalizadas e bases de treinamento.
Figura 58 - Backup Informações de log.
73
A janela para salvar configurações:
Figura 59 - Tela de escolha de arquivo para salvar configurações.
Após digitar o nome do arquivo salvo, deve-se clicar no botão ‘Salvar’. Caso não queira mais gravar a cópia de segurança, deve-se clicar no botão ‘Cancelar’. Esta opção permite restaurar a cópia de segurança da configuração completa do firewall realizada através da opção anterior.
74
Salva o backup automaticamente Através de a configuração a seguir, é salvo um backup completo do dispositivo remoto todas as vezes que se conectar ao mesmo automaticamente, para ativá-la selecione a opção ‘Salvar o backup automaticamente’ conforme figura a seguir:
Figura 60 - Salvar o backup automaticamente.
Os backups são salvos na pasta de instalação do Aker Control Center.
3.9. Restaurar configurações Para restaurar uma cópia de segurança, deve-se:
Figura 61 - Botões para restauração de backup.
Clicar no firewall para o qual será carregada a cópia de segurança. Selecionar o item ‘Carregar configurações’ na barra de ferramentas ou no menu com o nome do firewall selecionado:
75
Figura 62- Botão: Carrega backup do arquivo.
A janela para carregar configurações:
Figura 63 - Escolha de arquivo para carregar dados de configuração.
Esta janela permite escolher o nome do arquivo de onde a configuração será restaurada. Após seu nome ser especificado, o firewall lerá todo seu conteúdo, fará vários testes de consistência e se o seu conteúdo estiver válido será carregado.
O botão ‘Abrir’ carregará a cópia e atualizará a configuração do firewall imediatamente. O Botão ‘Cancelar’ fechará a janela, porém a cópia de segurança não será carregada.
É possível escolher, no momento da restauração do backup, quais configurações serão aplicadas no produto, agrupadas por similaridade. Exemplo: Regras; Licença; 76
Certificados; Base de dados temporária; TCP/IP; Perfis de acesso.
Sendo possível selecioná-las nas janelas a seguir:
Figura 64 - Restauração do backup do Antivírus Module.
Figura 65 - Restauração do backup do Aker Spam Meter.
77
Figura 66 - Restauração do backup da Web Content Analyzer.
Será exibida a versão do sistema quando da geração do backup e alertas podem ser exibidos em caso de incompatibilidade.
3.10.
Reiniciar Firewall
Esta opção serve para reinicializar o firewall, porém não deve ser utilizada em condições normais de operação. A única operação que exige a reinicializarão do firewall é a carga de um algoritmo de criptografia externo. Para reinicializar o firewall basta:
Figura 67 - Reiniciar o Firewall.
Selecionar o item ‘Reiniciar Firewall’ no menu com a opção ‘Ações do Firewall’.
78
3.11.
Atualizações
O que são atualizações e onde consegui-las? Como todo software, o Aker Firewall pode eventualmente apresentar bugs em seu funcionamento. À medida que estes problemas são resolvidos, a Aker produz um arquivo que permite a atualização de seu Aker Firewall e a eliminação destes erros. Algumas vezes também são adicionadas determinadas características novas em uma versão já existente, de modo a aumentar sua performance ou aumentar sua flexibilidade. Em ambos os casos, os arquivos de atualização ou correção são disponibilizados de forma gratuita no site da Aker: basta procurar o menu ‘Download’ e selecionar a opção ‘Correções e Atualizações’. Estes arquivos são sempre cumulativos, ou seja, é necessário apenas baixar a última versão disponível e esta incluirá as correções presentes nos arquivos de correção/atualização anteriores.
A janela de atualizações Esta opção permite aplicar uma atualização ou correção do Aker Firewall remotamente, através da Interface Remota. É possível também atualizar completamente a versão do produto. Para ter acesso à janela de atualizações deve-se clicar no ícone localizado na barra de ferramentas, automaticamente a janela será aberta, para que sejam escolhidas as atualizações a serem aplicadas.
Figura 68 - Botão: Atualizações.
Essa janela se divide em duas abas: ‘Atualização’ e ‘Histórico’, conforme explicadas a baixo:
79
Aba Patch
Figura 69 - Sistema de atualização de dados do Firewall.
Por meio dessa janela é possível visualizar o status atual das atualizações/correções aplicadas na Web Gateway. Caso se trate de cluster a janela apresentará as informações das máquinas que o compõem. Possui os seguintes campos: Id: Refere-se à identificação das máquinas que compõe o cluster. Nome: Refere-se ao apelido atribuído às máquinas. Restauração: Este campo informa se a última atualização aplicada pode ser desfeita. As atualizações aplicadas por meio dos Patchs e dos Hotfixes são alterações que podem ser desfeitas. Essa opção permite desfazer a última atualização aplicada na máquina, seja hotfix ou patch. Deve-se observar que as alterações são desfeitas uma por uma, ou seja, se a versão já estiver no Patch 3, e deseja-se voltar à versão inicial, deve ser desfeito o patch 3, depois o patch 2, e assim por diante. 80
Última atualização: Identificação do último patch aplicado no membro do cluster. Hotfixes: Lista de hotfixes aplicados dentro do patch. Esta lista mostra a ordem direta de aplicação dos hotfixes. O hotfix é uma pequena atualização ou correção feita para um patch específico. Pode ser aplicado independente da ordem, o que não acontece com o patch, que deve ser aplicado na ordem sequencial de atualização. Caso a atualização ou correção sejam destinados a uma versão diferente de sistema operacional ou de versão do Aker Web Gateway, então o botão Aplicar ficará desabilitado, não permitindo sua aplicação. Para carregar um arquivo de atualização ou correção deve-se clicar no ícone que se encontra na barra de ferramentas.
Figura 70 – Botão: Carregar arquivo de atualização.
81
Com isso é aberta uma janela, que permite carregar um arquivo de atualização do patch ou do hotfix, conforme mostra a figura abaixo.
Figura 71 - Escolha do arquivo para atualização ou correção.
Para aplicar o arquivo de atualização/correção, deve-se primeiramente selecionar uma máquina na aba Patch, e logo em seguida clicar no ícone para que o patch ou o hotfix seja aplicado.
Figura 72 – Aplicar patch ou hotfix.
Caso queira aplicar o rollback, pelo menos uma máquina deve ser selecionada na aba Patch, e logo em seguida deve-se clicar no ícone , sendo que essas alterações serão desfeitas uma a uma, na sequência que foram atualizadas.
Figura 73 – Aplicar rollback.
Para aplicar rollback em mais de uma máquina ao mesmo tempo, as mesmas devem estar com a mesma atualização, por exemplo: todas estão com a versão patch 3, e quer voltar para o patch 1. Aba Histórico 82
Figura 74 - Visualização de históricos de aplicação de patchs e hotfixes.
Essa aba permite visualizar todo o histórico das aplicações dos patchs e hotfixes. A aba é composta dos seguintes campos: ID: Mostra a identificação da máquina de onde foi feita a atualização. Usuário: Indica o usuário que aplicou a atualização. Restauração: Indica se pode ser ou não desfeito a atualização. Data: Indica a data que foi feita alguma aplicação de patch ou hotfix. A expressão "Versão Corrente" significa que não foi aplicado nenhuma patch. Observação: Ao clicar no botão OK, o Patch ou o Hotfix não são aplicados, somente é fechada a janela.
83
3.12.
Módulo de atualização automática – Aker Update System (AUS)
O Aker Update System - AUS tem como função disponibilizar os pacotes de atualização de todos os produtos da Aker no diretório do Aker Control Center. O sistema funciona de forma inteligente, onde ele trará somente a última versão para pacotes integrados com o Control Center, os últimos patchs e hotfix. Acesso às janelas de configuração Existem 3 formas de configurar o Módulo de Atualização: Primeira opção: Selecionar o produto Aker desejado;
Figura 75 - Acessando o Aker Firewall.
Caso tenha atualização disponível, aparecerá a seguinte notificação no canto direito inferior da tela do Control Center: “Atualizações prontas”.
Figura 76 - Notificação sobre atualizações disponíveis no Aker Update System.
84
Clicar com o botão esquerdo do mouse sobre a mensagem e aparecerá a tela “Notificador de Instalação de Atualizações”. Devem-se escolher individualmente as atualizações a serem instaladas e clicar no botão “OK”.
Figura 77 - Visualizando atualizações disponíveis através do Aker Update System.
Em seguida aparecerá a seguinte tela: “Sistema de Atualização”. Na parte de Patch e possível assinalarem os itens aos quais serão aplicadas as mudanças (a parte descrição informa o que cada uma corresponde) e informações sobre o PT. Basta escolher a opção desejada e clicar em “OK”. A atualização será realizada automaticamente, caso queria realizar mais de uma, deve-se repetir o procedimento acima.
85
Segunda opção: Selecionar o produto Aker desejado;
Figura 78 - Acessando o Aker Firewall.
Clicar com o mouse no botão de “Atualizações” localizado no canto inferior direito da tela da Control Center e escolher uma das duas opções: “Atualizações para instalar” ou “Atualizações para baixar”.
Figura 79 - Acessando as janelas do Aker Update System.
86
Terceira opção Selecionar o produto Aker desejado;
Figura 80 - Acessando o Aker Firewall.
Figura 81 - Menu - ajuda.
Clicar no ícone “Ajuda” e escolher uma das três opções:
“Configuração de Atualização Automática”: as atualizações serão realizadas constantemente conforme tempo estipulado; “Janelas de Atualizações”: tem a opção de abrir as “Janelas de Download” ou “Janelas de Instalação”. “Busca por atualizações”: 87
3.13.
DNS Reverso
DNS reverso é utilizado para resolver nomes de máquinas a partir de endereços IP. A janela de resolução de DNS reverso do Aker Firewall serve para prover resolução de endereços sem a necessidade de utilização de programas adicionais. Para ter acesso a janela de resolução de DNS reverso, deve-se:
Figura 82 - Janela de DNS reverso.
Clicar no menu Ferramentas da janela de administração do firewall. Selecionar o item DNS Reverso.
88
A janela de resolução de DNS reverso
Figura 83 - DNS reverso.
Esta janela consiste de um campo para digitar o endereço IP que deseja resolver e uma lista com os endereços IP já resolvidos anteriormente:
A opção “Mostrar tudo” quando estiver marcada a opção “mostrar”, numa lista na parte inferior da janela, todos os endereços já resolvidos. O botão “OK” fechará a janela.
Para resolver um endereço, deve-se digitá-lo no campo e pressionar o botão “DNS Reverso”. Neste momento o endereço será mostrado na lista na parte inferior da janela, junto com o status da resolução. Após algum tempo, será mostrado o nome da máquina correspondente ao endereço ou uma indicação de que o endereço informado não possui DNS reverso configurado.
89
3.14.
Simulação de Regras de Filtragem
As varreduras de regras permitem ao administrador testar a configuração das regras de filtragem do firewall através de uma simulação de tentativas de conexões. Ao analisar o resultado desta simulação, é possível verificar se o firewall está realmente bloqueando as conexões que não devem ser aceitas e permitindo a passagem das que devem. Para ter acesso a janela de varreduras, deve-se:
Figura 84 - Simulação de Regras de Filtragem.
Clicar no menu Ferramentas da janela de administração do firewall. Selecionar o item “Simulação de regras de filtragem”.
Simulação de regras de filtragem É possível alternar entre a varredura por endereços IP ou por entidades. A varredura por entidades é útil quando já têm cadastradas no sistema todas as máquinas, redes e serviços que serão utilizados. A varredura por IP é mais indicada quando deseja utilizar máquinas, redes ou serviços que não estão cadastrados e que não deseja cadastrar (por exemplo, máquinas externas que não serão utilizadas em nenhuma regra de filtragem).
90
. É possível selecionar de entidades listadas a informação para os campos “Origem do pacote”, “Destino do pacote” e “Serviços”, ou digitá-los. Para alternar entre os dois modos de operação basta clicar nos ícones correspondentes à esquerda de cada um destes campos.
Simulação de Regras de Filtragem: Quando esta opção estiver selecionada, a janela de varreduras tem o seguinte formato:
Figura 85 - Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e máscaras).
Os campos “IP” e “Máscara”, dentro de Origem do Pacote, especificam a faixa de máquinas a serem utilizadas como origem das conexões simuladas. Os campos “IP” e “Máscara”, dentro de Destino do Pacote especificam a faixa de máquinas a serem utilizadas como destino. O campo “Serviço” especifica o protocolo e a faixa de portas simuladas. No caso dos protocolos TCP e UDP, os valores dos serviços são as portas destino; no caso do ICMP, é o tipo de serviço. E no caso de outros protocolos, o valor do protocolo. O campo “Dia/Hora” permite que o administrador teste as regras para uma determinada hora e dia da semana.
Varredura por Entidades
Quando a opção Varrer por Entidades estiver selecionada, a janela de varreduras tem o seguinte formato:
Figura 86 - Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e entidade).
O campo “Origem do pacote” especifica a entidade que será usada na origem das conexões simuladas. O campo “Destino do pacote” especifica para qual entidade as conexões simuladas devem se dirigir. O campo “Serviço” permite especificar o protocolo e a faixa de portas a serem simuladas, através de uma entidade.
91
O campo “Dia/Hora” permite que o administrador teste as regras para uma determinada hora e dia da semana. Só é possível selecionar uma entidade como origem, uma como destino, e uma como serviço. 3.15.
Relatórios
Esta opção possibilita que o administrador imprima um relatório de toda (ou de parte) da configuração do firewall de forma fácil e rápida. Este relatório é bastante útil para fins de documentação ou de análise da configuração. Para ter acesso a janela de relatórios basta:
Na barra de ferramenta clique no dispositivo remoto que deseja gerar o relatório e selecione a opção “Relatório”.
Figura 87 – JRelatório.
92
A janela Relatório
Figura 88 - Relatório de configuração do firewall.
Esta janela consiste de várias opções distintas, uma para cada parte da configuração do firewall, que podem ser selecionadas independentemente. Para gerar um relatório, deve-se proceder da seguinte forma: 1. Marcar os itens que se deseja imprimir. 2. Clicar no botão Procurar e escolha o diretório onde irão ser armazenadas as páginas HTML. 3. Abrir o diretório e selecionar o arquivo HTML para imprimir seu relatório. Caso queira cancelar a emissão do relatório, basta clicar no botão Cancelar.
93
3.16.
Busca de Entidades
Esta opção permite que localize entidades que contenham um determinado endereço IP, interface ou serviço, bem como regras que contenham uma determinada entidade. Para ter acesso à janela de localização de entidades, deve-se:
Figura 89 - Busca de Entidades.
Clicar no menu Ferramentas da janela de administração do firewall. Selecionar o item Busca de entidade.
94
A janela de localização de entidades Esta janela consiste de três abas onde cada uma é responsável por um tipo de pesquisa diferente:
Aba Entidades
Figura 90 - Busca de Entidades (procura de entidade com IP ou nome e últimos resultados).
Esta aba permite localizar entidades pelo endereço IP informado ou pelo seu nome. Procurar: inicia a busca a partir dos dados informados. Fechar: fecha a janela de localização de entidades.
Ao clicar duas vezes sobre o nome de uma entidade ou regra mostrada como resultado da pesquisa, a janela de edição correspondente será aberta, possibilitando que os valores sejam editados rapidamente.
95
Aba Serviços
Figura 91 - Busca de Entidades (Serviços, protocolo e últimos resultados).
Esta aba permite localizar entidades do tipo serviço que contenham o protocolo e o serviço especificados. Procurar: inicia a busca a partir dos dados informados. Fechar: fecha a janela de localização de entidades. Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como resultado da pesquisa, a janela de edição correspondente será aberta, possibilitando que edite seus valores rapidamente.
96
Aba Regras
Figura 92 - Busca de Entidades (Regras, entidades e últimos resultados).
Esta aba permite localizar a regra que a entidade pertence. Procurar: Este campo inicializa a busca a partir dos dados informados. Fechar: Este campo fecha a janela de localização de entidades. Nesta aba serão carregadas apenas as entidades do tipo Máquina, Rede, Conjunto e Serviço. Entidade: Quando selecionada uma entidade, uma busca será realizada retornando o número da regra a qual a entidade pertence. As regras podem ser: Regras VPN, Regras de NAT, Regras de filtragem ou Regras de Filtragem dentro dos Perfis, se a entidade procurada for do tipo Rede ou Máquina é iniciada uma busca para saber se ela está presente em alguma entidade do tipo Conjunto. Caso esteja, as regras que contém essa entidade Conjunto e os tipos relacionados a ela, serão mostradas e impressas no resultado da busca, e consequentemente, as regras que contiverem estes conjuntos também serão mostradas. Ao clicar duas vezes sobre uma entidade ou regra, mostrada como resultado da pesquisa (Entidades de Conjunto, Regras de Filtragem, Regras de NAT, Regra VPN e Perfil) a janela de edição correspondente será aberta, possibilitando editar os seus valores rapidamente.
97
3.17.
Janela de Alarmes
Esta opção permite visualizar os alarmes gerados pelo firewall, quando esta opção estiver marcada nas regras de filtragem ou na janela de ações. Para ter acesso à janela de alarmes, deve-se:
Figura 93 - Janela de Alarmes.
Clicar no menu Ferramentas na janela do firewall que queira administrar. Selecionar o item Janela de alarmes.
98
A janela de alarmes
Figura 94 - Janela de Alarmes (Descrição).
Esta janela consiste de um campo de descrição com as entradas correspondentes a ação executada pela regra de filtragem.
O botão Fechar fecha a janela. A caixa Não mostrar essa janela automaticamente, se estiver marcada, fará com que a janela não seja mostrada automaticamente quando ocorrer um evento. O botão Salvar grava as entradas em um arquivo de log do tipo texto. O botão Apagar limpa todas as entradas contidas na janela.
99
3.18.
Mapa da rede
O firewall dispõe de um prático sistema para visualizar a rede onde ele se insere de forma gráfica. Para ter acesso à janela de visualização gráfica da rede, deve-se:
Figura 95 - Mapa da Rede.
Clicar no menu “Informação” da janela de administração do firewall. Selecionar o item “Mapa da Rede”.
A janela abaixo será exibida:
Figura 96 - Mapa da Rede.
100
O primeiro item representa o firewall, conectado às suas interfaces de rede. A cada interface, conectam-se uma ou mais redes e roteadores, que se conectam a mais redes distantes. Clicando em uma rede com o botão direito do mouse, aparecerá um menu listando as entidades que fazem parte da mesma, possibilitando ao usuário editá-las.
3.19.
Estatísticas do sistema
A janela de estatísticas do sistema possui informações sobre uso do processador e uso de memória do sistema. Para ter acesso a essa janela, deve-se:
Figura 97 - Estatísticas do Sistema.
Clicar no menu Informação da janela de administração do firewall. Selecionar o item “Estatísticas do Sistema”.
101
A janela abaixo será exibida:
Figura 98 - Estatísticas do Sistema.
Na parte superior da janela são mostradas as informações de uso do CPU. Essas informações estão dividas em três partes: porcentagem ociosa, porcentagem dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo usuário. A parte inferior da janela mostra a situação da memória do sistema em Megabytes. Também está divida em três partes: quantidade de memória livre, quantidade de memória sendo usada e quantidade de memória armazenando informações em forma de cache.
102
A quantidade de memória não afeta de forma significativa a performance do firewall. Entretanto, pode ocorrer queda de desempenho se o sistema possuir área de memória swap e estiver fazendo muito uso dessa, o que irá afetar apenas os proxies. É importante observar que a memória cache não é considerada memória usada. Ela é acessada apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda esteja em cache, a reabertura será mais rápida. Porém, se o sistema precisar de uma quantidade maior de memória livre, a área usada para cache é liberada.
Figura 99 – Relatório de estatística do sistema.
103
3.20.
Utilizando a janela de Sniffer de tráfego de pacotes IP
A janela de Sniffer do Aker Firewall permite ao administrador capturar pacotes de uma ou mais conexões que estiverem trafegando pelo firewall. A grande vantagem deste sniffer em relação à utilização de um tradicional é que é possível capturar pacotes em vários pontos distintos dentro de uma interface: é possível ver os pacotes como eles são recebidos (i.e., cifrados e com endereços convertidos) ou exatamente antes ou depois da filtragem, o que faz com que sejam mostrados em claro e com os endereços reais. É importante observar que o comando fwpacket só captura dados a partir do header do IP. Atualmente o sniffer de pacotes do firewall só captura dados a partir do header IP. Já está em aberto uma solicitação para implementar a funcionalidade de captura de informações relacionadas a camada 2.·. Para ter acesso à janela de sniffer, deve-se:
Figura 100 - Acesso a janela: Sniffer de tráfego de pacotes IP.
Clicar no menu Ferramentas da janela de administração do firewall. Selecionar o item Sniffer de tráfego de pacotes IP.
104
A janela de Sniffer de Pacotes
Figura 101 - Sniffer de Pacotes – Sniffer 1.
Esta janela consiste de várias abas. Cada uma das abas permite a captura de tráfego em uma interface distinta ou em pontos diferentes de uma mesma interface. Para criar novas abas com sniffer deve-se clicar na última aba onde aparece o texto Novo sniffer. Para iniciar a captura, devem-se preencher os seguintes campos: Onde capturar: Definir o ponto onde a captura deve ser realizada. As seguintes opções estão disponíveis: Interface física: Definir que a captura deve ser feita exatamente como os pacotes são recebidos pelo firewall Antes da filtragem: Definir que os pacotes devem ser capturados imediatamente antes de serem filtrados, i.e., após serem decriptografados e terem seus endereços convertidos, se for o caso. Após filtragem: Definir que a captura será feita apenas dos pacotes que passarem pela filtragem e eles serão vistos decriptados e com seus endereços convertidos, se for o caso. 105
Interface física: Definir qual a interface que será utilizada para capturar os pacotes Filtro: Este define o filtro que será utilizado na captura dos pacotes. O objetivo deste filtro é limitar os pacotes recebidos somente ao que interessa. Caso ele esteja em branco todos os pacotes serão capturados. A sintaxe do filtro é a mesma usada no popular programa tcpdump e todas suas opções são suportadas. Um resumo das principais opções que podem ser utilizadas no filtro é:
dir Indica a direção em que a transferência ocorrerá, para e/ou do identificador. As direções possíveis são : src, dst, src or dst e src and dst. Exemplos: ``src foo'' ``dst net 128.3'' ''src or dst port ftp-data''
proto Qualificador restrito a estipular um tipo particular de protocolo. As opções existentes de protocolo são: ether, ip, arp, rarp, tcp e udp. Exemplos: ``ether src foo'' ``arp net 128.3'' ``tcp port 21'' Quando não estipulado, todos os protocolos existentes em opção serão assumidos.
port Captura pacotes com a porta de origem ou de destino do pacote igual a port. Todas as expressões de porta podem ser precedidas de tcp ou udp, assim: tcp src port Capturar apenas pacotes tcp com porta de origem port. Quando o botão Travar seleção estiver selecionado, o pacote selecionado ficará sempre visível na janela de captura. O botão Iniciar captura inicia a captura de pacotes, porém envia o resultado apenas para a janela. O botão Capturar em arquivo inicia a captura de pacotes e grava os dados no arquivo especificado. Este arquivo pode posteriormente ser aberto pela maioria dos Sniffers tradicionais disponíveis no mercado. O botão OK encerra a captura e fecha a janela. Caso tenha capturado para um arquivo, ele estará disponível.
106
3.21.
Visualizando o Estado dos Agentes Externos
A janela de estado dos agentes externos é puramente informativa e serve para indicar ao administrador o estado dos Agentes Externos. Isso é muito útil quando se quer configurar um novo agente externo ou para detectar a ocorrência de possíveis problemas. Para ter acesso à janela de estado dos agentes externos, deve-se:
Figura 102 - Agentes Externos.
Clicar no menu Informação da janela de administração do firewall. Selecionar o item Agentes Externos.
107
A janela de agentes externos
Figura 103 - Agentes Externos (nome, tipo e status).
Esta janela consiste de uma lista com o nome de todos os agentes externos ativos que sejam um dos seguintes tipos: Agentes de Antivírus, Agentes IDS, Analisadores de URL, Autenticadores (Usuário/Senha, Token, RADIUS e LDAP), Servidores de Log e Spam Meter. Para cada agente listado serão mostradas as seguintes informações: Nome: Nome da entidade do agente externo. Tipo: Tipo do agente externo. Status: Informa o estado atual da conexão com o agente externo. Os seguintes estados podem ser mostrados nesta coluna:
Estado indefinido: Ainda não existem informações disponíveis sobre o estado deste agente. Conectado ao principal: O firewall conectou-se com sucesso ao IP principal do agente externo. Conectado ao primeiro backup: O firewall conectou-se com sucesso ao IP do 1º backup do agente externo. Por alguma razão, a conexão inicial ao IP principal não foi possível.
108
Conectado ao segundo backup. O firewall conectou-se com sucesso ao IP do 2º backup do agente externo. Por alguma razão, a conexão inicial ao IP do 1º backup não foi possível. Erro de conexão: Devido a um problema de comunicação com o agente externo, nenhuma conexão foi estabelecida. Verifique os eventos para maiores informações. Erro interno: Não foi possível conectar-se ao agente externo por um problema interno. Verifique os eventos para maiores informações. Vírus não detectado: Este estado só aparece nos agentes de antivírus e indica que embora o firewall tenha conseguido se conectar corretamente ao agente, ele não foi capaz de detectar o vírus de teste que o firewall enviou. Verifique a configuração do antivírus. IP do servidor. Um ou mais Endereços IPs do agente externo no qual (ou nos quais), o firewall conectou-se.
Para os servidores de log, além de o estado “Conectado ou Erro”, haverá mais um estado: Parcialmente Conectado, isso ocorre quando mais de um servidor está disponível (primeiro e segundo backup), porém o agente não está conectado a todos eles.
3.22.
Utilizando o Verificador de configurações
O Verificador de Configurações é uma janela que é mostrada sempre que o firewall é iniciado e suas configurações iniciais ainda não estão completas. Ele serve para chamar de forma simples os assistentes que realizam cada uma das etapas principais de configuração do produto. É possível também, a qualquer momento chamar o Verificador de Configuração. Para isso deve-se executar a seguinte sequência de passos:
109
Figura 104 - Verificador de Configuração.
Clicar no menu Ferramentas da janela de administração do firewall. Selecionar o item Verificador de Configurações.
A janela do verificador de configurações
110
Figura 105 - Verificador de Configurações
Esta janela consiste de 5 grupos de configurações distintas. Cada um dos grupos é mostrado em azul, caso sua configuração já tenha sido realizada ou em laranja caso não tenha sido realizada. Em cada um dos grupos é possível clicar no link assistente para invocar a execução do assistente responsável pela configuração do grupo. No caso em que alguma configuração não venha a ser realizada nunca (por exemplo, no caso de um firewall que não realizará VPN) é possível desabilitar a checagem desta configuração marcando a caixa Parar a checagem automática das configurações de VPN do grupo desejado.
O botão Aplicar salva as opções de checagem e mantem a janela aberta. O botão OK fará com que a janela seja fechada e as alterações salvas. O botão Cancelar fechará a janela e descartará as modificações efetuadas.
É importante observar que a memória cache não é considerada memória usada. Ela é acessada apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda esteja em cache, a reabertura será mais rápida. Porém, se o sistema precisar de uma quantidade maior de memória livre, a área usada para cache é liberada. 111
Recomenda-se que a configuração seja feita na ordem em que os grupos se encontram de cima para baixo.
112
3.23.
Diagnóstico
O Aker Firewall realiza testes básicos de conectividade:
Ping na rota padrão; Ping em lugares conhecidos (Ex. DNS da Google); Testes de DNS; Teste de HTTP; Comando traceroute; Comando Netstat; Comando Nslookup.
Figura 106 - Diagnósticos.
Abaixo são apresentadas as telas de cada aba. ·. Aba Tudo É retornado ao usuário o status do acesso à Internet.
113
Figura 107 - Janela de Diagnósticos: Tudo
Para ter acesso, basta clicar no botão “Testar Tudo”. Em seguida surgem os dados.
114
Aba Ping A aba Ping, realiza um teste de ICMP (Ping) no endereço IP ou nome DNS digitado. Este teste valida à conectividade do Aker Firewall com o endereço testado.
Figura 108 - Janela de Diagnósticos: Ping
Para acessar, basta digitar o endereço IP desejado e clicar no botão “ping”. Em seguida os dados são mostrados na tela.
115
Aba Traceroute A aba Traceroute realiza um trace entre o Aker Firewall e o endereço IP ou nome digitado.
Figura 109 - Janela de Diagnósticos: Traceroute.
Para acessar, basta digitar o endereço IP ou nome e clicar no botão “traceroute”. Em seguida os dados serão mostrados na tela.
116
Aba Netstat A aba Netstat retorna o status de todas as conexões pertencentes ao Aker Firewall.
Figura 110 - Janela de Diagnósticos: Netstat.
Basta clicar no botão “Netstat”. Em seguida os dados são mostrados na tela.
117
Aba Nslookup A aba Nslookup realiza a resolução do nome digitado para seu respectivo endereço IP, este teste é importante para validar a configuração DNS do Aker Firewall.
Figura 111 - Janela de Diagnósticos: Nslookup.
Para acessar, basta digitar o nome do servidor para seu respectivo endereço IP e em seguida clicar no botão “Nslookup”. Os dados serão mostra dos na tela.
118
Administrando usuários do Firewall
119
4.
Administrando usuários do Firewall Este capítulo mostra como criar os usuários para administrar remotamente o Aker Firewall.
O que são usuários do Aker Firewall? Para que alguma pessoa consiga administrar remotamente o Aker Firewall é preciso ser reconhecida e validada pelo sistema. Esta validação é feita na forma de senhas, assim, para que ela seja possível, cada um dos administradores deverá ser previamente cadastrado com um login e uma senha. Além disso, o Aker Firewall permite a existência de vários administradores distintos, cada um responsável por uma determinada tarefa da administração. Isso, além de facilitar a administração, permite um maior controle e uma maior segurança. É no cadastro de usuários que define as respectivas atribuições de cada administrador.
4.1. Usuários Administradores
Para ter acesso à janela de Usuários administradores, na interface remota, deve-se:
Figura 112 - Acesso a janela de Usuários administradores.
Clicar em ‘Configurações do Sistema’ da janela do firewall que quer administrar. 120
Selecionar o item ‘Usuários administradores’. Esta opção só é habilitada quando o usuário que está com a sessão aberta na interface remota tem autoridade para gerenciar usuários. Isso será comentado em detalhes no próximo tópico. A janela de Usuários administradores Aba ‘Usuários internos
Figura 113 - Janela de Usuários administradores (Usuários internos).
Esta janela consiste de uma lista de todos os usuários atualmente definidos para acesso à administração do firewall, além de um segredo compartilhado (ou senha), para administração centralizada pelo Aker Configuration Manager. Não havendo o segredo compartilhado, a configuração será apenas efetuada pelos usuários cadastrados. É mostrado o login, o nome completo e as permissões de cada usuário.
121
O botão OK fecha a janela de administração de usuários e salva as modificações. O botão Aplicar aplica permanentemente as alterações realizadas sobre um determinado usuário sem fechar a janela. O botão Cancelar fecha a janela de administração de usuários e descarta todas as alterações efetuadas. Quando um usuário for selecionado, os seus atributos completos são mostrados nos campos Permissões.
Para alterar os atributos de um usuário, deve-se proceder da seguinte forma: 1. Selecionar o usuário a ser alterado clicando sobre seu nome. Neste momento são mostrados os seus atributos nos campos após a listagem de usuários. 2. Alterar o valor dos atributos desejados e clicar no botão Aplicar ou no botão OK. A partir deste momento as alterações serão efetivadas. Para incluir um usuário na lista, deve-se proceder da seguinte forma: 1. Clicar com o botão direito do mouse em qualquer lugar da área reservada para mostrar a lista (aparece o botão Inserir) e selecionar a opção Incluir no menu pop-up ou clicar no ícone que representa a inclusão na barra de ferramentas. 2. Preenche os campos do usuário a ser incluído e clicar no botão Aplicar ou no botão OK. Para remover um usuário da lista, deve-se proceder da seguinte forma: 1. Selecionar o usuário a ser removido, clicar sobre seu nome e clicar no ícone que representa a remoção na barra de ferramentas, ou clicar com o botão direito do mouse sobre o nome do usuário a ser removido e selecionar a opção Excluir no menu pop-up. Significado dos atributos de um usuário
Login
É a identificação do usuário para o firewall. Não podem existir dois usuários com o mesmo login. Este login será pedido ao administrador do firewall quando este for estabelecer uma sessão de administração remota. O login deve ter entre 1 e 14 caracteres. Não há diferenças entre letras maiúsculas e minúsculas neste campo.
Nome
Este campo contém o nome completo do usuário associado ao login. Os seus objetivos são de informação, não sendo usado para qualquer validação. 122
Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.
Senha
Este campo será usado em conjunto com o campo login para identificar um usuário perante o Aker Firewall. Ao digitar a senha, serão mostrados na tela asteriscos "*" ao invés das letras. O campo senha deve ter no máximo 14 caracteres. Seu tamanho mínimo é configurável por meio da janela de parâmetros da interface (para maiores informações veja o tópico Utilizando a interface remota). Neste campo, letras maiúsculas e minúsculas são consideradas diferentes. É extremamente importante que as senhas usadas tenham um comprimento grande, o mais próximo possível do limite de 14 caractéres. Além disso, deve-se sempre utilizar uma combinação de letras minúsculas, maiúsculas, números e caracteres especiais nas senhas (caracteres especiais são aqueles encontrados no teclado dos computadores e que não são números nem letras: "$","&",”]", etc.). Nunca use como senhas palavras em qualquer idioma ou apenas números.
Confirmação
Este campo serve para confirmar a senha digitada no campo anterior, uma vez que aparecem asteriscos na tela, ao invés dos caracteres propriamente ditos.
Permissões
Este campo define o que um usuário pode fazer dentro do Aker Firewall. Ele consiste de três opções que podem ser marcadas independentemente. O objetivo destas permissões é possibilitar a criação de uma administração descentralizada para o firewall. É possível, por exemplo, numa empresa que possua vários departamentos e vários firewalls, deixar um administrador responsável pela configuração de cada um dos firewalls e um responsável central com a tarefa de supervisionar a administração. Este supervisor seria a única pessoa capaz de apagar e alterar a configuração de log e eventos dos firewalls. Desta forma, apesar de cada departamento ter autonomia de administração é possível ter um controle central do que cada administrador alterou na configuração e quando ele realizou cada alteração. Isto é um recurso muito importante para realizar auditorias internas e aumenta a segurança da administração. Caso um usuário não possua nenhum atributo de autoridade, então, esse terá permissão apenas para visualizar a configuração do firewall e compactar os arquivos de log e de eventos.
Configuração do Firewall 123
Quando esta permissão está marcada, o usuário em questão pode administrar o firewall, isto é, altera a configuração das entidades, regras de filtragem, conversão de endereços, criptografia, proxies e parâmetros de configuração que não estejam relacionados ao log.
Configuração do Log Quando esta opção está marcada, o usuário em questão tem poderes para alterar os parâmetros relacionados ao log (como por exemplo, tempo de permanência do log), alterar a configuração da janela de ações (tanto as mensagens quanto os parâmetros) e apagar permanentemente o log e os eventos.
Administrar Usuários Quando esta opção está marcada, o usuário em questão tem acesso à janela de administração de usuários, podendo incluir, editar e excluir outros usuários. Um usuário com este nível de autoridade somente poderá criar, editar ou excluir usuários com autoridades de níveis iguais ou menores aos que ele possuir (por exemplo, se um usuário tiver poderes de gerenciar outros usuários e configurar log, então ele poderá criar usuários que não possuam nenhuma autoridade, que somente possam configurar o log, que somente possam criar novos usuários ou que possam gerenciar usuários e configurar log. Ele não poderá nunca criar, nem editar ou excluir, um usuário que possa configurar o firewall).
Conecta o Configuration Manager Essa opção habilita/desabilita acessos ao Aker Firewall pelo Configuration Manager. Ao habilitar conexões a senha comum ao firewall e ao gerenciador (shared secret) deve ser informada.
124
Aba Agentes Externos
Figura 114 - Usuários Administradores: Agentes externos.
Esta aba consiste na configuração dos agentes externos que são utilizados para a autenticação dos usuários que administram o firewall, definindo, assim, regras de autenticação para o acesso destes. Habilitar autenticação via agentes externos Selecionar essa opção permite a autenticação dos usuários, por meio de agentes externos previamente cadastrados no firewall. Também permite definir o autenticador externo, qual o usuário/grupo que ele pertence, quais as suas permissões de acesso e a definição das entidades que o usuário utilizará para conectar ao firewall. Autenticador Ao clicar com o botão direito em cima da opção autenticador, poderá selecionar um autenticador (agente externo) habilitado na aba Métodos da Janela Autenticação.
125
Esse autenticador é responsável por intermediar o processo de autenticação da interface com o firewall. Usuário/Grupo Os usuários e os grupos estarão relacionados ao autenticador escolhido. Pode-se associar um usuário somente ou um grupo deles. Permissões Este campo define o que um usuário pode fazer dentro do Aker Firewall. Ele consiste de três opções que podem ser marcadas independentemente. O objetivo destas permissões é possibilitar a criação de uma administração descentralizada para o firewall. É possível, por exemplo, numa empresa que possua vários departamentos e vários firewalls, deixar um administrador responsável pela configuração de cada um dos firewalls e um responsável central com a tarefa de supervisionar a administração. Este supervisor seria a única pessoa capaz de apagar e alterar a configuração de log e eventos dos firewalls. Desta forma, apesar de cada departamento ter certa autonomia de administração é possível ter um controle central que grave o que cada administrador altere a configuração e quando ele realizou cada alteração. Isto é um recurso muito importante para realizar auditorias internas, além de aumentar a segurança da administração. Entidades As Entidades são representações de objetos do mundo real para o Aker Firewall. Através delas, podem-se representar máquinas, redes, serviços a serem disponibilizados, entre outros. Essa opção permite definir de qual entidade o usuário se conectará ao firewall. Servidor Fingerprint É um resumo da identificação do certificado digital do Aker Firewall. Essa opção possibilita ao usuário identificar quando tem uma mudança do firewall que se costuma conectar.
126
Aba Autenticação X.509
Figura 115 - Usuários Administradores de autenticação - X509.
Essa aba consiste no método de autenticação com certificação digital X.509. O Certificado Digital pode ser considerado como a versão eletrônica (digital) de uma cédula de identidade, associa uma chave pública com a identidade real de um indivíduo, de um sistema servidor, ou de alguma outra entidade. Um certificado digital normalmente é usado para ligar uma entidade a uma chave pública. Para garantir a integridade das informações contidas neste arquivo ele é assinado digitalmente, no caso de uma infraestrutura de Chaves Públicas (ICP), o certificado é assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia de Confiança (Web of trust) como o PGP o certificado é assinado pela própria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado são atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele certificado.
127
Um certificado normalmente inclui: Informações referentes à entidade para o qual o certificado foi emitido (nome, e-mail, CPF/CNPJ, PIS etc.); A chave pública referente à chave privada de posse da entidade especificada no certificado; O período de validade A localização do "centro de revogação" (uma URL para download da CRL, ou local para uma consulta OCSP); A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública contida naquele certificado confere com as informações contidas no mesmo. Um certificado padrão X.509 é outro formato de certificado muito comum. Todos os certificados X.509 obedecem ao padrão internacional ITU-T X.509; assim (teoricamente) certificados X.509 criados para uma aplicação podem ser usados por qualquer aplicação que obedece X.509. Um certificado exige alguém para validar que uma chave pública e o nome do dono da chave vão juntos. Com certificados de PGP, qualquer um pode representar o papel de validador. Com certificados X.509, o validador é sempre uma Autoridade de Certificação ou alguém designado por uma CA. Um certificado X.509 é uma coleção de um conjunto padrão de campos contendo informações sobre um usuário ou dispositivo e sua correspondente chave pública. O padrão X.509 define qual informação vai ao certificado, e descreve como codificar isto (o formato dos dados). Todos os certificados X.509 têm os seguintes dados: O número da versão do X.509 que identifica o padrão aplicado na versão do X.509 para este certificado, o que afeta e qual informação pode ser especificada neste. A chave pública do possuidor do certificado junto com um algoritmo de identificação, especifica qual sistema de criptografia pertence à chave e quaisquer parâmetros associados. Abaixo, seguem os campos que contém na aba: Habilitar autenticação X.509: Quando selecionada, essa opção habilita a autenticação do usuário via certificado digital X.509. CN do certificado do firewall: Essa opção mostra qual certificado o Aker Firewall está utilizando na sua autenticação.
128
Importar Certificado: Clicar nesse ícone, permite a inclusão de um novo certificado, ou seja, carrega-se o certificado cadastrado no arquivo, incluindo-o no firewall.
Figura 116 – Importar certificado.
Basta selecionar o certificado e clicar no botão ‘Abrir’. A tela seguinte apresentará 3 solicitações: ‘Senha do certificado’, ‘Senha para salvar a chave privada’ e ‘Confirmação da senha da chave privada’. Clicar no botão ‘OK’.
Figura 117 – Certificado (importado).
129
Exporta Certificado: Gravam os dados do certificado, para transportá-lo para uma futura aplicação desse certificado. Tira uma cópia do certificado.
Figura 118 – Exportar certificado.
Escolher e clicar no botão “Salvar”.
A tela seguinte apresentará 4 solicitações: “Senha para salvar o certificado”, “Confirme a senha do certificado”, “Senha para salvar a chave privada” e “Confirmação da senha da chave privada”. Clicar no botão “OK”. 130
Figura 119 – Certificado (exportado).
Remove Certificado: Ao clicar nesse ícone, o certificado previamente incluído é removido. Com isso o Aker Firewall fica sem nenhum certificado.
Mostra detalhes dos certificados: Mostra todas as informações contidas no certificado habilitado.
Figura 120 – Detalhes do Certificado.
Autoridade Certificadora: A autoridade certificadora (CA - certificate authority) deve garantir ao usuário, através da assinatura de seus certificados, que tais entidades são realmente quem 131
dizem ser. Então, a CA tem um papel básico de garantir a correspondência entre a identidade e a chave pública de uma determinada entidade, sabendo que tal chave pública corresponde a uma chave privada que permanece sob guarda exclusiva dessa entidade. Para tanto, a CA deve ser capaz de realizar todos os processos de emissão de certificados, verificação de validade, armazenamento, publicação ou acesso on-line, revogação e arquivamento para verificação futura. Em consequência, uma autoridade certificadora constitui-se de um sistema computacional completo, capaz de comunicar, processar e armazenar. Além disso, tanto as comunicações envolvendo esse sistema, quanto o próprio sistema, devem ser também protegidas e a própria identidade do sistema deve ser garantida, necessidades esta que são atendidas por intermédio da publicação de uma chave pública pertencente à própria autoridade certificadora. Como tal chave deve também ser garantida com um certificado digital, então, em geral, uma autoridade certificadora deposita sua chave pública junto à outra autoridade certificadora, formando uma estrutura de certificação onde algumas CA funcionam como autoridades certificadoras para outras CAs. Essa opção seleciona uma autoridade certificadora à qual o usuário está vinculado. Pseudo Group Corresponde aos grupos de certificados, relacionados à autoridade certificadora selecionada na opção acima. O campo “Pseudo Group” não é editável. Permissões O campo “Permissões” é editável, podendo, para cada CA selecionada relacionar as permissões para cada grupo. Esta opção, uma vez escolhida uma Autoridade Certificadora e definidos os níveis/permissões de acesso para cada grupo, ao trocar de CA todas as permissões relacionadas à outra CA serão perdidos.
132
Figura 121 – Opção de escolhas do servidor.
4.2. Utilizando a Interface Texto
Além da Interface Remota de administração de usuários, existe uma interface local, orientada a caracteres, que possui praticamente as mesmas capacidades da Interface Remota (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”). A única função não disponível é a de alteração das permissões dos usuários. Essa Interface Texto, ao contrário da maioria das demais interfaces orientadas a caracteres do Firewall Aker, é interativa e não recebe parâmetros da linha de comando. Localização do programa: /etc/firewall/fwadmin Ao ser executado, o programa mostra a seguinte tela:
133
Figura 122 - Execução do programa utilizando a Interface Texto.
Para executar qualquer uma das opções mostradas, digite a letra mostrada em negrito. Cada opção é mostrada abaixo em detalhes:
134
Inclui um novo usuário: Esta opção inclui um novo usuário que poderá administrar o Aker Firewall remotamente. Ao ser selecionada, é mostrada uma tela pedindo as diversas informações do usuário. Após todas as informações serem preenchidas é pedida uma confirmação para a inclusão do usuário.
Figura 123 - Execução do programa para inclusão de usuários como administrados do Aker Firewall.
Para prosseguir com a inclusão, digite ‘S’. Para abortar, digite ‘N’.
135
Remoção de usuário cadastrado: Esta opção, remove um usuário cadastrado no sistema. O login do usuário a ser removido é necessário. A seguir, haverá uma confirmação para realizar a operação.
Figura 124 - Execução do programa para a exclusão de usuários.
Para prosseguir com a remoção, digite ‘S’. Para abortar, digite ‘N’.
136
Alteração de senha de usuário: Esta opção altera a senha de um usuário já cadastrado no sistema. O login do usuário cuja senha será alterada é necessário. Digite a nova senha. A seguir, haverá uma confirmação para realizar a operação.
Figura 125 - Execução do programa para a alteração de senha do usuário.
137
Listagem de usuários: Esta lista de usuários cadastrados tem os nomes e as permissões de todos os usuários autorizados a administrar remotamente o firewall. Um exemplo de uma possível listagem de usuários é a seguinte:
Figura 126 - Execução do programa para exibir a listagem de usuários e permissões.
O campo permissões consiste de 3 possíveis valores: CF, CL, e GU, que correspondem respectivamente às permissões de: Configura Firewall, Configura Log e Gerencia Usuários. Se um usuário possuir uma permissão, ela será mostrada com o código acima, caso contrário será mostrado o valor --, indicando que o usuário não a possui.
138
Compacta arquivo de usuários: Esta opção não está presente na Interface Remota e não possui uso frequente. Ela serve para compactar o arquivo de usuários, removendo entradas não mais usadas. Ele somente deve ser usado quando for removido um grande número de usuários do sistema. Ao ser selecionada, o arquivo será compactado e ao final será mostrada uma mensagem indicando que a operação foi completada (a compactação do arquivo costuma ser uma operação bastante rápida, durando poucos segundos).
Figura 127 – Compactação do programa para exibir a compactação do arquivo de usuários.
139
Edita as opções do Configuration Manager: Esta opção permite alterar as configurações do Aker Configuration Manager. É possível habilitar/desabilitar acessos ao Aker Firewall pelo Configuration Manager e modificar a shared secret. Se o acesso ao firewall não estiver habilitado, será mostrada uma tela pedindo a criação da shared secret. É necessário preencher a senha e sua confirmação.
Figura 128 - Edição das configurações do Aker Configuration Manager.
140
Se o acesso ao firewall já estiver habilitado, serão mostradas novas opções de configuração:
Figura 129 - Edição das configurações do Aker Configuration Manager (Firewall habilitado).
Desabilita acesso pelo Configuration Manager: Quando selecionada essa opção não será mais possível acessar o Aker Firewall pelo Configuration Manager até que o usuário habilite o acesso novamente. Modifica shared secret do Configuration Manager: Permite à alteração da shared secret. É necessário entrar com a nova senha e com a sua confirmação.
141
Figura 130 - Edição das configurações do Aker Configuration Manager (desabilita, modifica ou retorna).
Sai do fwadmin: Esta opção encerra o programa fwadmin e retorna para a linha de comando.
142
Configurando Parâmetros do Sistema
143
5.
Configurando os parâmetros do sistema Este capítulo mostra como configurar as variáveis que irão influenciar nos resultados de todo o sistema. Estes parâmetros de configuração atuam em aspectos como a segurança, log do sistema e tempos de inatividade das conexões.
5.1. Utilizando a Interface Remota
Para ter acesso a janela de configuração de parâmetros, deve-se:
Figura 131 - Acesso aos dispositivos remotos (Parâmetros de configuração).
Clicar no menu Configurações do Sistema da janela do firewall que quer administrar; Selecionar o item Parâmetros de Configuração. A janela de Parâmetros de configuração O botão OK fará com que a janela de configuração de parâmetros seja fechada e as alterações que foram efetuadas sejam aplicadas. 144
O botão Cancelar fará com que a janela seja fechada, porém as alterações efetuadas não sejam aplicadas; O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá a janela aberta.
145
Significado dos parâmetros Aba Global
Figura 132 - Parâmetros de configuração do Aker Firewall: global.
Nesta janela, estes parâmetros são utilizados pelo filtro de estados e pelo conversor de endereços. Eles consistem dos seguintes campos: Interface Externa (Por motivo de controle de licença): Define o nome da interface externa do firewall. Conexões que vierem por esta interface não contam, na licença. Valor padrão: Configurado durante a instalação do firewall pelo administrador. Tempo limite TCP: Define o tempo máximo, em segundos, que uma conexão TCP pode permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de 0 a 259200 (72 horas). Valor padrão: 900 segundos.
146
Tempo limite UDP: Define o tempo máximo, em segundos, que uma conexão UDP pode permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de 0 a 259200 (72 horas). Valor padrão: 180 segundos. Estes campos são de vital importância para o correto funcionamento do firewall: valores muito altos poderão causar problemas de segurança para serviços baseados no protocolo UDP, farão com que o sistema utilize mais memória e o tornarão mais lento. Valores muito baixos poderão causar constantes quedas de sessão e o mau funcionamento de alguns serviços. Tamanho mínimo de senha: Define o número mínimo de caracteres que as senhas dos administradores devem ter para serem aceitas pelo sistema. Seu valor pode variar entre 4 e 14 caracteres. Valor padrão: 6 caracteres. É importante que este valor seja o maior possível, de modo a evitar a utilização de senhas que possam ser facilmente quebradas. Endereços fixos de configuração remota: São endereços que, independentemente de regras e de extrapolação dos limites de licenças, podem administrar o firewall (isto é conectar na porta 1020). Eles servem como medida de prevenção anti-bloqueio do firewall, uma vez que só podem ser configurados via Interface Texto.
147
Aba Log
Figura 133 - Parâmetros de configuração: Log.
Local: Indica que o log/eventos/estatísticas deve ser salvos em um disco local, na máquina onde o firewall estiver rodando. Tempo de vida no log / eventos / estatística: Os registros de log, eventos e estatísticas do firewall são mantidos em arquivos diários. Esta configuração define o número máximo de arquivos que serão mantidos pelo sistema, em caso de log local. Os valores possíveis vão de 1 a 365 dias. Valor padrão: 7 dias
Tamanho (GB) / eventos / log / estatísticas: Os arquivos (log ou evento ou estatística) serão limitados em tamanho total em disco, ou seja, caso o total de log’s em disco ultrapasse o valor estipulado, os logs mais antigos serão apagados.
Exemplo da nova rotação de logs do firewall
148
Período rotação
de
Controles exclusão arquivos
para dos
ANTES
ATUAL
01 vez por dia
01 vez por hora ou arquivo atual atingindo o tamanho máximo configurado.
Ultrapassando o tempo limite configurado.
Ultrapassando o tempo ou tamanho limite configurado.
Exemplo: Configuração do ambiente: Tempo limite: 07 dias tamanho máximo de log de 2,4 GB São gerados 100 MB de arquivos de log por hora. Às 11:59 do 1º dia, haverá aproximadamente 2,4 GB de arquivos de log. À meia-noite do 2º dia, o firewall rotacionará os logs. Isso fará com que o primeiro arquivo de log de 100 MB, criado no 1º dia, seja excluído do HD, fazendo com que este fique com 2,3 GB de arquivos de log. Depois disso, o firewall recebeu um ataque de flood e começou a gerar 3,4 GB de log por hora. Quando o arquivo de log (APENAS O ARQUIVO QUE ESTÁ SENDO ESCRITO, SEM CONTAR OS OUTROS) alcançar 2,4 GB (neste momento o diretório terá 4,7 GB de log), o firewall rotacionará os logs, excluindo TODOS os registros de log, inclusive o arquivo de 2,4 GB. Na sequência, criará outro arquivo zerado e começará a gravar os logs nele. O evento acima aconteceu um pouco antes do natal, em uma sexta-feira, e a empresa resolveu dar folga a semana toda para emendar com o ano novo. O arquivo de log, após o ataque de flood, ficou um 01 GB de tamanho e o firewall passou a produzir 1 KB de log por hora. 06 dias, 23 horas e 59 minutos se passaram e o firewall criou vários arquivos de log, completando um tamanho total de 1,000160217 GB. À meia-noite, após 07 dias, o firewall rotacionou os logs excluindo apenas o arquivo de 1 GB, criado uma semana atrás, e deixando apenas 0,000160217 GB de arquivos de log.
149
No exemplo, foi utilizado o log, mas o funcionamento é igual em relação a eventos e estatísticas. O rotacionamento não é instantâneo. Ele ocorre de duas maneiras: de hora em hora ou quando o arquivo em que os registros são gravados ultrapassar o tamanho configurado. No caso de utilização de log remoto essas opções estão desabilitadas e devem ser configuradas no próprio servidor remoto. Remoto: Esta opção indica que o log/eventos/estatísticas devem ser enviados para um servidor de log remoto ao invés de serem gravados no disco local. Com isso, o controle de diversos firewalls pode ser centralizado, facilitando a auditoria. Servidor Remoto: Esta opção indica o servidor de log remoto para o qual log/eventos/estatísticas serão enviados. Logar Conversão de Endereço (NAT): Habilita o registro no log do sistema das conversões de endereços feitas pelo firewall. Valor padrão: Conversões de endereço não devem ser logadas Mesmo com esta opção ativa, somente serão logados os pacotes convertidos através das conversões 1: N e N: 1. As conversões por outros tipos de regras não serão registradas. A ativação desta opção não traz nenhuma informação importante e deve ser utilizada apenas para fim de testes ou para tentar resolver problemas. Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o daemon de log do Unix, o syslogd. Valor padrão: Não envia log para o syslogd Ao habilitar essa opção, os registros de log serão enviados para a fila local0 e os de eventos para a fila local1. Esta opção não altera em nada o registro interno do log e dos eventos realizado pelo próprio firewall.
150
Aba Segurança
Figura 134 - Parâmetros de configuração: Segurança.
Parâmetros de Segurança Permitir pacotes com rota para origem: Habilita a passagem de pacotes que tenham a opção de registro de rota ou de roteamento dirigido. Se esta opção estiver desmarcada, os pacotes com alguma destas opções não poderão trafegar. Valor padrão: Pacotes IP direcionados não são permitidos. Cabe ressaltar que a aceitação de pacotes com rota para a origem pode causar uma falha séria de segurança. A não ser que se tenha uma razão específica para deixá-los passar, esta opção deve ser mantida desmarcada. Suporte FTP: Habilita o suporte específico para o protocolo FTP. Valor padrão: Suporte FTP está habilitado Este parâmetro faz com que o firewall trate o protocolo FTP de forma especial, de modo a permitir que ele funcione transparentemente para todas as máquinas
151
clientes e servidoras, internas ou externas. A não ser que se pretenda usar FTP através do firewall, esta opção deve estar marcada. Suporte ao Real Audio: Habilita o suporte para os protocolos Real Audio e Real Video. Valor padrão: Suporte Real Audio está habilitado Este parâmetro faz com que o firewall trate o protocolo Real Audio / Real Video de forma especial, de modo que permita ele funcionar transparentemente usando conexões TCP e UDP. A não ser que pretenda usar o Real Audio ou se pretenda utilizá-lo apenas com conexões TCP, esta opção deve estar marcada. Suporte RTSP: Habilita o suporte para o protocolo RTSP. Valor padrão: Suporte RTSP está habilitado O RTSP (Real Time Streaming Protocol) é um protocolo que atua no nível de aplicação que permite a entrega controlada de dados em tempo real, como áudio e vídeo. Fontes de dados podem incluir programas ao vivo (com áudio e vídeo) ou algum conteúdo armazenado (eventos pré-gravados). Ele é projetado para trabalhar com protocolos como o RTP, HTTP e/ou outro que de suporte a mídia contínua sobre a Internet. Ele suporta tráfego multicast bem como unicast. E também suporta interoperabilidade entre clientes e servidores de diferentes fabricantes. Este parâmetro faz com que o firewall trate o protocolo de forma especial, de modo a permitir que ele funcione transparentemente usando conexões TCP e UDP. Suporte PPTP: Habilita o suporte para o protocolo PPTP da Microsoft. Valor padrão: Suporte PPTP está habilitado O PPTP é um protocolo criado pela Microsoft para possibilitar acesso seguro de máquinas clientes a redes corporativas, através de VPN. Este parâmetro faz com que o firewall trate o PPTP de forma especial possibilitando que ele trafegue normalmente através dele, mesmo com a conversão de endereços (NAT) habilitada. Suporte H323: Habilita o suporte para o protocolo H.323 Valor padrão: Suporte H.323 está habilitado O H.323 é um protocolo que permite a implementação de voz sobre IP (VOIP) e é suportado pela maioria dos dispositivos com esse fim. Este parâmetro faz com que o firewall trate o H.323 de forma especial possibilitando que ele trafegue normalmente através dele, mesmo com a conversão de endereços (NAT) habilitada. Algumas aplicações podem não funcionar com o suporte H323 habilitado. Suporte ao MSN: Habilita o suporte para o MSN Messenger 152
Valor padrão: Suporte ao MSN Messenger está habilitado. O MSN Messenger é um protocolo de mensagens instantâneas que permite a comunicação entre duas ou mais pessoas ao mesmo tempo. Este parâmetro faz com que o firewall trate o Messenger de forma especial possibilitando que seu uso seja controlado através dos perfis de acesso. Suporte SIP: habilita o suporte para o protocolo SIP. Valor padrão: Suporte SIP está habilitado. O Protocolo de Iniciação de Sessão (Session Initiation Protocol - SIP) é um protocolo de aplicação, que utiliza o modelo “requisição-resposta”, similar ao HTTP, para iniciar chamadas e conferências através de redes via protocolo IP. Algumas aplicações podem não funcionar com o suporte SIP habilitado. Suporte DCE-RPC TCP: habilita o suporte o para protocolo DCE-RPC TCP. Valor padrão: Suporte DCE-RPC TCP está habilitado. O DCE/RPC TCP é um tipo de protocolo RPC, Chamada de Procedimento Remoto (Remote Procedure Call), que tem como objetivo permitir o desenvolvimento de aplicações cliente/servidor. É muito utilizado em administração de domínio e gerenciamento remoto do servidor. Manter conexões das regras expiradas: mantém a conexão mesmo após o prazo de validade de a regra ter sido expirada.
Valor padrão: manter conexões de regras expiradas. Esta opção permite ao usuário permanecer conectado mesmo após o término do período definido para o fim da conexão. Ex.: o usuário inicia um download via FTP dentro do horário definido por regra. Caso esta opção esteja marcada, a conexão (download) não será finalizada no horário definido e sim após o término de transferência dos arquivos.
153
Aba SNMP
Figura 135 - Parâmetros de configuração: SNMP.
Comunidade de leitura: Este parâmetro indica o nome da comunidade que está autorizada a ler dados do firewall via SNMP. Caso este campo esteja em branco, nenhuma máquina estará autorizada a lê-los. Valor padrão: campo em branco Comunidade de escrita: Este parâmetro indica o nome da comunidade que está autorizada a alterar dados do firewall via SNMP. Caso este campo esteja em branco, nenhuma máquina estará autorizada a alterá-los. Valor padrão: campo em branco
154
Mesmo com uma comunidade de escrita definida, por razões de segurança, somente poderão ser alterados algumas variáveis do grupo system. Descrição: Tipo de serviço que a máquina disponibiliza para o usuário. Contato: Tipo de contato (e-mail, homepage) que o administrador disponibiliza para o usuário. Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS. Local: Local físico onde a máquina está instalada. O SNMPv3 inclui três importantes serviços: autenticação (authentication), privacidade (privacy) e controle de acesso (access control). Habilita SNMPv3: Quando selecionada essa opção permite definir o tipo de permissão de um usuário e qual o nível de segurança que ele estará relacionado. Nome do usuário: Nome do usuário que terá permissão para conferir ou modificar as informações. Tipo de permissão: Permite a escolha do tipo de permissão do usuário. Poderá ter acesso de somente leitura dos dados ou de leitura e escrita. Nível de segurança: Permite a escolha do tipo de segurança dos dados. Pode-se optar por nenhuma autenticação, com autenticação ou autenticação com cifragem. Caso a escolha seja com autenticação, as opções Método de autenticação e senha de autenticação serão habilitadas. Caso a escolha seja autenticação com cifragem, as opções Método de cifragem e senha de cifragem serão habilitadas.
155
Aba Monitoramento
Figura 136 - Parâmetros de configuração: Monitoramento.
Quando utiliza conversão 1-N, ou seja, balanceamento de canal é possível configurar o tipo de monitoramento a ser realizado pelo firewall para verificar se as máquinas participantes do balanceamento estão no ar. Os parâmetros de monitoramento permitem modificar os intervalos de tempo de monitoramento, de modo a ajustá-los melhor a cada ambiente. Monitoramento via ping Esses parâmetros configuram os tempos utilizados pelo firewall para realizar o monitoramento via pacotes ICMP Echo Request e Echo Reply. São eles:
156
Intervalo de ping: Esse campo define de quantos em quantos segundos, será enviado um ping para as máquinas sendo monitoradas. Seu valor pode variar entre 1 e 60 segundos. Valor padrão: 2 segundos. Tempo limite de resposta: Esse campo define o tempo máximo, em segundos, que uma máquina pode permanecer sem responder aos pacotes de ping enviados pelo firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos. Valor padrão: 8 segundos. Tempo de ativação: Esse campo define o tempo, em segundos, que o firewall irá esperar, após receber um pacote de resposta de uma máquina anteriormente fora do ar, até considerá-la novamente ativa. Esse intervalo de tempo é necessário, pois normalmente uma máquina responde a pacotes ping antes de estar com todos os seus serviços ativos. Seu valor pode variar entre 1 e 60 segundos. Valor padrão: 10 segundos. Monitoramento via HTTP Esses parâmetros configuram os tempos utilizados pelo firewall para realizar o monitoramento via requisições HTTP. São eles: Tempo limite dos pedidos: Esse campo define de quantos em quantos segundos, o firewall requisitará a URL especificada pelo administrador para cada máquina sendo monitorada. Seu valor pode variar entre 1 e 300 segundos. Valor padrão: 5 segundos. Tempo limite de resposta: Esse campo define o tempo máximo, em segundos, que uma máquina sendo monitorada poderá levar para responder à requisição do firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 300 segundos. Valor padrão: 15 segundos.
157
Aba Data e Hora
Figura 137 - Parâmetros de configuração – Data e hora.
Esta opção permite ao administrador verificar e alterar a data e a hora do firewall. A data e hora configuradas corretamente são essenciais para o funcionamento da tabela de horário das regras e dos perfis de acesso WWW, das trocas de chaves através do protocolo SKIP e dos sistemas de log e eventos. Data e hora Esta janela consiste de dois campos que mostram o valor da data e hora configurado no firewall. Para alterar qualquer um destes valores, basta colocar o valor desejado no campo correspondente. Para escolher o mês podem-se utilizar as setas de navegação. Fuso Horário Escolha o fuso horário que mais se aproxima da região aonde o firewall será instalado.
O botão Aplicar alterará a data e hora e manterá a janela aberta. O botão OK fará com que a janela seja fechada e as alterações salvas. 158
O botão Cancelar fechará a janela e descartará as modificações efetuadas.
Servidor NTP (Network Time Protocol) Define o servidor de tempo que será utilizado pelo firewall para sincronizar seu relógio interno. (Este campo só aparece para o Firewall Box)
5.2. Utilizando a Interface Texto
A Interface Texto de configuração de parâmetros é bastante simples de ser utilizada e possui exatamente as mesmas capacidades da Interface Remota(E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. Ela possui, opções que não estão disponíveis na Interface Remota, entre elas: a opção de adicionar até três máquinas possíveis de administrarem o firewall remotamente, mesmo sem a existência de uma regra liberando sua conexão. O objetivo desta funcionalidade é permitir que, mesmo que um administrador tenha feito uma configuração equivocada que impeça sua conexão, ainda assim ele poderá continuar administrando remotamente o firewall. Este parâmetro chama-se end_remoto. Localização do programa: /aker/bin/firewall/fwpar Sintaxe: fwpar - mostra/altera parâmetros de configuração Uso: fwpar [mostra | ajuda] fwpar interface_externa <nome> fwpar [tempo_limite_tcp | tempo_limite_udp] <segundos> fwpar [ip_direcionado] <sim | não> fwpar [suporte_h323 | suporte_msn manter_cons_exp ] <sim | não>
|
suporte_sip
|
suporte_dce_rpc
|
fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp] <sim | não>
159
fwpar [loga_conversão | loga_syslog] <sim | não> fwpar [permanência_log | permanência_event | permanência_stat] <dias> fwpar [serv_log_remoto <nome>] fwpar [add_remoto <n> <ip_add>] fwpar [snmp] [rocommunidade | rwcommunidade | descrição | contato | nome | local] [nome] mostra = mostra a configuração atual ajuda = mostra esta mensagem interface_externa = configura o nome da interface externa (conexões que vierem por esta interface não contam na licença) tempo_limite_tcp = tempo máximo de inatividade para conexões TCP tempo_limite_udp = tempo máximo de inatividade para conexões UDP ip_direcionado = aceita pacotes IP direcionados suporte_ftp = habilita suporte ao protocolo FTP suporte_real_audio = habilita suporte ao protocolo Real Audio suporte_rtsp = habilita suporte ao protocolo RTSP suporte_pptp
= habilita suporte ao protocolo Microsoft(R) PPTP
suporte_h323
= habilita suporte ao protocolo H.323
suporte_sip
= habilita suporte ao protocolo SIP
suporte_dce_rpc = habilita suporte ao protocolo DCE-RPC sobre TCP manter_cons_exp = mantem conexões de regras expiradas loga_conversão = registra mensagens de conversão de endereços loga_syslog = envia mensagens de log e eventos para o syslogd permanencia_log = tempo de permanência (dias) dos registros de log permanência_event = tempo de permanência (dias) dos registros de eventos; permanência_stat = tempo de permanência (dias) das estatísticas; serv_log_remoto = servidor de log remoto (nome da entidade); end_remoto = endereço dos três controladores remotos;
160
rocommunidade = nome da comunidade de leitura para SNMP rwcommunidade = nome da comunidade de escrita para SNMP
Exemplo 1: (visualizando a configuração) # fwpar mostra Parâmetros globais: ------------------tempo_limite_tcp : 900 segundos tempo_limite_udp : 180 segundos interface_externa: lnc0
161
Parâmetros de segurança: -----------------------ip_direcionado : não suporte_ftp
: sim
suporte_real_audio: sim suporte_rtsp
: sim
end_remoto
: 1) 10.0.0.1
2) 10.0.0.2
3)10.0.0.3
Parâmetros de configuração de log: ---------------------------------loga_conversão : não loga_syslog
: não
permanência_log : 7 dias permanência_event: 7 dias permanência_stat : 7 dias Parâmetros de configuração de SNMP: -----------------------------------
Exemplo 2: (habilitando pacotes IP direcionados) #/aker/bin/firewall/fwpar ip_direcionado sim Exemplo 3: (configurando o nome da comunidade de leitura SNMP) #/aker/bin/firewall/fwpar rocommunidade public Exemplo 4: (apagando o nome da comunidade de escrita SNMP) #/aker/bin/firewall/fwpar rwcommunidade
162
Cadastrando Entidades
163
6.
Cadastrando Entidades Este capítulo mostra o que são, para que servem e como cadastrar entidades no Aker Firewall.
6.1. Planejando a instalação
O que são e para que servem as entidades? Entidades são representações de objetos do mundo real para o Aker Firewall. Através delas, podem-se representar máquinas, redes, serviços a serem disponibilizados, entre outros. A principal vantagem da utilização de entidades para representar objetos reais é que a partir do momento em que são definidas no Firewall, elas podem ser referenciadas como se fossem os próprios objetos, propiciando uma maior facilidade de configuração e operação. Todas as alterações feitas em uma entidade serão automaticamente propagadas para todos os locais onde ela é referenciada. Pode-se definir, por exemplo, uma máquina chamada de Servidor WWW, com o endereço IP de 10.0.0.1. A partir deste momento, não é mais necessário se preocupar com este endereço IP. Em qualquer ponto onde seja necessário referenciar esta máquina, a referência será feita pelo nome. Caso futuramente seja necessário alterar seu endereço IP, basta alterar a definição da própria entidade que o sistema automaticamente propagará esta alteração para todas as suas referências.
Definindo entidades Antes de explicar como cadastrar entidades no Aker Firewall é necessária uma breve explicação sobre os tipos de entidades possíveis e o que caracteriza cada uma delas. Existem 9 tipos diferentes de entidades no Aker Firewall: máquinas, máquinas IPv6, redes, redes IPv6, conjuntos, conjuntos IPv6, serviços, autenticadores e interfaces. As entidades do tipo máquina e rede, como o próprio nome já diz, representam respectivamente máquinas individuais e redes. Entidades do tipo conjunto representam uma coleção de máquinas e redes, em qualquer número. Entidades do tipo serviço representam um serviço a ser disponibilizado através de um protocolo qualquer que rode em cima do IP. Entidades do tipo autenticador representam um 164
tipo especial de máquina que pode ser utilizada para realizar autenticação de usuários e as entidades do tipo interface, representam uma interface de rede do firewall. Por definição, o protocolo IP, exige que cada máquina possua um endereço diferente. Normalmente estes endereços são representados da forma byte a byte, como por exemplo, 172.16.17.3. Desta forma, pode-se caracterizar unicamente uma máquina em qualquer rede IP, incluindo à Internet, com apenas seu endereço. Para definir uma rede deve-se utilizar uma máscara além do endereço IP. A máscara serve para definir quais bits do endereço IP serão utilizados para representar a rede (bits com valor 1) e quais serão utilizados para representar as máquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas máquinas podem assumir os endereços IP de 192.168.0.1 a 192.168.0.254, deve-se colocar como rede o valor 192.168.0.0 e como máscara o valor 255.255.255.0. Esta máscara significa que os 3 primeiros bytes serão usados para representar a rede e o último byte será usado para representar a máquina. Para verificar se uma máquina pertence a uma determinada rede, basta fazer um E lógico da máscara da rede, com o endereço desejado e comparar com o E lógico do endereço da rede com sua máscara. Se eles forem iguais, a máquina pertence à rede, se forem diferentes não pertence. Vejamos dois exemplos: Suponha que desejamos verificar se a máquina 10.1.1.2 pertence à rede 10.1.0.0, máscara 255.255.0.0. Temos: 10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede) 10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereço) Temos então que os dois endereços são iguais após a aplicação da máscara, portanto a máquina 10.1.1.2 pertence à rede 10.1.0.0. Suponha agora que desejamos saber se a máquina 172.16.17.4 pertence à rede 172.17.0.0, máscara 255.255.0.0. Temos: 172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede) 172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereço) Como os endereços finais são diferentes, temos que a máquina 172.16.17.4 não pertence à rede 172.17.0.0. Caso seja necessário definir uma rede onde qualquer máquina seja considerada como pertencente a ela (ou para especificar qualquer máquina da Internet), deve-se colocar como endereço IP desta rede o valor 0.0.0.0 e como máscara o valor 0.0.0.0. Isto é bastante útil na hora de disponibilizar serviços públicos, onde todas as máquinas da Internet terão acesso. 165
Toda a vez que ocorre uma comunicação entre duas máquinas, usando o protocolo IP, estão envolvidos não apenas os endereços de origem e destino, mas também um protocolo de nível mais alto (nível de transporte) e algum outro dado que identifique a comunicação unicamente. No caso dos protocolos TCP e UDP (que são os dois mais utilizados sobre o IP), uma comunicação é identificada por dois números: a Porta Origem e a Porta Destino. A porta destino é um número fixo que está associado, geralmente, a um serviço único. Assim, temos que o serviço Telnet está associado com o protocolo TCP na porta 23, o serviço FTP com o protocolo TCP na porta 21 e o serviço SNMP com o protocolo UDP na porta 161, por exemplo. A porta origem é um número sequencial escolhido pelo cliente de modo a possibilitar que exista mais de uma sessão ativa de um mesmo serviço em um dado instante. Assim, uma comunicação completa nos protocolos TCP e UDP pode ser representada da seguinte forma: 10.0.0.1 Endereço origem
1024 Porta origem
10.4.1.2 Endereço destino
23 Porta destino
TCP Protocolo
Para um firewall, a porta de origem não é importante, uma vez que ela é randômica. Devido a isso, quando se define um serviço, leva-se em consideração apenas a porta de destino. Além dos protocolos TCP e UDP existem outro protocolo importante: o ICMP. Este protocolo é utilizado pelo próprio IP para enviar mensagens de controle, informar sobre erros e testar a conectividade de uma rede. O protocolo ICMP não utiliza o conceito de portas. Ele usa um número que varia de 0 a 255 para indicar um Tipo de Serviço. Como o tipo de serviço caracteriza unicamente um serviço entre duas máquinas, ele pode ser usado como se fosse à porta destino dos protocolos, TCP e UDP, na hora de definir um serviço. Por último, existem outros protocolos que podem rodar sobre o protocolo IP e que não são TCP, UDP ou ICMP. Cada um destes protocolos tem formas próprias para definir uma comunicação e nenhum deles é utilizado por um grande número de máquinas. Ainda assim, o Aker Firewall optou por adicionar suporte para possibilitar ao administrador o controle sobre quais destes protocolos podem ou não passar através do firewall. Para entender como isso é feito, basta saber que cada protocolo tem um número único que o identifica para o protocolo IP. Este número varia de 0 a 255. Desta forma, podemos definir serviços para outros protocolos usando o número do protocolo como identificação do serviço.
166
O que é Qualidade de Serviço (QoS)? A qualidade de serviço pode ser compreendida de duas formas: do ponto de vista da aplicação ou da rede. Para uma aplicação oferecer seus serviços com qualidade, tem que atender às expectativas do usuário em relação ao tempo de resposta e da qualidade do serviço que está sendo provido. Por exemplo, no caso de uma aplicação de vídeo, fidelidade adequada do som e/ou da imagem sem ruídos nem congelamentos. A qualidade de serviço da rede depende das necessidades da aplicação, ou seja, do que ela requisita da rede a fim de que funcione bem e atenda bem às necessidades do usuário. Estes requisitos são traduzidos em parâmetros indicadores do desempenho da rede como, por exemplo, o atraso máximo sofrido pelo tráfego da aplicação entre o computador origem e destino. O Aker Firewall implementa um mecanismo com o qual é possível definir uma banda máxima de tráfego para determinadas aplicações. Através de seu uso, determinadas aplicações que tradicionalmente consomem muita banda, podem ter seu uso controlado. As entidades do tipo Canal são utilizadas para este fim e serão explicadas logo abaixo.
167
6.2. Cadastrando entidades utilizando a Interface Remota
Para ter acesso à janela de cadastro de entidades, siga os passos abaixo:
Clicar no menu Configuração do Firewall da janela do firewall que se quer administrar; Selecionar o item Entidades (a janela será mostrada abaixo da janela com os menus de configuração dos firewalls).
A janela de cadastro de entidades
Figura 138 - Janela de entidades (Aker Firewall).
É possível também acessar a janela de entidades clicando no botão: Botão F5 Figura 139 - Botão F5 do teclado.
168
Figura 140 - Entidades: Instância Aker Firewall.
A janela de cadastro de entidades é onde são cadastradas todas as entidades do Aker Firewall, independente do seu tipo. Esta janela, por ser constantemente utilizada em praticamente todas as demais configurações do firewall, normalmente é mostrada sempre aberta na horizontal, abaixo da janela com os menus de configuração de cada firewall. Dica: Possui uma janela única para todos os firewalls abertos. A janela continuará a mesma, só mudará o conteúdo que será referente ao firewall selecionado. Os tipos de entidades mais usados são os únicos apresentados na aba. As entidades menos utilizadas aparecem no menu. Dica: É possível posicionar a janela de entidades como se fosse uma janela comum, bastando para isso clicar sobre sua barra de título e arrastá-la para a posição desejada. Dica: Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia, deve-se clicar em cima da aba que fica na parte inferior da janela. Nesta janela estão desenhados oito ícones, em forma de árvore, que representam os oito tipos de entidades possíveis de serem criados. Dica: Para visualizar as entidades criadas é só clicar no sinal de '+' e as entidades ficarão listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a entidade que se deseja visualizar. Para cadastrar uma nova entidade, deve-se proceder da seguinte forma: 1. Clicar uma vez no ícone correspondente à entidade do tipo que deseja criar com o botão direito do mouse e selecionar a opção Inserir no menu pop-up ou 2. Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a tecla Insert. Para editar ou excluir uma entidade, deve-se proceder da seguinte forma:
169
1. Selecionar a entidade a ser editada ou excluída (se necessário, expande-se a lista do tipo de entidade correspondente); 2. Clicar com o botão direito do mouse e selecionar a opção Editar ou Apagar, respectivamente, no menu pop-up que aparecer; 3. Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a tecla Delete. No caso das opções Editar ou Incluir, aparecerá à janela de edição de parâmetros da entidade a ser editada ou incluída. Esta janela será diferente para cada um dos tipos possíveis de entidades.
O ícone , localizado na parte inferior da janela aciona o assistente de cadastramento de entidades que será descrito no final deste capítulo. Incluindo / editando máquinas
Figura 141 - Cadastro de entidade: Tipo Máquina.
Para cadastrar uma entidade do tipo máquina deve-se preencher os seguintes campos: Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são, portanto, consideradas diferentes. 170
Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O Firewall então mostra uma lista com todos os possíveis ícones para representar máquinas. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. Endereço IP: É o endereço IP da máquina a ser criada. Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração da máquina. Para cancelar as inclusões ou alterações realizadas deve pressionar o botão Cancelar. Para facilitar a inclusão de várias máquinas seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que a máquina inclua os dados preenchidos e mantenha aberta a janela de inclusão de máquinas onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de máquinas. Incluindo / editando servidor IPv6
Figura 142 - Cadastro de entidade Tipo Máquina IPv6.
Para cadastrar uma entidade do tipo máquina IPv6 deve-se preencher os seguintes campos: Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de 171
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são, portanto, consideradas diferentes. Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os possíveis ícones para representar máquinas. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. Endereço IPv6: É o endereço IPv6 da máquina a ser criada. Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração da máquina. Para cancelar as inclusões ou alterações realizadas deve pressionar o botão Cancelar. Para facilitar a inclusão de várias máquinas seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que a máquina inclua os dados preenchidos e mantenha aberta a janela de inclusão de máquinas onde estará pronta para uma nova inclusão. Desta forma, é possível cadastrar rapidamente um grande número de máquinas. A ampliação de 32 bits do endereço IPv4 para 128 bits no endereço IPv6 é uma das mais importantes características do novo protocolo. É um imenso espaço de endereçamento, com um número difícil de ser apresentado (2 elevado a 128), porque são milhares de bilhões de endereços. O IPv6 acaba ainda com as classes de endereços e possibilita um método mais simples de autoconfiguração. A notação mais usual que o endereço IPv6 é representado é x:x:x:x:x:x:x:x, onde os "x" são números hexadecimais, ou seja, o endereço é dividido em oito partes de 16 bits, como no seguinte exemplo: 1080:0:0:0:8:800:200C:417A
172
Incluindo / editando redes
Figura 143 - Inclusão e edição de redes.
Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos: Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Ícone: É o ícone que aparecerá associado à rede em todas as referências. Para alterá-lo deve clicar sobre o desenho do ícone atual. O firewall então uma lista com todos os possíveis ícones para representar redes será mostrada. Para escolher entre eles tem que clicar no ícone desejado e no botão OK. Caso não queira alterálo após ver a lista, basta clicar no botão Cancelar. Endereço IP: É o endereço IP da rede a ser criada. Máscara de Rede: Define quais bits do endereço IP serão utilizados para representar a rede (bits com valor 1) e quais serão utilizados para representar as máquinas dentro da rede (bits com valor 0)
173
Intervalo: Este campo mostra a faixa de endereço IP a que pertence à rede e realiza uma crítica quanto à máscara que está sendo cadastrada, ou seja não permite cadastramento de máscaras erradas. Após estarem todos os campos preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração da rede. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar. Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao clicar neste botão fará com que sejam incluídos os dados preenchidos e manterá aberta a janela de inclusão de redes onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de redes. Incluindo / editando redes IPv6
Figura 144 - Inclusão e edição de redes IPv6.
Para cadastrar uma entidade do tipo rede IPv6 deve-se preencher os seguintes campos: Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Ícone: É o ícone que aparecerá associado à rede em todas as referências. Para alterá-lo deve clicar sobre o desenho do ícone atual. O firewall então mostra uma 174
lista com todos os possíveis ícones para representar redes. Para escolher entre eles tem que clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. Endereço IPv6: É o endereço IPv6 da rede a ser criada. Tamanho do prefixo da sub-rede : Define quais bits do endereço IP serão utilizados para representar a rede. Após estarem todos os campos preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração da rede. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar.
Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao clicar neste botão fará com que sejam incluídos os dados preenchidos e manterá aberta a janela de inclusão de redes onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de redes. Incluindo / editando conjuntos
Figura 145 - Inclusão e edição de conjuntos.
175
Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes campos: Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática se não, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os possíveis ícones para representar conjuntos. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais máquinas e redes farão parte do mesmo. Abaixo estão os passos que devem ser seguidos. 1. Clicar com o botão direito do mouse no campo em branco e selecionar a opção Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar). ou 2. Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-la dentro da janela de entidades do conjunto.
176
Figura 146 - Adição de entidades.
Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinte forma: 1. Clicar com o botão direito do mouse sobre a entidade a ser removida e selecionar a opção Remover, ou 2. Clicar na máquina ou rede a ser removida e pressionar a tecla Delete. Após todos os campos estarem preenchidos e todas as redes e máquinas que devem fazer parte do conjunto selecionadas, deve-se clicar no botão OK para realizar a inclusão ou alteração do conjunto. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar. Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que o conjunto cujos dados foram preenchidos seja incluído e a
177
janela de inclusão de conjuntos mantida aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de conjuntos. Editando conjuntos - IPv6
Figura 147 - Edição de conjuntos IPv6.
Para cadastrar uma entidade do tipo conjunto IPv6 deve-se preencher os seguintes campos: Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática se não, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os possíveis ícones para representar conjuntos. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. 178
Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais máquinas e redes farão parte do mesmo. Abaixo estão os passos que devem ser seguidos. 1. Clicar com o botão direito do mouse no campo em branco e selecionar a opção Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar). ou 2. Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-la dentro da janela de entidades do conjunto.
Figura 148 - Edição de conjuntos IPv6 (entidades a ser adicionada).
Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinte forma: 1. Clicar com o botão direito do mouse sobre a entidade a ser removida e selecionar a opção Remover. ou 2. Clicar na máquina ou rede a ser removida e pressionar a tecla Delete. 179
Após todos os campos estarem preenchidos e todas as redes e máquinas que devem fazer parte do conjunto selecionadas, deve-se clicar no botão OK para realizar a inclusão ou alteração do conjunto. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar. Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que o conjunto cujos dados foram preenchidos seja incluído e a janela de inclusão de conjuntos mantida aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de conjuntos. Incluindo/Editando lista de categorias
Figura 149 - Inclusão e edição das listas de categorias.
Para definir uma lista de categorias é necessário proceder da seguinte forma: Selecionar a opção Automático, caso queira atribuir um nome padrão a lista. Preencher o campo nome, onde pode definir um nome específico para a lista de categorias. O botão Atualizar permite buscar as categorias no firewall caso tenha havido alguma atualização. Quando selecionada a opção Tentar recuperar categorias pelo critério nome quando o Analisador de Contexto for trocado, permite identificar as categorias pelos nomes que foram cadastradas, pois ao trocar o analisador de contexto muitas categorias podem ser perdidas. 180
Incluindo/Editando lista de padrões de busca
Figura 150 - Inclusão e edição dos padrões de buscas.
Para definir um padrão de pesquisa é necessário proceder da seguinte forma: Selecionar a opção Automático, caso queira atribuir um nome padrão ao tipo de pesquisa. Preencher o campo nome, onde pode definir um nome específico para a pesquisa. Os campos Padrão e Texto permitem definir qual será a string ou os parâmetros que serão pesquisados na URL acessada e qual operação a ser efetuada.
181
Incluindo/Editando lista de quotas
Figura 151 - Inclusão e edição de quotas.
Esta janela permite definir, vários tipos de quotas de acesso do usuário à rede. Para criar uma quota pode-se selecionar a opção Automático para que seja atribuído um nome padrão ao tipo de quota a ser definido ou então preencher o campo nome, onde pode atribuir um nome específico para a lista de quotas. A opção Tipo da Quota permite escolher se a quota definida será atribuída diariamente, semanalmente ou mensalmente. Ao marcar qual o tipo de quota desejada, pode associar a ela a checagem de tempo de acesso e/ou de volume de dados. A checagem de tempo pode ser definida em dias e/ou horas. Por exemplo, diariamente só vai ser liberado 3 horas de acesso à internet, ou semanalmente 3 dias ou até mesmo semanalmente liberado 7 dias.
Observação 1: A contagem de tempo funciona da seguinte forma: quando o usuário acessa uma página, conta um relógio de 31 segundos, se o usuário acessar outra página, começa a contar do zero, mas não deixar de contar, por exemplo, os 10 segundos que o usuário gastou ao acessar a página anterior. Observação 2: Para o consumo de quota, funciona da seguinte forma: no MSN, para cada janela de conversação, o tempo é contado separadamente, já na WEB ser tiver acessando 10 sites, será contado somente o tempo de uma. Incluindo / Editando agentes externos 182
Agentes externos são utilizados para a definição de programas complementares ao Aker Firewall. São responsáveis por funções específicas que podem estar rodando em máquinas distintas. Quando houver necessidade de realização de uma determinada tarefa por um dos agentes externos, ou vice-versa, o firewall se comunicará com eles e requisitará sua execução.
Figura 152 - Inclusão e edição de agentes externos.
Existem 10 diferentes tipos de agentes externos, cada um responsável por um tipo distinto de tarefas:
Autenticadores Os agentes de autenticação são utilizados para fazer a autenticação de usuários no firewall utilizando usuários/senhas de bases de dados de diversos sistemas operacionais (Windows NT, Linux, etc).
Autoridades certificadoras Autoridades certificadoras são utilizadas para fazer autenticação de usuários através de PKI, com o uso de Smart Cards e para autenticação de firewalls com criptografia IPSEC.
Autenticadores Token Os autenticadores token são utilizados para fazer autenticação de usuários no firewall utilizando SecurID(R), Alladin e outros.
183
Agentes IDS Os agentes IDS (Intrusion Detection Systems - Sistemas detectores de intrusão) são sistemas que ficam monitorando a rede em tempo real procurando por padrões conhecidos de ataques ou abusos. Ao detectar uma destas ameaças, ele pode incluir uma regra no firewall que bloqueará imediatamente o acesso do atacante.
Módulos de Antivírus Os agentes antivírus são utilizados pelo proxy SMTP, POP3 e Filtro Web para realizarem a checagem e a desinfecção de vírus de forma transparente em e-mails e nos downloads FTP e HTTP.
Analisadores de contexto Os analisadores de contexto são utilizados pelo Filtro Web para controlar o acesso a URLs baseados em diversas categorias pré-configuradas.
Servidores remotos de log Os servidores de log remoto são utilizados pelo firewall para enviar o log para armazenamento em uma máquina remota.
Autenticador Radius O autenticador Radius é utilizado para fazer autenticação de usuários no firewall a partir de uma base Radius.
Autenticadores LDAP O autenticador LDAP permite ao firewall autenticar usuário usando uma base LDAP compatível com o protocolo X500.
Spam Meter Os servidores de o spam meter são utilizados pelo firewall para classificar e-mails e definir quais deles serão considerados SPAM. É possível a instalação de diversos agentes externos em uma mesma máquina, desde que sejam distintos. Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo o diretório de Agentes Externos. Independentemente de seu subtipo, todos os agentes externos possuem os seguintes campos (os demais campos serão então modificados de acordo com o tipo do agente a ser cadastrado):
184
Nome: É o nome pelo qual o agente será sempre referenciado pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Ícone: É o ícone que aparecerá associado ao agente em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os possíveis ícones para representar agentes do subtipo selecionado. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar.
Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token, é necessário preencher os seguintes campos adicionais:
Figura 153 - Cadastro de um agente externo tipo autenticador ou autenticados token.
IP: É o endereço IP da máquina onde o agente está rodando. Backup 1 e Backup 2: Estes campos permitem com que seja especificado até dois endereços de outras máquinas que também estarão rodando o agente e que servirão como backup no caso de queda da máquina principal. A máquina principal e as de backup devem compartilhar uma mesma base de 185
usuários, ou seja, elas devem ser controladoras de domínio primárias e de backup (PDCs e BDCs), no caso de redes Windows, ou várias máquinas Unix utilizando NIS. Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia usadas na comunicação com o agente. Esta senha deverá ser igual à configurada no agente. Para maiores informações, veja o capítulo intitulado: Trabalhando com proxies. Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada corretamente. Deve-se digitá-la exatamente como no campo Senha. Tempo limite do cache: Todas as vezes que é realizada uma autenticação com sucesso, o firewall mantém em memória os dados recebidos do usuário e do agente. Nas autenticações seguintes, o firewall possui todos os dados necessários e não mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parâmetro permite definir em segundos o tempo em que o firewall deve manter as informações de autenticação em memória. Para maiores informações, veja o capítulo intitulado: Trabalhando com proxies.
Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-se preencher os seguintes campos adicionais:
186
Figura 154 - Cadastro de um agente externo tipo Autoridade Certificadora.
Localização da publicação da lista de certificados revogados (CRL): É a URL da qual será baixada a lista de certificados revogados da CA (CRL). Esta URL deve ser obrigatoriamente do protocolo HTTP e deve ser especificada sem o http:// sua frente. O botão Importar certificado raiz permite carregar o certificado root da CA no firewall. Ao ser clicado, a interface abrirá uma janela para especificar o nome do arquivo com o certificado a ser importado. É necessário importar um certificado raiz para cada Autoridade Certificadora criada, caso contrário não será possível autenticar usuários por meio dela. O Campo Pseudo-grupos permite definir grupos para usuários que se autenticarem por meio da autoridade certificadora, da mesma forma como define grupos em um sistema operacional. Desta maneira, é possível criar pseudo-grupos que representem todos os usuários de uma determinada empresa, departamento, cidade, etc. Após serem criados os pseudo-grupos, eles podem ser associados a perfis de acesso, da mesma forma como se faz com grupos de autenticadores ou autenticadores token. Clicando com o botão direito podemos selecionar as seguintes opções:
187
Inserir: Esta opção permite incluir um novo pseudo-grupo; Excluir:
Esta
opção
remove
da
lista
o
pseudo-grupo
selecionado.;
Editar: Esta opção abre a janela de edição para o pseudo-grupo selecionado;
Ao clicar no botão Inserir ou Editar, a seguinte janela será mostrada:
188
Figura 155 - Definição de Pseudo-Grupos para usuários que se autenticarem por meio de autoridade certificadora.
Nome: Campo de preenchimento obrigatório que indica o nome pelo qual o pseudogrupo será referenciado pelo firewall. Os demais campos representam dados que serão comparados com os dados presentes no certificado X509 de cada usuário autenticado. Se um determinado campo estiver em branco então qualquer valor será aceito no campo correspondente do certificado, se não apenas certificados que possuírem o campo igual ao valor informado serão considerados como parte do grupo. Domínio: Nome da pessoa certificada; E-mail: Endereço de e-mail Empresa: Nome da empresa; Departamento: Departamento dentro da empresa Cidade: Cidade onde se localiza a empresa; Estado: Estado onde se localiza a empresa; País: País onde se localiza a empresa que a pessoa certificada trabalha; Os campos: Domínio, E-mail, Empresa, Departamento, Cidade, Estado e País se referem à pessoa que o certificado foi emitido. Para que um usuário autenticado através da autoridade certificadora seja considerado como membro de um pseudo-grupo, todos os campos de seu certificado X509 devem ser iguais aos valores dos campos correspondentes do 189
pseudo-grupo. Campos em branco de um pseudo-grupo são ignorados na comparação e, portanto, quaisquer valores do certificado para estes campos serão aceitos.
Para cadastrar um agente externo do tipo Agente IDS, Analisador de contexto, Antivírus, Spam Meter ou Servidor de Log Remoto, deve-se preencher os seguintes campos adicionais:
Figura 156 - Cadastro de agente externo tipo Agente IDS.
Figura 157 - Cadastro de agente externo tipo Analisador de texto.
190
Figura 158 - Cadastro de agente externo tipo Módulo de Antivírus.
Figura 159 - Cadastro de agente externo tipo Spam Meter.
191
Figura 160 - Cadastro de agente externo Servidor Remoto.
IP: É o endereço IP da máquina onde o agente está rodando. Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de outras máquinas que também estarão rodando o agente e que servirão como backup no caso de queda da máquina principal. Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia usadas na comunicação com o agente. Esta senha deve ser igual à configurada no agente. Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada corretamente. Deve-se digitá-la exatamente como no campo Senha. Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher os seguintes campos:
192
Figura 161 - Cadastro de agente externo Autenticador LDAP.
IP: É o endereço IP da máquina onde o agente está rodando. Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de outras máquinas que também estarão rodando o servidor LDAP e que servirão como backup no caso de queda da máquina principal. Tempo limite da cache: Todas as vezes que uma autenticação é realizada com sucesso, o firewall mantém em memória os dados recebidos do usuário e do agente. Nas autenticações seguintes, o firewall possui todos os dados necessários e não mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parâmetro permite definir em segundos o tempo que o firewall deve manter as informações de autenticação em memória. Para maiores informações, veja o capítulo intitulado Trabalhando com proxies. Configurações LDAP: Neste conjunto de campos deve-se especificar as configurações do servidor LDAP que será utilizado para a realização das autenticações. A descrição de cada campo pode ser vista a seguir:
193
DN Root de conexão: DN do usuário utilizado pelo firewall para as consultas; Senha Root de conexão: a senha deste usuário; DN Base: DN para começar a busca; ObjectClass da Conta: valor de objectclass que identifica objetos de contas válidas; Atributo nome do usuário: o atributo onde encontra o nome do usuário; Atributo senha: o atributo onde se encontra a senha do usuário; Atributo grupo: o atributo onde se encontra o grupo do usuário; Permitir senha em branco: permite senhas em branco para o usuário quando marcado; Usar a versão 3 do protocolo LDAP: Habilita a o uso da versão 3 do protocolo LDAP;
Ignorar maiúsculas e minúsculas na comparação: Permite que maiúsculas e minúsculas na comparação sejam equivalentes; Método de Autenticação: Este campo especifica se o firewall deve buscar a senha ou deve se conectar na base LDAP com as credenciais do usuário para validá-lo; Conectar utilizando as credencias do usuário: Permite ao usuário autenticar-se utilizando suas credenciais. Hash (RFC2307): Permite autenticação pelo modo Hash (RFC2307); Adicionar DN Base ao nome do usuário: Permite adicionar DN Base ao nome do usuário na autenticação; Conexão LDAP segura: Este campo especifica se a conexão ao servidor LDAP será encriptada ou não. Ele consiste das seguintes opções:
SSL: especifica que o firewall usará conexão encriptada via SSL; TLS: especifica que o firewall usará conexão encriptada via TLS; Nenhuma: especifica que o firewall não usará criptografia ao se conectar ao servidor LDAP;
Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencher os seguintes campos adicionais:
194
Figura 162 - Cadastro de agente externo Autenticador Radius.
IP: É o endereço IP da máquina onde o agente está rodando. Porta: Número da porta onde o servidor RADIUS estará escutando as requisições de autenticação. 1º Backup: Este campo permite com que se especifique outra máquina que também estará rodando o servidor RADIUS e que servirá como backup no caso de queda da máquina principal. Segredo: É o segredo compartilhado utilizado no servidor RADIUS. Confirmação: Este campo é utilizado apenas para se verificar se o segredo foi digitado corretamente. Deve-se digitá-lo exatamente como no campo Segredo. Tempo limite do cache: Todas as vezes que é realizada uma autenticação com sucesso, o firewall mantém em memória os dados recebidos do usuário e do agente. Nas autenticações seguintes, o firewall possui todos os dados necessários e não mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parâmetro permite definir o tempo, em segundos, que o firewall deve manter as informações de autenticação em memória. Para maiores informações, veja o capítulo intitulado Trabalhando com proxies. Usuários: Este campo serve para que se possa cadastrar e posteriormente associar usuários específicos RADIUS com perfis de acesso do firewall, uma vez que com este protocolo não é possível para o firewall conseguir a lista completa de usuários. Somente é necessário realizar o cadastramento dos usuários que queira se associar com perfis específicos.
195
Grupos: Este campo serve para cadastrar e posteriormente associar grupos específicos RADIUS com perfis de acesso do firewall, uma vez que com este protocolo não é possível para o firewall conseguir a lista completa de grupos. Somente é necessário realizar o cadastramento dos grupos que quer associar com perfis específicos. Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo firewall que pode ser utilizado para a associação de usuários RADIUS com um perfil de acesso específico. Todos os usuários autenticados em um determinado servidor RADIUS são considerados como pertencentes a este grupo. Desta forma, caso queira utilizar um único perfil de acesso para todos os usuários, não é necessário o cadastramento de nenhum usuário e/ou grupo. Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração do agente externo. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar. Para facilitar a inclusão de vários agentes seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao clicar, neste botão fará com que o dados preenchidos do agente, sejam incluídos e a janela de inclusão de agentes mantida aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de agentes.
196
Incluindo / editando serviços
Figura 163 - Inclusão e edição de serviços.
Para cadastrar uma entidade do tipo serviço deve-se preencher os seguintes campos: Nome: É o nome pelo qual o serviço será sempre referenciado pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Ícone: É o ícone que aparecerá associado ao serviço em todas as referências. Para alterá-lo, deve-se clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os possíveis ícones para representar serviços. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. Protocolo: É o protocolo associado ao serviço. (TCP, UDP, ICMP ou OUTROS) Serviço: É o número que identifica o serviço. No caso dos protocolos TCP e UDP, este número é a porta destino. No caso de ICMP é o tipo de serviço e no caso de outros protocolos é o número do protocolo. Para cada protocolo, o firewall possui 197
uma lista dos valores mais comuns associados a ele, de modo a facilitar a criação do serviço. Entretanto, é possível colocar valores que não façam parte da lista, simplesmente digitando-os neste campo. Caso queira especificar uma faixa de valores, ao invés de um único valor, deve-se clicar no botão ao lado dos nomes De e Para e especificar o menor valor da faixa em De e o maior em Para. Todos os valores compreendidos entre estes dois, serão considerados como fazendo parte do serviço. Proxy: Este campo só se encontra habilitado para os protocolos TCP e UDP, e permite especificar se a conexão que se enquadrar neste serviço, será automaticamente desviada para um dos proxies transparentes do Firewall Aker ou não. O valor padrão é Sem Proxy, que significa que a conexão não deve ser desviada para nenhum proxy. Quando o protocolo TCP está selecionado, as outras opções são Proxy SMTP, Proxy Telnet, Proxy FTP, Proxy do usuário, Proxy HTTP e Proxy POP3 que desviam para os proxies SMTP, Telnet, FTP, proxies criados pelo usuário, HTTP e POP3, respectivamente. Quando o protocolo UDP está selecionado, as outras opções são Proxy RPC, que desvia para o proxy RPC, e Proxy do Usuário. O serviço Telnet está associado à porta 23, o SMTP à porta 25, o FTP à porta 21, o HTTP à porta 80 e o POP3 à porta 110. É possível especificar que conexões de quaisquer outras portas sejam desviadas para um destes proxies, entretanto, isto não é o comportamento padrão e não deve ser feito a não ser que tenha conhecimento de todas as possíveis implicações. Caso tenha especificado que a conexão deve ser desviada para um proxy, pode ser necessário definir os parâmetros do contexto que será utilizado pelo proxy para este serviço. Caso isso seja necessário, no momento em que o proxy for selecionado, a janela será expandida para mostrar os parâmetros adicionais que devem ser configurados. A explicação dos parâmetros de cada um dos contextos dos proxies padrão, se encontra nos capítulos intitulados Configurando o proxy SMTP, Configurando o proxy Telnet, Configurando o proxy FTP, Configurando o proxy POP3 e Configurando o Proxy RPC e o proxy DCE-RPC. O proxy HTTP não tem parâmetros configuráveis e suas configurações são descritas no capítulo Configurando o Filtro Web . Para maiores informações sobre proxies transparentes e contextos, veja o capítulo intitulado Trabalhando com proxies. Proxies definidos pelo usuário somente são úteis para desenvolvedores e sua descrição não será abordada aqui. Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração do serviço. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar. Para facilitar a inclusão de vários serviços seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que o serviço, cujos dados foram preenchidos, seja incluído e a janela de 198
inclusão de serviços mantida aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de serviços. Incluindo / editando interfaces
Figura 164 - Inclusão e edição de interfaces.
Para cadastrar uma entidade do tipo interface é necessário preencher os seguintes campos: Nome: É o nome pelo qual a interface será sempre referenciada pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: se ela estiver marcada, a atribuição será automática caso contrário será manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Ícone: É o ícone que aparecerá associado à interface em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os possíveis ícones para representar interfaces. Para escolher entre eles deve-se clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. Interface: É o nome do adaptador de rede que será associado à entidade interface. Será mostrada automaticamente uma lista com todos os adaptadores de rede configurados no firewall e o endereço IP de cada um, se existir. Comentário: É um campo texto livre usado apenas para fins de documentação.
199
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração da interface. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar . Para facilitar a inclusão de várias interfaces seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao clicar este botão fará com que os dados da interface que foram preenchidos sejam incluídos e mantida aberta a janela de inclusão de interfaces onde estará pronta para uma nova inclusão. Desta forma, é possível cadastrar rapidamente um grande número de interfaces. Incluindo / editando listas de e-mails Listas de e-mails são entidades usadas no proxy MSN com o objetivo de definir com quais pessoas um determinado usuário pode conversar através do MSN Messenger.
Figura 165 - Inclusão e edição de listas de e-mails.
Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher os seguintes campos: Nome: É o nome pelo qual a lista de e-mails será sempre referenciado pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. A lista deve ter apenas "enter ou (\n)" como separadores na lista de e-mails.
200
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Domínio de E-mail: Este campo é composto pelos e-mails ou domínios que farão parte da lista. É possível especificar um e-mail completo ou utilizar o símbolo * para representar um caractere qualquer. As seguintes opções são e-mails válidos: = *@* - Corresponde a qualquer e-mail = *@aker.com.br - Corresponde a todos os e-mails do domínio aker.com.br Para executar qualquer operação sobre um e-mail ou domínio, deve-se clicar sobre ele com o botão direito e a seguir escolher a opção desejada no menu que será mostrado. As seguintes opções estão disponíveis:
Figura 166 - Opção para realizar uma operação sobre um e-mail ou domínio.
Incluir: Esta opção permite incluir um novo endereço; Excluir: Esta opção remove da lista o endereço selecionado; Importar: Esta opção importa a lista de e-mails a partir de um arquivo .ctt (formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha); Exportar: Esta opção exporta a lista de e-mails para um arquivo .ctt (formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha).
A lista deve ter apenas "enter ou (\n)" como separadores na lista de domínios.
201
Incluindo / editando listas de tipos de arquivos Listas de tipos de arquivos são entidades usadas no proxy MSN com o objetivo de definir quais tipos de arquivos podem ser enviados e recebidos, através do MSN Messenger.
Figura 167 - Lista dos tipos de arquivos.
Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os seguintes campos: Nome: É o nome pelo qual a lista de tipos de arquivos será sempre referenciado pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Para executar qualquer operação sobre uma entrada da lista, deve-se clicar sobre ela com o botão direito e a seguir escolher a opção desejada no menu que será mostrado. As seguintes opções estão disponíveis:
202
Figura 168 - Opção para realizar uma operação (Entrada da lista).
Incluir: Incluir um novo tipo de arquivo; Excluir: Remover da lista o tipo de arquivo selecionado; Duplicar: Criar uma nova entrada na lista, idêntica à entrada selecionada, sendo indicada para criar vários tipos com a mesma descrição; Para cada entrada, os seguintes campos devem ser preenchidos: Extensão: Extensão do arquivo sem o ponto. Ex.: zip, exe, etc. Descrição: Breve descrição do tipo associado à extensão. Incluindo / editando acumuladores Acumuladores são entidades usadas nas regras de filtragem com o objetivo de coletar estatísticas sobre o tráfego de rede. Um mesmo acumulador pode ser utilizado em várias regras de filtragem. O tráfego que encaixar em cada uma destas regras é sumarizado pelo acumulador. A sua utilização está descrita nos capítulos: O Filtro de Estados e Visualizando estatísticas.
Figura 169 - Acumuladores.
Para cadastrar uma entidade do tipo acumulador deve-se preencher os seguintes campos: Nome: É o nome pelo qual o acumulador será sempre referenciado pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre esses dois modos de operação: se ela estiver marcada, a atribuição será automática caso contrário será manual.
203
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Ícone: É o ícone que aparecerá associado ao acumulador em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então uma lista com todos os possíveis ícones para representar interfaces será mostrada. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. Comentário: É um campo texto livre, usado apenas para fins de documentação. Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração do acumulador. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar . Para facilitar a inclusão de vários acumuladores seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao clicar neste botão fará com que os dados do acumulador que foram preenchidos sejam incluídos e mantida aberta a janela de inclusão de acumuladores onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de acumuladores.
204
Incluindo / editando Canais Canais são entidades usadas nas regras de filtragem com o objetivo de limitar a banda de determinados serviços, máquinas, redes e/ou usuários. Seu uso está descrito no capítulo: O Filtro de Estados.
Figura 170 - Cadastro de entidade tipo Canal.
Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes campos: Nome: É o nome pelo qual o canal será sempre referenciado pelo firewall. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Nome automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Ícone: É o ícone que aparecerá associado ao Canal em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostra uma 205
lista com todos os possíveis ícones para representar interfaces. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar.
Largura de Banda: É um campo texto usado para designar a largura de banda (velocidade máxima de transmissão em bits por segundo) deste Canal. Esta banda será compartilhada entre todas as conexões que usarem este Canal. Deve ser escolhida a unidade de medida mais conveniente. Banda de upload: velocidade máxima de transmissão em bits por segundo definida para realizar um upload. Banda de download: velocidade máxima de transmissão em bits por segundo definida para realizar um download. Buffer: É um campo texto usado para designar o tamanho do buffer (espaço temporário de dados utilizado para armazenar pacotes que serão transmitidos) utilizado por este Canal. Deve ser escolhida a unidade de medida. É possível especificar este tamanho manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: se ela estiver marcada, a atribuição será automática, senão manual. Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração do Canal. Para que as alterações e as inclusões sejam canceladas deve-se pressionar o botão Cancelar . Para facilitar a inclusão de vários Canais seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao clicar este botão fará com que os dados da canal que foram preenchidos sejam incluídos e mantida aberta a janela de inclusão de canais onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de canais.
6.3. Utilizando a Interface Texto
A utilização da Interface Texto na configuração das entidades é bastante simples e possui praticamente todos os recursos da Interface Remota (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. As únicas opções não disponíveis são a criação de serviços que utilizem proxies transparentes e a edição de pseudo-grupos de uma autoridade certificadora. É importante comentar, entretanto, que na Interface Texto os agentes externos são mostrados e criados diretamente pelo seu subtipo. 206
Localização do programa: /aker/bin/firewall/fwent Sintaxe: Uso: fwent ajuda fwent mostra fwent remove <nome> fwent inclui máquina <nome> <IP fwent inclui rede <nome> <IP> <mascara> fwent inclui conjunto <nome> [<entidade1> [<entidade2>] ...] fwent inclui máquina_ipv6 <nome> <ipv6> fwent inclui rede_ipv6 <nome> <ipv6> / <prefixo> fwent conjunto_ipv6 <nome> [<entidade1> [<entidade2>] ...] fwent inclui autenticador<nome><IP1> [<IP2>] [<IP3>] <senha> <t. cache> fwent inclui token <nome><IP1> [<IP2>] [<IP3>] <senha><t. cache> fwent inclui ldap <nome><IP1> [<IP2>][<IP3>]<root_dn><root_pwd> <base_dn><act_class><usr_attr><grp_attr> <<pwd_attr>|<-bind> >< <-ssl>|<-tls>|<-nenhuma>> < <-no_pwd>|<-pwd> > <t.cache> < <-append_dn> | <-no_append_dn> > < <-ldap_v3> | <-no_ldap_v3> > < <-case_sensitive> | <-case_insensitive> > fwent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache> fwent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui ids <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui spam-meter <nome> < <local> | <IP1> [<IP2> [<IP3> <senha> > fwent inclui analisador-url <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui interface <nome> <dispositivo> [<comentario>] fwent inclui acumulador <nome> [<comentario>] fwent inclui servico <nome> [TCP | UDP | ICMP | OUTRO] <valor>[..<valor> fwent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs>: fwent inclui pipe <nome> <banda em Kbits/s> [<tamanho da fila> <bytes|pacts>] fwent inclui log_remoto <nome> <IP> [IP] [IP] <senha> fwent inclui quota <nome> [ kbytes <max kbytes> ] [ segundos <max seconds> ] <tipo> fwent - Interface Texto para configuração das entidades
Ajuda do programa:
207
inclui = inclui uma nova entidade remove = remove uma entidade existente ajuda = mostra esta mensagem Para remove / inclui termos: nome = nome da entidade a ser criada ou removida Para inclui temos: IP = endereço IP da máquina ou da rede mascara = máscara da rede entidade = nome das entidades a serem acrescentadas no conjunto (OBS: Somente podem fazer parte de um conjunto entidades do tipo máquina ou rede) senha = senha de acesso t. cache = tempo em segundos de permanência de uma entrada no cache de autenticação TCP = serviço utiliza protocolo TCP UDP = serviço utiliza protocolo UDP ICMP = serviço utiliza protocolo ICMP OUTRO = serviço utiliza protocolo diferente dos acima citados valor = Número que idêntica o serviço. Para os protocolos TCP e UDP é o valor da porta associada ao serviço. No caso de ICMP, é o tipo de serviço e no caso de outros protocolos o número do próprio protocolo. Pode-se especificar uma faixa através da notação valor1..valor2, que significa a faixa de valores compreendida entre o valor1 e o valor2 (inclusive). Para inclui ldap temos: root_dn = DN do usuário utilizado pelo firewall para as consultas root_pwd = a senha deste usuário base_dn = DN para começar a busca act_class= valor de objectclass que identifica objetos de contas válidas usr_attr = o atributo onde se encontra o nome do usuário grp_addr = o atributo onde se encontra o grupo do usuário pwd_addr = o atributo onde se encontra a senha do usuário -bind = não tenta buscar a senha, em vez disso tenta conectar na base -append_dn = onde se adiciona base DN ao nome de usuário -no_append_dn = não adiciona Base DN ao nome do usuário -ldap_v3 = atributo onde habilita ou não a versão 3 do protocolo LDAP -no_ldap_v3 = não utiliza versão 3 do protocolo LDAP -case_sensitive = permite a diferenciação de caracteres maiúsculos e minúsculos -case_insensitive = ignora maiúsculas e minúsculas nas comparações 208
LDAP com as credenciais do usuário para validá-lo -ssl = usar conexão encriptada via ssl -tls = usar conexão encriptada via tls -nenhuma = não usar conexão encriptada -no_pwd = permite senhas em branco para o usuário -pwd = não permite senhas em branco para o usuário
209
Exemplo 1:(visualizando as entidades definidas no sistema) #fwent mostra
Máquinas: --------cache 10.4.1.12 firewall 10.4.1.11 Redes: -----AKER 10.4.1.0 255.255.255.0 Internet 0.0.0.0 0.0.0.0 Conjuntos: ---------Máquinas Internas cache firewall Autenticadores: --------------Autenticador NT 10.0.0.1 10.0.0.2 600 Unix 192.168.0.1 192.168.0.2 192.168.0.3 600 Autenticadores do tipo token: ----------------------------Autenticador token 10.0.0.1 10.0.0.2 600 Agentes IDS: -----------Agente IDS 10.10.0.1 Antivírus: ----------Antivírus local 127.0.0.1 Serviços: --------echo reply ICMP 8 echo request ICMP 0 FTP TCP 21 snmp UDP 161 telnet TCP 23 Interfaces: ---------Interface Externa xl0 Interface Interna de0 Exemplo 2:(cadastrando uma entidade do tipo máquina) #/aker/bin/firewall/fwent inclui máquina Servidor_1 10.4.1.4 Entidade incluída Exemplo 3:(cadastrando uma entidade do tipo rede)
210
#/aker/bin/firewall/fwent inclui rede Rede_1 10.4.0.0 255.255.0.0 Entidade incluída Exemplo 4:(cadastrando uma entidade do tipo serviço) #/aker/bin/firewall/fwent inclui servico DNS UDP 53 Entidade incluída Exemplo 5:(cadastrando uma entidade do tipo autenticador) #/aker/bin/firewall/fwent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123 900 Entidade incluída O uso de "" ao redor do nome da entidade é obrigatório quando inclui ou remove entidades cujo nome contém espaços. Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros são as máquinas cache e firewall, previamente definidas) #/aker/bin/firewall/fwent inclui conjunto "Conjunto de teste" cache firewall Entidade incluída Exemplo 7: (incluindo uma entidade do tipo interface, sem especificar um comentário) #/aker/bin/firewall/fwent inclui interface "Interface DMZ" fxp0 Entidade incluída Exemplo 8: (incluindo uma entidade do tipo autenticador token, utilizando uma máquina primária e uma secundária, como backup) #/aker/bin/firewall/fwent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha 600 Entidade incluída Exemplo 9: (removendo uma entidade) #/aker/bin/firewall/fwent remove "Autenticador Unix" Entidade incluída
6.4. Utilizando o Assistente de Entidades
O assistente de criação de entidades pode ser invocado clicando-se no ícone , localizado na parte exterior do lado esquerda da janela de entidades. O seu intuito é simplificar a tarefa de criação das entidades, podendo ser utilizado sempre que desejado. Ele consiste de várias janelas mostradas em série, dependendo do tipo de entidade a ser criada. Seu uso é extremamente simples e o exemplificaremos para a criação de uma entidade do tipo máquina:
211
1 - A primeira janela mostrada é uma breve explicação dos procedimentos a serem realizados:
Figura 171 - Mensagem de entrada no Assistente de criação de entidades.
212
2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a ser cadastrada:
Figura 172 - Escolha do tipo de entidade.
213
3 - Localizar o endereço IP. Para cadastrar uma máquina deve ser especificado o endereço IP correspondente. Caso queira obter esse endereço, deve ser informado o nome da máquina e logo em seguida clicar no botão Resolver:
Figura 173 - Inserção do endereço de IP da máquina.
214
4 - Atribuição do nome da entidade. Pode-se escolher o nome ou usar a atribuição automática:
Figura 174 - Atribuição do nome da entidade.
215
5 -Escolha do ícone da entidade. Para escolher o ícone da entidade deve-se clicar em um dos ícones que aparecem na janela. Observe que o ícone selecionado irá aparecer à direita da janela:
Figura 175 - Escolha do ícone da entidade.
216
6 - Finalização do cadastramento. Será mostrado um resumo dos dados da entidade. Para cadastrá-la deve-se clicar no botão Finalizar:
Figura 176 - Mensagem de finalização do cadastramento de entidades.
217
O Filtro de Estado
218
7.
O Filtro de Estado Este capítulo mostra como configurar as regras que propiciarão a aceitação ou não de conexões pelo firewall. Este módulo é o mais importante do sistema e é onde normalmente se gasta o maior tempo de configuração.
7.1. Planejando a instalação
O que é um filtro de pacotes? Um filtro de pacotes é o módulo que irá decidir se um determinado pacote poderá passar através do firewall ou não. Deixar um pacote passar, implica em aceitar um determinado serviço. Bloquear um pacote significa impedir que este serviço seja utilizado. Para que seja decidido qual ação a ser tomada para cada pacote que chega ao firewall, o filtro de pacotes possui um conjunto de regras configurado pelo administrador do sistema. Para cada pacote que chega, o filtro de pacotes percorre este conjunto de regras, na ordem em que foi criado, verificando se este, encaixa em alguma das regras. Se ele se encaixar em uma regra então a ação definida para ela será executada. Caso o filtro termine a pesquisa de todas as regras e o pacote não se encaixe em nenhuma delas então a ação padrão será executada. O que é o filtro de estados do Aker Firewall? Um filtro tradicional de pacotes baseia suas ações exclusivamente no conjunto de regras configurado pelo administrador. Para cada pacote que poderá passar pelo filtro, o administrador tem que configurar uma regra que possibilite sua aceitação. Em alguns casos isto é simples, mas em outros isto não é possível de ser feito ou pelo menos não é possível realizar com a segurança e flexibilidade necessárias. O filtro de pacotes do Aker Firewall é chamado de filtro de estados. Armazena informações do estado de todas as conexões que estão fluindo por meio dele e usa estas informações em conjunto com as regras definidas pelo administrador na hora de tomar a decisão de permitir ou não a passagem de um determinado pacote. Além disso, diferentemente de um filtro de pacotes que baseia suas decisões apenas nos dados contidos no cabeçalho do pacote, o filtro de estados examina dados de todas as camadas e utiliza todos estes dados ao tomar uma decisão. Vamos analisar como isso permite a solução de diversos problemas apresentados pelos filtros de pacotes tradicionais. 219
O problema do protocolo UDP: Para usar um serviço UDP, a máquina cliente inicialmente escolhe um número de porta (que é variável cada vez que o serviço for utilizado) e envia um pacote para a porta da máquina servidora correspondente ao serviço (esta porta na máquina servidora é fixa). A máquina servidora, ao receber a requisição, responde com um ou mais pacotes para a porta da máquina cliente. Para que a comunicação seja efetiva o firewall deve permitir a passagem dos pacotes de solicitação do serviço e de resposta. O problema é que o protocolo UDP não é orientado à conexão, isto significa que se um determinado pacote for observado isoladamente, fora de um contexto, não pode saber se ele é uma requisição ou uma resposta de um serviço. Nos filtros de pacotes tradicionais; como o administrador não pode saber inicialmente, qual a porta será escolhida pela máquina cliente para acessar um determinado serviço, ele pode ou bloquear todo o tráfego UDP ou permitir a passagem de pacotes para todas as possíveis portas. Ambas as abordagens possuem alguns problemas. O Aker Firewall possui a capacidade de se adaptar dinamicamente ao tráfego de modo a resolver possíveis problemas. Um exemplo é quando um pacote UDP é aceito por uma das regras configuradas pelo administrador, com isso é adicionada uma entrada em uma tabela interna, chamada de tabela de estados, de modo a permitir que os pacotes de resposta ao serviço correspondente possam voltar para a máquina cliente. Esta entrada só fica ativa durante um curto intervalo de tempo, ao final do qual ela é removida (este intervalo de tempo é configurado através da janela de configuração de parâmetros, mostrada no capítulo intitulado Configurando os parâmetros do sistema). Desta forma, o administrador não precisa se preocupar com os pacotes UDP de resposta, sendo necessário apenas configurar as regras para permitir o acesso aos serviços. Isto pode ser feito facilmente, já que todos os serviços possuem portas fixas. O problema do protocolo FTP: O FTP é um dos protocolos mais populares da Internet, porém é um dos mais complexos de ser tratado por um firewall. Vamos analisar seu funcionamento: Para acessar o serviço FTP, inicialmente a máquina cliente abre uma conexão TCP para a máquina servidora na porta 21. (a porta usada pelo cliente é variável). Esta conexão é chamada de conexão de controle. A partir daí, para cada arquivo transferido ou para cada listagem de diretório, uma nova conexão é estabelecida, chamada de conexão de dados. Esta conexão de dados pode ser estabelecida de duas maneiras distintas: 1. O servidor pode iniciar a conexão a partir da porta 20 em direção a uma porta variável, informada pelo cliente pela conexão de controle (este é chamado de FTP ativo)
220
2. O cliente pode abrir a conexão a partir de uma porta variável para outra porta variável do servidor, informada para o cliente através da conexão de controle (este é chamado de FTP passivo). Nos dois casos o administrador não tem como saber quais portas serão escolhidas para estabelecer as conexões de dados e desta forma, se ele desejar utilizar o protocolo FTP através de um filtro de pacotes tradicional, deverá liberar o acesso para todas as possíveis portas utilizadas pelas máquinas clientes e servidores. Isto tem implicações sérias de segurança. O Aker Firewall tem a capacidade de vasculhar o tráfego da conexão de controle FTP e desta forma descobrir qual o tipo de transferência que será utilizada (ativa ou passiva) e quais portas serão usadas para estabelecer as conexões de dados. Desta forma, todas as vezes que o filtro de pacotes determinar que uma transferência de arquivos seja realizada, ele acrescenta uma entrada na tabela de estados de modo a permitir que a conexão de dados seja estabelecida. Esta entrada só fica ativa enquanto a transferência estiver se realizando e caso a conexão de controle esteja aberta, propiciando o máximo de flexibilidade e segurança. Neste caso, para configurar o acesso FTP deve-se acrescentar uma regra liberando o acesso para a porta da conexão de controle (porta 21). Todo o resto será feito automaticamente. O problema do protocolo Real Áudio: O protocolo Real Áudio é o mais popular protocolo de transferência de som e vídeo em tempo real através da Internet. Para que seja possível uma transmissão de áudio ou vídeo é necessário que o cliente estabeleça uma conexão TCP para o servidor de Real Áudio. Além desta conexão, para conseguir uma melhor qualidade de som, o servidor pode abrir uma conexão UDP para o cliente, para uma porta randômica informada em tempo real pelo cliente, e o cliente também pode abrir outra conexão UDP para o servidor, também em uma porta randômica informada pelo servidor no decorrer da conexão. Os filtros de pacotes tradicionais não permitem o estabelecimento das conexões UDP do servidor para o cliente e vice-versa, uma vez que as portas não são conhecidas antecipadamente, fazendo com que a qualidade, do áudio e vídeo obtida, seja bastante inferior. O filtro de estados do Aker Firewall acompanha toda a negociação do servidor Real Áudio com o cliente de modo a determinar se as conexões UDP serão abertas e quais portas serão usadas acrescentando esta informação em uma entrada na sua tabela de estados. Esta entrada na tabela de estados só fica ativa enquanto a conexão de controle TCP estiver aberta, propiciando o máximo de segurança.
221
O problema do protocolo Real Video (RTSP): O protocolo Real Vídeo é suportado pelo firewall. Assim como o Real Áudio, as transações são controladas pelo firewall, permitindo uma total segurança do uso de aplicações de Real Vídeo. Montando regras de filtragem em um filtro de pacotes simples Antes de mostrar como funciona a configuração do filtro de estados do Aker Firewall é interessante explicar o funcionamento básico de um filtro de pacotes simples: Existem vários critérios possíveis para realizar filtragem de pacotes. A filtragem de endereços pode ser considerada a mais simples de todas, pois ela consiste em fazer uma comparação entre os endereços dos pacotes e os endereços das regras. Caso os endereços sejam iguais, o pacote é aprovado. Esta comparação é feita da seguinte forma: Trabalharemos com a seguinte regra: Todas as máquinas da rede 10.1.x.x podem se comunicar com as máquinas da rede 10.2.x.x. Escreveremos esta regra utilizando o conceito de mascaramento (para maiores informações, veja o capítulo intitulado Cadastrando Entidades). Assim temos: 10.1.0.0
&
255.255.0.0
->
10.2.0.0
------- Origem ------
&
255.255.0.0
------- Destino -------
Vamos agora aplicar a regra a um pacote que trafega da máquina 10.1.1.2 para a máquina 10.3.7.7. Aplica-se a máscara da regra aos dois endereços, o da regra e o do pacote e verifica se os endereços de destino e o de origem são iguais. Para o endereço origem temos 10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (para a regra) 10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (para o pacote) Temos então que os dois endereços origem são iguais após a aplicação da máscara. Veremos agora para o endereço destino: 10.2.0.0 AND 255.255.0.0 = 10.2.0.0 (para a regra) 10.3.7.7 AND 255.255.0.0 = 10.3.0.0 (para o pacote) Como o endereço destino do pacote não está igual ao endereço destino da regra após a aplicação da máscara, por definição, esta regra não se aplicaria a este pacote.
222
Esta operação é feita em toda a lista de endereços e máscaras destino e origem até o fim da lista, ou até uma das regras aplicar para o pacote examinado. Uma lista de regras teria a seguinte forma: 10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 10.1.1.0 & 255.0.0.0
-> 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0
-> 10.2.0.0 & 255.255.0.0
Além dos endereços origem e destino, cada pacote IP possui um protocolo e um serviço associado. Esta combinação de serviço mais protocolo pode ser utilizado como mais um critério de filtragem. Os serviços no protocolo TCP, por exemplo, estão sempre associados a uma porta (para maiores informações, veja o capítulo intitulado Cadastrando Entidades). Assim, pode-se também associar uma lista de portas aos endereços. Pegaremos como exemplo dois serviços conhecidos, o POP3 e o HTTP. O POP3 está associado à porta 110 do servidor e o HTTP está associado à porta 80. Assim, iremos acrescentar estas portas no formato da regra. Teremos então:
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ------- Origem ------
------- Destino -------
TCP - Protocolo -
80
110
--Portas-
Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e que utiliza os serviços HTTP ou POP3 a trafegar pelo firewall. Assim, em uma primeira etapa compara-se os endereços da regra com os do pacote. Caso estes endereços sejam iguais após a aplicação das máscaras, passase a comparar o protocolo e a porta destino no pacote com o protocolo e a lista de portas associados à regra. Se o protocolo for o mesmo e se for encontrada uma porta da regra igual à porta do pacote, esta regra por definição se aplica ao pacote, caso contrário à pesquisa continua na próxima regra. Assim um conjunto de regras teria o seguinte formato: 10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0
UDP 53
10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 80 10.1.1.0 & 255.0.0.0
-> 10.2.3.0 & 255.255.255.0 TCP 21 20 113
223
10.1.0.0 & 255.255.0.0
-> 10.2.0.0 & 255.255.0.0
ICMP 0 8
Montando regras de filtragem para o Aker Firewall Configurar as regras de filtragem no Aker Firewall é algo muito fácil em função de sua concepção inteligente. Toda a parte de endereços IP, máscaras, protocolos, portas são interfaces e são configuradas nas entidades (para maiores informações, veja o capítulo intitulado Cadastrando Entidades). Com isso, ao configurar uma regra não é necessário preocupar com qual porta um determinado serviço utiliza ou qual o endereço IP de uma rede. Tudo isso já foi previamente cadastrado. Para facilitar ainda mais, todos os serviços mais utilizados na Internet já vem previamente configurado de fábrica, não havendo a necessidade de gastar tempo pesquisando os dados de cada um. Basicamente, para cadastrar uma regra, o administrador deve especificar as entidades de origem, destino e os serviços que farão parte da regra. Ele pode também especificar uma interface de origem para os pacotes e definir em quais horários a regra estará ativa, em uma tabela de horários semanal. Com o uso desta tabela de horários é possível liberar determinados serviços em determinadas horas do dia (por exemplo, liberar IRC, ou bate-papo, apenas nos horários fora do expediente). Se um pacote chegar a um horário no qual a regra não está marcado como ativa, ela será ignorada, fazendo com que a busca continue na próxima regra da lista. O funcionamento do filtro é simples: o firewall irá pesquisar uma a uma as regras definidas pelo administrador, na ordem especificada, até que o pacote se encaixe em uma delas. A partir deste momento, ele irá executar a ação associada à regra, que pode ser aceita, rejeitada ou descartada (estes valores serão explicados no próximo tópico). Caso a pesquisa chegue ao final da lista e o pacote não se enquadre em nenhuma regra então este será descartado (é possível configurar ações para serem executadas neste caso). Isto será tratado no capítulo intitulado: Configurando as ações do sistema.
224
7.2. Editando uma lista de regras usando a Interface Remota
Para ter acesso a janela de configuração de regras basta:
Figura 177 - Dispositivos remotos (Acesso a janela de configuração das regras).
Clicar no menu Configurações do firewall da janela principal.
Selecionar o item Regras de Filtragem.
225
A janela de regras de filtragem
Figura 178 - Janelas de regras de filtragem.
A janela de regras contém todas as regras de filtragem definidas no Aker Firewall. Cada regra será mostrada em uma linha separada, composta de diversas células. Caso uma regra esteja selecionada, ela será mostrada em uma cor diferente.
O botão OK fará com que o conjunto de regras seja atualizado e passe a funcionar imediatamente. O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta Quando se clica sobre uma regra que tenha algum comentário, este aparecerá na parte inferior da janela.
226
Para executar qualquer operação sobre uma determinada regra, deve-se clicar com o botão direito do mouse sobre o campo que queira alterar. Aparecerá um menu com as opções de entidades referentes ao campo, como na figura abaixo:
Figura 179 - Menu com opções de entidades referente ao campo.
Inserir: Incluir uma nova regra na lista. A nova regra será incluída abaixo da regra existente. Copiar: Copiar a regra selecionada. Colar: Cola a regra copiada. Excluir: Remover da lista a regra selecionada. Habilitar/Desabilitar: Desabilitar/habilitar a regra selecionada. Adicionar entidades: Adicionar uma entidade cadastrada no firewall. Veja se o ponteiro do mouse está sobre o campo o qual se quer inserir a entidade. Remover entidades: Remover uma entidade que foi inserida na regra. Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posição desejada, soltando em seguida. Política Padrão: pode-se definir uma nova política, clicando no botão "Política" na barra de ferramentas do Firewall. É possível editar um nome e uma cor para cada política, inclusive a padrão. 227
Adicionando e removendo entidades e serviços na regra Para adicionar uma entidade a um destes campos, pode-se proceder de duas formas: 1. Selecionar a entidade a ser incluída, clicando sobre ela na tabela de entidades, e a arraste para o campo correspondente. As teclas Insert e Delete podem inserir e remover as entidades respectivamente. 2. Clicar com o botão direito do mouse sobre o campo onde se deseja adicionar as entidades, será exibida uma lista das entidades pertinentes ao campo selecionado, bem como que tipo de ação se deseja aplicar sobre as mesmas. - O duplo-clique na entidade irá permitir a edição da mesma. Para remover uma entidade de um destes campos, deve-se proceder da seguinte forma: 1. Clicar com o botão direito do mouse sobre o campo onde se encontra a entidade que se deseja remover e será exibida uma lista das entidades participantes do campo com a opção de remoção das entidades.. 2. Pode-se utilizar a opção Remover Entidade para eliminar várias entidades de uma vez. Na criação de regras quando selecionada as entidades, deve-se observar a origem e o destino destas. Se especificar um endereço ipv4 na origem, obrigatoriamente deve-se especificar um endereço ipv4 no destino, a mesma coisa acontece caso a opção seja o endereço ipv6. Parâmetros da regra: Além das especificações básicas de uma regra, entidades de origem, entidades de destino e serviços, deve-se levar em conta outros parâmetros de configuração: Acumulador: Define qual o acumulador para os pacotes da regra. A opção nenhum desativa a contabilização dos pacotes que se encaixem nesta regra. Se for escolhido um acumulador, serão adicionados a ele a quantidade de bytes e pacotes encaixados nesta regra. Canal: Define o canal que será utilizado para controlar a banda para a regra. A opção nenhum desativa a utilização de controle de banda para esta regra. Ação: Este campo define qual a ação a ser tomada para todos os pacotes que se encaixem nesta regra. Ela consiste nas seguintes opções: Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem através do firewall.
228
Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta regra. Assim será enviado um pacote ICMP para a máquina de origem do pacote dizendo que o destino é inatingível. Esta opção não funciona para alguns tipos de serviço ICMP, devido a uma característica inerente a este protocolo. Descarta: Significa que os pacotes que se encaixarem nesta regra não passarão pelo firewall, mas não será enviado nenhum pacote para a máquina de origem. Log: Definir quais tipos de ações serão executadas pelo sistema quando um pacote se encaixar na regra. Ele consiste em várias opções que podem ser selecionadas independentemente uma das outras. Os valores possíveis são: Logs: Se esta opção estiver selecionada, todos os pacotes que se enquadrarem nesta regra serão registrados no log do sistema. Envia email: Se esta opção estiver selecionada, será enviado um e-mail todas as vezes que um pacote enquadrar-se nesta regra (a configuração do endereço de e-mail será mostrada no capítulo intitulado configurando as ações do sistema). Executar programa: Quando selecionada essa opção, será executado um programa definido pelo administrador todas as vezes que um pacote se enquadrar nesta regra (a configuração do nome do programa a ser executado será mostrada no capítulo intitulado configurando as ações do sistema). Disparar mensagens de alarme: Quando selecionada essa opção, o firewall mostra uma janela de alerta todas as vezes que um pacote se enquadrar nesta regra. Esta janela de alerta será mostrada na máquina onde a Interface Remota estiver aberta e, se a máquina permitir, será emitido também um aviso sonoro. Caso a Interface Remota não esteja aberta, não será mostrada nenhuma mensagem e esta opção será ignorada. Enviar Trap SMNP: Se esta opção estiver selecionada, será enviada uma Trap SNMP para cada pacote que enquadrar nesta regra (a configuração dos parâmetros para o envio das traps será mostrada no capítulo intitulado configurando as ações do sistema). No caso do protocolo TCP, somente serão executadas as ações definidas na regra para o pacote de abertura de conexão. No caso do protocolo UDP, todos os pacotes que forem enviados pela máquina cliente e se enquadrarem na regra (exceto os pacotes de resposta) provocarão a execução das ações. Tabela de horários: Definir as horas e dias da semana em que a regra será aplicável. As linhas representam os dias da semana e as colunas representam as horas. Caso queira que a regra seja aplicável em determinada hora o quadrado deve ser preenchido, caso contrário o quadrado deve ser deixado em branco.
229
Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse sobre um quadrado e a seguir arrastá-lo, mantendo o botão pressionado. Isto faz com que a tabela seja alterada na medida em que o mouse se move. Período de validade: Permitir o cadastro de duas datas que delimitam um período fora do qual a regra não tem validade. É um recurso muito útil para, por exemplo, liberar o tráfego relacionado a um evento não recorrente, como um teste. Se o período ainda não tiver começado ou estiver expirado, o número da regra será mostrado sobre um fundo vermelho. Comentário: Inserir um comentário sobre a regra. Muito útil na documentação e manutenção das informações sobre a utilidade da regra. Verificação de regras A verificação de regras é feita por meio do ícone , ou então automaticamente, quando o usuário aplica as regras no botão aplicar na janela de Regras de filtragem.
Figura 180 - Ícones de verificação de regras.
O botão verificar faz a verificação da conexão com o Aker Control Center e a verificação das regras eclipsadas. A primeira permite checar se existe alguma regra que impeça o usuário de conectar-se no firewall que ele está atualmente configurando. Exemplo: O ip do usuário é o 10.0.0.1 e o do firewall é o 10.0.0.2 e a porta do control center é a 1020. Caso exista alguma regra dizendo que é para rejeitar os pacotes de origem 10.0.0.1 e destino 10.0.0.2 na porta 1020, e caso esta regra seja aplicada, implicará na impossibilidade do usuário se conectar a esse firewall. É um mecanismo para impedir que o próprio usuário tire o seu acesso de conexão no firewall. A segunda verificação é a da regra "eclipsa", é necessária essa verificação quando a regra 1 engloba completamente a regra 2, impedindo que a regra 2 seja atingida. Exemplo: A regra 1 tem origem 0.0.0.0 (qualquer origem), destino 0.0.0.0 (qualquer destino) e todas as portas TCP 7. A regra 2 tem origem 10.0.0.1, destino 10.0.0.2 e porta TCP 7. A primeira regra faz tudo o que a segunda regra faz, então a segunda regra nunca vai ser atingida, porque a primeira regra vai ser processada primeiro e não vai deixar com que a outra regra seja alcançada.
230
Obs.: Todas as regras que são verificadas, são regras que já existem ou seja, que já foram definidas.
Figura 181 - Verificador de regras.
Utilização dos Canais na Regra de Filtragem do Aker Firewall O administrador pode definir Qualidade de Serviço (QoS) diferenciada para cada tipo de regra. No caso da figura abaixo, foi criado um canal de 10Mb - ADSL e aplicado nas regras 1 e 2. O servidor "Correio_SMTP" possui prioridade no tráfego pois a prioridade para ele no canal está como "Muito alto".
231
Figura 182 - Regras de filtragem (Exemplo de canal de 10Mb - ADSL).
Para ajustes de prioridade de canal, basta clicar como o botão direito na entidade Canal e escolher a prioridade pelo botão deslizando. Veja a figura abaixo:
Figura 183 - Ajustes de prioridade de canal.
232
7.3. Trabalhando com Políticas de Filtragem
Este recurso permite que o administrador do firewall faça um agrupamento de regras dentro de um levantamento feito dos fluxos que ocorrerem entre as suas sub redes. Para exemplificar, suponha que o administrador possua um firewall colocado entre as redes interna, DMZ e Internet, conforme esquema abaixo:
Figura 184 - Exemplo de como trabalhar com políticas de filtragem.
Pode-se verificar os possíveis fluxos de dados que poderão ocorrer entre essas redes. Para cada fluxo foi dada uma numeração e com isso pode-se concluir que os fluxos com números mais altos (5 e 6) serão considerados os mais inseguros, pois envolvem o acesso da internet as redes DMZ e interna, respectivamente. Estes fluxos para o firewall serão desdobrados em regras de filtragem, com isto poderiam ter as seguintes regras:
233
Figura 185 - Exemplo de regras de filtragem.
Figura 186 - Interface regras de filtragem.
Para criar novas “Políticas” basta clicar no ícone da barra de ferramentas "Política".
Figura 187 - Barra de ícones (Política).
234
A figura abaixo mostra o desdobramento das regras da política. Basta dar um duplo clique na linha para exibir as regras que ela contém:
Figura 188 - Exibição das regras de filtragem.
No caso de desabilitar uma política, todas as regras que ela contém também serão desabilitadas. 7.4. Utilizando a Interface Texto A utilização da Interface Texto na configuração das regras de filtragem traz uma dificuldade gerada pela grande quantidade de parâmetros que devem ser passados pela linha de comando (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. Não é possível configurar a tabela de horários nem especificar comentários para as regras através da Interface Texto. Também não é possível especificar mais de uma entidade para origem ou destino da regra. Todas as regras acrescentadas por esta interface são consideradas aplicáveis em todas as horas da semana.
Localização do programa: /aker/bin/firewall/fwrule.
235
Sintaxe: Uso: fwrule [ajuda | mostra] fwrule [habilita | desabilita | remove] <pos> fwrule inclui <pos> <origem> <destino> <aceita | rejeita | descarta> [pipe <pipe> <peso>] [acumulador <acumulador>] [loga] [mail] [trap] [programa] [alerta] [encriptado | usuário ] [<servico> ...] Ajuda do programa: Firewall Aker fwrule - Configura tabela de regras do filtro de estados Uso: fwrule [ajuda | mostra] fwrule [habilita | desabilita | remove] <pos> fwrule inclui <pos> <origem> <destino> <aceita | rejeita | descarta> [pipe <pipe> <peso>] [acumulador <acumulador>] [loga] [mail] [trap] [programa] [alerta] [encriptado | usuário ] [<servico> ...] mostra = mostra todas as entradas da tabela de regras inclui = inclui uma nova regra de filtragem habilita = habilita uma regra de filtragem desabilitada desabilita = desabilita uma regra de filtragem existente remove = remove uma regra existente ajuda = mostra esta mensagem Para inclui temos: pos = posição onde incluir a nova regra na tabela (Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela) aceita = a regra aceita as conexões que se enquadrarem nela rejeita = a regra rejeita as conexões que se enquadrarem nela e envia pacote ICMP de destino inatingível para máquina de origem descarta = a regra descarta os pacotes recebidos (não envia pacote ICMP) pipe = faz com que o tráfego que se encaixe nesta regra seja direcionado ao "pipe" indicado com peso relativo dado por: acumulador = faz com que o tráfego que se encaixe nesta regra seja somado a entidade acumulador especificada peso = "ocioso", "m_baixo" (muito baixo), "baixo", "normal", "alto", "m_alto" (muito alto) ou "tr" (tempo real) 236
loga = loga os pacotes que se enquadrarem na regra mail = envia e-mail para cada pacote que se enquadre na regra trap = gera trap SNMP para cada pacote que se enquadre na regra programa = executa um programa para cada pacote que se enquadre na regra alerta = abre uma janela de alerta para cada pacote que se enquadre na regra encriptado = indica que a regra só é valida se os pacotes vierem encriptados usuário = indica que a regra só é válida se os pacotes vierem encriptados e o usuário tiver se autenticado previamente no firewall. Esta condição somente pode ser atendida por conexões originadas de clientes de criptografia servico = lista de nomes dos serviços para a nova regra Para habilita / desabilita / remove temos: pos = número da regra a ser habilitada, desabilitada ou removida Exemplo 1: (visualizando as regras de filtragem) #/aker/bin/firewall/fwrule mostra Regra 01 -------Origem : Internet Destino : firewall cache Ação : Descarta Log : Loga Trap Alerta Serviços : todos_tcp todos_udp todos_icmp Regra 02 -------Origem : cache firewall Destino : Internet Ação : Aceita Log : Loga Serviços : http ftp Regra 03 -------Origem : Internet Destino : Mail server Ação : Aceita Log : Loga Serviços : smtp Regra 04 237
-------Origem Destino Ação Log Serviços
: Empresas externas : Aker : Aceita : Loga : smtp
Exemplo 2: (removendo a quarta regra de filtragem) #/aker/bin/firewall/fwrule remove 4 Regra 4 removida Exemplo 3: (incluindo uma nova regra no final da tabela) #/aker/bin/firewall/fwrule inclui fim Internet "Mail server" aceita loga smtp Regra incluída na posição 4 As entidades Internet e Mail server, bem como o serviço SMTP devem ter sido previamente cadastradas no sistema. Para maiores informações sobre como cadastrar entidades no Aker Firewall, veja o capítulo Cadastrando Entidades. O uso de "" ao redor do nome da entidade a ser incluída na regra é obrigatório quando este contém espaços.
238
7.5. Utilizando o assistente de regras
O assistente de regras pode ser acionado pelo menu ou pela barra de tarefas. Caso o número de regras for muito pequeno o próprio assistente será acionado automaticamente. 1 - Acionando do assistente de regras. A janela abaixo aparecerá quando um número muito pequeno de regras for detectado.
Figura 189 - Assistente de regras filtragem (janela exibida quando um número pequeno de regras for detectado.
239
2 - Tela inicial com as explicações necessárias.
Figura 190 - Mensagem de boas vindas ao Assistente de regras filtragem.
240
3 - Escolha da rede interna na configuração inicial.
Figura 191 - Escolha da rede interna e configuração inicial.
241
4 - Informação necessária para saber se as máquinas terão acesso irrestrito à Internet.
Figura 192 - Tela de acesso para escolha de acesso restrito ou não à internet.
242
5 - Configuração da DMZ.
Figura 193 - Escolha se possui ou não DMZ.
243
6 - Escolha da entidade da DMZ.
Figura 194 - Escolha da entidade DMZ.
244
7 - Informa se a DMZ terá acesso irrestrito à Internet.
Figura 195 - Máquinas DMZ (acesso restrito ou não à Internet).
245
8 - Administração do Firewall. Informar quem terá acesso de administração ao mesmo.
Figura 196 - Configuração do Firewall.
9- Registro individual de servidor para a DMZ.
246
Figura 197 - Registro de configuração do servidor.
247
10 - Informação de servidor específico para a DMZ.
Figura 198 - Escolha da entidade do servidor.
248
11 - Seleção dos serviços do servidor para a DMZ.
Figura 199 - Selecionar o local onde o servidor DMZ ficará disponível.
249
12- Pergunta se deseja configurar outro servidor.
Figura 196 - Escolha para configurar outro servidor ou não.
250
13 - Visualização final das regras de filtragem montada pelo assistente.
Figura 197 - Aviso de finalização de configuração das regras de filtragem.
7.6. Utilizando Regras de Pipes Esta janela foi criada para organizar suas regras de Q.o.S, no Aker Firewall conhecida como "canal/pipe". Ela permite que sejam visualizados em apenas uma janela, todas as suas regras de PIPE, sem a necessidade de visualizar várias janelas separadas como as de Regras de filtragem Geral e/ou Regras de Filtragem nos Perfis de Acesso. Os campos são muito parecidos com a janela de Regras de Filtragem, contendo:
Origem: Determina o IP/rede de origem dos pacotes; Destino: Determina o IP/rede de destino dos pacotes; Serviço: Permite selecionar quais os serviços (TCP, UDP, ICMP ou Outros) utilizará esta regra de PIPE; Canal: O administrador pode definir Qualidade de Serviço (QoS) diferenciada para cada tipo de regra; Hora: Define as horas e dias da semana em que a regra será aplicável. As linhas representam os dias da semana e as colunas representam às horas. Caso queira 251
que a regra seja aplicável em determinada hora o quadrado deve ser preenchido, caso contrário o quadrado deve ser deixado em branco. Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse sobre um quadrado e arrastá-lo, mantendo o botão pressionado. Isto faz com que a tabela seja alterada na medida em que o mouse se move.
Período de validade: Permitir o cadastro de duas datas que delimitam um período fora do qual a regra não tem validade. É um recurso muito útil para, por exemplo, liberar o tráfego relacionado a um evento não recorrente, como um teste. Se o período ainda não tiver começado ou estiver expirado, o número da regra será mostrado sobre um fundo vermelho. Comentário: Inserir um comentário sobre a regra. Muito útil na documentação e manutenção das informações sobre a utilidade da regra.
A janela de Regras de Pipes
Figura 198 - Janela com as regras de Pipes.
Observação: Estas regras sobrepõem às configurações de "Canal" das Regras de Filtragem Geral e das Regras de Filtragem nos Perfis de Acesso.
252
Configurando conversão de endereços
253
8.
Configurando a conversão de endereços Este capítulo mostra como configurar os parâmetros de conversão de endereços (NAT) de modo a possibilitar que a rede interna trabalhe com endereços reservados, aumentando sua capacidade de endereçamento, ocultando as máquinas da rede interna e acessando a Internet, de forma totalmente transparente. Nesta versão também será possível realizar um balanceamento de carga das conexões de forma mais inteligente.
8.1. Planejando a instalação
O que é conversão de endereços? Qualquer rede que vai se ligar à Internet necessita de um conjunto de endereços IP atribuídos por alguma autoridade designada para tal (no Brasil esta distribuição é de responsabilidade da FAPESP). Basicamente existem 3 conjuntos de endereços possíveis, os chamados classe A, que possibilitam 16.777.214 máquinas dentro da rede, os classe B, que possibilitam 65.533 máquinas e os classe C, que possibilitam 254 máquinas. Devido ao grande crescimento apresentado pela Internet nos últimos anos, não existem mais endereços classe A e B disponíveis. Assim sendo, qualquer rede que venha a se conectar receberá um endereço classe C que permite o endereçamento de apenas 254 máquinas. Caso o número de máquinas seja maior do que isso, devem-se adquirir vários endereços classe C o que dificulta o trabalho de administração, ou utilizar uma solução de conversão de endereços. A conversão de endereços é uma tecnologia que permite que os endereços das máquinas da rede interna sejam distribuídos livremente, utilizando endereços classe A. Assim continua a permitir que todas as máquinas tenham acesso à internet de forma simultânea e transparente à Internet. O seu funcionamento é simples, todas as vezes que uma máquina com um endereço reservado tenta acessar a Internet, o Firewall detecta e automaticamente traduz seu endereço para um endereço válido. Quando a máquina de destino responde e envia dados para o endereço válido, o Firewall converte de volta este endereço para o reservado e repassa os dados para a máquina interna. Da forma que isso é feito, nem as máquinas clientes nem as máquinas servidoras sabem da existência de tal mecanismo. Outra vantagem, além da apresentada acima, é que com a conversão de endereços todas as máquinas da sua rede interna ficam invisíveis para a rede externa, aumentando ainda mais o nível de segurança da instalação. 254
A conversão de endereços não é compatível com serviços que transmitem endereços IP ou portas como parte do protocolo. Os únicos serviços deste tipo suportados pelo Aker Firewall são o FTP, Real Áudio e Real Vídeo. Quais são as minhas redes internas? As redes internas se constituem de todas as máquinas de uma ou mais sub-redes que estão sendo protegidas pelo Aker Firewall. Isto inclui todos os dispositivos internos da rede, como roteadores, switches, máquinas servidoras, máquinas clientes, etc. São os equipamentos que guardam informações importantes da sua rede, ou são peças chaves para seu funcionamento. Quais são as minhas redes externas? As redes externas são formadas por todas as máquinas que não fazem parte da rede interna. Elas podem estar ou não sobre a responsabilidade administrativa de sua organização. No caso de uma rede de uma organização se ligando à Internet, a rede externa seria toda à Internet. Endereçando as minhas redes internas Apesar de tecnicamente possível, os endereços de suas redes internas não devem ser escolhidos aleatoriamente. Existem alguns endereços reservados especificamente para este fim. Estes endereços não podem ser atribuídos a nenhuma máquina ligada à Internet. Os endereços reservados são: De 10.0.0.0 à 10.255.255.255, máscara 255.0.0.0 (classe A) De 172.16.0.0 à 172.31.0.0, máscara 255.255.0.0 (classe B) De 192.168.0.0 à 192.168.255.255, máscara 255.255.255.0 (classe C). Tipos de conversão de endereços Existem três tipos diferentes de conversão de endereços: 1-1, N-1, 1-N e N-N. Cada um deles possui características distintas e normalmente são utilizados em conjunto para conseguir melhores resultados.
1-1 O tipo 1-1 é o mais intuitivo, porém normalmente o menos útil. Ele consiste em fazer mapeamentos binários de um para um entre endereços reservados e endereços válidos. Desta forma, máquinas distintas teriam endereços convertidos distintos. 255
A grande limitação desta forma de operação é que não é possível colocar um número de máquinas maior que o número de endereços válidos, uma vez que são sempre convertidos na base de um para um. Em compensação, ela permite que máquinas com endereços reservados possam ser acessadas externamente com endereços válidos.
N-1 A conversão de N-1, como o nome já diz, possibilita que várias máquinas com endereços reservados utilizem um mesmo endereço válido. Para conseguir este objetivo, ela utiliza endereços IP em combinação com portas (no caso dos protocolos TCP e UDP) ou com números de sequência (no caso de ICMP). Este mapeamento é feito dinamicamente pelo firewall, cada vez que uma nova conexão é estabelecida. Como existem 65535 portas ou números de sequência distintos é possível à existência de até 65535 conexões simultâneas ativas utilizando o mesmo endereço. A única limitação desta tecnologia é que ela não permite que as máquinas internas sejam acessadas externamente. Todas as conexões devem ser iniciadas internamente. Quando se utiliza uma conversão de endereço (NAT) no Aker Firewall do tipo “N: 1”, além da conversão dos endereços IP da rede interna para um único IP válido à Internet, também é alterado a porta de origem da comunicação. Toda comunicação baseada no protocolo TCP/IP, tem no mínimo os seguintes parâmetros:
IP origem; Porta origem; IP destino; Porta destino.
Exemplo: O endereço IP de um computador é 200.0.0.1 e o endereço IP do site do Terra (http://www.terra.com.br) é 200.176.3.142, como fica esta conexão:
IP origem: 200.0.0.1 Porta origem: Qualquer porta entre 1024 e 65535 IP destino: 200.176.3.142 Porta destino: TCP 80 (HTTP)
A partir do Aker Firewall 6.1 Patch 3 ou superior este valor de “Porta origem” quando se utiliza a conversão de endereço de “N: 1” varia entre os valores 8176 até 63487. Pode-se alterar esta faixa de portas, conforme demonstrado abaixo:
256
Solução: Edite o arquivo “rc.aker” no caminho /aker/bin/firewall. Altere a linha: Insmod $MODNAME Para: insmod $MODNAME nat_init=20000 nat_end=40000 onde:
nat_init= < inicio da porta de origem> nat_end= <valor máximo da porta de origem>
Os valores padrões são:
nat_init= 30720 nat_end=63472
1-N Este tipo de conversão é também chamado de balanceamento de carga e possibilita que vários servidores sejam colocados atrás de um único endereço IP válido. Cada vez que uma nova conexão é aberta para esse endereço, ela é redirecionada para um dos servidores internos. A grande vantagem dessa tecnologia é possibilitar que serviços que demandam uma grande quantidade de recursos possam ser separados em várias máquinas e serem acessados de forma transparente, através de um único endereço. No caso de quedas de algumas dessas máquinas, as novas conexões são automaticamente repassadas para as máquinas que ainda estiverem no ar, implantando com isso mecanismo de tolerância a falhas.
N-N Esta conversão permite que todos os endereços de uma rede sejam convertidos para os endereços de uma rede virtual automaticamente.
Aplicações da conversão de endereços com o Aker Firewall O Aker Firewall permite que qualquer tipo de conversão seja realizada, não se limitando apenas ao endereço válido da interface externa do firewall, mas sim dando total flexibilidade ao administrador em utilizar qualquer endereço dentro da rede, inclusive fazendo a conversão entre redes inválidas.
257
Suponhamos que uma determinada organização receba uma rede de endereços classe C, com o formato A.B.C.0. Este é um endereço válido que suporta no máximo 254 máquinas (os endereços A.B.C.0 e A.B.C.255 são reservados para fins específicos e não podem ser utilizados, sobrando os valores de A.B.C.1 a A.B.C.254). Suponha ainda que esta rede possua 1000 máquinas para serem conectadas. Em virtude da impossibilidade de alocar todas as máquinas no endereço recebido, foi decidido pelo uso da conversão de endereços. Escolheu-se então um endereço reservado classe A para ser colocado nas máquinas da rede interna, o 10.x.x.x com máscara 255.0.0.0. O Aker Firewall irá ficar no limite da Internet com a rede interna, que possui endereços reservados. Ele será o responsável pela conversão dos endereços reservados 10.x.x.x para os endereços válidos A.B.C.x. Desta forma, o firewall deverá possuir pelo menos dois endereços: um endereço válido, para que possa ser atingido pela Internet e um reservado, para que possa ser atingido pela rede interna. (na maioria das instalações, colocam-se duas ou mais placas de rede no firewall: uma para a rede externa e uma ou mais para a rede interna. Entretanto é possível, porém não recomendado, fazer esta mesma configuração com apenas uma placa de rede, atribuindo um endereço válido e um reservado para a mesma placa). Supondo que seja escolhido o endereço A.B.C.2 para o segmento válido e o 10.0.0.2 para o segmento reservado. Este endereço válido será utilizado pelo firewall para converter todas as conexões com origem na rede interna e destino na Internet. Externamente, todas as conexões serão vistas como se partissem dele. Outro exemplo seria a de uma organização que possua saídas para a Internet e três classes de endereços válidos, neste caso o administrador tem a possibilidade de distribuir a conversão de endereços entre essas três classes, obtendo muito mais flexibilidade na configuração. Com a conversão de endereços funcionando, todas as máquinas internas conseguem acessar qualquer recurso da Internet transparentemente, como se elas próprias possuíssem endereços válidos. Porém, não é possível para nenhuma máquina externa iniciar uma conexão para qualquer máquina interna (devido ao fato delas não possuírem endereços válidos). Para resolver este problema, o Aker Firewall possibilita a configuração de regras de conversão 1-1, o que permite simular endereços válidos para quaisquer endereços reservados. Voltando para o caso da nossa hipotética organização, suponha que em sua rede exista um servidor WWW, com endereço 10.1.1.5, e que seja desejado que este servidor forneça informações para a rede interna bem como para a Internet. Neste caso deve-se escolher um endereço válido para que este possa ser utilizado pelos clientes externos para se conectarem a este servidor. Suponha que o endereço escolhido tenha sido o A.B.C.10. Deve-se então acrescentar uma regra de conversão 1-1, de modo a mapear o endereço A.B.C.10 para o endereço interno 10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10 serão automaticamente mapeados novamente pelo firewall para 10.1.1.5.
258
Os endereços válidos escolhidos para realizar a conversão de 1-1 não podem ser atribuídos a nenhuma máquina real. Desta forma, em nosso exemplo é possível a configuração de até 253 servidores na sua rede interna passíveis de serem acessados externamente (um dos 254 endereços válidos já é usado para que o firewall converta o tráfego de todas as máquinas clientes). O Aker Firewall utiliza a tecnologia de proxy-arp para possibilitar que os servidores virtuais sejam tratados pelas máquinas pertencentes à rede válida (por exemplo, o roteador externo), como se fossem máquinas reais. Exemplos de configurações usando conversão de endereços: Se ligando à Internet com uma linha dedicada Equipamento: 1 roteador, 1 Aker Firewall, n clientes, 2 servidores na rede interna Endereço válido: A.B.C.x, máscara da rede 255.255.255.0 Endereço reservado: 10.x.x.x máscara da rede 255.0.0.0 Endereço dos servidores: 10.1.1.1, 10.2.1.1 Endereço dos clientes: 10.x.x.x Endereços do roteador: Rede válida A.B.C.1 , Internet :x.x.x.x
Configuração do Aker Firewall: Endereços das placas: rede interna: 10.0.0.2, rede válida A.B.C.2 IP virtual para a conversão N-1: A.B.C.2 Rede privada: 10.0.0.0 Máscara da rede privada: 255.0.0.0 Regras de conversão 1-1: A.B.C.10 - 10.1.1.1 A.B.C.30 - 10.2.1.1
Figura 199 - Exemplo 1 de configuração do Aker Firewall (interligando departamentos).
259
Desenho do Exemplo 1
Interligando departamentos
Neste exemplo, iremos mostrar como interligar departamentos de uma mesma empresa, utilizando um conversor de endereços entre estes departamentos. Equipamento: 1 roteador, 3 Aker Firewall, n clientes, 4 servidores na rede interna Endereço válido: A.B.C.x, máscara da rede 255.255.255.0 Endereço reservado: 10.x.x.x máscara da rede 255.255.0.0 Endereço reservado:172.16.x.x, máscara 255.255.0.0 Endereços da sub-rede 1: 10.1.x.x Endereço do servidor: 10.1.1.1 Endereço dos clientes: 10.1.x.x Endereços do roteador: Rede válida A.B.C.1 , Internet: x.x.x.x Configuração do Aker Firewall: Rede interna: 10.1.0.1, Rede válida A.B.C.2 IP virtual para a conversão N-1: A.B.C.2 Rede privada: 10.0.0.0 Máscara da rede privada: 255.0.0.0 Endereços da sub-rede 2: Externamente: 10.1.0.2 Internamente:172.16.x.x Endereço do servidor: 172.16.1.1 Endereço dos clientes: 172.16.x.x Configuração do Aker Firewall: Sub-Rede 2: 172.16.0.1, Sub-rede 1:10.1.0.2 IP Virtual para conversão N-1:10.1.0.2 Rede privada (2): 172.16.0.0 Máscara da rede privada: 255.255.0.0 Regras de conversão 1-1: 10.2.1.1 - 172.16.1.1
260
Endereços da sub-rede 3: Externamente: 10.1.0.3 Internamente:172.16.x.x Endereço do servidor: 172.16.1.1 Endereço dos clientes: 172.16.x.x
Configuração do Aker Firewall: Sub-Rede 3: 172.16.0.1, Sub-rede 1:10.1.0.3 IP Virtual para conversão N-1:10.1.0.3 Rede privada (3): 172.16.0.0 Máscara da rede privada: 255.255.0.0 Regras de conversão 1-1: 10.3.1.1 - 172.16.1.1
Na tabela de roteamento para este tipo de instalação devemos inserir rotas para as sub-redes 10.1.x.x, 10.2.x.x, 10.3.x.x.
Figura 200 - Exemplo 2 de configuração do Aker Firewall (múltiplas ligações com a Internet).
261
Desenho do Exemplo 2
Múltiplas ligações com a Internet Neste exemplo bem mais complexo, mostraremos como utilizar três ligações com a Internet e duas redes internas, utilizando o conversor de endereços entre elas. Equipamento: 3 roteadores, 1 Aker Firewall, n clientes, 2 servidores na rede DMZ Endereços válidos: A.B.C.x, D.E.F.x, G.H.I.x, todos com máscara de rede 255.255.255.0 Endereço reservado para a rede interna: 10.x.x.x máscara da rede 255.0.0.0 Endereço reservado para a DMZ:172.16.x.x, máscara 255.255.0.0 Endereços dos roteadores: Rede válida A.B.C.1, D.E.F.1, G.H.I.1 , Internet :x.x.x.x Configuração do Aker Firewall: Endereços das placas: Placa 1: 10.0.0.2, Placa 2: 172.16.0.2 , Placa 3: A.B.C.2, Placa 4: D.E.F.2, Placa 5: G.H.I.2 Redes privadas: 10.0.0.0 e 172.16.0.0 Máscara da redes privadas: 255.255.0.0 Servidores da DMZ Servidor Web - 10.0.0.10 Servidor SMTP - 10.0.0.25 Regras de conversão de Endereços 1. Origem - 10.0.0.10 converte para A.B.C.10 quando for para à Internet 2. Origem - 10.0.0.25 converte para D.E.F.25 quando for para à Internet 3. Origem - 172.16.x.x converte para 10.0.0.4 quando for para rede 10.0.0.0 4. Origem - 172.16.x.x converte para D.E.F.25 quando for para Internet 5. Origem - 10.x.x.x converte para A.B.C.20 quando for para Internet
262
Figura 201 - Exemplo 3 de configuração do Aker Firewall (montando regras de conversão de endereços).
Desenho do Exemplo 3 Com o Aker Firewall é possível realizar um balanceamento dos links para realizar um aproveitamento mais otimizado dos links. O firewall possui mecanismos de verificação de ativação dos links, sendo possível dividir o tráfego de forma inteligente pelos links ou desviar totalmente o tráfego daquele que estiver fora do ar. O administrador também poderá atribuir pesos às suas conexões, ou seja, as conexões mais rápidas poderão ter um peso maior do que as conexões mais lentas, desta forma o firewall dará preferência em enviar o tráfego para o link com maior peso. Montando regras de conversão de endereços para o Aker Firewall Configurar as regras de conversão de endereços no Aker Firewall é algo fácil em função de sua concepção inteligente. Toda a parte de endereços IP, máscaras, protocolos e portas são configurados nas entidades (para maiores informações, veja o capítulo intitulado Cadastrando Entidades). Devido a isso, ao configurar uma regra, não é necessário se preocupar com qual porta um determinado serviço utiliza ou qual o endereço IP de uma rede ou máquina. Tudo isso já foi previamente cadastrado. Para facilitar ainda mais, todos os serviços mais utilizados na Internet já vem previamente configurado de fábrica, sendo desnecessário perder tempo pesquisando os dados de cada um.
263
Basicamente, para cadastrar uma regra de conversão, deve-se especificar as entidades de origem e destino, tipo de conversão, interface virtual e serviço (se for o caso). O funcionamento da conversão é simples: o firewall pesquisará uma a uma as regras definidas pelo administrador, na ordem especificada, até que o pacote se encaixe numa delas. A partir deste momento, ele executará o tipo de conversão associado à regra. Caso a pesquisa chegue ao final da lista e o pacote não se enquadre em nenhuma regra então este não será convertido.
Utilizando a Interface Remota Para ter acesso a janela de configuração da conversão de endereços, basta:
Figura 202 - Janela de configuração da conversão de endereços.
Clicar no menu Configuração do Firewall. Selecionar o item NAT.
264
A janela de configuração de conversão de endereços (NAT)
Figura 203 – Janela de configuração da conversão de endereços (NAT).
A janela de conversão de endereços contém todas as regras de conversão definidas no Aker Firewall. Cada regra será mostrada em uma linha separada, composta de diversas células. Caso uma regra esteja selecionada, ela será mostrada em uma cor diferente.
O botão OK fará com que o conjunto de regras seja atualizado e passe a funcionar imediatamente. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada. Existe uma barra para inclusão de comentários relativo à regra de conversão.
A opção Ativar NAT se estiver marcada, fará com que o firewall passe a converter os endereços de acordo com as regras cadastradas. Caso ela esteja desmarcada, nenhum tipo de conversão de endereços será feita.
A barra de rolagem do lado direito serve para visualizar as regras que não couberem na janela. Ao clicar sobre uma regra e selecioná-la, se ela possuir um comentário, este aparecerá na parte inferior da janela. A posição da regra pode ser alterada clicando e arrastando com o mouse para a nova posição desejada.
265
A janela possui os seguintes campos: Origem: Neste campo especifica-se a lista de todas as entidades cujos endereços serão convertidos para o endereço da Entidade Virtual, descrita acima. A conversão 1-1 ou conversão de serviços permitem que apenas uma entidade seja selecionada para este campo e esta entidade deve ser do tipo máquina. Caso esteja utilizando Conversão 1-N ou Conversão de Serviços 1-N, então cada máquina pertencente a esse campo terá um peso associado a ela, mostrado entre parênteses, à direita do nome da entidade. Para alterar o peso de uma determinada máquina, ou seja, fazer com que ela receba mais conexões que as demais, deve-se clicar com o botão direito sobre o nome da entidade, na lista da direita, selecionar a opção Alterar peso e escolher o novo valor. O campo Entidade Origem deve sempre conter os endereços internos (reservados ou não válidos) das máquinas participantes da conversão, independentemente de seu tipo. Destino: Este campo serve para especificar as entidades para as quais a conversão de endereços será efetuada (no caso da conversão N-1) ou as máquinas que acessarão as máquinas internas através do endereço contido no campo Entidade Virtual (para os demais tipos de conversão). Ao criar várias regras com valores distintos nesse campo, faz com que uma mesma máquina tenha seu endereço convertido em endereços distintos dependendo do destino da comunicação. O valor mais comum para esse campo é a especificação da entidade Internet como destino. Isso fará com que a conversão de endereços selecionada na regra seja efetuada para todas as máquinas externas. Opções: Tipo de nat que será utilizado. Entidade Virtual: Neste campo deve-se configurar a entidade para a qual os endereços internos serão convertidos ou para o qual as requisições externas devem ser direcionadas. A entidade virtual deverá sempre ser uma entidade do tipo máquina. Serviços: Este campo define quais os serviços que farão parte da regra, quando for utilizado o tipo de conversão de Serviços, N-1 serviços ou 1-N com Serviços. A janela ficará desabilitada para os demais tipos de conversão. Serviço Virtual: Serviço que sofrerá a conversão, somente utilizado em Nat de porta. Balanceamento de link: Este campo permite habilitar ou desabilitar o balanceamento de link. As configurações do balanceamento devem ter sido realizadas quando for selecionada esta opção.
266
Comentário: Reservado para colocar uma descrição sobre a regra. Muito útil na documentação e manutenção das informações sobre sua utilidade. A janela de configuração de Balanceamento de Link
Figura 204 - Janela de configuração de balanceamento de link.
O botão OK fará com que o conjunto de regras seja atualizado e passe a funcionar imediatamente. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada.
Esta aba possui os seguintes campos: Nome: Neste campo dever ser informado um nome para representar o link de acesso à Internet. Tipo: Este campo informa qual o tipo da configuração e pode assumir dentre dois valores possíveis, "estático" ou "dinâmico". Quando o link for estático é obrigatório cadastrar uma entidade de rede e uma entidade de máquina (gateway) sendo, neste, caso não permitido o cadastro de entidade de interface de rede. Quando o link for dinâmico, a situação se inverte,
267
sendo o usuário obrigado a cadastrar uma entidade do tipo interface, sendo que o cadastro de entidades do tipo rede e máquina (gateway) não são permitidos. Rede: Cadastre a rede que a operadora forneceu; Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall fará uma crítica para verificar se o gateway realmente pertence à rede da operadora); Interface: Esse campo é utilizado para o cadastro da entidade do tipo interface de rede, a qual irá representar o link dinâmico. Peso: Indica um valor a ser atribuído ao link. Quando os pesos são maiores pressupõe que os links sejam mais rápidos. Checa host 1: Nesse campo deve ser cadastrada uma entidade que tenha certeza que esteja logo a seguir do roteador da operadora, de preferência dentro de um ou dois saltos de seu roteador. Esta entidade será utilizada pelo firewall para determinar se o link está no ar ou não. Pode ser cadastrado um servidor DNS da operadora ou mesmo roteadores próximos. Checa host 2 e Checa host 3: Entidades de verificação também utilizadas pelo firewall. Não é obrigatório que estejam cadastradas as três entidades de verificação, contudo, quanto mais entidades cadastradas melhor para o sistema de verificação do firewall. Para executar qualquer operação sobre uma determinada regra, basta clicar com o botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será acionado sempre que o botão direito for pressionado, mesmo que não exista nenhuma regra selecionada. Neste caso, somente as opções Incluir e Colar estarão habilitadas).
268
Figura 205 - Janela de configuração para adicionar entidades.
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova regra será incluída no final da lista. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada para o final da lista. Excluir: Remover da lista a regra selecionada. Habilita/Desabilita: Permitir habilitar/desabilitar a regra selecionada, ou seja, ela permanecerá cadastrada, mas o Firewall se comportará como se a mesma não existisse (no caso do Disable) e prosseguirá a pesquisa na regra seguinte. Adicionar entidades: No ponto em que for feito o clique do mouse, será possível inserir a entidade no campo correspondente da regra de conversão. Apenas certo número de entidades poderá ser visualizado. Para escolher outra entidade faça a rolagem da janela na barra correspondente.
Dica: O método mais prático para o administrador montar sua regra de conversão será arrastando diretamente as entidades para dentro da regra. Dica 2: A posição de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posição desejada, soltando em seguida. Observe que o cursor de indicação do mouse irá mudar para uma caixa pontilhada. 269
No caso de inclusão ou edição de regras, será mostrada a janela de propriedades, descrita na seção abaixo:
A janela de inclusão de regras de NAT
Figura 206 - Janela de inclusão de regras de NAT.
Tipos de NAT: Neste campo é definido o tipo de conversão que a regra realizará. Ela possui as seguintes opções:
Sem Conversão: Esta opção indica ao firewall que não deve haver conversão de endereços quando qualquer uma das máquinas pertencentes às Entidades Origem for acessar qualquer uma das máquinas pertencentes às Entidades Destino e vice-versa.
Conversão 1-1: Esta opção indica ao firewall que quando a máquina listada nas Entidades Origem for acessar qualquer uma das máquinas pertencentes às Entidades Destino ela terá seu endereço convertido para o endereço da Entidade Virtual. Todas as vezes que uma máquina pertencente às Entidades Destino acessar o endereço da Entidade Virtual, esse último será automaticamente convertido para o endereço real, definido pela entidade presente nas Entidades Origem. Este tipo de conversão é útil para possibilitar o acesso externo a servidores internos.
Nas Entidades Origem deve-se colocar uma entidade com o endereço real (interno, reservado) da máquina para a qual se fará conversão de 1-1. Na Entidade Virtual deve-se colocar uma entidade com o endereço para o qual o endereço 270
interno será convertido (endereço válido) e que será acessado pelas máquinas externas.
Conversão N-1: Esta opção indica ao firewall que quando qualquer máquina listada nas Entidades Origem for acessar qualquer uma das máquinas pertencentes às Entidades Destino ela terá seu endereço convertido para o endereço da Entidade Virtual. Este tipo de conversão é útil para possibilitar que um grande número de máquinas utilize apenas um endereço IP válido para se comunicar através da Internet, entretanto ela não permite com que máquinas externas (listadas nas Entidades Destino) iniciem qualquer comunicação com as máquinas internas (listadas nas Entidades Origem).
Quando o módulo de Cluster Cooperativo estiver funcionado na conversão de N1, o IP da entidade virtual não pode ser nenhum dos atribuídos às interfaces do firewall.
Conversão de Serviços: Esta opção é útil para redes que dispõem de apenas um endereço IP e necessitam disponibilizar serviços para à Internet. Ela possibilita que determinados serviços, ao serem acessados no firewall, sejam redirecionados para máquinas internas.
No campo Entidades Origem, deve-se colocar o endereço IP interno (real) da máquina para a qual os serviços serão redirecionados. No campo Entidades Destino, deve-se colocar as máquinas que irão acessar os serviços externamente. No campo Serviços, deve-se escolher todos os serviços que serão redirecionados para a máquina presente em Entidades Origem quando uma máquina presente nas Entidades Destino acessá-los no endereço IP da Entidade Virtual. Quando o módulo de Cluster Cooperativo estiver funcionado não é possível à conversão de serviços.
Conversão 1-N: Esta opção é utilizada para fazer balanceamento de carga, ou seja, possibilitar que várias máquinas respondam como se fossem uma única. No campo Entidades Origem deve-se colocar a lista de máquinas que farão parte do balanceamento e que passarão a responder como se fossem uma única. No campo Entidades Destino, deve colocar as máquinas que irão acessar as máquinas internas pelo endereço especificado na entidade presente no campo Entidade Virtual.
271
Figura 207 - Janela de configuração para ações que deseja ser realizada.
Conversão 1:N para serviços: Esta opção é utilizada para fazer balanceamento de carga para determinados serviços, ou seja, possibilitar que várias máquinas respondam a requisições destes serviços como se fosse uma única.
Porta: Para efetuar conversões não somente de endereços ip, mas também de portas para conexão, utiliza-se este tipo de nat, que também é conhecido com PAT (port address translation).
1:N para Porta: Faz balanceamento de servidores efetuando conversões não somente de endereços ip, mas também as portas de conexão, sendo que após a conversão os acessos são distribuídos entre os servidores que fazem parte do balanceamento. Conversão N:N: Esta opção indica ao firewall que os endereços pertencentes à rede listada nas Entidades Origem, ao acessar qualquer uma das máquinas pertencentes às Entidades Destino, serão convertidos para os endereços da rede no campo Entidade Virtual, ou seja, nesta conversão deve-se usar uma entidade de rede na coluna origem e uma entidade de rede na coluna entidade virtual. O campo destino pode ser preenchido da mesma maneira como é feito para os demais tipos de NAT.
Além disso, as máscaras de rede da entidade de origem e da entidade virtual precisam ser iguais para que o NAT funcione. Por exemplo: IP
Máscara de rede
272
Origem
192.168.0.0
255.255.255.0
Entidade virtual
172.16.0.0
255.255.255.0
Figura 208 - Máscaras de rede da entidade de origem e virtual devem ser iguais.
Nesse caso, todos os IPs da rede 192 serão convertidos para a 172.
A opção Avançado, que somente estará habilitado quando selecionar a conversão de endereços 1-N ou Conversão de serviços 1-N, permite configurar os parâmetros do monitoramento que será realizado pelo firewall a fim de detectar se as máquinas participantes do balanceamento estão no ar ou não e como o balanceamento será realizado. Ao clicar neste botão, a seguinte janela será mostrada:
Figura 209 - Configuração dos parâmetros de monitoramento a ser realizado pelo firewall.
O campo Tipo de monitoramento, permite definir o método utilizado pelo firewall para verificar se as máquinas participantes do balanceamento (máquinas definidas no campo Entidades Origem) estão no ar. Ela consiste das seguintes opções: Sem monitoramento: Se essa opção for selecionada, o firewall não monitorará as máquinas e assumirá que elas estão sempre ativas. Pacotes Ping: Se essa opção for selecionada, o firewall monitorará as máquinas através de pacotes ICMP de Echo Request e Echo Reply (que também são utilizados pelo comando PING, daí o nome dessa opção). 273
Pedidos HTTP: Se essa opção for selecionada, o firewall monitorará as máquinas através de requisições HTTP. Nesse caso, deve-se especificar a URL (sem o prefixo http://) que o firewall tentará acessar em cada máquina para verificar se ela está ativa ou não. Algoritmo de balanceamento de carga: Esse campo permite definir o método utilizado para balancear as requisições entre as máquinas presentes no campo Entidades Origem. Ele consiste das seguintes opções: Round - Robin: Quando selecionada essa opção, o firewall distribuirá sequencialmente as requisições para as máquinas participantes do balanceamento, uma a uma. Caso as máquinas tenham pesos diferentes, primeiro será distribuída uma conexão para cada máquina, a seguir uma conexão para cada máquina que recebeu um número de conexões menor que seu peso e assim sucessivamente. Quando todas as máquinas receberem o número de conexões equivalente a seu peso, o algoritmo se inicia. Aleatório: Quando selecionada essa opção, o firewall distribuirá as conexões de forma randômica entre as máquinas, ou seja, a probabilidade de uma conexão ser redirecionada para uma determinada máquina é igual à razão entre seu peso e o peso total de todas as máquinas. Persistência entre conexões: Esse campo permite definir o tempo de persistência da sessão em protocolos ou aplicativos que utilizem mais de uma conexão em tempos diferentes, ou seja, o tempo máximo de espera por uma nova conexão após o término da primeira. Neste intervalo de tempo as novas conexões serão direcionadas pelo firewall ao mesmo servidor. Observações sobre a montagem das regras É altamente recomendável que as regras de conversão sejam colocadas na seguinte ordem: 1. Regras de Não Conversão; 2. Regras de Conversão de Serviços; 3. Regras de Conversão 1-1 e de N-N; 4. Regras de Conversão de Serviços 1-N; 5. Regras de Conversão 1-N; 6. Regras de Conversão N-1; 7. Regras de Conversão N-N. É necessária a inclusão de uma regra de Não Conversão com origem nas redes internas e destino nas próprias redes internas caso se pretenda administrar o firewall por uma máquina interna que participará de qualquer tipo de conversão. Essa regra deverá estar antes das demais regras de conversão.
Exemplos - Cenário 1 - Conversão de Endereços 274
Suponha que uma empresa possua as máquinas e serviços abaixo e deseja implementar a conversão de endereços. A empresa possui uma conexão dedicada com à Internet e seu provedor distribuiu uma faixa de endereços IP válidos na Internet de 200.120.210.0 até 200.120.210.63. Na regra 1 colocamos as redes internas da empresa (DMZ e Interna) em não tradução. Esta regra possibilita que caso alguma máquina interna da rede for administrar o firewall o seu endereço não é convertido e a administração seja possível. Estaria também correto em especificar as máquinas que são administradoras (Entidade Origem) e a interface por onde iremos administrar o firewall (Entidade de Destino) com a opção de "Sem tradução". Na regra 2 o servidor servidor web fará uma conversão de 1:1 para o endereço 200.120.210.15, ou seja, caso alguém da Internet procure pelo IP 200.120.210.15 será enviado para o servidor web (IP 10.20.0.50). Do mesmo modo caso o servidor web origine uma conexão para Internet o seu IP será 200.120.210.15. A regra 3 é idêntica à regra 2, o servidor 01 fará conversão de 1:1 para o endereço 200.120.210.25. A regra 4 é o exemplo de balanceamento de carga. Alguém da Internet procurando pela máquina 200.120.210.20 será enviado para o NT3, NT2 ou NT1. Isto dependerá do cálculo a ser realizado pelo firewall. No caso abaixo os pesos são diferentes, portanto a máquina NT3 que possui o peso 4 é a que receberá a maior quantidade de conexões. Caso as máquinas NT tenham de originar conexões para Internet, elas também terão seus endereços convertidos para 200.120.210.20. A regra 5 é de conversão de N:1, ou seja qualquer máquina da Rede_Interna (10.20.0.0 com máscara 255.255.255.0) terá o seu endereço convertido para 200.120.210.16 quando as mesmas originarem conexão para à Internet. No entanto a recíproca não é verdadeira, caso alguém da Internet venha procurando conexão para o IP 200.120.210.16 o firewall não enviará para nenhuma máquina da rede interna e irá descartar os pacotes para esta conexão, pois o mesmo não sabe para qual máquina enviar a requisição. Cabe ressaltar que a ordem das regras é de extrema importância. Vamos supor que a regra 2 seja movida para a última posição. Neste caso alguém que viesse procurando pela máquina 200.120.210.15 seria enviado para o sevidor web, entretanto quando o sevidor web fosse originar uma conexão para à Internet o mesmo teria seu endereço convertido para 200.120.210.16, pois a regra da antiga posição 5 é que iria atender primeira a conversão.
275
Figura 210 - Exemplo 1, conversão de endereços.
Exemplos - Cenário 2 - Conversão de Serviços Suponha agora que a empresa não possua uma faixa de endereços IP da Internet e sim um Único IP válido. Neste caso é conveniente fazer a conversão de serviços. Com este tipo de configuração poderá ser feito um aproveitamento deste único IP para diversos tipos de serviços. No caso o IP é o 200.120.210.15. A regra 1, foi colocada pelos mesmos motivos citados no cenário anterior. Na regra 2, alguém da Internet esteja procurando pela máquina 200.120.210.15 e na porta do servidor FTP (21/TCP). Neste caso o firewall irá enviar a conexão para a máquina server1. Na regra 3, alguém da Internet está procurando pela mesma máquina 200.120.210.15, porém na porta do SMTP (25/TCP). O firewall irá mandar esta conexão para o endereço da entidade Correio_SMTP. Já a regra 4 possibilita que o servidor web da empresa seja acessado pela porta HTTP (80/TCP). A regra 5 é um exemplo do balanceamento de carga utilizando uma porta de serviço. Neste caso alguém da Internet está procurando acesso ao IP 276
200.120.210.15 para o serviço web seguro (443/TCP), sendo que há três servidores para atender a requisição, no caso NT1, NT2 e NT3. Os princípios para atender estas conexões são os mesmos já explicados no cenário anterior. Finalizando, a regra 6 permite que qualquer outra máquina origine conexão para Internet, no caso sendo visualizado o IP 200.120.210.15 no destino. Apesar de ser possível utilizar a conversão de serviços no caso do cenário 1, a Aker recomenda que esta configuração seja utilizada no caso da empresa possuir somente um único endereço IP válido para Internet.
Figura 211 - Exemplo 2, conversão de serviços.
Exemplos - Cenário 3 - Balanceamento de Link Neste cenário será descrito como realizar o balanceamento de links. Suponha que a empresa possua dois prestadores de conexão IP para Internet, por exemplo, Embratel e Intelig. No caso cada operadora forneceu sua faixa de endereço IP para a empresa. Primeira Fase - Montagem do Balanceamento O administrador do firewall então irá realizar o cadastramento e informar as seguintes entidades e campos: 277
Nome: Informe um nome para representar o link de acesso à Internet; Tipo: Este campo informa qual o tipo da configuração e pode assumir dentre dois valores possíveis, "estático" ou "dinâmico"; Rede: Cadastre a rede que a operadora forneceu; Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall fará uma crítica para verificar se o gateway realmente pertence à rede da operadora); Interface: Esse campo é utilizado para o cadastro da entidade do tipo interface de rede, a qual irá representar o link dinâmico; Peso: Um valor a ser atribuído ao link. Quando os pesos são maiores pressupõe que links sejam mais rápidos. Verificar máquina1: Cadastre uma entidade que tenha certeza que esteja logo a seguir do roteador da operadora, de preferência dentro de um ou dois saltos de seu roteador. Esta entidade será utilizada pelo firewall para determinar se o link está no ar ou não. Pode ser cadastrado um servidor DNS da operadora ou mesmo roteadores próximos. Verificar máquina2 e Verificar máquina3: Entidades de verificação também utilizadas pelo firewall. Não é mandatório que estejam cadastrados as três entidades de verificação, contudo quanto mais entidades cadastradas, melhor para o sistema de verificação do firewall.
Figura 212 - Balanceamento de link (primeira fase).
Segunda Fase - Montagem das Regras de NAT A segunda fase da montagem é bem simples, bastando colocar em cada regra de conversão duas ou mais entidades virtuais, uma com endereço de cada prestador de serviço. 278
Não se esqueça de habilitar na coluna Balanceamento de links o ícone correspondente para que o serviço possa ser realizado pelo firewall. Cabe ressaltar que o firewall também realizará uma crítica para determinar se realmente a Entidade Virtual pertence a um link previamente cadastrado. Uma limitação desta implementação é quanto à origem da conexão pela Internet. Os DNS devem ter entradas duplas de IP e devem trabalhar em modo Round-Robin. O problema está quando um link de determinada operadora cai, o firewall não tem como desviar as conexões que são originadas pela Internet. Para contornar este problema o administrador poderia utilizar de scripts para remover do DNS o IP da operadora que esteja fora do ar, pois o firewall passa para o log de eventos desta informação.
Figura 213 - Montagem das regras do NAT (Segunda fase).
279
8.2. Utilizando a Interface Texto
A Interface Texto de configuração da conversão de endereços é relativamente simples e tem as mesmas capacidades da Interface Remota, exceto pelo fato de não ser possível configurar os parâmetros de monitoramento (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. Localização do programa: /aker/bin/firewall/fwnat Sintaxe: Firewall Aker fwnat - Configura regras de conversão de endereços (NAT) Uso: fwnat [ajuda | mostra | ativa | desativa] fwnat [habilita | desabilita | remove] <pos> fwnat inclui <pos> 1-1 <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] fwnat inclui <pos> n-1 <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] fwnat inclui <pos> serviços <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] <servico1>...<servico2> fwnat inclui <pos> portas <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] <servico> <servico virtual> fwnat inclui <pos> sem_conversao <origem> <destino> fwnat inclui <pos> 1-n <origem1>...<origem2> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] <round-robin | randomico> <persist> nenhum | ping | HTTP <URL>> fwnat inclui <pos> n-n <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] Ajuda do programa: desativa = desativa conversão de endereços mostra = mostra todas as regras da tabela de conversão inclui = inclui uma nova regra de conversão habilita = habilita uma regra de conversão desabilitada desabilita = desabilita uma regra de conversão existente remove = remove uma regra de conversão existente ajuda = mostra esta mensagem Para inclui temos: pos = posição onde incluir a nova regra na tabela (Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela) sem_conversão = não realiza conversão entre a origem e o destino
280
1-1
= realiza conversão de servidores. Neste caso a origem deve ser obrigatoriamente uma entidade do tipo máquina
n-1= realiza conversão de clientes serviços = realiza conversão apenas para os serviços citados. Neste caso a origem deve ser obrigatoriamente uma entidade do tipo máquina portas = realiza conversão apenas para o serviço citado. Neste caso a origem deve ser obrigatoriamente uma entidade do tipo máquina. Além disso, o serviço visível externamente será o <serviço virtual>
1-n = realiza balanceamento de carga, ou seja, possibilita que as várias máquinas origem sejam acessadas pelo endereço IP configurado na entidade virtual, como se fossem uma só máquina n-n = Esta conversão permite que todos os endereços de uma rede sejam convertidos para os endereços de uma rede virtual automaticamente. serviço 1 = lista de nomes dos serviços para a nova regra. São aceitos apenas serviços dos protocolos TCP ou UDP Para habilita / desabilita / remove temos: : pos = número da regra a ser habilitada, desabilitada ou removida da tabela Para conversão 1-n temos: round-robin = Utiliza algoritmo round-robin para o balanceamento das conexões randômico = Utiliza algoritmo randômico para o balanceamento das conexões persist = Tempo de persistência (mins) de servidor destino para conexões originadas do mesmo cliente nenhum = Não monitora as máquinas origem, isto é, considera que elas estão sempre ativas ping = Monitora as máquinas origem através de pings HTTP = Monitora as máquinas origem através de conexões HTTP URL = Especifica qual a URL deve utilizada para monitorar as máquinas, no caso de se utilizar monitoramento HTTP.
Exemplo 1: (Mostrando a configuração) #/aker/bin/firewall/fwnat mostra 281
Parâmetros Globais: ------------------Conversão de endereços: Ativada Regras de Conversão: -------------------Regra 01 -------Tipo: sem_conversao Origem: Rede Interna Destino: Rede Interna
Regra 02 -------Tipo: serviços Origem: Server Destino: Internet Entidade virtual: Firewall - interface externa Serviços: MYSQL POP3 SMTP Regra 03 -------Tipo: 1-1 Origem: Web Server_001 Destino: Internet Entidade virtual: External Web server
Regra 04 -------Tipo: n-n Origem: rede1 Destino: internet Entidade Virtual: rede2
Regra 05 -------Tipo: 1-n Origem: server1, server2, server3 Destino: Internet 282
Entidade virtual: Virtual Server Balanceamento: randômico Monitoramento: http URL: www.aker.com.br
Regra 06 -------Tipo: n-1 Origem: Rede Interna Destino: Internet Entidade virtual: Firewall - interface externa. Exemplo 2: (Incluindo uma regra de conversão 1-1 no final da tabela. Mapeando o servidor SMTP Server, com endereço reservado para o External Server, com endereço válido para todas as máquinas da Internet). #/aker/bin/firewall/fwnat inclui fim 1-1 "SMTP Server" Internet "External Server” Regra incluída na posição 6
Exemplo 3: (Incluindo uma regra de conversão n-n na posição 5). #/aker/bin/firewall/fwnat inclui 5 n-n rede1 internet rede2. Regra incluída na posição 5.
Exemplo 4: (Incluindo uma regra de conversão de serviços no início da tabela). #/aker/bin/firewall/fwnat inclui 1 Serviços "Server 2" Internet "External Server 2" Telnet FTP Regra incluída na posição 1
Exemplo 5: (Removendo a regra 3). #/aker/bin/firewall/fwnat remove 3 Regra 5 removida
Exemplo 6: (Incluindo uma regra de conversão 1-N, balanceamento, mapeando os servidores srv01 e srv02 em uma máquina externa chamada de srv_externo, para todas as máquinas da Internet, e monitorando via ping).
283
#/aker/bin/firewall/fwnat inclui 4 1-N srv01 srv02 Internet srv_externo round-robin ping Regra incluída na posição 4
8.3. Utilizando o Assistente de Configuração NAT O assistente de configuração NAT pode ser acionado tanto pela barra de ferramentas como pelo menu. As janelas abaixo irão solicitar diversas informações de modo que a conversão seja configurada. 1 - A janela inicial informa sobre o que é o NAT. Clique no botão Próximo para continuar com a configuração.
Figura 214 - Mensagem de boas vindas ao Assistente de configuração de NAT.
284
2 - Informe às redes que necessitarão acessar a Internet.
Figura 215 - Seleção das redes que tem a necessidade de acessar à Internet compartilhando um endereço IP.
285
3 - Escolha o IP da Máquina virtual para realizar a conversão N-1.
Figura 216 - Seleção do IP da máquina virtual para realizar a conversão de N-1.
286
4 - Escolha a opção Sim caso queira configurar os servidores que devem aparecer para Internet.
Figura 217 - Mensagem se deseja configurar os servidores acessíveis externamente.
287
5 - Escolha a entidade para aparecer para a Internet.
Figura 218 - Escolha da entidade que deseja tornar acessível na internet.
288
6 - Escolha o IP da Máquina virtual o qual o servidor será mostrado para Internet.
Figura 219 - Escolha do endereço IP utilizados por máquinas externas a ser utilizado no servidor.
289
7 - Esta tela irá permitir que mais servidores sejam configurados.
Figura 220 - Escolha para configurar mais servidores.
290
8 - Tela de finalização do Assistente e as regras que foram criadas pelo mesmo.
Figura 221 - Finalização do assistente de regras.
291
Criando canais de criptografia
292
9.
Criando canais de criptografia Este capítulo mostra como configurar as regras que propiciarão a criação de canais seguros de comunicação na Internet. Estes canais seguros são usados para interligar instituições pela Internet de forma a permitir que os dados fluam entre elas sem o risco de serem lidos ou alterados por estranhos.
9.1. Nat Transversal
Network Address Translation (NAT) é a tradução do endereço IP. Esta tradução pode ocorrer por muitos motivos, mas principalmente para que estações utilizando endereçamento privado (RFC 1918) acessem à Internet. Dessa forma, se a estação 10.10.10.1 necessita acessar um servidor na internet, então será necessário traduzir o endereço 10.10.10.1 para um endereço publicamente conhecido. Como os principais protocolos de transporte (no caso, TCP e UDP) utilizam o conceito de multiplexação através de portas de origem e destino, então podemos utilizar somente um endereço IP público para traduzir vários endereços privados (NAT masquerade ou NAT Hide), utilizando portas diferentes e armazenando todas estas informações em uma tabela de conexões. Entretanto, o protocolo ESP (utilizado no IPSEC) não utiliza o mesmo conceito de portas utilizado nos protocolos TCP e UDP e, portanto, não é possível fazer a tradução de endereço e utilizar a informação de portas de origem e destino como forma de multiplexação das conexões. Para que uma conexão VPN funcione quando existe um equipamento fazendo NAT (Hide ou muitos-para-um) entre os pontos que estão estabelecendo a VPN é necessário que haja um mecanismo para garantir que os pacotes serão traduzidos adequadamente, desde a origem até o destino final. Este mecanismo é chamado de NAT Transversal. De uma forma bem simples, o NAT Transversal primeiramente verifica se os dois equipamentos que estão estabelecendo a conexão possuem suporte para NAT Transversal, em seguida os dois equipamentos devem detectar se existe ou não a tradução de endereços. Por fim, deve-se negociar os parâmetros do protocolo (portas utilizadas para encapsulamento, utilização de cookies, etc) e em seguida iniciar a transmissão de dados utilizando pacotes encapsulados. Todo este processo esta descrito no RFC 3947 - Negotiation of NAT-Traversal in the IKE. Este recurso pode ser utilizado com conexões VPN do tipo gateway-to-gateway ou client-to-gateway e deve ser verificado na documentação do equipamento se o mesmo suporta NAT Transversal ou UDP Encapsulation (expressão também utilizada por alguns fabricantes).
293
O Aker Firewall realizará a detecção automática da necessidade de utilizar o NAT Transversal para o estabelecimento do túnel. Para desativar o uso do NAT Transversal no Aker Firewall é necessário iniciar o daemon "fwiked" com a opção -T, ficando: "aker/bin/firewall/fwiked-T".
9.2. Planejando a instalação.
O que é e para que serve um canal seguro de dados? A Internet é uma rede mundial composta de milhares de máquinas espalhadas por todo o mundo. Quando duas máquinas quaisquer estão se comunicando, todo o tráfego entre elas passa por diversas outras máquinas (roteadores, switches, etc) desde sua origem até seu destino. Na quase totalidade das vezes, a administração destas máquinas intermediárias é feita por terceiros e nada se pode afirmar quanto a sua honestidade (na maioria das vezes, não é nem possível saber antecipadamente por quais máquinas os pacotes passarão até atingir seu destino). Qualquer uma destas máquinas que estiver no caminho dos pacotes pode visualizar seu conteúdo e/ou alterar qualquer um destes. Isto é um problema sério e sua importância é aumentada ainda mais quando existe a necessidade de transmitir dados confidenciais e de grande impacto. Para resolver este problema, pode-se usar um canal seguro de dados. Um canal seguro de dados pode ser visto como se fosse um túnel. De um lado são colocadas as informações que só poderão ser lidas novamente após saírem do outro lado. Na prática, o que é feito é dar um tratamento especial aos dados a serem transmitidos de modo que estes não possam ser alterados durante seu caminho (autenticação), nem visualizados (criptografia). A combinação das duas técnicas produz dados invisíveis e imutáveis para qualquer máquina que se encontre no caminho dos pacotes, da origem ao destino. O que é criptografia? Criptografia é a combinação de uma chave com um algoritmo matemático baseado em uma função unidirecional. Este algoritmo é aplicado aos dados, juntamente com a chave, de modo a torná-los indecifráveis para qualquer um que os veja. O modo que isso é feito garante que somente é possível obter os dados originais caso possua o algoritmo e a chave usados inicialmente. Ao manter um destes dois componentes secretos (no caso, a chave), torna impossível a visualização dos dados por terceiros. 294
O que é autenticação? Autenticação é também a combinação de uma chave com um algoritmo matemático baseado em uma função unidirecional. A diferença em relação à criptografia é que este algoritmo, quando aplicado sobre os dados, não produz dados indecifráveis, mas sim uma assinatura digital para estes. Essa assinatura é gerada de tal forma que qualquer pessoa que desconheça o algoritmo ou a chave utilizado para gerá-la seja incapaz de calculá-la. Quando a assinatura digital é gerada, ela passa a ser transmitida para o destino junto com os dados. Caso estes tenham sofrido quaisquer alterações no caminho, o recipiente quando calcular a assinatura digital dos dados recebidos e compará-la com a assinatura recebida irá perceber que as duas são diferentes e concluir que os dados foram alterados. A autenticação é uma operação bastante rápida quando comparada com a criptografia, porém ela sozinha não consegue impedir que os dados sejam lidos. Ela deve ser usada apenas nos casos onde necessita confiabilidade dos dados, mas não sigilo. Caso necessite de ambos, usa-se autenticação em conjunto com a criptografia.
O que é certificação digital? Através do processo de autenticação descrito acima é possível garantir a origem das mensagens em uma comunicação entre duas partes. Entretanto, para que isso seja possível é necessário que as entidades que estão se comunicando já tenham previamente trocado informações através de algum meio fora do tráfego normal dos dados. Esta troca de informações normalmente consiste no algoritmo a ser utilizado para a autenticação e sua chave. O problema surge quando é necessário assegurar a origem das mensagens de uma entidade com a qual nunca existiu comunicação prévia. A única forma de resolver este problema é delegar a uma terceira entidade o poder de realizar estas autenticações (ou em termos mais técnicos, realizar a certificação da origem de uma mensagem). Esta terceira entidade é chamada de Entidade Certificadora e para que seja possível ela assegurar a origem de uma mensagem, ela já deve ter realizado uma troca de informações com a entidade que está sendo certificada.
O que é um certificado digital? Certificado digital é um documento fornecido pela Entidade Certificadora para cada uma das entidades que irá realizar uma comunicação, de forma a garantir sua autenticidade.
295
Tipos de algoritmos de autenticação e criptografia Atualmente existem inúmeros algoritmos de autenticação e criptografia. Neste tópico serão mostrados apenas os algoritmos suportados pelo Aker Firewall. Cabe comentar que um dos parâmetros para medir a resistência de um algoritmo é o tamanho de suas chaves. Quanto maior o número de bits das chaves, maior o número de possíveis combinações e, teoricamente, maior é a resistência do algoritmo contra ataques. Algoritmos de autenticação:
MD5 MD5 é a abreviatura de Message-Digest 5. Ele é um algoritmo criado e patenteado pela RSA Data Security, Inc, porém com uso liberado para quaisquer aplicações. Ele é usado para gerar assinaturas digitais de 128 bits para mensagens de qualquer tamanho e é considerado um algoritmo bastante rápido e seguro.
SHA SHA é a abreviatura de Secure Hash Algorithm. Ele é um algoritmo que gera assinaturas digitais de 160 bits para mensagens de qualquer tamanho. Ele é considerado mais seguro que o MD5, porém tem uma performance em média 50% inferior (na implementação do Aker Firewall). A versão implementada pelo Aker Firewall é o SHA-1, uma revisão no algoritmo inicial para corrigir uma pequena falha. Entretanto ele será chamado sempre de SHA, tanto neste manual quanto nas interfaces de administração.
Algoritmos de criptografia simétricos: Os algoritmos de criptografia simétricos são utilizados para encriptar fluxos de informações. Eles possuem uma única chave que é utilizada tanto para encriptar quanto para desencriptar os dados.
DES O algoritmo DES é um anagrama para Data Encription Standard, foi criado pela IBM na década de 70 e foi adotado pelo governo americano como padrão até recentemente. Ele é um algoritmo bastante rápido em implementações de hardware, porém não tão rápido quando implementado em software. Suas chaves de criptografia possuem tamanho fixo de 56 bits, número considerado pequeno para os padrões atuais. Devido a isso, deve-se dar preferência a outros algoritmos em caso de aplicações críticas.
296
Triplo DES ou 3DES Este algoritmo consiste na aplicação do algoritmo DES três vezes, usando três chaves distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo com chave de 112 bits, o que representa uma segurança extremamente maior do que a oferecida pelo DES. O problema deste algoritmo é que ele é duas vezes mais lento que o DES (na implementação utilizada no Aker Firewall).
AES O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para substituir o já inseguro e ineficiente DES. AES é um anagrama para Advanced Encryption Standard. O algoritmo escolhido em concurso foi o Rijndael, e ele utiliza 256 bits de chave, sendo ao mesmo tempo muito mais seguro e rápido que o DES ou mesmo o 3DES. O Aker Firewall trabalha com o AES utilizando chaves de 256 bits, o que garante um nível altíssimo de segurança. Ele é a escolha recomendada.
Blowfish O algoritmo Blowfish foi criado como uma possível substituição ao DES. Ele é um algoritmo extremamente rápido (quando comparado com outros algoritmos de criptografia), bastante seguro e pode trabalhar com vários tamanhos de chaves, de 40 a 438 bits. O Aker Firewall trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o que garante um nível altíssimo de segurança.
Algoritmos de criptografia assimétricos: Os algoritmos de criptografia assimétricos possuem um par de chaves associadas, uma para encriptar e outra para desencriptar os dados. Eles são bastante lentos se comparados aos algoritmos simétricos e, devido a isso, normalmente são utilizados apenas para realizar assinaturas digitais e no estabelecimento de chaves de sessão que serão usadas em algoritmos simétricos.
RSA O RSA é um algoritmo baseado em aritmética modular capaz de trabalhar com chaves de qualquer tamanho, porém valores inferiores a 512 bits são considerados muito frágeis. Ele pode ser utilizado para encriptar e desencriptar dados, porém, devido a sua grande lentidão se comparado aos algoritmos simétricos, seu principal uso é em assinaturas digitais e no estabelecimento de chaves de sessão.
297
Diffie-Hellman O algoritmo Diffie-Hellman na verdade não pode ser encarado como algoritmo de criptografia, uma vez que não serve para encriptar dados ou realizar assinaturas digitais. Sua única função é possibilitar a troca de chaves de sessão, feita de forma a impedir que escutas passivas no meio de comunicação consigam obtêlas. Ele também é baseado em aritmética modular e pode trabalhar com chaves de qualquer tamanho, porém chaves menores que 512 são consideradas muito frágeis.
Algoritmos de trocas de chaves Um problema básico que ocorre quando se configura um canal seguro é como configurar as chaves de autenticação e criptografia e como realizar trocas periódicas destas chaves. É importante realizar trocas periódicas de chaves para diminuir a possibilidade de quebra das mesmas por um atacante e para diminuir os danos causados caso ele consiga decifrar uma das chaves. Suponha que um atacante consiga em seis meses quebrar as chaves usadas por um algoritmo de criptografia (este tempo é totalmente hipotético, não tendo nenhuma relação com situações reais). Se uma empresa usar as mesmas chaves, por exemplo, durante 1 ano, então um atacante conseguirá decifrar todo o tráfego nos últimos 6 meses desta empresa. Em contrapartida, se as chaves forem trocadas diariamente, este mesmo atacante, após 6 meses, conseguirá decifrar o tráfego do primeiro dia e terá mais 6 meses de trabalho para decifrar o tráfego do segundo dia e assim por diante. O Aker Firewall possui quatro métodos para trocas de chaves: IPSEC-IKE, AKERCDP, SKIP e manual:
Troca de chaves via IPSEC-IKE Esta opção estará disponível apenas quando utilizar o conjunto completo de protocolos IPSEC. O IPSEC (IP Security) é um conjunto de protocolos padronizados (RFC 2401RFC 2412) desenvolvidos pela IETF. O IPSec oferece transferência segura de informações através de rede IP pública ou privada. Uma conexão via IPSec envolve sempre 3 etapas: 1. Negociação do nível de segurança; 2. Autenticação e Integridade; 3. Confidencialidade. Para implementar essas 3 etapas o IPSec utiliza-se 3 mecanismos: AH - Authentication Header ESP - Encapsulation Security Payload IKE - Internet Key Exchange Protocol 298
Recomenda-se fortemente o uso desta opção na hora de configurar os canais seguros.
Troca de chaves via Aker-CDP O Aker-CDP é um protocolo desenvolvido pela Aker Security Solutions que possibilita a configuração totalmente automática de todos os parâmetros de um canal seguro. Ele utiliza o protocolo SKIP como base (o que significa que ele oferece todas as facilidades de trocas de chaves apresentadas anteriormente), porém possui a grande vantagem de não necessitar de uma configuração manual dos segredos compartilhados, tudo é feito automaticamente. Para assegurar o máximo de segurança, toda a troca de chaves é feita por meio de certificados digitais assinados pela própria Aker ou por outras entidades certificadoras autorizadas. Nestes certificados são utilizados os protocolos DiffieHellman e RSA, ambos com 1024 bits. Os algoritmos a serem utilizados na criptografia e autenticação podem ser especificados, da mesma forma que no protocolo SKIP, ou deixados em modo automático, o que fará que os dois firewalls comunicantes negociem o algoritmo mais seguro suportado por ambos.
Troca de chaves via SKIP SKIP é um anagrama para Simple Key Management for IP. Ele é basicamente um algoritmo que permite que as trocas de chaves sejam realizadas de forma automática e com uma frequência extremamente elevada, tornando inviável a quebra destas chaves. O funcionamento do SKIP é complexo e não entraremos em maiores detalhes aqui. Nossa abordagem ficará limitada a descrever seu funcionamento. Basicamente o SKIP trabalha com três níveis diferentes de chaves:
Um segredo compartilhado pelas duas entidades que desejam comunicar-se (configurado manualmente, no caso do Aker Firewall). Uma chave mestre, recalculada de hora em hora, baseada no segredo compartilhado. Uma chave randômica, que pode ser recalculada quando se desejar.
Genericamente falando, para efetuar a comunicação, o algoritmo gera uma chave aleatória e a utiliza para encriptar e autenticar os dados a serem enviados. A seguir ele encripta esta chave com a chave mestre e envia isto junto com os dados encriptados. Ao receber o pacote, o outro lado desencripta a chave, com o auxílio da chave mestra, e a utiliza para desencriptar o restante do pacote. Os algoritmos utilizados para autenticar o pacote e encriptar a chave são definidos pelo remetente e informados como parte do protocolo. Desta forma, não é necessário configurar estes parâmetros no recipiente. A principal vantagem do SKIP é a possibilidade de utilizar o mesmo segredo compartilhado por anos, sem a menor possibilidade de quebra das chaves por 299
qualquer atacante (uma vez que a troca de chaves é efetuada em intervalos de poucos segundos a no máximo uma hora, dependendo do tráfego entre as redes comunicantes).
Troca de chaves manual Neste caso, toda a configuração de chaves é feita manualmente. Isto implica que todas as vezes que uma chave for trocada, ambos os Firewalls participantes de um canal seguro terão que ser reconfigurados simultaneamente.
Tipos de canais seguros O Aker Firewall possibilita a criação de dois tipos de canais seguros distintos, chamados de Firewall-Firewall e Cliente-Firewall. Cada um destes tipos de canais possuem objetivos e limitações diferentes e normalmente são combinados para atingir o máximo de segurança e flexibilidade.
Canais seguros Firewall-Firewall Este tipo de canal seguro é o mais comum e é suportado pelo Aker Firewall desde sua versão 1.31. Ele consiste na utilização de criptografia e autenticação entre dois firewalls, interligados através da Internet ou de outro meio qualquer. Os pontos de entrada e saída do canal são os dois firewalls, o que significa que toda a criptografia é feita transparentemente por eles e nenhum software adicional necessita ser instalado em nenhuma máquina cliente. A única limitação desta solução é que ela exige a presença de dois firewalls, um na entrada de cada rede, para que o canal seguro possa ser criado.
Canais seguros Cliente-Firewall (Secure Roaming) Estes canais são suportados pelo Aker Firewall a partir da versão 3.10. Eles permitem com que uma máquina cliente (Família Windows e Linux) estabeleça um canal seguro diretamente com um Aker Firewall. Portanto é necessária à instalação de um programa, chamado de Aker Client, em cada uma destas máquinas. A principal vantagem desta tecnologia é possibilitar com que clientes acessem uma rede coorporativa com total segurança e transparência (transparência na medida em que as aplicações que estejam rodando na máquina com o cliente de criptografia instalado desconhecem sua existência e continuam funcionando normalmente). Apesar de ser bastante útil, esta tecnologia possui algumas desvantagens e limitações:
É necessário a instalação de um software, Aker Client, em todas as máquinas clientes; O cliente de criptografia não está disponível para todas as plataformas; 300
Definindo um canal seguro firewall-firewall Para definirmos um canal seguro firewall-firewall deve-se escolher primeiro dois grupos de máquinas que irão trocar informações entre si de forma segura. Estes grupos de máquinas terão seus pacotes autenticados e, caso desejado, criptografados. É necessário que exista um firewall nas duas extremidades do canal. Estes firewalls serão responsáveis por autenticar/verificar e criptografar/desencriptar os dados a serem transmitidos e recebidos, respectivamente. Para definir os grupos de máquinas, será utilizado o conceito de entidades, mostrado no capítulo intitulado Cadastrando Entidades. Podem-se utilizar entidades do tipo máquina, rede ou conjunto nesta definição. O Aker Firewall suporta a existência de diversos canais seguros simultâneos, entre pontos distintos. A união destes diversos canais produz uma lista, onde cada entrada define completamente os parâmetros de um canal seguro. Cada uma destas entradas recebe o nome de Associação de Segurança ou SA. O planejamento destes canais seguros deverá ser feito com bastante cuidado. A criptografia é um recurso dispendioso que demanda uma capacidade de processamento muito alta. Desta forma, criptografar pacotes para os quais não exista uma necessidade real de segurança será um desperdício de recursos. Além disso, deve-se atentar que diferentes algoritmos de criptografia exigem quantidades de processamento diferentes e, por conseguinte, produzem um nível de segurança mais elevado. Dependendo do nível de segurança desejado, pode-se optar por um ou outro algoritmo (a descrição da cada algoritmo suportado pelo Aker Firewall se encontra no tópico anterior). Uma última observação sobre canais de criptografia Firewall-firewall é que estes são unidirecionais, ou seja, caso deseje configurar uma comunicação segura entre duas redes, A e B, deve-se configurar dois canais diferentes: um canal com origem na rede A e destino na rede B e outro com origem na rede B e destino na rede A. Os pacotes que forem enviados de A para B seguirão a configuração do primeiro canal e os pacotes de B para A seguirão a configuração do segundo. Isto será ilustrado com mais clareza nos exemplos abaixo: Exemplo básico de configuração de um canal seguro firewall-firewall Neste exemplo será mostrado como definir um canal seguro de comunicação entre duas redes, através da Internet, usando dois Aker Firewalls. O canal será criado de forma com que toda a comunicação entre estas duas redes seja segura. Como o algoritmo de autenticação foi escolhido o MD5 e como algoritmo de criptografia, o DES. É obrigatório o uso de um algoritmo de autenticação para todos os fluxos, ou seja, não é permitida a criação de fluxos com criptografia apenas. Isto é necessário já que sem a autenticação os algoritmos de criptografia são passíveis de ataques de recortar e colar (cut and paste).
301
Configuração do Aker Firewall da rede 1
Entidades: REDE1 - Endereço IP: A1.B1.C1.0 - Máscara 255.255.255.0 REDE2 - Endereço IP: A2.B2.C2.0 - Máscara 255.255.255.0 Regra de criptografia 1: Sentido do canal: envia Entidades origem: REDE1 Entidades destino: REDE2 Algoritmo de criptografia: DES Algoritmo de autenticação: MD5 Chave de autenticação: X1 Chave de criptografia: X2 Regra de criptografia 2: Sentido do canal: recebe Entidades origem: REDE2 Entidades destino: REDE1 Algoritmo de criptografia: DES Algoritmo de autenticação: MD5 Chave de autenticação: X3 Chave de criptografia: X4
Configuração do Aker Firewall da rede 2
Entidades: REDE1 - Endereço IP: A1.B1.C1.0 - Máscara 255.255.255.0 REDE2 - Endereço IP: A2.B2.C2.0 - Máscara 255.255.255.0 Regra de criptografia 1: Sentido do canal: recebe Entidades origem: REDE1 Entidades destino: REDE2 Algoritmo de criptografia: DES Algoritmo de autenticação: MD5 Chave de autenticação: X1 Chave de criptografia: X2 Regra de criptografia 2: Sentido do canal: envia Entidades origem: REDE2 Entidades destino: REDE1 302
Algoritmo de criptografia: DES Algoritmo de autenticação: MD5 Chave de autenticação: X3 Chave de criptografia: X4 Note que a regra 1 do Aker Firewall 1 é exatamente igual à regra 1 do Aker Firewall 2, exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2.
Figura 222 - Exemplo de configuração de um canal seguro firewall-firewall para uma sub-rede.
Exemplo de configuração de um canal seguro firewall-firewall para uma subrede Neste exemplo o nosso canal seguro será definido apenas para um grupo de máquinas dentro de cada uma das duas redes. Além disso, definiremos algoritmos diferentes para os fluxos entre estes grupos. Na prática, configurar algoritmos diferentes para os dois sentidos de um canal seguro pode ser interessante quando as informações de um determinado sentido tiverem um valor maior do que as do sentido oposto do fluxo. Neste caso, utiliza-se um algoritmo mais seguro no sentido mais crítico. Neste exemplo, vamos supor que as redes 1 e 2 possuam dois endereços classe B: A1.B1.0.0 e A2.B2.0.0, respectivamente.
Configuração do Aker Firewall da rede 1
Entidades: SUB_REDE1 - Endereço IP: A1.B1.2.0 - Máscara 255.255.255.0 SUB_REDE2 - Endereço IP: A2.B2.5.0 - Máscara 255.255.255.0 Regra de criptografia 1: 303
Sentido do canal: envia Entidades origem: SUB_REDE1 Entidades destino: SUB_REDE2 Algoritmo de criptografia: DES Algoritmo de autenticação: MD5 Chave de autenticação: X1 Chave de criptografia: X2 Regra de criptografia 2: Sentido do canal: recebe Entidades origem: SUB_REDE2 Entidades destino: SUB_REDE1 Algoritmo de criptografia: 3DES Algoritmo de autenticação: SHA Chave de autenticação: X3 Chave de criptografia: X4
Configuração do Aker Firewall da rede 2
Entidades: SUB_REDE1 - Endereço IP: A1.B1.2.0 - Máscara 255.255.255.0 SUB_REDE2 - Endereço IP: A2.B2.5.0 - Máscara 255.255.255.0 Regra de criptografia 1: Sentido do canal: envia Entidades origem: SUB_REDE2 Entidades destino: SUB_REDE1 Algoritmo de criptografia: 3DES Algoritmo de autenticação:SHA Chave de autenticação: X3 Chave de criptografia: X4 Regra de criptografia 2: Sentido do canal: recebe Entidades origem: SUB_REDE1 Entidades destino: SUB_REDE2 Algoritmo de criptografia: DES Algoritmo de autenticação: MD5 Chave de autenticação: X1 Chave de criptografia: X2 Note que neste caso as regras aparecem colocadas em uma ordem diferente nos dois firewalls: a regra 1 no Firewall 1 é igual à regra 2 do Firewall 2 (com os sentidos invertidos) e a regra 2 no Firewall 1 é igual à regra 1 no Firewall 2 (novamente com
304
os sentidos trocados). Neste exemplo, a ordem das regras não faz diferença (observe, entretanto que em alguns casos isto pode não ser verdade).
Figura 223 - Canal seguro entre redes.
Certificados IPSEC Os certificados IPSEC são certificados padrão X.509 utilizados pelo firewall para identificarem-se junto a seus pares quando do estabelecimento dos canais criptográficos firewall-firewall no padrão IPSEC (veja a seção Configurando túneis IPSEC, logo abaixo). Seu uso, entretanto, não é obrigatório, já que é possível estabelecer canais IPSEC usando segredos compartilhados. Para que um firewall aceite um certificado apresentado por outro, é preciso que ele possua o certificado da Autoridade Certificadora que o emitiu.
305
Para ter acesso a janela de manutenção de certificados IPSEC basta:
Figura 224 - Dispositivos remotos (Acesso a janelas de Certificados IPSEC).
Clicar no menu Criptografia da janela principal. Escolher o item Certificados IPSEC.
306
A janela de certificados e requisições IPSEC
Figura 225 - Janela de Certificados IPSEC.
A janela de certificados IPSEC contém os certificados e as requisições do Aker Firewall. Uma requisição é um formulário a ser preenchido com seus dados para que a autoridade certificadora gere um certificado. Um certificado é uma carteira de identidade para autenticar (reconhecer como o próprio) o seu proprietário. O Aker Firewall utilizará estes certificados para autenticar frente a seus pares quando da negociação de um canal IPSEC. Desta forma cada um dos dois Firewalls envolvidos num canal IPSEC tem que gerar seu próprio certificado. As operações desta janela se encontram na barra de ferramentas localizada acima da janela de Certificados IPSEC ou clicando-se com o botão direito do mouse sobre o campo que se deseja operar.
307
Figura 226 - Barra de ferramentas (Certificados IPSEC).
Figura 227 - Janela de ação para Certificados IPSEC.
O botão Inserir permite incluir uma nova requisição, podendo ser local ou remota, sendo que as requisições e certificados locais ficam na janela "deste firewall" e certificados e requisições remotas ficam na janela "outros firewalls". O botão Copiar copia o certificado/requisição selecionado. O botão Colar cola da memória o certificado/requisição copiado. O botão Excluir remove da lista o certificado/requisição selecionado. O botão Importar permite que seja carregado um certificado que foi exportado. O botão Exportar permite que salve o certificado selecionado. O botão Submeter permite que carregue um certificado exportado ou carregue um certificado de acordo com uma requisição selecionada (somente aparece quando inserindo um novo certificado). O botão Instalar fará com que a janela seja fechada e atualizada. O botão Atualizar recarregada as informações de certificados.
Para gerar um certificado é necessário que primeiro gere uma requisição no Aker Firewall, com esta requisição faça um pedido a uma autoridade certificadora para gerar o certificado e depois importe o certificado para o Aker Firewall. Esta janela é atualizada dinamicamente, ou seja, não é possível cancelar quando já feito o pedido. Quando incluir-se uma nova requisição local, as requisições e os certificados locais serão apagados. Da mesma forma, ao importar novo Certificado local com par de chaves (.pfx), serão apagados as requisições e os certificados locais. Desta maneira, a operação deve se dar da seguinte forma (para o certificado local): 1. Criar uma requisição local; 2. Enviar esta requisição a uma Autoridade Certificadora; 3. Esperar até que a Autoridade Certificadora emita correspondente;
o
certificado
308
4. Carregar o certificado correspondente à requisição (clicar na requisição e, depois, em Carregar). Se o desejado for criar um certificado para um firewall remoto, o procedimento muda: 1. Criar uma requisição remota; 2. Enviar esta requisição a uma Autoridade Certificadora; 3. Esperar até que a Autoridade Certificadora emita o certificado correspondente; 4. Carregar o certificado correspondente à requisição (clicar na requisição e, depois, em Carregar); 5. Exportar o certificado para um arquivo PKCS#12 (Clicar no certificado remoto correspondente e, em seguida, em exportar); 6. Importar este certificado no firewall remoto, selecionando Deste Firewall e, em seguida com o botão direito do mouse, Importar. Na janela de requisições, há dois campos que podem causar confusão:
Domínio (CN): É o identificador principal do dono da requisição. Este campo deve ser preenchido com common name. Tamanho da chave: Se o certificado for local com criação de nova chave ou remoto, este campo conterá o comprimento da chave em bits. Caso contrário (certificado local adicional) ele não poderá ser modificado, uma vez que a chave que já existe será utilizada.
Configurando canais Firewall/Firewall Para ter acesso a janela de configuração de canais Firewall/Firewall basta:
Figura 228 - Dispositivos remotos (Acesso a janela de Firewall/Firewall).
Clicar no menu Criptografia da janela principal. Escolher o item Firewall/Firewall. 309
A janela de criptografia firewall/firewall
Figura 229 - Janela de Criptografia Firewall/Firewall.
A janela de criptografia contém a definição de todos os fluxos de criptografia do Aker Firewall. Cada fluxo será mostrado em uma linha separada, composta de diversas células. Caso um fluxo esteja selecionado, ele será mostrado em uma cor diferente. Esta janela é composta por quatro abas, onde cada uma delas permite a configuração de fluxos de criptografia usando diferentes métodos de troca de chaves.
O botão OK fará com que o conjunto de fluxos seja atualizado e passe a funcionar imediatamente. O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta A barra de rolagem do lado direito serve para visualizar os fluxos que não couberem na janela. Ao clicar sobre um fluxo e selecioná-lo, se ele possuir um comentário, este aparecerá na parte inferior da janela.
Dica: A posição de cada regra pode ser alterada, bastando-se clicar e arrastar a mesma para a nova posição desejada, soltando em seguida. Observe que o cursor de indicação do mouse irá mudar para uma mão segurando um bastão. Para executar qualquer operação sobre um determinado fluxo, basta clicar com o botão direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre que pressionar o botão direito, mesmo que não exista nenhum fluxo selecionado. Neste caso, somente as opções Inserir e Copiar estarão habilitadas).
310
Figura 230 - Menu de inserção, copia ou exclusão para definição dos fluxos de criptografia.
Inserir: Esta opção permite incluir um novo fluxo na lista. Se algum fluxo estiver selecionado, o novo será inserido na posição do fluxo selecionado. Caso contrário, o novo fluxo será incluído no final da lista. Copiar: Esta opção copia o fluxo selecionado para uma área temporária. Colar: Esta opção copia o fluxo da área temporária para a lista. Se um fluxo estiver selecionado, o novo será copiado para a posição do fluxo selecionado. Caso contrário ele será copiado para o final da lista. Excluir: Esta opção apaga o fluxo selecionado. Habilitar/Desabilitar: Esta opção permite desabilitar o fluxo selecionado.
Dica: Todas estas opções podem ser executadas a partir da barra de ferramentas localizada na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada. Caso queira incluir ou editar fluxos, pode-se fazer de duas formas: As entidades envolvidas podem ser arrastadas para o fluxo que vão participar ou clicando com o botão direito do mouse sobre o campo desejado, neste caso será dada a opção de inserir, apagar ou editar entidades como mostrado a seguir:
Figura 231 - Menu de inclusão ou alteração de fluxos.
Configurando túneis IPSEC
311
Túneis IPSEC servem para criar uma VPN entre duas redes. A palavra túnel é utilizada para diferenciar das VPNs comuns, pois efetivamente cria um canal virtual entre os firewalls envolvidos, possibilitando, por exemplo, que redes com endereços inválidos se comuniquem de maneira segura através da Internet. Para configurar canais IPSEC, deve-se selecionar a opção IPSEC, na janela Firewall-Firewall. Isto provocará a alteração da janela de forma a mostrar os campos necessários para esta configuração.
Figura 232 - Configuração de canais IPSEC.
Os campos de configuração têm os seguintes significados: Origem: Definir as entidades cujos endereços serão comparados com o endereço origem dos pacotes IP que formarão o fluxo. Destino: Definir as entidades cujos endereços serão comparados com o endereço destino dos pacotes IP que formarão o fluxo. Direção: Define em que sentido o fluxo será aplicado. Só existem duas opções possíveis: ou o pacote está sendo criptografado (encriptação) ou o pacote esta sendo desencriptado (decriptação). (para maiores detalhes, veja o tópico intitulado Planejando a instalação). Gateway Remoto: Define a entidade do tipo máquina que será o gateway remoto, ou seja, na outra ponta do túnel IPSEC, é possível definir até três gateways remotos, desta forma criasse uma redundância de link para estes túneis, ou seja, caso o link do primeiro gateway remoto estiver inoperante será estabelecido o túnel através do segundo gateway remoto e assim por diante, na próxima troca de chaves será verificado se o primeiro gateway remoto está operante assim estabelecendo o túnel com ele. Agora é possível adicionar até três gateways remotos na mesma regra. 312
Cada um dos dois firewalls envolvidos no túnel precisa ter certeza da identidade do outro, de forma a evitar ataques de falsificação. Para isso, há dois modos selecionáveis: Autenticação: Definir qual algoritmo será utilizado na autenticação. Os valores possíveis são: MD5 ou SHA. Segredo Compartilhado: Uma sequência de caracteres que funciona como uma senha e deve ser igual de cada um dos lados do túnel. Certificado: Utiliza certificados padrão X.509 com um esquema de chaves públicas para a identificação dos firewalls. Este é o mesmo esquema utilizado por sites seguros na Internet, por exemplo. Devem ser especificados:
certificado local a apresentar para a outra ponta do túnel (Remote Gateway) e dado de identificação exigido do firewall remoto. Este dado será um endereço de e-mail para certificados criados com a opção USER- FQDN e nome de uma máquina (Fully Qualified Domain Dame), se a opção for FQDN.
313
Avançado A janela avançado permite definir quais são os algoritmos de criptografia e autenticação preferidos e permitidos pelo firewall durante a negociação de chaves IKE. Os campos já vêm preenchidos com algoritmos padrão que podem ser alterados. Mais informações nas RFC 2401 a RFC 2412. A janela de avançado agora inclui uma escolha da ponta local do túnel, para os casos da rede de passagem entre o firewall e o roteador ser inválida.
Figura 233 - Definição dos algoritmos de criptografia e autenticação permitidos pelo firewall durante negociação das chaves IKE.
314
Visualizando o tráfego IPSEC Clicando no item Túneis IPSEC, dentro do menu Informações, a janela abaixo aparecerá.
Figura 234 - Visualização do tráfego IPSEC.
Na janela acima, é possível visualizar quais SPIs IPSEC foram negociadas para cada um dos túneis configurados, bastando para isso clicar sobre a regra correspondente. Se houver mais de uma SPI, é porque o firewall negocia uma nova sempre antes de a anterior acabar, de forma a nunca interromper o tráfego dentro da VPN. Descrição de cada coluna:
SPI: Número de identificação da política de segurança. Algoritmo de criptografia: Mostra que o algoritmo de criptografia foi negociado. Algoritmo de Hash: Mostra que o algoritmo deve ser utilizado para fazer o hash das informações. Tamanho da chave de criptografia: Informa o tamanho da chave de criptografia que ambos os lados do canal devem utilizar. Tamanho da chave de autenticação: Informa o tamanho da chave de autenticação negociado. Protocolo: Conjunto de protocolos negociados para a SP. Bytes negociados: Quantidade de bytes que devem ser transmitidos para que uma nova política de segurança seja negociada. Bytes transferidos: Quantidade de bytes trafegados pela SP. 315
Pacotes perdidos: São pacotes que por causa de algum erro, não foram descriptografados corretamente então o firewall os descartam. Neste campo são contabilizados os pacotes descartados. Tempo total: Tempo de validade da SP. Ocioso: Tempo de inatividade do SP. Expiração: Data no qual a SP deixará de ser utilizada.
Ao clicar em "Bytes de lote Transferidos", pode-se ver um gráfico de uso dos túneis, que é atualizado a cada cinco segundos. Ele mostra o tráfego agregado de todas as SPIs de cada regra, permitindo verificar, em tempo real o uso efetivo de banda criptografada.
Figura 235 - Gráfico de acompanhamento (Bytes de logs transferidos).
Para utilizar troca de chaves manual, deve-se selecionar a opção Manual, na janela Firewall/Firewall. Isto provocará a alteração da janela de forma a mostrar os campos necessários para esta configuração.
316
9.3. Utilizando a Interface Texto
Através da Interface Texto é possível realizar todas as configurações mostradas acima. A descrição de cada configuração distinta se encontra em um tópico separado (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. Carregando certificados IPSEC A Interface Texto de configuração dos certificados IPSEC é de uso simples e possui as mesmas capacidades da Interface Remota. Localização do programa: /aker/bin/firewall/fwipseccert Sintaxe: Uso: fwipseccert ajuda fwipseccert mostra [requisição | certificado] fwipseccert remove [requisição | certificado] <numero> fwipseccert requisita <local | remoto> <1024 | 2048> <email> <pais> <estado> <cidade> <organização> <unid org> <domínio> [use_email] [imprime] fwipseccert instala <local | remoto> <certificado> fwipseccert exporta <certificado> <arquivo PKCS12> <senha> fwipseccert importa <arquivo PKCS12> <senha> Ajuda do programa:
Aker Firewall fwipseccert - Criação e manejamento de requisições e certificados x.509 Uso: fwipseccert ajuda fwipseccert mostra [requisicao | certificado] fwipseccert remove [requisicao | certificado] <numero>
ajuda
= mostra esta mensagem
mostra
= mostra uma lista contendo as requisições pendentes ou os 317
certificados instalados remove
= remove uma requisição ou certificado de acordo com seu numero
Carregando certificados A Interface Texto de configuração dos certificados de criptografia é de uso simples e possui as mesmas capacidades da Interface Remota. Localização do programa:/aker/bin/firewall/fwcert Sintaxe: fwcert ajuda fwcert mostra [local | ca | negociação | revogação] fwcert carrega [local | ca] <arquivo> [-f] fwcert carrega revogação <arquivo> fwcert remove <código> [-f] Ajuda do programa: Aker Firewall fwcert - Configura os certificados para criptografia Uso: fwcert ajuda fwcert mostra [local | ca | negociação | revogação] fwcert carrega [local | ca] <arquivo> [-f] fwcert carrega revogação <arquivo> fwcert remove <código> [-f] ajuda = mostra esta mensagem mostra = mostra os certificados especificados carrega = carrega um novo certificado no firewall remove = remove o certificado de uma entidade certificadora Para mostra temos: local = mostra o certificado de negociação local negociação = mostra os certificados de negociação de outros firewalls que foram recebidos pela rede revogação = mostra os certificados de revogação que foram carregados localmente ou recebidos pela rede
318
Para remove temos: código -f
= código da entidade certificadora a ser removida = se estiver presente, faz com que o programa não confirme ao remover um certificado
Exemplo 1: (carregando o certificado local) #/aker/bin/firewall/fwcert carrega local /tmp/firewall.crt Carregando certificado...OK Exemplo 2: (mostrando os certificados de entidades certificadoras) #/aker/bin/firewall/fwcert mostra ca Nome: Aker Security Solutions Código: 1 Nome: Entidade certificadora autorizada Código: 2 Exemplo 3: (carregando um novo certificado de entidade certificadora) #/aker/bin/firewall/fwcert carrega ca /tmp/novo_ca.ca Certificado incluído Exemplo 4: (removendo um certificado de entidade certificadora, sem confirmação) #/aker/bin/firewall/fwcert remove 2 -f Entidade certificadora removida Configurando canais Firewall-Firewall A utilização da Interface Texto na configuração das regras de criptografia e de autenticação firewall-firewall traz uma dificuldade gerada pela grande quantidade de parâmetros que devem ser passados na linha de comando. Esta Interface Texto possui as mesmas capacidades da Interface Remota com a exceção de que através dela não é possível atribuir comentários. Além disso, não será possível configurar os algoritmos a serem usados pelo IPSEC-IKE (janela avançado), eles terão sempre os valores padrão. Localização do programa: /aker/bin/firewall/fwcripto Sintaxe: Uso: fwcripto [mostra | ajuda] fwcripto [habilita | desabilita | remove] <pos> fwcripto inclui <pos> <origem> <destino> <envia | recebe> 319
ipsec <gateway> <<ss <segredo> | cert <local> <remoto>> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticação> NENHUM fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticação> <DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticação> 3DES <tamanho_iv> <chave1> <chave2> <chave3> fwcripto inclui <pos> <origem> <destino> envia skip <DES | 3DES | BFISH256> <MD5 | SHA> <NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo> fwcripto inclui <pos> <origem> <destino> recebe skip <segredo> fwcripto inclui <pos> <origem> <destino> <envia | recebe> aker-cdp Ajuda do programa: Aker Firewall fwcripto - Configura a tabela de autenticação e criptografia Uso: fwcripto [mostra | ajuda] fwcripto [habilita | desabilita | remove] <pos> fwcripto inclui <pos> <origem> <destino> <envia | recebe> ipsec <gateway> <ss <segredo> | cert <local> <remoto>> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticação> NENHUM fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticação> <DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticação> 3DES <tamanho_iv> <chave1> <chave2> <chave3> fwcripto inclui <pos> <origem> <destino> envia skip <DES | 3DES | BFISH256> <MD5 | SHA> <NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo> fwcripto inclui <pos> <origem> <destino> recebe skip <segredo> fwcripto inclui <pos> <origem> <destino> <envia | recebe> aker-cdp mostra = mostra todas as entradas da tabela de criptografia inclui = inclui uma entrada na tabela habilita = habilita uma entrada previamente desabilitada desabilita = desabilita uma entrada existente remove = remove uma entrada existente da tabela 320
ajuda = mostra esta mensagem
Para inclui temos: pos = posição onde a nova entrada será incluída na tabela (Poderá ser um inteiro positivo ou a palavra FIM para incluir no final da tabela) envia = está entrada será usada na hora de enviar pacotes recebe = está entrada será usada na hora de receber pacotes ipsec = usa troca de chave e protocolo IPSEC gateway = a entidade que representa a ponta remota do túnel IPSEC ss = usa segredo compartilhado como forma de autenticação segredo = a "string" que será usada como segredo compartilhado cert = usa certificados X.509 para autenticação local = o nome de domínio (FQDN) no certificado a apresentar remoto = o nome de domínio (FQDN) no certificado esperado manual = utiliza troca de chaves manual skip = utiliza troca de chaves automática via o protocolo SKIP aker-cdp = utiliza troca de chaves automática via o protocolo Aker-CDP spi = índice de parâmetro de segurança (É um inteiro que identifica unicamente a associação de segurança entre a máquina de origem e de destino. Este número deve ser maior que 255) MD5 = usa como algoritmo de autenticação o MD5 SHA = usa como algoritmo de autenticação o SHA-1 DES = usa como algoritmo de criptografia o DES 3DES = usa como algoritmo de criptografia o triplo DES BFISH128 = usa como algoritmo de criptografia o Blowfish com chaves de 128 bits BFISH256 = usa como algoritmo de criptografia o Blowfish com chaves de 256 bits NENHUM = não usa criptografia, somente autenticação (No caso do skip, o primeiro algoritmo selecionado corresponde ao algoritmo de criptografia da chave e o segundo corresponde ao de criptografia do pacote) tamanho_iv = tamanho do vetor de inicialização, em bits, para o algoritmo de criptografia. Deve ter o valor 32 ou 64. As chaves de autenticação, criptografia e o segredo skip devem ser entradas como números hexadecimais. No caso do 3DES devem ser digitadas 3 chaves separadas por brancos
321
Para habilita / desabilita / remove temos: pos = posição a ser habilitada, desabilitada ou removida da tabela (a posição é o valor mostrado na esquerda da entrada ao se usar a opção mostra) Redundância de link privado com VPN site to site Este comando permite o balanceamento de link, que utiliza um link dedicado ponto a ponto e uma VPN, para manter uma conexão segura entre dois pontos, mesmo quando o link dedicado cair. Esta Interface Texto possui as mesmas capacidades da Interface Remota com a exceção de que através dela não é possível atribuir comentários. Usando uma regra de balanceamento de link, para monitorar o status do link, se necessário, o Fwlinkred habilita as regras de VPN para manter a comunicação segura entre dois pontos.
Localização do programa:/aker/bin/firewall/fwlinkred Sintaxe: /aker/bin/firewall # fwlinkred ajuda Aker Firewall Uso: fwlinkred ajuda fwlinkred mostra fwlinkred inclui <link> <vpn1> [vpn2] ... [vpnN] fwlinkred remove < regra > fwlinkred < habilita | desabilita > < regra > Onde: <link> e nome de regra de balanceamento <vpnN> e numero de regra de VPN IPSEC <rule> e numero de regra de redundância
322
Configurando criptografia Cliente-Firewall
323
10.
Configurando criptografia Cliente-Firewall Este capítulo mostra como configurar o firewall e o Aker Client de modo a propiciar a criação de canais seguros entre máquinas clientes e um Aker Firewall.
10.1.
Planejando a instalação.
O que é um canal seguro Cliente-Firewall? Conforme já explicado no capítulo anterior, um canal seguro cliente-firewall é aquele estabelecido diretamente entre uma máquina cliente e um Aker Firewall. Isto é possível com a instalação de um programa, chamado de Aker Client, nas máquinas clientes. Um canal de criptografia Cliente-Firewall utiliza as mesmas tecnologias de criptografia, autenticação e troca de chaves já mostradas para os canais seguros Firewall-Firewall, com a diferença de que tudo é negociado automaticamente pelas partes comunicantes. Ao administrador é possível apenas desabilitar determinados algoritmos, de forma a assegurar que eles não serão utilizados. Outra diferença fundamental entre os canais seguros firewall-firewall e clientefirewall, da forma com que são implementados no Aker Firewall, é que os primeiros são sempre realizados ao nível de pacotes IP, onde cada pacote é encriptado individualmente, enquanto que os segundos são feitos ao nível de fluxo de dados, onde está encriptado somente as informações contidas na comunicação (e não os demais dados do pacote IP).
Exigências para a criação de canais seguros Cliente-Firewall Para que seja possível o estabelecimento de canais seguros entre clientes e um firewall, é necessário que a seguinte lista de condições seja atendida: 1. O Aker Client esteja instalado em todas as máquinas que estabelecerão canais seguros com o firewall, no caso de utilizarem o Secure Roaming; ou 2. Clientes que suportem os protocolos L2TP ou PPTP.
324
Definindo um canal seguro cliente-firewall A definição de um canal seguro cliente-firewall é bem mais simples do que a de um canal firewall-firewall. É necessário apenas configurar no firewall quais máquinas poderão estabelecer canais seguros de clientes e se ocorrerá ou não autenticação de usuários. Todo o restante da configuração é feito automaticamente, no momento em que o cliente inicia a abertura do canal seguro.
10.2.
Aker Secure Roaming
Para ter acesso à janela de configurações do Secure Roaming basta:
Figura 236 - Dispositivos remoto (Acesso as configurações do Security Roaming).
Clicar no menu Criptografia da janela principal; Escolher o item Clientes VPN.
325
A janela de configurações do Secure Roaming
Figura 237 - Configuração geral do Security Roaming
O botão OK fará com que a janela de configurações do Secure Roaming seja fechada e as alterações efetuadas aplicadas; O botão Cancelar fará com que a janela seja fechada porém as alterações efetuadas não sejam aplicadas; O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta. Aba Geral
Número máximo de conexões simultâneas: Aqui você pode configurar o número máximo de clientes conectados simultaneamente no Secure Roaming, L2TP ou PPTP em um determinado tempo. Use esta opção para evitar com que o servidor tenha uma sobrecarga por excesso de clientes, o que pode diminuir a performance.
O número não pode ser superior ao de sua licença. Se estiver em 0, nenhum cliente será permitido.
326
Limite de conexões simultâneas: Indica o limite máximo de conexões permitido por sua licença.
Aba Secure Roaming
Figura 238 - Configuração do Security Roaming.
Métodos de Autenticação: As opções disponíveis, que podem ser marcadas independentemente, são: 1. Usuário/senha: O usuário deverá ser autenticado por meio de uma combinação de nome e uma senha. Esses dados serão repassados a um ou mais servidores de autenticação que devem validá-los. Esta opção é a mais insegura porém não depende de nenhum hardware adicional; 2. Token (SecurID): O usuário deverá ser autenticado mediante o fornecimento de um nome, um PIN e um código presente em um Token SecurID que é modificado a cada minuto. Esses dados serão repassados para o autenticador Token cadastrado no firewall para serem validados. Essa opção é bem mais segura que a anterior, porém exige que cada usuário possua um Token; 3. Smartcard/X.509: O usuário deverá ser autenticado por meio do uso de certificados X.509 (por exemplo, gravados em smart cards) e emitidos por uma das autoridades certificadoras cadastradas no firewall. Essa forma de autenticação é a mais segura das três, por exigir a senha de desbloqueio da chave privada e a posse da mesma; 327
Versões antigas do cliente Secure Roaming são permitidas: Permite que versões antigas do cliente Secure Roaming se conectem.
Habilita IPSEC: Utiliza protocolo IPSEC na comunicação com o Secure Roaming.
Permitir compressão de dados: A compressão de dados é importante para conexões lentas, como as discadas. Quando esta opção está marcada, é feita a compressão das informações antes de serem enviadas pela rede. Isso permite um ganho de performance na velocidade de comunicação, porém, exige um maior processamento local. Para redes mais rápidas, é melhor não se utilizar a compressão. Porta TCP/UDP: Este controle permite configurar a porta usada pelo servidor para escutar conexões e dados de clientes, respectivamente. Por exemplo, você pode configurar o servidor para usar as portas TCP/443 e UDP/53, em ordem para burlar firewalls e/ou outros dispositivos de filtragem entre servidores e clientes. Esses dispositivos recusariam uma conexão VPN, mas não uma conexão HTTP segura e uma requisição DNS, respectivamente. A porta padrão é 1011 tanto para TCP e UDP.
Aba Acesso
Figura 239 - Lista de controle de acesso do Security Roaming.
Tipo da lista de controle de acesso: Aqui você escolhe qual é o tipo da Lista de controle de acesso: 328
1. Nenhum: Sem controle de acesso. Todo cliente tem permissão para conectar ao servidor. 2. Permitir entidades listadas: Somente os endereços IP listados, ou endereços que pertençam às entidades rede e/ou conjunto listadas, poderão estabelecer conexão. 3. Proibir entidades listadas: As entidades listadas, ou que pertençam a entidades rede e/ou conjunto listadas, não serão capazes de estabelecer conexões. As demais entidades serão. Lista de controle de acesso: Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:
Clicar com o botão direito do mouse na lista, ou Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o botão direito do mouse sobre a entidade que será removida, ou Selecionar a entidade desejada e pressione a tecla Delete. A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele é mostrado ao clicar com o botão direito do mouse em alguma entidade listada. No exemplo da figura, a entidade clicada foi Host4:
Figura 240 - Menu com escolha das entidades a ser adicionadas.
329
Aba Endereços
Figura 241 - Conjunto de endereços do Security Roaming.
Conjunto de endereços: Lista de endereços que podem ser atribuídos a clientes remotamente conectados ao firewall. Os endereços de máquinas listados e todos os endereços que compõem as redes e conjuntos incluídos somam-se para definir o conjunto de endereços atribuíveis a clientes. Notar que as entidades listadas devem estar conectadas a algum adaptador de rede configurado no firewall. Caso contrário, não será possível estabelecer conexão com tal entidade.
Para adicionar ou remover uma entidade do Conjunto de endereços, basta proceder como na Lista de controle de acesso. As redes nesse campo definem um conjunto de endereços, não uma sub-rede no sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for incluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e o último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindose ambos os extremos.
330
10.3.
L2TP
L2TP é uma extensão do PPP (Point-to-Point Protocol), unindo características de outros dois protocolos proprietários: o L2F (Layer 2 Forwarding) da Cisco e o PPTP (Point-to-Point Tunneling Protocol) da Microsoft. É um padrão da IETF (Internet Engineering Task Force), que conta com a participação da Cisco e do PPTP fórum, entre outros líderes de mercado. O L2TPv3, analisado neste trabalho é uma atualização da RFC2661 (L2TPv2), e foi originalmente definido como um método para tunelamento para quadros PPP através de uma rede de comutação de pacotes. Surgiu então a necessidade de atualizar o método, para que ele incluísse todos os encapsulamentos da camada 2 que necessitassem de tunelamento através de redes de comutação de pacotes. Entre as mudanças para a versão 3, temos: retirada de todas as partes específicas ao PPP do cabeçalho L2TP, garantindo assim a generalização para outras aplicações, e a mudança para um formato que possibilitasse o desencapsulamento de forma mais rápida. O L2TP fornece a flexibilidade e escalabilidade do IP com a privacidade do Frame Relay ou ATM (Asynchronous Transfer Mode), permitindo que serviços de rede sejam enviados em redes roteadas IP. As decisões são tomadas nas terminações dos túneis ou VPNs, e comutadas sem a necessidade de processamento nos nós intermediários. As seguintes vantagens são oferecidas pelo L2TP:
permite o transporte de protocolos que não o IP, como o IPX (Internetwork Packet Exchange, da Novell/Xerox) e o SNA, assim como outros protocolos dos terminais; mecanismo simples de tunelamento para implementar funcionalidades de LAN e IP de forma transparente, possibilitando serviços de VPN IP de forma bastante simples; simplifica a interação entre as redes do cliente e do provedor; fácil configuração para o cliente.
Referências: Steven Brown, Implementing Virtual Private Networks, McGraw Hill, 1999.
331
Configurando a VPN L2TP
Figura 242 - Configuração da VPN L2TP.
Habilitar L2TP: Este campo habilita o servidor de L2TP no Aker Firewall e permite configurar outros campos como:
Servidor de DNS Primário e secundário: Configura dois servidores DNS a serem usados durante a sessão criptográfica. Usado para o caso de haver um servidor de DNS interno na corporação; Usar autenticação IPSEC: Habilita os modos de autenticação e encapsulamentos dos dados L2TP em pacotes IPSEC, os modos de autenticação são através de “Segredo compartilhado ou certificado X.509”.
Conjunto de Endereços: Lista de endereços que podem ser atribuídos a clientes remotamente conectados ao firewall. Os endereços de máquinas listados e todos os endereços que compõem as redes e conjuntos incluídos somam-se para definir o conjunto de endereços atribuíveis a clientes. Notar que as entidades listadas devem estar conectadas a algum adaptador de rede configurado no firewall. Caso contrário, não será possível estabelecer conexão com tal entidade. Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:
Clicar com o botão direito do mouse na lista, ou 332
Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o botão direito do mouse sobre a entidade que será removida, ou Selecionar a entidade desejada e pressione a tecla Delete. A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele é mostrado ao clicar com o botão direito do mouse em alguma entidade listada. No exemplo da figura, a entidade clicada foi Host4:
Figura 243 - Menu com escolhas da entidade para adicionar.
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for incluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e o último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos. Configurando usando Interface Texto # fwl2tp ajuda Firewall Aker Uso: fwl2tp help fwl2tp mostra fwl2tp < habilita | desabilita > fwl2tp ipsec ss < segredo > fwl2tp ipsec cert < fqdn > fwl2tp ipsec nenhum 333
fwl2tp dns_1 < dns_server > fwl2tp dns_2 < dns_server > fwl2tp inclui < rede > fwl2tp remove < rede > os parâmetros são: segredo : O segredo compartilhado IPSEC fqdn : O nome domínio presente no certificado X.509 para autenticação IPSEC dns_server : Um servidor DNS (entidade) para os clientes de VPN rede : Entidade rede ou máquina para o conjunto de endereços IP dos clientes de VPN
Configurando o Cliente L2TP
Windows 7 / XP
No Windows 7, crie uma nova conexão de VPN, na Central de Rede e Compartilhamento. No Windows XP, isso deve ser feito na janela Conexões de rede. Um assistente para a criação desta conexão aparecerá, e deve ser preenchido de acordo com as imagens abaixo:
Figura 244 - Configurando o cliente L2TP (Windows Vista/XP).
334
Figura 245 - Configurando o cliente L2TP (utilizando VPN).
335
Figura 246 - Configurando o cliente L2TP (escolha do IP e nome da conexão).
Na imagem acima, 192.168.0.100 é o endereço do Aker Firewall com servidor L2TP visível pelo Cliente de VPN. Este endereço pode ser um nome, como firewall.empresa.com.br.
336
Figura 247 - Configurando o cliente L2TP (nome do usuário e senha utilizados para autenticar o cliente de VPN no Aker Firewall).
Na imagem acima, devem ser preenchidos o nome de usuário e senha que serão utilizados para autenticar o cliente de VPN no Aker Firewall.
337
Figura 248 - Configuração da VPN L2TP concluída.
Após clicar em Close, será criada uma nova conexão, que precisa ser editada, no passo seguinte. Não clique em Connect now. Abra a janela Conexões de rede, e edite as propriedades da conexão recém-criada de acordo com as janelas abaixo:
338
Figura 249 – Propriedades de Conexão VPN (edição das propriedades de conexão). Em propriedades de Conexão VPN, na aba Segurança, configure a janela de acordo com a imagem acima:
Após clicar OK, volte ao diálogo de propriedades e continue a configuração:
339
10.4.
PPTP
O Point-to-Point Tunneling Protocol (PPTP) é um método para execução de redes virtuais privadas. PPTP usa o TCP (porta 1723) e o GRE (Outros 47). PPTP usa um canal de controle sobre TCP e GRE túnel operacional para encapsular PPP pacotes.
Configurando a VPN PPTP
Figura 250 - Configurando a VPN PP TP.
Habilitar PPTP: Este campo habilita o servidor de PPTP no Aker Firewall e permite configurar outros campos como:
Servidor de DNS Primário e secundário: Configura dois servidores DNS a serem usados durante a sessão criptográfica. Usado para o caso de haver um servidor de DNS interno na corporação; Segurança: Permite especificar os métodos de encriptação da autenticação e dos dados trafegados, as opções são:
340
PAP: Autenticação não cifrada e dados não cifrados. Funciona com qualquer tipo de autenticador que possa ser cadastro no Firewall; CHAP: Autenticação cifrada, dados não cifrados. Funciona somente com o autenticador RADIUS; MS-CHAPv2: Autenticação cifrada, dados não cifrados. Funciona somente com o autenticador RADIUS; MPPE (MS-CHAPv2 + MPPE): Autenticação cifrada, dados cifrados com RC4 e chave de 40 a 128 bits. Funciona somente com o autenticador RADIUS; MPPE-128(MS-CHAPv2 + MPPE-128): Autenticação cifrada, dados cifrados com RC4 e chave de 128 bits. Funciona somente com o autenticador RADIUS.
Conjunto de Endereços: Lista de endereços que podem ser atribuídos a clientes remotamente conectados ao firewall. Os endereços de máquinas listados e todos os endereços que compõem as redes e conjuntos incluídos somam-se para definir o conjunto de endereços atribuíveis a clientes. Notar que as entidades listadas devem estar conectadas a algum adaptador de rede configurado no firewall. Caso contrário, não será possível estabelecer conexão com tal entidade.
Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:
Clicar com o botão direito do mouse na lista, ou Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o botão direito do mouse sobre a entidade que será removida, ou Selecionar a entidade desejada e pressione a tecla Delete. A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele é mostrado ao clicar com o botão direito do mouse em alguma entidade listada. No exemplo da figura, a entidade clicada foi Host4:
341
Figura 251 - Menu com escolhas da entidades para adicionar.
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for incluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e o último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos. Configurando usando Interface Texto /aker/bin/firewall # fwpptpsrv ajuda Aker Firewall Uso: fwpptpsrv ajuda fwpptpsrv mostra fwpptpsrv < habilita | desabilita > fwpptpsrv limpa fwpptpsrv dns_1 < dns_server > fwpptpsrv dns_2 < dns_server > fwpptpsrv inclui < rede > fwpptpsrv remove < rede > fwpptpsrv segurança < PAP | CHAP | MS-CHAPv2 | MPPE | MPPE-128 > os parâmetros são: 342
dns_server : Um servidor DNS (entidade) para os clientes de VPN rede
: Entidade rede ou máquina para o conjunto de endereços IP dos clientes de VPN
Configurando o Cliente PPTP para autenticação com PAP
Windows Vista / XP No Windows Vista, crie uma nova conexão de VPN, no Network and Sharing Center. No Windows XP, isso deve ser feito na janela Network Connections. Um assistente para a criação desta conexão aparecerá, e deve ser preenchido de acordo com as imagens abaixo:
Figura 252 - Configurando o Cliente PPTP para autenticação com PAP (Windows Vista/XP).
343
Figura 253 - Janela de configuração da VPN no Microsoft Windows®.
344
Figura 254 - Janela de configuração de rede da VPN no Microsoft Windows®.
Na imagem acima, 192.168.0.100 é o endereço do AKER FIREWALL com servidor PPTP visível pelo cliente de VPN. Este endereço pode ser um nome, como firewall.empresa.com.br.
345
Figura 255 - Janela de configuração de usuário e senha da VPN no Microsoft Windows®.
Na imagem acima, devem ser preenchidos o nome de usuário e senha que serão utilizados para autenticar o cliente de VPN no AKER FIREWALL.
346
Figura 256 - Configuração da VPN no Microsoft Windows® concluída.
Após clicar em Close, será criada uma nova conexão, que precisa ser editada, no passo seguinte. Não clique em Connect now. Abra a janela Conexões de rede, e edite as propriedades da conexão recém-criada de acordo com as janelas abaixo:
347
Picture 265 - Propriedades de Conexão VPN(edição das propriedades de conexão) Em propriedades de Conexão VPN, na aba Segurança, configure a janela de acordo com a imagem acima: : Configurando o servidor Radius Microsoft – IAS A seguinte configuração aceita todos os tipos de criptografia. Para iniciar a configuração precisamos cadastrar o endereço IP do firewall e sua senha NAS:
348
Figura 257 - Configurações do Servidor de autenticação Radius do Microsoft Windows Server®.
349
Figura 258 - Configurações do Shared secret do servidor de autenticação Radius do Microsoft Windows Server®.
Após cadastrar o(s) firewall(s), define-se as regras de acesso remoto (Remote Access Policies), efetue suas configurações iguais às exibidas abaixo:
350
Figura 259 - Definição das regras de acesso remoto do servidor de autenticação Radius do Microsoft Windows Server®.
351
Figura 260 - Especificação das condições de conexão do servidor de autenticação Radius do Microsoft Windows Server®.
352
Clique em Edit Profile.
Figura 261 - Especificação das condições de conexão - Edição.
353
Figura 262 - Especificação das condições de conexão – IP.
354
Figura 263 - Especificação das condições de conexão – Multilink.
355
Figura 264 - Especificação das condições de conexão – Authentication.
356
Figura 265 - Especificação das condições de conexão – Encryption.
357
Figura 266 - Especificação das condições de conexão – Advanced.
Devido às políticas de segurança do Windows Servertm, será necessário informar quais usuários podem efetuar estas autenticações, para realizar esta etapa uma Policy em “Connection Request Policies”.
358
Figura 267 - Informações dos usuários podem efetuar autenticações.
Também é necessário que no Microsoft Active Directorytm, selecione os usuários que podem efetuar estas autenticações e permitam que VPN e Dial-in, vejam na janela abaixo:
359
Figura 268 - Propriedades dos usuários que podem efetuar autenticações.
Para suporte CHAP, é necessário alterar as políticas de segurança do Windows, de forma que o mesmo salve as senhas com criptografia reversível e, após este passo, alterar as senhas dos usuários. Mais informações neste link: http://technet.microsoft.com/en-us/library/cc782191(WS.10).asp
360
10.5.
IPSEC Client
O conjunto de protocolos IPSEC (em especial IKE e ESP) não foi projetado para o uso em modo cliente-servidor. Por isso, diversas extensões na sua implementação original (RFC 2401 e família) são necessárias para que o mesmo possa ser utilizado com esta finalidade. Diferentemente do que ocorre com as VPNs L2TP/IPSEC e PPTP, não existe um padrão devidamente normatizado para essas extensões necessárias ao funcionamento de VPNs IPSEC modo túnel para clientes remotos. O que existe são uma série de propostas de RFCs (Internet Drafts) que nunca foram aceitas pelo IETF, mas mesmo assim, são utilizadas largamente por diversos fabricantes de equipamentos e clientes de VPN. A seguir, explicamos os diversos problemas encontrados para estabelecer esse tipo de VPN e indicamos as soluções encontradas, indicando as RFCs e drafts correspondentes, quando for o caso. Autenticação com usuário e senha Originalmente, o protocolo IKE somente suporta autenticação simétrica, em especial utilizando segredos compartilhados ou certificados digitais. Quando se trata de VPNs para clientes remotos, o mais prático é utilizar autenticação por meio de usuário e senha. A proposta mais aceita para extensão do IKE nesse sentido chama-se 1XAUTH, uma proposta da Cisco cujo draft mais recente é o 2draft-beaulieu-ike-xauth-02, de outubro de 2001. Essa proposta é largamente utilizada por diversos fabricantes e propõe estender o protocolo IKE incluindo uma segunda etapa de autenticação entre as fases 1 e 2 tradicionais. Com isso, após o estabelecimento de uma SA ISAKMP durante a fase 1, antes de estabelecer SAs de fase 2 (ESP), uma nova troca cifrada verifica as credenciais do usuário. Configuração de rede do cliente Um problema importante a ser resolvido nas VPNs IPSEC para clientes é a configuração de rede do mesmo. Geralmente, uma interface virtual é criada no computador onde executa o cliente de VPN e esta interface recebe endereços e rotas da rede interna protegida pelo gateway de VPNs. Para não precisar configurar cada um dos clientes com endereços IPs estáticos e diferentes, é necessário uma solução que permita ao servidor de VPN informar ao cliente quais configurações utilizar. A proposta mais aceita para solucionar essa questão chama-se Mode Config3, também produzida pela Cisco em outubro de 2001 e que tem como draft mais recente o draftdukes-ike-mode-cfg-024. Essa proposta é também largamente utilizada por diversos fabricantes de equipamento de VPN e propõe, do mesmo 361
modo que o XAUTH, entre as fases 1 e 2, executar uma série de perguntas e respostas entre o cliente e o servidor de criptografia, com o propósito de configurar aquele a partir desse. Detecção de cliente desconectado Clientes remotos têm grande probabilidade de serem desconectados do servidor de criptografia sem aviso prévio. Um exemplo simples é um dispositivo conectado por WIFI afastar-se demais de seu access point. O protocolo IPSEC originalmente proposto não tem nenhuma outra forma de detectar que a conectividade foi perdida que não seja pela falha da troca de chaves, o que se dá em intervalos relativamente longos, devido a seu custo computacional. Se a desconexão de clientes não for rapidamente detectada, recursos escassos como os endereços IP do conjunto disponível para os mesmos podem ser rapidamente exauridos no servidor de VPN. A proposta padronizada para este fim está descrita na RFC 3706 e consiste em permitir a ambos endpoints IPSEC enviar pacotes de ping protegidos pela SA de fase 1 (ISAKMP) de acordo com sua necessidade. Esses pacotes geralmente são enviados em intervalos bem mais curtos que a troca de chave, uma vez que toda a transação de enviá-los, respondê-los e recebê-los tem um custo muito baixo.
IPSEC
Figura 269 - Clientes VPN - IPSEC.
362
Habilitar Cliente IPSEC: Este campo habilita o servidor de IPSEC Client no Aker Firewall e permite configurar outros campos como:
Servidor de DNS Primário, secundário e terciário: Configura até três servidores DNS a serem usados durante a sessão criptográfica. Usado para o caso de haver um servidor de DNS interno na corporação; Servidor WINS Primário, secundário e terciário: Configura até três servidores WINS a serem usados durante a sessão criptográfica. Usado para o caso de haver um servidor de WINS interno na corporação; Mensagem de autenticação: Mensagem de apresentação (banner) a ser mostrada para os clientes.
Lista de endereços que podem ser atribuídos a clientes - Conjunto de Endereços: Lista de endereços que podem ser atribuídos a clientes remotamente conectados ao firewall. Os endereços de máquinas listados e todos os endereços que compõem as redes e conjuntos incluídos somam-se para definir o conjunto de endereços atribuíveis a clientes. Notar que as entidades listadas devem estar conectadas a algum adaptador de rede configurado no firewall. Caso contrário, não será possível estabelecer conexão com tal entidade. Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:
Clicar com o botão direito do mouse na lista, ou Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o botão direito do mouse sobre a entidade que será removida, ou Selecionar a entidade desejada e pressione a tecla Delete. A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele é mostrado ao clicar com o botão direito do mouse em alguma entidade listada. No exemplo da figura, a entidade clicada foi Host4:
363
Figura 270 - Lista de endereços que podem ser atribuídos aos clientes.
.
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for incluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e o último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.
Lista de endereços que são redes protegidas – Redes Protegidas: Lista de endereços de hosts ou redes protegidas pela VPN IPSEC, quando utilizado os clientes da VPN IPSEC Client recebem rotas para alcançarem estes endereços sem alterar o default gateway da sua estação. Quando deixar este campo em branco os clientes da VPN IPSEC Client recebem o endereço IP do Aker Firewall como default gateway. Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:
Clicar com o botão direito do mouse na lista, ou Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o botão direito do mouse sobre a entidade que será removida, ou Selecionar a entidade desejada e pressione a tecla Delete. A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele é mostrado ao clicar com o botão direito do mouse em alguma entidade listada. No exemplo da figura, a entidade clicada foi Host4:
364
Figura 271 - Lista de endereços que são redes protegidas.
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for incluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e o último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.
Grupos: Este campo permite definir as opções de autenticação do IPSEC para os clientes:
Nome do grupo: Identidade dos grupos, os clientes especificam o grupo e assim qual o método de autenticação será utilizado. Autenticação: Segredo Compartilhado: Uma sequência de caracteres que funciona como uma senha e deve ser igual de cada um dos lados do túnel. Certificado: Utiliza certificados padrão X.509 com um esquema de chaves públicas para a identificação dos firewalls. Este é o mesmo esquema utilizado por sites seguros na Internet.
365
Configurando usando Interface Texto /aker/bin/firewall # fwipseccli ajuda Aker Firewall Uso: fwipseccli ajuda fwipseccli mostra fwipseccli < habilita | desabilita > [grupo] fwipseccli dns_1 < dns_server > fwipseccli dns_2 < dns_server > fwipseccli dns_3 < dns_server > fwipseccli wins_1 < wins_server > fwipseccli wins_2 < wins_server > fwipseccli wins_3 < wins_server > fwipseccli mensagem < mensagem > fwipseccli inclui < conjunto | protegida > < rede > fwipseccli remove < conjunto | protegida > < rede > fwipseccli grupo < inclui | remove > < grupo > fwipseccli ss < grupo > < segredo > fwipseccli cert < grupo > < fqdn > os parâmetros são: segredo: O segredo compartilhado IPSEC fqdn
: O nome domínio presente no certificado X.509 para autenticação IPSEC
dns_server : Um servidor DNS (entidade) para os clientes de VPN wins_server: Um servidor WINS (entidade) para os clientes de VPN 366
rede
: Entidade rede ou máquina para o conjunto de endereços IP dos clientes de VPN ou a lista de redes protegidas
grupo
: O nome do grupo de clientes
mensagem: A mensagem de autenticação dos usuários
Configurando os Clientes De modo genérico, as configurações recomendadas para clientes de criptografia são as seguintes: Shared Secret Fase 1 1
Configuração Forma de autenticação Forma de identificação
1
Credenciais de usuário Use usuário e senha que possam ser (XAUTH) verificados pelo subsistema de autenticação do Aker Firewall, os mesmos que, por exemplo, o Filtro Web aceita para autenticação. Algoritmos de criptografia 3DES / SHA-1 (pode ser modificado pela e hash Controle Center) Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pela Control Center) Tempo de vida de SA 3600 segundos (pode ser modificado pela Control Center) Algoritmos AES-256 / SHA-1 HMAC-96 PFS / Grupo diffie Não / 0 hellman Tempo de vida de SA 3600 segundos
1 1 1 2 2 2
Valor secret + XAUTH KEY_ID. Use o mesmo nome do grupo criado no fwipseccli. Alguns clientes chamam essa configuração de grupo mesmo.
Figura 272 - Configurações recomendadas para clientes de criptografia – Shared Secret.
367
X.509 A configuração X.509 é muito parecida: Fase 1 1
Configuração Forma de autenticação Forma de identificação
1
Credenciais de usuário Use usuário e senha que possam ser (XAUTH) verificados pelo subsistema de autenticação do Aker Firewall, os mesmos que, por exemplo, o Filtro Web aceita para autenticação. Algoritmos de criptografia 3DES / SHA-1 (pode ser modificado pela e hash Controle Center) Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pela Control Center) Tempo de vida de SA 3600 segundos (pode ser modificado pela Control Center) Algoritmos AES-256 / SHA-1 HMAC-96 PFS / Grupo diffie Não / 0 hellman Tempo de vida de SA 3600 segundos
1 1 1 2 2 2
Valor X.509 (RSA SIG) + XAUTH. FQDN. Use o nome do Subject Alternative Name do certificado. Alguns clientes exigem que esse nome seja o mesmo do endereço IP ou domínio de conexão.
Figura 273 - Configurações recomendadas para clientes de criptografia – X.509.
368
Exemplos: ShrewSoft VPN Client com segredo compartilhado Para a configuração deve ser preenchido os campos de acordo com as imagens abaixo:
Figura 274 - Configuração da VPN – General.
369
Figura 275 - Configuração da VPN – Authentication.
Figura 276 - Configuração da VPN – Phase 1.
370
Figura 277 - Configuração da VPN – Phase 2.
Figura 278 - Configuração da VPN – Connect.
371
iPhone com certificado Nesse caso, é necessário usar a ferramenta de configuração para empresas do iPhone, que pode ser obtida gratuitamente no site da Apple. Atenção ao fato que é necessário incluir o certificado da CA (.CER) e o certificado com chaves do cliente (.PFX) no perfil de configuração. Para fazer isso, primeiro é necessário incluir esses certificados nas configurações do Windows. Além disso, atenção ao fato que o iPhone exige que o "Hostname or IP Address for Server" seja igual ao Subject Alternative Name do firewall, sob pena de recusar o certificado e impedir a conexão.
Figura 279 - Configuração iPhone – certificado.
372
Figura 280 - Configuração iPhone– estabelecendo VPN.
373
ShrewSoft VPN Client com certificado
Figura 281 - Configuração VPN com certificado.
374
Figura 282 - Configuração VPN - Authentication – Local Identity.
Figura 283 - Configuração VPN - Authentication – Remote Identity.
375
Figura 284 - Configuração VPN - Authentication – Authentication Method.
376
10.6.
VPN – SSL
A configuração do Portal VPN SSL e do Apple é bastante simples, uma vez que todos os detalhes de funcionamento do portal e do applet são responsabilidade do firewall. Ao administrador cabe definir nome do portal, qual o certificado será utilizado pelo firewall e etc. Todas estas configurações são feitas na janela VPN SSL. Para acessá-la, basta:
Figura 285 - VPN SSL.
Clicar no menu Criptografia da janela principal. Escolher o item VPN SSL.
Quando selecionada a opção Enable VPN SSL, os campos de edição das configurações do portal e do applet são habilitados.
377
Portal
Figura 286 - VPN SSL - Portais.
No portal web, o cliente se autentica no firewall e como resultado recebe o applet que implementa o túnel SSL. Título do Portal: Este campo informa o nome do portal. Possui um limite máximo de 64 caracteres e somente aceita texto simples. Certificado CN do Firewall: Este campo informa o nome do certificado aplicado ao FW.
378
Ao clicar no ícone o certificado. O ícone
carrega-se um arquivo com extensão *.p12/*.pfx que contém mostra um resumo das informações do certificado e o
ícone permite exportar um arquivo com extensão *.p12/*.pfx contendo um certificado. Autenticação: Este campo informa o tempo de expiração de autenticação no portal, sendo o tempo máximo que pode levar para estabelecer a sessão, variando de 0 a 30 seg. Mostrar campo Domínio: Quando selecionada essa opção permite mostrar o campo domínio no formulário de login do portal. A seleção desse campo é opcional. Usar o protocolo SSLv2: Quando selecionada essa opção, opta por utilizar a versão 2 do protocolo SSL. Ele não é utilizado por padrão devido à existência de um bug de segurança. Forçar autenticação x.509: Esta opção permite forçar uma autenticação x.509, pois impede que o usuário se autentique sem ser por meio do certificado digital. Permitir que um usuário tenha acesso por diferentes IPs ao mesmo tempo: Esta opção permite ao usuário se logar no portal a partir de um ou mais IPs diferentes simultaneamente. Informação de logon: Esse campo permite incluir o texto que será apresentado no portal com informações básicas sobre o seu funcionamento. Não possui tamanho definido e pode ser escrito usando o formato HTML. pop-up não aberto: Esse campo é informativo. Caso o applet apresente erro ao carregar, este texto será mostrado ao usuário como resposta ao erro ocorrido.
379
Applet
Figura 287 - VPN SSL - Applet.
Usar o logo customizado: Ao habilitar essa opção, permite ao usuário apresentar o seu logotipo no applet. Alterar arquivo: Este botão permite trocar o logotipo apresentado. Este botão apenas aparece quando a opção Usar o logo customizado for selecionada. Porta: Esta opção permite definir a porta na qual o applet vai se conectar no firewall para fazer o túnel SSL. 380
Timeout da Conexão: Este campo informa o tempo em segundos que a conexão pode ficar sem trafegar nenhum dado no túnel SSL. Ao expirar esse tempo o túnel será fechado. Usando a applet: Este campo mostra informações gerais de utilização do applet. O texto não pode ser em formato HTML e não possui tamanho definido. Visualização: Nesta área podem ser visualizadas todas as configurações visuais aplicadas ao applet, sendo incluso o título e os logotipos da Aker e do Cliente.
Cliente O cliente necessita de um browser e do Java virtual Machine instalado para ter acesso, que é realizado através da seguinte url: https:\\ IP do Firewall a ser acessado. Para essa funcionalidade é necessário habilitar o “Filtro WEB” e marcar a opção “Forçar Autenticação” na aba Geral. Após o usuário aceitar os certificados, aparecerá uma tela de autenticação, onde usuário e senha definirão qual o perfil de acesso e quais portas de comunicação terão permissão na VPN.
381
Instalação do Aker Authentication Agent Para realizar a instalação basta: Baixar o Aker Authentication Agent; Clicar na botão “Avançar”; Aparecerá a tela do Contrato de Licença;
Figura 288 – Mensagem de boas vindas ao Assistente de Instalação do Aker Authentication Agent.
382
Ler o Contrato de Licença de Programa; Clicar na opção “Aceito os termos do contrato de licença”; Clicar no botão “Avançar”;
Figura 289 – Contrato de licença de instalação do programa.
383
Surgirá a tela “Pasta de Destino”; Caso queria instalar o arquivo em uma pasta diferente, deve-se clicar em “Alterar”. Se desejar instalar na pasta indicada, clicar no botão “Avançar”;
Figura 290 – Pasta de destino de instalação.
384
Surgirá a tela dizendo a seguinte mensagem: “Pronto para instalar o programa”, ou seja, o assistente encontra-se pronto para realizar a instalação. Caso esteja tudo ok, clicar em “Instalar”, se desejar realizar alguma alteração nas telas anteriores, clicar no botão “Voltar”.
Figura 291 – Mensagem que o assistente está pronto para realizar a instalação.
385
Surgirá a tela dizendo mostrando o status de instalação. Caso deseje cancelar o processo, basta clicar no botão “Cancelar”.
Figura 292 – Barra de status da instalação.
386
Após a conclusão da instalação surgirá à tela de conclusão, informando que a instalação foi realizada com sucesso, para encerrar, basta clicar no botão “Concluir”.
Figura 293 – Mensagem de instalação do Aker Authentication Agent foi instalado com sucesso.
387
Figura 294 - Perfil de acesso – Permissão VPN.
Após a autenticação ser realizada com sucesso teremos o Applet rodando com as informações que foram configuradas na sessão Applet que vimos há pouco:
388
Figura 295 - VPN SSL – Instruções gerais.
O acesso aos serviços através da VPN são realizados através do IP: 127.0.0.1:<porta> Esta porta de comunicação é configurada em Configuração do Firewall, Perfis na aba VPN-SSL (Proxy SSL).
389
Configurando o Proxy SSL
390
11.
Configurando criptografia Cliente-Firewall Este capítulo mostra para que serve e como configurar a Proxy SSL no Aker Firewall.
O que é um Proxy SSL? Um Proxy SSL é uma VPN cliente-firewall, feita através do protocolo SSL, e que tem como principal característica a utilização do suporte nativo a este protocolo que está presente em várias aplicações: navegadores, leitores de e-mail, emuladores de terminal, etc. Devido ao suporte nativo destas aplicações, não é necessária a instalação de nenhum cliente para o estabelecimento da VPN. O seu funcionamento é simples: de um lado o cliente se conecta ao firewall através do protocolo SSL, autenticando-se através de certificados X.509 (caso seja o desejo do administrador que a autenticação seja demandada) e o firewall então se conecta em claro ao servidor interno. Dessa forma, o cliente enxerga uma conexão SSL com o servidor e, este, enxerga uma conexão em claro (transparente) com o cliente. Utilizando um Proxy SSL Para utilizar um Proxy SSL em uma comunicação, é necessário executar uma sequência de 2 passos: Criar um serviço que será interceptado pelo proxy SSL e edita-se os parâmetros do contexto a ser usado por este serviço (para maiores informações, veja o capítulo intitulado Cadastrando Entidades). Acrescentar regras de filtragem de perfis SSL, permitindo o uso do serviço criado no passo 1, para as redes ou máquinas desejadas (para maiores informações, veja o item Configurando regras de Proxy SSL).
391
Figura 296 - VPN SSL – Instruções gerais.
11.1.
Editando os parâmetros de um contexto SSL
A janela de propriedades de um contexto SSL será mostrada quando a opção Proxy SSL for selecionada. Através dela é possível definir o comportamento do proxy SSL quando este for lidar com o serviço em questão. A janela de propriedades de um contexto SSL
392
Figura 297 - Edição dos parâmetros de um contexto SSL.
Na janela de propriedades são configurados todos os parâmetros de um contexto associado a um determinado serviço. Ela consiste de duas abas distintas: a primeira permite a configuração dos parâmetros e a segunda à definição do certificado que será apresentado ao cliente no estabelecimento da VPN. Aba Geral Porta do servidor: Este campo indica a porta que o servidor estará esperando receber a conexão, em claro, para o serviço em questão. Permitir autenticação de usuário: Este campo, se estiver marcado, indica que os usuários podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja desmarcado, somente sessões anônimas serão autorizadas, o que implica na utilização do perfil de acesso padrão sempre. Forçar autenticação de usuário: Se este campo estiver marcado, não serão aceitas sessões de Proxy SSL nas quais o usuário não tenha apresentado um certificado X.509 válido. Inatividade do cliente: Este campo indica o tempo máximo em segundos que o firewall manterá a sessão de Proxy SSL ativa (desde que a sessão já tenha sido estabelecida) sem o recebimento de dados por parte do cliente. 393
Conexão: Este campo indica o tempo máximo em segundos que o firewall aguardará pelo estabelecimento da conexão com o servidor. Autenticação SSL: Este campo indica o tempo máximo em segundos que o firewall aguardará para que o cliente realize, com sucesso, uma autenticação SSL. Avançado: Este botão permite o acesso a parâmetros de configuração que não são normalmente utilizados. São eles: Permitir um usuário acessar de IPs diferentes ao mesmo tempo: Este campo, se estiver marcado, permite que um mesmo usuário estabeleça sessões simultâneas a partir de máquinas diferentes. Caso esteja desmarcado, se um usuário já possuir uma sessão em uma máquina, tentativas de abertura a partir de outras máquinas serão recusadas. Tempo de manutenção de sessão: Como não existe o conceito de sessão em uma Proxy SSL, é necessário que o proxy simule uma sessão, mantendo um usuário logado por algum tempo após o fechamento da última conexão, caso seja necessário impedir que um mesmo usuário acesse simultaneamente de máquinas diferentes. O que este campo especifica é por quanto tempo, em segundos, o firewall deve considerar um usuário como logado após o fechamento da última conexão. Permitir o uso de SSL v2: Este campo indica se o firewall deve ou não aceitar uma conexão SSL usando a versão 2 deste protocolo. A versão 2 do protocolo SSL possui sérios problemas de segurança e recomenda-se que ela não seja utilizada, a não ser que isso seja estritamente necessário.
394
Aba Certificado
Figura 298 - Exibição do certificado do proprietário – X.509.
Esta aba é utilizada para especificar o certificado X.509 que será apresentado ao cliente quando ele tentar estabelecer uma Proxy SSL. É possível criar uma requisição que posteriormente será enviada para ser assinada por uma CA ou importar um certificado X.509 já assinado, em formato PKCS#12. Criar requisição: Este botão permite que seja criada uma requisição que posteriormente será enviada a uma CA para ser assinada. Ao ser clicado, serão mostrados os campos do novo certificado a ser gerado e que devem ser preenchidos. Após o preenchimento deve-se clicar no botão OK, que fará com que a janela seja alterada para mostrar os dados da requisição recém criada, bem como dois botões para manipulá-la: O botão Salvar em arquivo permite salvar a requisição em um arquivo para que ela seja então enviada a uma CA que irá assiná-la. O botão Instalar esta requisição permite importar o certificado já assinado pela CA. Importar certificado PKCS#12: 395
Este botão provocará o aparecimento de um diálogo onde pode especificar o nome do arquivo com o certificado X.509 que será importado.
11.2.
Configurando regras de Proxy SSL
Após a definição de um ou mais contextos SSL, mostrados no tópico anterior, é necessário configurar os perfis de acesso dos usuários de modo a definir que serviços eles podem acessar através de sessões de VPN SSL. Esta configuração fica na aba SSL, dentro de cada perfil de acesso. Para maiores informações de como realizar o cadastramento das regras, consultar o tópico Cadastrando perfis de acesso.
396
Integração dos Módulos do Firewall
397
12.
Integração dos Módulos do Firewall Neste capítulo será mostrada a relação entre os três grandes módulos do Aker Firewall: o filtro de pacotes, o conversor de endereços e o módulo de criptografia e autenticação. Será mostrado também o fluxo pelo qual os pacotes atravessam desde sua chegada ao Firewall até o momento de serem aceitos ou rejeitados.
12.1.
O fluxo de pacotes no Aker Firewall
Nos capítulos anteriores deste manual foram mostrados separadamente os três grandes módulos do Aker Firewall e todos os detalhes pertinentes à configuração de cada um. Será mostrado agora como um pacote os atravessam e quais alterações ele pode sofrer em cada um deles. Basicamente, existem dois fluxos distintos: um para pacotes que são emitidos pela rede interna e tem como destino alguma máquina da rede externa (fluxo de dentro para fora) ou pacotes que são gerados na rede externa e tem como destino alguma máquina da rede interna (fluxo de fora para dentro). O fluxo de dentro para fora Todo o pacote da rede interna ao atingir o firewall passa pelos módulos na seguinte ordem: módulo de montagem, filtro de pacotes, conversor de endereços e módulo de encriptação.
Figura 299 - Fluxo do pacote da rede interna ao atingir o firewall.
O módulo de montagem O módulo de montagem é o responsável por armazenar todos os fragmentos de pacotes IP recebidos até que estes possam ser montados e convertidos em um pacote completo. Este pacote será então entregue para os demais módulos. O filtro de pacotes
398
O filtro de pacotes possui a função básica de validar um pacote de acordo com as regras definidas pelo administrador, e a sua tabela de estados, e decidir se este deve ou não ser autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este será repassado para os demais módulos, caso contrário será descartado e o fluxo terminado. O conversor de endereços O conversor de endereços recebe um pacote já autorizado a trafegar e verifica, de acordo com sua configuração, se este deve ter o endereço de origem convertido. Em caso positivo, ele o converte do contrário o pacote não sofre quaisquer alterações. Independente de ter sido convertido ou não, o pacote será repassado para o módulo de criptografia. O módulo de encriptação O módulo de encriptação recebe um pacote validado e com os endereços convertidos e decide baseado em sua configuração, se este pacote deve ser encriptado ou autenticado antes de ser enviado ao destino. Em caso positivo, o pacote será autenticado, encriptado, e sofrerá o acréscimo de cabeçalhos específicos destas operações. Independentemente de ter sido encriptado/autenticado ou não, o pacote será enviado pela rede. O fluxo de fora para dentro Todo o pacote proveniente da rede externa, em direção à rede interna, ao atingir o firewall passa pelos módulos na seguinte ordem: módulo de montagem, módulo de decriptação, conversor de endereços e filtro de pacotes.
Figura 300 - Fluxo do pacote da rede externa em direção à rede interna.
O módulo de montagem O módulo de montagem é o responsável por armazenar todos os fragmentos de pacotes IP recebidos até que estes possam ser montados e convertidos em um pacote completo. Este pacote será então entregue para os demais módulos.
399
O módulo de decriptação O módulo de decriptação tem a função de remover os cabeçalhos adicionados pelo módulo de encriptação, verificar a assinatura de autenticação do pacote e decriptálo. Caso a autenticação ou a criptografia apresentem erro, o pacote será descartado. A outra função deste módulo é assegurar que todos os pacotes que cheguem de uma rede para a qual existe um canal seguro estejam vindo criptografados. Caso um pacote venha de uma rede para a qual existe um canal de criptografia ou autenticação e se este pacote não estiver autenticado ou criptografado, ele será descartado. Caso o pacote tenha sido validado com sucesso, este será repassado para o conversor de endereços. O conversor de endereços O conversor de endereços recebe um pacote e verifica se o endereço destino deste pacote é um dos IPs virtuais. Em caso positivo, este endereço é convertido para um endereço real. Independente de ter sido convertido ou não, o pacote será repassado para o filtro de pacotes. O filtro de pacotes O filtro de pacotes é o último módulo do fluxo de fora para dentro. Ele possui a função básica de validar os pacotes recebidos de acordo com as regras definidas pelo administrador, e a sua tabela de estados, e decidir se este deve ou não ser autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este será repassado para a máquina destino, caso contrário ele será descartado.
12.2.
Integração do filtro com a conversão de endereços
Quando vai configurar as regras de filtragem para serem usadas com máquinas cujos endereços serão convertidos surge à seguinte dúvida: Deve-se usar os endereços reais das máquinas ou os endereços virtuais? Esta dúvida é facilmente respondida ao analisar o fluxo dos pacotes: No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depois possuem seus endereços convertidos (se for o caso), ou seja, o filtro recebe os endereços reais das máquinas. 400
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversor de endereços que converte os endereços destino dos IPs virtuais para os endereços reais. Após isso os pacotes são enviados para o filtro de pacotes, ou seja, novamente o filtro de pacotes recebe os pacotes com os endereços reais. Em ambos os casos, o filtro não sabe da existência dos endereços virtuais, o que nos leva a fazer a seguinte afirmação: Ao criar regras de filtragem deve-se ignorar a conversão de endereços. As regras devem ser configuradas como se as máquinas origem e destino estivessem conversando diretamente entre si, sem o uso de qualquer tipo de conversão de endereços.
12.3.
Integração do filtro com a conversão e a criptografia
No tópico anterior, mostramos como configurar as regras de filtragem para máquinas cujos endereços serão convertidos. A conclusão foi de que deveria trabalhar apenas com os endereços reais, ignorando a conversão de endereços. Agora, pode-se acrescentar mais uma pergunta: ao configurar os fluxos de criptografia para máquinas que sofrerão conversão de endereços, deve-se usar os endereços reais destas máquinas ou os endereços virtuais? Para responder esta pergunta, novamente deve-se analisar o fluxo dos pacotes: No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro, depois possuem seus endereços convertidos (se for o caso) e por fim são repassados para o módulo de encriptação. Devido a isso, o módulo de encriptação recebe os pacotes como se eles fossem originados dos endereços virtuais. No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo módulo de decriptação e são decriptados (se for o caso). A seguir são enviados para o conversor de endereços, que converte os IPs virtuais para reais, e por fim são enviados para o filtro de pacotes. O módulo de decriptação recebe os pacotes antes de eles terem seu endereço convertido e, portanto, com os endereços virtuais. Em ambos os casos, o módulo de criptografia recebe os pacotes como se eles tivessem origem ou destino nos IPs virtuais. Ao se criar fluxos de criptografia, deve-se prestar atenção à conversão de endereços. Os endereços de origem e destino devem ser colocados como se o fluxo se originasse ou tivesse como destino IPs virtuais.
401
Configurando a Segurança
402
13.
Configurando a Segurança Este capítulo mostra como configurar a proteção contra ataques no módulo de segurança do Aker Firewall.
13.1.
Proteção contra SYN Flood
O que é um ataque de SYN flood? SYN Flood é um dos mais populares ataques de negação de serviço (denial of service). Esses ataques visam impedir o funcionamento de uma máquina ou de um serviço específico. No caso do SYN Flood, é possível inutilizar quaisquer serviços baseados no protocolo TCP. Para entender este ataque, é necessário primeiro entender o funcionamento do protocolo TCP, no que diz respeito ao estabelecimento de conexões: O protocolo TCP utiliza um esquema de 3 pacotes para estabelecer uma conexão: 1. A máquina cliente envia um pacote para a máquina servidora com um flag especial, chamado de flag de SYN. Este flag indica que a máquina cliente deseja estabelecer uma conexão. 2. A máquina servidora responde com um pacote contendo os flags de SYN e ACK. Isto significa que ela aceitou o pedido de conexão e está aguardando uma confirmação da máquina cliente para marcar a conexão como estabelecida. 3. A máquina cliente, ao receber o pacote com SYN e ACK, responde com um pacote contendo apenas o flag de ACK. Isto indica para a máquina servidora que a conexão foi estabelecida com sucesso. Todos os pedidos de abertura de conexões recebidas por um servidor ficam armazenadas em uma fila especial, que tem um tamanho pré-determinado e dependente do sistema operacional, até que o servidor receba a comunicação da máquina cliente de que a conexão está estabelecida. Caso o servidor receba um pacote de pedido de conexão e a fila de conexões em andamento estiver cheia, este pacote é descartado. O ataque consiste basicamente em enviar um grande número de pacotes de abertura de conexão, com um endereço de origem forjado, para um determinado servidor. Este endereço de origem é forjado para o de uma máquina inexistente (muitas vezes usa um dos endereços reservados descritos no capítulo sobre conversão de endereços). O servidor, ao receber estes pacotes, coloca uma entrada na fila de conexões em andamento, envia um pacote de resposta e fica aguardando 403
uma confirmação da máquina cliente. Como o endereço de origem dos pacotes é falso, esta confirmação nunca chega ao servidor. O que acontece é que em um determinado momento, a fila de conexões em andamento do servidor fica lotada. A partir daí, todos os pedidos de abertura de conexão são descartados e o serviço inutilizado. Esta inutilização persiste durante alguns segundos, pois o servidor ao descobrir que a confirmação está demorando demais, remove a conexão em andamento da lista. Entretanto, se o atacante persistir em mandar pacotes seguidamente, o serviço ficará inutilizado enquanto ele assim o fizer. Nem todas as máquinas são passíveis de serem atingidas por ataques de SYN Flood. Implementações mais modernas do protocolo TCP possuem mecanismos próprios para inutilizarem ataques deste tipo.
Como funciona a proteção contra SYN flood do Aker Firewall?
O Aker Firewall possui um mecanismo que visa impedir que um ataque de SYN flood seja bem sucedido. Seu funcionamento baseia-se nos seguintes passos: 1. Ao chegar um pacote de abertura de conexão (pacote com flag de SYN, mostrado no tópico acima) para uma máquina servidora a ser protegida, o firewall registra isso em uma tabela e deixa o pacote passar (evidentemente, ele só deixará o pacote passar se este comportamento for autorizado pelas regras de filtragem configuradas pelo administrador. Para maiores detalhes veja o capítulo intitulado O filtro de estados); 2. Quando chegar a resposta do servidor dizendo que a conexão foi aceita (pacote com os flags SYN e ACK), o firewall imediatamente enviará um pacote para o servidor em questão confirmando a conexão e deixará o pacote de resposta passar em direção à máquina cliente. A partir deste momento, será acionado um relógio interno no firewall que marcará o intervalo de tempo máximo em que o pacote de confirmação do cliente deverá chegar; 3. Se a abertura de conexão for uma abertura normal, dentro de um intervalo de tempo menor que o máximo permitido, a máquina cliente responderá com um pacote confirmando o estabelecimento da conexão. Este pacote fará o firewall considerar válido o pedido de abertura de conexão e desligar o relógio interno; 4. Caso a máquina cliente não responda dentro do tempo máximo permitido, o firewall mandará um pacote especial para a máquina servidora que fará com que a conexão seja derrubada. Com estes procedimentos, o firewall consegue impedir que a fila de conexões em andamento na máquina servidora fique cheia, já que todas as conexões pendentes serão estabelecidas tão logo os pacotes de reposta atinjam o firewall. O ataque de SYN flood, portando, não será efetivado. 404
Cabe enfatizar que todo o funcionamento desta proteção baseia-se no intervalo de tempo máximo de espera pelos pacotes de confirmação dos clientes. Se o intervalo de tempo for muito pequeno, conexões válidas podem ser recusadas. Se o intervalo for muito grande, a máquina servidora, no caso de um ataque, ficará com um grande número de conexões abertas o que poderá provocar problemas ainda maiores.
13.2.
Utilizando a Interface Remota para Proteção contra SYN Flood
Para ter acesso a janela de configuração dos parâmetros de proteção contra SYN Flood, basta:
Figura 301 - SYN Flood.
Clicar no menu Segurança na janela do Firewall que deseja administrar. Escolher o item SYN Flood.
405
A janela de configuração da proteção contra SYN flood
Figura 302 - SYN Flood – Ativação de proteção SYN Flood.
O botão OK fará com que os parâmetros de configuração sejam atualizados e a janela fechada. O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela fechada. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta.
Significado dos campos da janela: Ativar proteção SYN flood: Esta opção deve estar marcada para ativar a proteção contra SYN flood e desmarcada para desativá-la. (ao desabilitar a proteção contra SYN flood, as configurações antigas continuam armazenadas, mas não podem ser alteradas). Duração máxima do handshake do TCP: Esta opção define o tempo máximo, em unidades de 500ms, que o firewall espera por uma confirmação do fechamento das conexões por parte do cliente. Se este intervalo de tempo for atingido, será enviado um pacote para as máquinas servidoras derrubando a conexão. O valor ideal deste campo pode variar para cada instalação, mas sugere-se valores entre 3 e 10, que correspondem a intervalos de tempo entre 1,5 e 5 segundos. 406
A lista de máquinas e redes a proteger Esta lista define as máquinas ou redes que serão protegidos pelo firewall. Para incluir uma nova entidade na lista de proteção, deve-se proceder de um dos seguintes modos: Executar uma operação de drag-n-drop (arrastar e soltar) da janela de entidades diretamente para a lista de hosts e redes a proteger; Abrir o menu de contexto na janela na lista de hosts e redes a proteger com o botão direito do mouse ou com a tecla correspondente no teclado e seleciona-se Adicionar entidades, para então escolher aquelas que serão efetivamente incluídas na lista. Para remover uma entidade da lista de proteção, deve-se marcá-la e pressionar a tecla delete, ou escolher a opção correspondente no menu de contexto, acionado com o botão direito do mouse ou com a tecla correspondente: Deve-se colocar na lista de entidades a serem protegidas todas as máquinas servidoras de algum serviço TCP passível de ser utilizado por máquinas externas. Não se deve colocar o endereço do próprio firewall nesta lista, uma vez que o sistema operacional Linux não é suscetível a ataques de SYN flood.
13.3.
Proteção de Flood
O que é um ataque de Flood? Os ataques de Flood se caracterizam por existir um elevado número de conexões abertas e estabelecidas contra servidores web, ftp, smtp e etc, a partir de outras máquinas existentes na Internet que foram invadidas e controladas para perpetrar ataques de negação de serviço (DoS). A proteção também é útil para evitar abuso do uso de determinados serviços (sites de download, por exemplo) e evitar estragos maiores causados por vírus, como o NIMDA, que fazia com que cada máquina infectada abrisse centenas de conexões simultaneamente.
Como funciona a proteção contra Flood do Aker Firewall? O Aker Firewall possui um mecanismo que visa impedir que um ataque de Flood seja bem sucedido. Seu funcionamento baseia na limitação de conexões que 407
possam ser abertas simultaneamente a partir de uma mesma máquina para uma entidade que está sendo protegida. O administrador do firewall deve estimar este limite dentro do funcionamento cotidiano de cada servidor ou rede a ser protegida.
13.4.
Utilizando a Interface Remota para Proteção de Flood
Figura 303 - Proteção de Flood.
Clicar no menu Segurança na janela do Firewall. Escolher o item Proteção de Flood.
408
A janela de configuração da proteção de Flood
Figura 304 - Proteção de Flood - Configuração.
O botão OK fará com que os parâmetros de configuração sejam atualizados e a janela fechada. O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela fechada. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta.
Significado dos campos da janela:
Número: Corresponde ao número da regra de Proteção de Flood. Origem: Neste campo pode ser uma rede ou máquina de onde poderá ser originado um ataque de DDoS. Destino: Incluir neste campo máquinas ou redes que deseja proteger. Serviços: Portas de serviços que se desejam proteger. Poderá ser incluído no campo mais de uma entidade. Conexões Máximas: Campo numérico onde deve informar o número máximo de conexões que a entidade pode receber a partir de uma mesma origem.
A quantidade máxima de conexões nas regras de proteção de flood não é a quantidade agregada de conexões a partir da origem especificada, mas sim a quantidade, por endereço IP único que encaixa na origem informada, de conexões simultâneas. Desta forma, por exemplo, havendo a necessidade de limitar o número 409
de downloads simultâneos por usuário em 2, esse número dever ser 2, independentemente do número de usuários que façam os downloads.
410
13.5.
Proteção Anti Spoofing
O que é um Spoofing? O spoofing do IP envolve o fornecimento de informações falsas sobre uma pessoa ou sobre a identidade de um host para obter acesso não-autorizado a sistemas e/ou aos sistemas que eles fornecem. O spoofing interfere na forma como um cliente e um servidor estabelecem uma conexão. Apesar de o spoofing poder ocorrer com diversos protocolos específicos, o spoofing do IP é o mais conhecido dentre todos os ataques de spoofing. A primeira etapa de um ataque de spoofing é identificar duas máquinas de destino, que chamaremos de A e B. Na maioria dos casos, uma máquina terá um relacionamento confiável com a outra. É esse relacionamento que o ataque de spoofing tentará explorar. Uma vez que os sistemas de destino tenham sido identificados, o violador tentará estabelecer uma conexão com a máquina B de forma que B acredite que tem uma conexão com A, quando na realidade a conexão é com a máquina do violador, que chamaremos de X. Isso é feito através da criação de uma mensagem falsa (uma mensagem criada na máquina X, mas que contém o endereço de origem de A) solicitando uma conexão com B. Mediante o recebimento dessa mensagem, B responderá com uma mensagem semelhante que reconhece a solicitação e estabelece números de sequência. Em circunstâncias normais, essa mensagem de B seria combinada a uma terceira mensagem reconhecendo o número de sequência de B. Com isso, o "handshake" seria concluído, e a conexão poderia prosseguir. No entanto, como acredita que está se comunicando com A, B envia sua resposta a A, e não para X. Com isso, X terá de responder a B sem conhecer os números de sequência gerados por B. Portanto, X deverá adivinhar com precisão números de sequência que B utilizará. Em determinadas situações, isso é mais fácil do que possa imaginar. No entanto, além de adivinhar o número de sequência, o violador deverá impedir que a mensagem de B chegue até A. Se a mensagem tivesse de chegar a A, A negaria ter solicitado uma conexão, e o ataque de spoofing falharia. Para alcançar esse objetivo, normalmente o intruso enviaria diversos pacotes à máquina A para esgotar sua capacidade e impedir que ela respondesse à mensagem de B. Essa técnica é conhecida como "violação de portas". Uma vez que essa operação tenha chegado ao fim, o violador poderá concluir a falsa conexão. O spoofing do IP, como foi descrito, é uma estratégia desajeitada e entediante. No entanto, uma análise recente revelou a existência de ferramentas capazes de executar um ataque de spoofing em menos de 20 segundos. O spoofing de IP é uma ameaça perigosa, cada vez maior, mas, por sorte, é relativamente fácil criar mecanismos de proteção contra ela. A melhor defesa contra o spoofing é configurar roteadores de modo a rejeitar qualquer pacote recebido cuja origem alegada seja
411
um host da rede interna. Essa simples precaução impedirá que qualquer máquina externa tire vantagem de relacionamentos confiáveis dentro da rede interna. Como funciona a proteção contra Spoofing do Aker Firewall? O Aker Firewall possui um mecanismo que visa impedir que um ataque de Spoofing seja bem sucedido. Seu funcionamento baseia-se no cadastramento das redes que estão sendo protegidas pelo firewall ou seja, atrás de cada interface de rede do firewall. Nas redes internas, só serão aceitos pacotes das entidades cadastradas e, das externas, somente pacotes cujo IP origem não se encaixe em nenhuma entidade cadastrada nas redes internas (todas). O administrador do firewall deve então fazer o levantamento destas redes, criar as entidades correspondentes e utilizar a Interface Remota para montar a proteção.
13.6.
Utilizando a Interface Remota para Anti Spoofing
Figura 305 - Anti Spoofing.
Clicar no menu Segurança na janela do Firewall. Escolher o item Anti Spoofing.
412
A janela de configuração de Anti Spoofing
Figura 306 - Anti Spoofing – Ativação do controle.
O botão OK fará com que os parâmetros de configuração sejam atualizados e a janela fechada. O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela fechada. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta.
Significado dos campos da janela: Ativação do controle anti-spoofing: A marcação da caixa ativa a proteção Anti Spoofing. Interface: Corresponde a interface cadastrada no firewall pelo administrador. Status: Neste campo é mostrado o estado da interface, ou seja, se está ativa ou não. Este campo não pode ser editado. Tipo: Por padrão este campo é marcado como Externa. Ao clicar com o botão direito do mouse poderá ser trocado o tipo para Protegida, passando o campo Entidades para a condição de editável.
413
Protegida significa que a interface está conectada a uma rede interna e somente serão aceitos pacotes com endereços IP originados em alguma das entidades especificadas na regra. Externa significa que é uma interface conectada a Internet da qual serão aceitos pacotes provenientes de quaisquer endereços origem, exceto os pertencentes a entidades listadas nas regras de interfaces marcadas como Protegidas. Entidades: Ao definir uma interface Protegida, deve-se incluir neste campo a lista de todas as redes e/ou máquinas que se encontram conectadas a esta interface.
13.7.
Utilizando a Interface Texto - Synge Flood
A Interface Texto de configuração da proteção contra SYN flood é bastante simples de ser usada e tem as mesmas capacidades da Interface Remota (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderam ser acessados sem o prefixo “FW”).. Localização do programa:/aker/bin/firewall/fwflood Sintaxe:
Ajuda do programa: Firewall Aker fwflood - Configura parâmetros de proteção contra SYN Flood Uso: fwflood [ativa | desativa | mostra | ajuda] fwflood [inclui | remove] <nome> fwflood tempo <valor> ativa desativa mostra inclui remove tempo ajuda
= ativa proteção contra SYN Flood = desativa proteção contra SYN Flood = mostra a configuração atual = inclui uma entidade a ser protegida = remove uma das entidades a serem protegidas = configura o tempo máximo de espera para fechar conexão = mostra esta mensagem
Para inclui / remove temos: nome = nome da entidade a ser protegida ou removida da proteção. Para
414
tempo temos: valor = tempo máximo de espera em unidades de 500ms
415
Exemplo 1: (visualizando a configuração) #/aker/bin/firewall/fwflood mostra Parâmetros de configuração: ------------------------------------Proteção contra SYN Flood: ativada Tempo limite de espera : 6 (x 500 ms) Lista de entidades a serem protegidas: ------------------------------------NT1 (Máquina) NT3 (Máquina)
13.8.
Utilizando a Interface Texto - Proteção de Flood
Localização do programa:/aker/bin/firewall/fwmaxconn Sintaxe: Firewall Aker Uso: fwmaxconn ajuda fwmaxconn mostra fwmaxconn inclui <pos> <origem> <destino> <serviço> <n_conns> fwmaxconn remove <pos> fwmaxconn < habilita | desabilita > <pos> os parâmetros são: pos: posição da regra na tabela origem: máquina/rede de onde se origina as conexões destino: máquina/rede a que se destinam as conexões serviço: serviço de rede para o qual existe a conexão n_conns: número máximo de conexões simultâneas de mesma origem Exemplo 1: (visualizando a configuração) #/aker/bin/firewall/fwmaxconn mostra Regra 01 -------Origem: Rede_Internet Destino: NT1 Serviços: HTTP Conexões: 5000 Regra 02 -------Origem: Rede_Internet Destino: NT3 Serviços: FTP 416
Conexões : 10000 Regra 03 -------Origem: Rede_Internet Destino: Rede_Interna Serviços: Gopher Conexões: 100
13.9.
Utilizando a Interface Texto - Anti Spoofing
Localização do programa:/aker/bin/firewall/fwifnet Firewall Aker Uso: fwifnet [ajuda | mostra] fwifnet inclui interface <nome_if> [externa] fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ... fwifnet remove [-f] interface <nome_if> fwifnet remove rede <nome_if> <endereco_IP> <mascara> fwifnet <habilita | desabilita> Ajuda do programa: Uso: fwifnet [ajuda | mostra] fwifnet inclui interface <nome_if> [externa] fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ... fwifnet remove [-f] interface <nome_if> fwifnet remove rede <nome_if> <endereco_IP> <mascara> para inclui/remove temos: interface: o nome da interface de rede a ser controlada externa: se esta palavra estiver presente, a interface será considerada externa pelo firewall rede: uma rede permitida em uma interface não externa Exemplo 1: (visualizando a configuração) #/aker/bin/firewall/fwifnet mostra Firewall Aker Status do modulo anti-spoofing: habilitado Interface cadastrada: Interf_DMZ Rede permitida: Rede_DMZInterface cadastrada: Interf_externa (externa) Interface cadastrada: Interf_interna Rede permitida: Rede_Interna 417
13.10. Bloqueio por excesso de tentativas de login inválidas
Figura 307 - Bloqueio de excesso de tentativas de login inválidas - Eventos.
O firewall, por padrão, vem com bloqueio de excesso de tentativas de login inválidas via control center. Caso um IP realize três tentativas de conexões com usuários e/ou senhas inválidos, o firewall não permite mais conexões por um período de tempo. São criados eventos de log que podem ser vistos na janela de log, eles contêm informações sobre o horário do bloqueio e o IP que realizou a tentativa.
418
Configurando as Ações do Sistema
419
14.
Configurando Ações de Sistema Este capítulo mostra como configurar as respostas automáticas do sistema para situações pré-determinadas. O que são as ações do sistema? O Aker Firewall possui um mecanismo que possibilita a criação de respostas automáticas para determinadas situações. Estas respostas automáticas são configuradas pelo administrador em uma série de possíveis ações independentes que serão executadas quando uma situação pré-determinada ocorrer. Para que servem as ações do sistema? O objetivo das ações é possibilitar um alto grau de interação do Firewall com o administrador. Com o uso delas, é possível, por exemplo, que seja executado um programa capaz de chamá-lo através de um pager quando a máquina detectar que um ataque está em andamento. Desta forma, o administrador poderá tomar uma ação imediata, mesmo que ele não esteja no momento monitorando o funcionamento do Firewall.
14.1.
Utilizando a Interface Remota
Para ter acesso a janela de configuração das ações deve-se:
Figura 308 - Ações.
420
Click no menu Configurações do Sistema; Selecionar o item Ações. A janela de configuração das ações Ao selecionar esta opção, a janela de configurações das ações a serem executadas é exibida. As ações dividem-se em módulos (Autenticação/Criptografia, Criptografia IPSEC, dentre outros) e, para cada mensagem de log, evento ou pacote não enquadrado na regra, é possível determinar ações independentes. A janela terá a seguinte forma:
Figura 309 - Ações – Mensagens de logs.
Para selecionar as ações a serem executadas para as mensagens mostradas na janela, deve-se clicar com o botão direito do mouse sobre as mensagens. A cada opção selecionada aparecerá um ícone correspondente.
421
Figura 310 - Ações a serem executadas para mensagens exibidas.
Se a opção estiver marcada com o ícone aparente, a ação correspondente será executada pelo Firewall quando a mensagem ocorrer. São permitidas as seguintes ações:
Logar: Quando selecionada essa opção, todas as vezes que a mensagem correspondente ocorrer, ela será registrada pelo firewall; Enviar email: Quando selecionada essa opção, será enviado um e-mail todas as vezes que a mensagem correspondente ocorrer (a configuração do endereço de e-mail será mostrada no próximo tópico); Executar programa: Ao marcar essa opção, será executado um programa definido pelo administrador todas as vezes que a mensagem correspondente ocorrer (a configuração do nome do programa a ser executado será mostrada no próximo tópico); Disparar mensagens de alarme: Quando selecionada essa opção, o firewall mostra uma janela de alerta todas as vezes que a mensagem correspondente ocorrer. Esta janela de alerta será mostrada na máquina onde a Interface Remota estiver aberta e, se a máquina permitir, será emitido também um aviso sonoro. Caso a Interface Remota não esteja aberta, não será mostrada nenhuma mensagem e esta opção será ignorada (esta ação é particularmente útil para chamar a atenção do administrador quando ocorrer uma mensagem importante); Enviar trap SNMP: Quando selecionada essa opção, será enviada uma Trap SNMP para o gerente SNMP todas as vezes que a mensagem correspondente ocorrer (a configuração dos parâmetros de configuração para o envio das traps será mostrada no próximo tópico).
Não é possível alterar as ações para a mensagem de inicialização do firewall (mensagem número 43). Esta mensagem sempre terá como ações configuradas apenas a opção Loga. Significado dos botões da janela de ações
O botão OK fará com que a janela de ações seja fechada e as alterações efetuadas aplicadas; O botão Cancelar fará com que a janela seja fechada porém as alterações efetuadas não serão aplicadas; O botão Aplicar fará com que as alterações sejam aplicadas sem que a janela feche. 422
A janela de configuração dos parâmetros Para que o sistema consiga executar as ações deve-se configurar certos parâmetros (por exemplo, para o Firewall enviar um e-mail, o endereço tem que ser configurado). Estes parâmetros são configurados através da janela de configuração de parâmetros para as ações. Esta janela é mostrada Quando selecionada Parâmetros na janela de Ações. Ela tem o seguinte formato:
Figura 311 - Ações: Parâmetros.
Significado dos parâmetros:
Parâmetros para executar um programa Arquivo de Programa: Este parâmetro configura o nome do programa que será executado pelo sistema quando ocorrer uma ação marcada com a opção Programa. Deve ser colocado o nome completo do programa, incluindo o caminho. Deve-se atentar para o fato de que o programa e todos os diretórios do caminho devem ter permissão de execução pelo usuário que irá executá-lo (que é configurado na próxima opção). O programa receberá os seguintes parâmetros pela linha de comando (na ordem em que serão passados): 423
1. Nome do próprio programa sendo executado (isto é um padrão do sistema operacional Unix); 2. Tipo de mensagem (1 - para log ou 2- para evento); 3. Prioridade (7 - depuração, 6 - informação, 5 - notícia, 4 - advertência ou 3 - erro); 4. Número da mensagem que provocou a execução do programa ou 0 para indicar a causa não foi uma mensagem. (neste caso, a execução do programa foi motivada por uma regra); 5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta cadeia de caracteres pode conter o caractere de avanço de linha no meio dela). No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de um programa. Isto pode causar confusão para quem estiver acostumado com o ambiente DOS/Windows, que usa a barra invertida "\". Nome efetivo do usuário: Este parâmetro indica a identidade com a qual o programa externo será executado. O programa terá os mesmos privilégios deste usuário. Este usuário deve ser um usuário válido, cadastrado no Linux. Não se deve confundir com os usuários do Aker Firewall, que servem apenas para a administração do Firewall.
Parâmetros para enviar traps SNMP Endereço IP do servidor SNMP: Este parâmetro configura o endereço IP da máquina gerente SNMP para a qual o firewall deve enviar as traps. Comunidade SNMP: Este parâmetro configura o nome da comunidade SNMP que deve ser enviada nas traps. As traps SNMP enviadas terão o tipo genérico 6 (enterprise specific) e o tipo específico 1 para log ou 2 para eventos. Elas serão enviadas com o número de empresa (enterprise number) 2549, que é o número designado pela IANA para a Aker Consultoria e Informática.
Parâmetros para enviar e-mail Endereço de e-mail: Este parâmetro configura o endereço de e-mail do usuário para o qual devem ser enviados os e-mails. Este usuário pode ser um usuário da própria máquina ou não (neste caso deve-se colocar o endereço completo, por exemplo user@aker.com.br). Caso queira enviar e-mails para vários usuários, pode-se criar uma lista e colocar o nome da lista neste campo.
424
É importante notar que caso algum destes parâmetros esteja em branco, à ação correspondente não será executada, mesmo que ela esteja marcada para tal.
425
14.2.
Utilizando a Interface Texto
A Interface Texto para a configuração das ações possui as mesmas capacidades da Interface Remota, porém, é de fácil uso (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. Localização do programa: /aker/bin/firewall/fwaction Sintaxe: fwaction ajuda fwaction mostra fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta] fwaction <programa | usuário | comunidade> [nome] fwaction ip [endereço IP] fwaction e-mail [endereço] Ajuda do programa: fwaction - Interface Texto para a configuração das ações do sistema Uso: fwaction ajuda fwaction mostra fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta] fwaction <programa | usuário | comunidade> [nome] fwaction ip [endereço IP] fwaction e-mail [endereço] ajuda = mostra esta mensagem mostra = lista as mensagens e as ações configuradas para cada uma atribui = configura as ações para uma determinada mensagem programa = define o nome do programa a ser executado usuário = define o nome do usuário que executara o programa comunidade = define o nome da comunidade SNMP para o envio das traps ip = define o endereço IP do servidor SNMP que recebera as traps e-mail = define o nome do usuário que recebera os e-mails Para atribui temos: numero = numero da mensagem a atribuir as ações (o numero de cada mensagem aparece na esquerda ao se selecionar a opção mostra) loga = Loga cada mensagem que for gerada 426
mail = Manda um e-mail para cada mensagem que for gerada trap = Gera trap SNMP para cada mensagem que for gerada programa = Executa programa para cada mensagem que for gerada alerta = Abre janela de alerta para cada mensagem que for gerada Exemplo 1: (configurando os parâmetros para envio de e-mail e execução de programa) #fwaction e-mail root #fwaction programa /aker/bin/pager #fwaction usuário nobody Exemplo 2: (mostrando a configuração completa das ações do sistema) #fwaction mostra Condições Gerais: 00 - Pacote fora das regras >>>> Loga Mensagens do log: 01 - Possível ataque de fragmentação >>>> Loga 02 - Pacote IP direcionado >>>> Loga 03 - Ataque de land >>>> Loga 04 - Conexão não consta na tabela dinâmica >>>> Loga 05 - Pacote proveniente de interface invalida >>>> Loga 06 - Pacote proveniente de interface não determinada >>>> Loga 07 - Conexão de controle não esta aberta >>>> Loga (...) 237 - O Secure Roaming encontrou um erro >>>> Loga 238 - O Secure Roaming encontrou um erro fatal >>>> Loga 239 - Usuários responsáveis do Configuration Manager 427
>>>> Loga Parâmetros de configuração: programa: /aker/bin/pager usuário: nobody e-mail: root comunidade: ip: Devido ao grande número de mensagens, só estão sendo mostradas as primeiras e as últimas. O programa real mostra todas ao ser executado. Exemplo 3: (atribuindo as ações para os Pacotes fora das regras e mostrando as mensagens) #fwaction atribui 0 loga mail alerta #fwaction mostra Condições Gerais: 00 - Pacote fora das regras >>>> Loga Mail Alerta Mensagens do log: 01 - Possível ataque de fragmentação >>>> Loga 02 - Pacote IP direcionado >>>> Loga 03 - Ataque de land >>>> Loga 04 - Conexão não consta na tabela dinâmica >>>> Loga 05 - Pacote proveniente de interface invalida >>>> Loga 06 - Pacote proveniente de interface não determinada >>>> Loga 07 - Conexão de controle não esta aberta >>>> Loga (...) 237 - O Secure Roaming encontrou um erro >>>> Loga 428
238 - O Secure Roaming encontrou um erro fatal >>>> Loga 239 - Usuários responsáveis do Configuration Manager >>>> Loga
Parâmetros de configuração: programa : /aker/bin/pager usuário : nobody e-mail : root comunidade: ip : Devido ao grande número de mensagens, só estão sendo mostradas as primeiras e as últimas. O programa real mostra todas as mensagens, ao ser executado. Exemplo 4: (cancelando todas as ações para a mensagem de Pacote IP direcionado e mostrando as mensagens) #fwaction atribui 2 #fwaction mostra Condições Gerais: 00 - Pacote fora das regras >>>> Loga Mail Alerta Mensagens do log: 01 - Possível ataque de fragmentação >>>> Loga Mail 02 - Pacote IP direcionado >>>> 03 - Ataque de land >>>> Loga 04 - Conexão não consta na tabela dinâmica >>>> Loga 05 - Pacote proveniente de interface invalida >>>> Loga 06 - Pacote proveniente de interface não determinada >>>> Loga 07 - Conexão de controle não esta aberta >>>> Loga (...) 429
237 - O Secure Roaming encontrou um erro >>>> Loga 238 - O Secure Roaming encontrou um erro fatal >>>> Loga 239 - Usuários responsáveis do Configuration Manager >>>> Loga
Parâmetros de configuração: programa: /aker/bin/pager usuário: nobody e-mail: root comunidade: ip: Devido ao grande número de mensagens, só estão sendo mostradas as primeiras e as últimas. O programa real mostra todas ao ser executado.
430
Visualizando o Log do Sistema
431
15.
Visualizando o log do Sistema Este capítulo mostra como visualizar o log do sistema, um recurso imprescindível na detecção de ataques, no acompanhamento e monitoramento do firewall e na fase de configuração do sistema.
O que é o log do sistema? O log é o local onde o firewall guarda todas as informações relativas aos pacotes recebidos. Nele podem aparecer registros gerados por qualquer um dos três grandes módulos: filtro de pacotes, conversor de endereços e criptografia/autenticação. O tipo de informação guardada no log depende da configuração realizada no firewall, mas basicamente ele inclui informações sobre os pacotes que foram aceitos, descartados e rejeitados, os erros apresentados por certos pacotes e as informações sobre a conversão de endereços. De todos estes dados, as informações sobre os pacotes descartados e rejeitados são possivelmente as de maior importância, já que são através delas que se pode determinar possíveis tentativas de invasão, tentativa de uso de serviços não autorizados, erros de configuração, etc. O que é um filtro de log? Mesmo que o sistema tenha sido configurado para registrar todo o tipo de informação, muitas vezes está interessado em alguma informação específica (por exemplo, suponha que queira ver as tentativas de uso do serviço POP3 de uma determinada máquina que foram rejeitadas em um determinado dia, ou ainda, quais foram aceitas). O filtro de log é um mecanismo oferecido pelo Aker Firewall para se criar visões do conjunto total de registros, possibilitando que se obtenham as informações desejadas facilmente. O filtro só permite a visualização de informações que tiverem sido registradas no log. Caso queira obter uma determinada informação, é necessário inicialmente configurar o sistema para registrá-la e então utilizar um filtro para visualizá-la.
432
15.1.
Utilizando a Interface Remota
Para ter acesso a janela de visualização do log basta:
Figura 312 - Log.
Clicar no menu Auditoria do firewall que se deseja ver o log; Selecionar a opção Log. A barra de ferramentas do Log Todas as vezes que a opção Log for selecionada é mostrada automaticamente a barra de ferramentas de Log. Esta barra, que estará ao lado das outras barras, poderá ser arrastada e ficar flutuando acima das informações do Log. Ela tem o seguinte formato:
Figura 313 - Barra de ferramentas de log.
433
Significado dos Ícones: Abre a janela de filtragem do firewall;
Figura 314 – Botão: Filtragem do Firewall.
Este ícone somente irá aparecer quando o firewall estiver fazendo uma procura no Log. Ele permite interromper a busca do firewall;
Figura 315 – Botão: Interromper busca do Firewall.
Exporta o log para diversos formatos de arquivos;
Figura 316 - Botão: Exportar log.
Apaga o Log do firewall;
Figura 317 – Botão: Apagar log do Firewall.
Realiza uma resolução reversa dos IP que estão sendo mostrados pelo Log;
Figura 318 - Botão: Resolução reversa dos IP
Permite fazer uma atualização da tela de logs dentro de um determinado período definido no campo seguinte;
Figura 319 - Botão: atualização de telas de log.
Define o tempo que o firewall irá atualizar a janela com informações de 434
log;
Figura 320 - Botão: tempo de atualização do log.
Percorre o Log para frente e para trás;
Figura 321 - Botão: percorre log.
Expande as mensagens de Log, mostrando as mesmas com o máximo de informação;
Figura 322 - Botão: expandir mensagens de log.
Janela de Filtragem de Log 435
Figura 323 - Filtro de log.
Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. Permite gravar um perfil de pesquisa que poderá ser usado posteriormente pelo administrador. Para salvar um filtro de log, deve-se proceder da seguinte forma: 1. Preencher todos os seus campos da forma desejada. 2. Definir, no campo Filtros, o nome pelo qual ele será referenciado. 3. Clicar no botão Salvar. Para aplicar um filtro salvo, basta selecionar seu nome no campo Filtros e todos os campos serão automaticamente preenchidos com os dados salvos. Para excluir um filtro, deve-se proceder da seguinte forma: 1. Selecionar o filtro a ser removido, no campo Filtros. 436
2. Clicar no botão Remover. O filtro padrão é configurado para mostrar todos os registros do dia atual. Para alterar a visualização para outros dias, na janela Data/Hora, pode-se configurar os campos De e Até para os dias desejados (a faixa de visualização compreende os registros da data inicial à data final, inclusive). Caso queira ver os registros cujos endereços origem e/ou destino do pacote pertençam a um determinado conjunto de máquinas, pode-se utilizar os campos IP / Máscara ou Entidade para especificá-lo. O botão permite a escolha do modo de filtragem a ser realizado: caso o botão esteja selecionado, serão mostrados na janela os campos, chamados de IP, Máscara (para origem do pacote) e IP, Máscara (para Destino do pacote). Estes campos poderão ser utilizados para especificar o conjunto origem e/ou o conjunto destino. Neste caso, pode-se selecionar uma entidade em cada um destes campos e estas serão utilizadas para especificar os conjuntos origem e destino. O botão pode ser usado independente um do outro, ou seja pode-se optar que seja selecionado pela entidade na origem e por IP e Máscara para o destino.
Figura 324 - Filtro de log.
437
Para monitorar um serviço específico deve-se colocar seu número no campo Porta. A partir deste momento só serão mostradas entradas cujo serviço especificado for utilizado. É importante também que seja selecionado o protocolo correspondente ao serviço desejado no campo protocolo, mostrado abaixo. No caso dos protocolos TCP e UDP, para especificar um serviço, deve-se colocar o número da porta destino, associada ao serviço, neste campo. No caso do ICMP deve-se colocar o tipo de serviço. Para outros protocolos, coloca-se o número do protocolo desejado. Além destes campos, existem outras opções que podem ser combinadas para restringir ainda mais o tipo de informação mostrada: Ação: Representa qual ação o sistema tomou ao lidar com o pacote em questão. Existem as seguintes opções possíveis, que podem ser selecionadas independentemente:
Aceito: Mostra os pacotes que foram aceitos pelo firewall.
Rejeitado: Mostra os pacotes que foram rejeitados pelo firewall.
Descartado: Mostra os pacotes que foram descartados pelo firewall.
Convertido: Mostra as mensagens relacionadas à conversão de endereços.
Prioridade: Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for à prioridade associada a um determinado registro, mais importância deve-se dar a ele. Abaixo está a lista com todas as prioridades possíveis, ordenada da mais importante para a menos (caso tenha configurado o firewall para mandar uma cópia do log para o syslogd, as prioridades com as quais as mensagens serão geradas no syslog são as mesmas apresentadas abaixo):
Aviso Os registros que se enquadram nesta prioridade normalmente indicam que algum tipo de ataque ou situação bastante séria (como por exemplo, um erro na configuração dos fluxos de criptografia) está ocorrendo. Este tipo de registro sempre vem precedido de uma mensagem que fornece maiores explicações sobre ele.
Nota Normalmente se enquadram nesta prioridade os pacotes que foram rejeitados ou descartados pelo sistema, em virtude destes terem se encaixado em uma regra configurada para rejeitá-los ou descartá-los ou por não terem se encaixado em 438
nenhuma regra. Em algumas situações eles podem ser precedidos por mensagens explicativas.
Informação Os registros desta prioridade acrescentam informações úteis mas não tão importantes para a administração do Firewall. Estes registros nunca são precedidos por mensagens explicativas. Normalmente se enquadram nesta prioridade os pacotes aceitos pelo firewall.
Depuração Os registros desta prioridade não trazem nenhuma informação realmente útil, exceto quando se está configurando o sistema. Enquadram-se nesta prioridade as mensagens de conversão de endereços.
Módulo: Esta opção permite visualizar independentemente os registros gerados por cada um dos três grandes módulos do sistema: filtro de pacotes, conversor de endereços, módulo de criptografia, IPSEC e Clustering.
Protocolo: Este campo permite especificar o protocolo dos registros a serem mostrados. As seguintes opções são permitidas:
TCP Serão mostrados os registros gerados a partir de pacotes TCP. Se esta opção for marcada, a opção TCP/SYN será automaticamente desmarcada.
TCP/SYN Serão mostrados os registros gerados a partir de pacotes TCP de abertura de conexão (pacotes com o flag de SYN ativo). Se esta opção for marcada, a opção TCP será automaticamente desmarcada.
UDP Serão mostrados os registros gerados a partir de pacotes UDP.
ICMP Serão mostrados os registros gerados a partir de pacotes ICMP. 439
Outro
Serão mostrados registros gerados a partir de pacotes com protocolo diferente de TCP, UDP e ICMP. Pode-se restringir mais o protocolo a ser mostrado, especificando seu número através do campo Porta destino ou Tipo de Serviço.
O botão OK aplicará o filtro escolhido e mostra a janela de log, com as informações selecionadas. O botão Cancelar fará com que a operação de filtragem seja cancelada e a janela de log mostrada com as informações anteriores.
A janela de log
Figura 325 - Lista com várias entradas de log.
440
A janela de log será mostrada após a aplicação de um filtro novo. Ela consiste de uma lista com várias entradas. Todas as entradas possuem o mesmo formato, entretanto, dependendo do protocolo do pacote que as gerou, alguns campos podem estar ausentes. Além disso, algumas entradas serão precedidas por uma mensagem especial, em formato de texto, que trará informações adicionais sobre o registro (o significado de cada tipo de registro será mostrado no próximo tópico).
Observações importantes:
Os registros serão mostrados de 100 em 100. Só serão mostrados os primeiros 10.000 registros que se enquadrem no filtro escolhido. Os demais podem ser vistos exportando o log para um arquivo ou utilizando um filtro que produza um número menor de registros. No lado esquerdo de cada mensagem, será mostrado um ícone colorido simbolizando sua prioridade. As cores têm o seguinte significado: Azul
Depuração
Verde
Informação
Amarelo
Nota
Vermelho
Aviso
Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte inferior da tela uma linha com informações adicionais sobre o registro.
Ao se apagar todo o log, não existe nenhuma maneira de recuperar as informações anteriores. A única possibilidade de recuperação é a restauração de uma cópia de segurança. Se a opção Expande mensagens estiver marcada e se tiver escolhido a opção de exportação em formato texto, o log será exportado com as mensagens complementares; caso contrário, o log será exportado sem elas. Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa, para guardar uma cópia em formato texto de informações importantes ou para importar o log por um analisador de log citados acima. Ao ser clicado, será mostrada a seguinte janela:
441
Figura 326 - Exportador de log.
Figura 327 - Barra de exportação de log – porcentagem realizada.
Para exportar o conteúdo do log, basta fornecer o nome do arquivo a ser criado, escolher seu formato e clicar no botão Salvar. Para cancelar a operação, clique em Cancelar. Se já existir um arquivo com o nome informado ele será apagado.
442
O botão Próximos, representado como uma seta para a direita na barra de ferramentas, mostra os próximos 100 registros selecionados pelo filtro. Se não existirem mais registros, esta opção estará desabilitada. O botão Últimos, representado como uma seta para a esquerda na barra de ferramentas, mostra os 100 registros anteriores. Se não existirem registros anteriores, esta opção estará desabilitada. O botão Ajuda mostra a janela de ajuda específica para a janela de log.
15.2.
Formato e significado dos campos dos registros do log
Abaixo segue a descrição do formato de cada registro, seguido de uma descrição de cada um dos campos. O formato dos registros é o mesmo para a Interface Remota e para a Interface Texto. Registros gerados pelo filtro de pacotes ou pelo módulo de criptografia Qualquer um destes registros pode vir precedido de uma mensagem especial. A listagem completa de todas as possíveis mensagens especiais e seus significados se encontra no apêndice A.
443
Protocolo TCP Formato do registro: <Data> <Hora> - <Repetição> <Ação> TCP <Status> <IP origem> <Porta origem> <IP destino> <Porta destino> <Flags> <Interface>
Descrição dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetição: Número de vezes em que o registro se repetiu seguidamente. Este campo é mostrado entre parênteses na Interface Texto. Status: Este campo, que aparece entre parênteses na Interface Texto, consiste de uma a três letras, independentes, que possuem o significado abaixo: A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ação: Este campo indica qual foi à ação tomada pelo firewall com relação ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descartado R: Indica que o pacote foi rejeitado IP origem: Endereço IP de origem do pacote que gerou o registro. Porta origem: Porta de origem do pacote que gerou o registro. IP destino: Endereço IP destino do pacote que gerou o registro. Porta destino: Porta destino do pacote que gerou o registro. Flags: Flags do protocolo TCP presentes no pacote que gerou o registro. Este campo consiste de uma a seis letras independentes. A presença de uma letra, indica que o flag correspondente a ela estava presente no pacote. O significado das letras é o seguinte: S: SYN F: FIN A: ACK P: PUSH R: RST (Reset) U: URG (Urgent Pointer) Interface: Interface de rede do firewall por onde o pacote foi recebido.
Protocolo UDP 444
Formato do registro: <Data> <Hora> - <Repetição> <Ação> UDP <Status> <IP origem> <Porta origem> <IP destino> <Porta destino> <Interface> Descrição dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetição: Número de vezes em que o registro se repetiu seguidamente. Este campo é mostrado entre parênteses na Interface Texto. Status: Este campo, que aparece entre parênteses na Interface Texto, consiste de uma a três letras, independentes, que possuem o significado abaixo: A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ação: Este campo indica qual foi à ação tomada pelo firewall com relação ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descartado R: Indica que o pacote foi rejeitado IP origem: Endereço IP de origem do pacote que gerou o registro. Porta origem: Porta de origem do pacote que gerou o registro. IP destino: Endereço IP destino do pacote que gerou o registro. Porta destino: Porta destino do pacote que gerou o registro. Interface: Interface de rede do firewall por onde o pacote foi recebido.
Protocolo ICMP Formato do registro: <Data> <Hora> - <Repetição> <Ação> ICMP <Status> <IP origem> <IP destino> <Tipo de serviço> <Interface> Descrição dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetição: Número de vezes em que o registro se repetiu seguidamente. Este campo é mostrado entre parênteses na Interface Texto. Status: Este campo, que aparece entre parênteses na Interface Texto, consiste de uma a três letras, independentes, que possuem o significado abaixo:
445
A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ação: Este campo indica qual foi à ação tomada pelo firewall com relação ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descartado R: Indica que o pacote foi rejeitado IP origem: Endereço IP de origem do pacote que gerou o registro. IP destino: Endereço IP destino do pacote que gerou o registro. Tipo de serviço: Tipo de serviço ICMP do pacote que gerou o registro. Interface: Interface de rede do firewall por onde o pacote foi recebido.
Outros protocolos Formato do registro: <Data> <Hora> - <Repetição> <Ação> <Protocolo> <Status> <IP origem> <IP destino> <Interface> Descrição dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetição: Número de vezes em que o registro se repetiu seguidamente. Este campo é mostrado entre parênteses na Interface Texto. Status: Este campo, que aparece entre parênteses na Interface Texto, consiste de uma a três letras, independentes, que possuem o significado abaixo: A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ação: Este campo indica qual foi à ação tomada pelo firewall com relação ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descartado R: Indica que o pacote foi rejeitado Protocolo: Nome do protocolo do pacote que gerou o registro (caso o firewall não consiga resolver o nome do protocolo, será mostrado o seu número). IP origem: Endereço IP de origem do pacote que gerou o registro. IP destino: Endereço IP destino do pacote que gerou o registro. Interface: Interface de rede do firewall por onde o pacote foi recebido.
446
Registros gerados pelo conversor de endereços Formato do registro: <Data> <Hora> - <Repetição> C <Protocolo> <IP origem> <Porta origem> <IP convertido> <Porta convertida> Descrição dos campos dos registros Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetição: Número de vezes que o registro se repetiu seguidamente. Este campo é mostrado entre parênteses na Interface Texto. Protocolo: É o protocolo do pacote que gerou o registro. Pode ser TCP ou UDP. IP origem: Endereço IP de origem do pacote que gerou o registro. Porta origem: Porta de origem do pacote que gerou o registro. IP convertido: Endereço IP para o qual o endereço de origem do pacote foi convertido. Porta convertida: Porta para qual a porta de origem do pacote foi convertida.
15.3.
Utilizando a Interface Texto
A Interface Texto para o acesso ao log tem funcionalidade similar à da Interface Remota, porém possui opções de filtragem bem mais limitadas. Além disso, através da Interface Texto, não se tem acesso às informações complementares que são mostradas quando se seleciona uma entrada do log na Interface Remota ou quando se ativa a opção Expande mensagens (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. Localização do programa: /aker/bin/firewall/fwlog Sintaxe: Firewall Aker fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>] fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade] Ajuda do programa:
447
Uso: fwlog ajuda fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>] fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]
fwlog - Interface Texto para visualizar log e eventos mostra = lista o conteúdo do log ou dos eventos. Ele pode mostra apenas o log local ou todo o log do cluster apaga = apaga todos os registro do log ou dos eventos ajuda = mostra esta mensagem Para "mostra" temos: data_inicio = data a partir da qual os registros serão mostrados data_fim = data ate onde mostrar os registros (As datas devem estar no formato dd/mm/aaaa) (Se não forem informadas as datas, mostra os registros de hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO (Ao selecionar uma prioridade, somente serão listados registros cuja prioridade for igual à informada) Exemplo 1: (mostrando o log do dia 07/07/2003) #fwlog mostra log 07/07/2003 07/07/2003 07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0 07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0 07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0 07/07/2003 19:06:22 (01) A TCP 10.4.1.24 1027 10.5.1.1 23 de0 07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0 07/07/2003 19:06:21 (01) A ICMP 10.5.1.134 10.4.1.12 8 de1 07/07/2003 19:06:20 (01) A ICMP 10.4.1.12 137 10.5.1.134 0 de0 07/07/2003 19:06:02 (01) A UDP 10.4.1.59 1050 10.7.1.25 53 de0 Exemplo 2: (mostrando o log do dia 07/07/2003, apenas prioridade notícia) #fwlog mostra log 07/07/2003 07/07/2003 noticia 07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0 07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0 07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0 07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0 448
Exemplo 3: (apagando o arquivo de log) #fwlog apaga log 21/10/2003 23/10/2003 Remoção dos registros foi solicitada ao servidor de log
449
Visualizando Eventos do Sistema
450
16.
Visualizando Eventos do Sistema Este capítulo mostra como visualizar os eventos do sistema, um recurso muito útil para acompanhar o funcionamento do firewall e detectar possíveis ataques e erros de configuração. O que são os eventos do sistema? Eventos são as mensagens do firewall de nível mais alto, ou seja, não relacionadas diretamente a pacotes (como é o caso do log). Nos eventos, podem aparecer mensagens geradas por qualquer um dos três grandes módulos (filtro de pacotes, conversor de endereços e autenticação/criptografia) e por qualquer outro componente do firewall, como por exemplo, os proxies e os processos servidores encarregados de tarefas específicas. Basicamente, o tipo de informação mostrada varia desde mensagens úteis para acompanhar o funcionamento do sistema (uma mensagem gerada todas as vezes que a máquina é reiniciada, todas as vezes que alguém estabelece uma sessão com o firewall, etc) até mensagens provocadas por erros de configuração ou de execução. O que é um filtro de eventos? Mesmo que o sistema tenha sido configurado para registrar todos os possíveis eventos, muitas vezes está interessado em alguma informação específica (por exemplo, suponha que queira ver todas as mensagens do dia de ontem). O filtro de eventos é um mecanismo oferecido pelo Aker Firewall para criar visões do conjunto total de mensagens, possibilitando que obtenha as informações desejadas facilmente. O filtro só permite a visualização de informações que tiverem sido registradas nos eventos. Caso queira obter uma determinada informação deve-se inicialmente configurar o sistema para registrá-la e então utilizar um filtro para visualizá-la.
451
16.1.
Utilizando a Interface Remota
Para ter acesso a janela de eventos deve-se:
Figura 328 - Eventos.
Clicar no menu Auditoria do firewall que se deseja visualizar os eventos; Selecionar a opção Eventos. A barra de ferramentas de Eventos Todas as vezes que a opção Eventos é selecionada, é mostrada automaticamente a barra de ferramentas de Eventos. Esta barra, que estará ao lado das outras barras, poderá ser arrastada e ficar flutuando acima das informações dos Eventos. Ela tem o seguinte formato:
Figura 329 - Barra de ferramentas: Eventos.
452
A janela de filtro de eventos
Figura 330 - Filtro de eventos.
Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. O botão Salvar permite que seja salvo os campos de um filtro de forma a facilitar sua aplicação posterior e o botão excluir permite que seja excluído um filtro salvo não mais desejado. Para salvar um filtro de eventos, deve-se proceder da seguinte forma: 1. Preencher todos os seus campos da forma desejada. 2. Definir, no campo Filtros, o nome pelo qual ele será referenciado. 3. Clicar no botão Salvar. Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos os campos serão automaticamente preenchidos com os dados salvos.
453
Para excluir um filtro que não mais seja desejado, deve-se proceder da seguinte forma: 1. Selecionar o filtro a ser removido, no campo Filtros. 2. Clicar no botão Excluir. O filtro padrão é configurado para mostrar todos as mensagens do dia atual. Para alterar a visualização para outros dias, pode-se configurar a Data Inicial e a Data Final para os dias desejados (a faixa de visualização compreende os registros da data inicial à data final, inclusive). Além de especificar as datas, é possível também determinar quais mensagens devem ser mostradas. A opção Filtrar por permite escolher entre a listagem de mensagens ou de prioridades.
Filtragem por mensagens Ao selecionar filtragem por mensagens, será mostrados na lista do lado esquerdo da janela os nomes de todos os módulos que compõem o firewall. Ao clicar em um destes módulos, será mostradas na lista à direita as diferentes mensagens que podem ser geradas por ele. Dica: Para selecionar todas as mensagens de um módulo, deve-se clicar sobre a caixa à esquerda do nome do módulo.
Filtragem por prioridade Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for à prioridade associada a um determinado registro, mais importância deve-se dar a ele. Ao selecionar filtragem por prioridade, será mostrado na lista do lado esquerdo da janela o nome de todos os módulos que compõem o firewall. Ao clicar em um destes módulos, será mostradas na lista à direita as diferentes prioridades das mensagens que podem ser geradas por ele. Abaixo, está a lista com todas as prioridades possíveis, ordenadas das mais importantes para as menos importantes (caso tenha configurado o firewall para mandar uma cópia dos eventos para o syslog, as prioridades com as quais as mensagens serão geradas no syslog são as mesmas apresentadas abaixo):
Erro Os registros que se enquadrem nesta prioridade indicam algum tipo de erro de configuração ou de operação do sistema (por exemplo, falta de memória). Mensagens desta prioridade são raras e devem ser tratadas imediatamente.
Alerta
454
Os registros que se enquadrarem nesta prioridade indicam que algum tipo de situação séria e não considerada normal ocorreu (por exemplo, uma falha na validação de um usuário ao estabelecer uma sessão de administração remota).
Aviso Enquadram-se nesta prioridade os registros que trazem informações que são consideradas importantes para o administrador do sistema, mas estão associadas a uma situação normal (por exemplo, um administrador iniciou uma sessão remota de administração).
Informação Os registros desta prioridade acrescentam informações úteis mas não tão importantes para a administração do Firewall (por exemplo, uma sessão de administração remota foi finalizada).
Depuração Os registros desta prioridade não trazem nenhuma informação realmente importante, exceto no caso de uma auditoria. Nesta prioridade se encaixam as mensagens geradas pelo módulo de administração remota todas as vezes que é feita uma alteração na configuração do firewall e uma mensagem gerada todas as vezes que o firewall é reinicializado. Como última opção de filtragem, existe o campo Filtrar no complemento por. Este campo permite que seja especificado um texto que deve existir nos complementos de todas as mensagens para que elas sejam mostradas. Desta forma, é possível, por exemplo, visualizar todas as páginas WWW acessadas por um determinado usuário, bastando para isso colocar seu nome neste campo.
O botão OK aplicará o filtro escolhido e mostra a janela de eventos, com as informações selecionadas. O botão Cancelar fará com que a operação de filtragem seja cancelada e a janela de eventos será mostrada com as informações anteriores.
455
A janela de eventos
Figura 331 - Descrição dos Eventos.
A janela de eventos será mostrada após a aplicação de um novo filtro. Ela consiste de uma lista com várias mensagens. Normalmente, cada linha corresponde a uma mensagem distinta, porém existem mensagens que podem ocupar 2 ou 3 linhas. O formato das mensagens será mostrado na próxima seção.
Observações importantes:
As mensagens serão mostradas de 100 em 100. Só serão mostradas as primeiras 10.000 mensagens que são enquadradas no filtro escolhido. As demais podem ser vistas exportando os eventos para um arquivo ou utilizando um filtro que produza um número menor de mensagens. No lado esquerdo de cada mensagem, será mostrado um ícone colorido simbolizando sua prioridade. As cores têm o seguinte significado:
456
Azul
Depuração
Verde
Informação
Amarelo
Notícia
Vermelho
Advertência
Preto
Erro
Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte inferior da tela uma linha com informações adicionais sobre ela.
Ao apagar todos os eventos, não existe nenhuma maneira de recuperar as informações anteriores. A única possibilidade de recuperação é a restauração de uma cópia de segurança.
O botão Salvar, localizado na barra de ferramentas, gravará todas as informações selecionadas pelo filtro atual em um arquivo em formato texto ou em formatos que permitem sua importação pelos analisadores de log da Aker e da WebTrends(R). Os arquivos consistirão de várias linhas de conteúdo igual ao mostrado na janela.
Se a opção Expande mensagens estiver marcada e se tiver escolhido a opção de exportação em formato texto, os eventos serão exportados com as mensagens complementares; caso contrário, os eventos serão exportados sem elas. Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa, para guardar uma cópia em formato texto de informações importantes ou para importar os eventos por um analisador de log citado acima. Ao ser clicado, será mostrada a seguinte janela:
457
Figura 332 - Exportar log de eventos.
Para exportar o conteúdo dos eventos, basta fornecer o nome do arquivo a ser criado, escolher seu formato e clicar no botão Salvar. Para cancelar a operação, clique em Cancelar. Se já existir um arquivo com o nome informado ele será apagado.
O botão Próximos 100, representado como uma seta para a direita na barra de ferramentas mostra as últimas 100 mensagens selecionadas pelo filtro. Se não existirem mais mensagens, esta opção estará desabilitada. O botão Últimos 100, representado como uma seta para a esquerda na barra de ferramentas mostra as 100 mensagens anteriores. Se não existirem mensagens anteriores, esta opção estará desabilitada. O botão Ajuda mostra a janela de ajuda específica para a janela de eventos.
458
16.2.
Formato e significado dos campos das mensagens de eventos
Abaixo segue a descrição do formato das mensagens, seguido de uma descrição de cada um de seus campos. A listagem completa de todas as possíveis mensagens e seus significados se encontra no apêndice A. Formato do registro: <Data> <Hora> <Mensagem> [Complemento] [Mensagem complementar 1] [Mensagem complementar 2] Descrição dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Mensagem: Mensagem textual que relata o acontecimento. Complemento: Este campo traz informações complementares e pode ou não aparecer, dependendo da mensagem. Na Interface Texto, caso ele apareça, virá entre parênteses. Mensagem complementar 1 e 2: Estes complementos só existem no caso de mensagens relacionadas às conexões tratadas pelos proxies transparentes e nãotransparentes e são mostrados sempre na linha abaixo da mensagem a que se referem. Nestas mensagens complementares, se encontram o endereço origem da conexão e, no caso dos proxies transparentes, o endereço destino.
16.3.
Utilizando a Interface Texto
A Interface Texto para o acesso aos eventos tem funcionalidade similar à da Interface Remota. Todas as funções da Interface Remota estão disponíveis, exceto a opção de filtragem de mensagens e o fato de que através da Interface Texto não tem acesso às informações complementares que são mostradas quando selecionada uma mensagem de eventos na Interface Remota ou quando se ativa a opção Expande mensagens (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. O programa que faz a Interface Texto com os eventos é o mesmo usado para a interface com o log e foi mostrado também no capítulo anterior. Localização do programa: /aker/bin/firewall/fwlog
459
Sintaxe: Firewall Aker fwlog apaga [log | eventos] [<data_inicio> <data_fim>] fwlog mostra [log | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade] Ajuda do programa: Uso: fwlog ajuda fwlog apaga [log | eventos] [<data_inicio> <data_fim>] fwlog mostra [log | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]
fwlog - Interface Texto para visualizar log e eventos mostra = lista o conteúdo do log ou dos eventos. Ele pode mostra apenas o log local ou todo o log do cluster apaga = apaga todos os registro do log ou dos eventos ajuda = mostra esta mensagem Para mostra temos: data_inicio = data a partir da qual os registros serão mostrados data_fim = data ate onde mostrar os registros (As datas devem estar no formato dd/mm/aaaa) (Se não forem informadas as datas, mostra os registros de hoje).
prioridade = campo opcional. Se for informado deve ter um dos seguintes valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO (Ao selecionar uma prioridade, somente serão listados registros cuja prioridade for igual à informada) Exemplo 1: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006) #fwlog mostra eventos 05/01/2006 06/01/2006 06/01/2006 11:39:35 Sessão de administração finalizada 06/01/2006 09:13:09 Sessão de administração estabelecida (administrador, CF CL GU) 06/01/2006 09:13:09 Pedido de conexão de administração (10.4.1.14) 06/01/2006 09:09:49 Operação sobre o arquivo de log (Compactar) 05/01/2006 10:27:11 Aker Firewall v6.0 - Inicialização completa 05/01/2006 08:57:11 Tabela de conversão UDP cheia
460
Exemplo 2: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006, apenas prioridade depuração) #fwlog mostra eventos 05/01/2006 06/01/2006 depuração 06/01/2006 09:09:49 Operação sobre o arquivo de log (Compactar) 05/01/2006 10:27:11 Aker Firewall v6.0 - Inicialização completa Exemplo 3: (removendo todo o conteúdo do arquivo de eventos) #fwlog apaga eventos 21/01/2006 23/01/2006 Remoção dos registros foi solicitada ao servidor de log.
461
Visualizando Estatísticas
462
17.
Visualizando Estatísticas Este capítulo mostra sobre o que é a janela de estatística e suas características.
O que é a janela de estatísticas do Aker Firewall? No Firewall, a estatística é um método de medir o tráfego de dados através de suas interfaces. Este tráfego é traduzido em números que mostram a quantidade de pacotes enviados ou recebidos, além do tamanho total de bytes trafegados. Utilizando-se destas informações, o administrador consegue verificar o fluxo de dados de seus serviços podendo, assim saber se o ambiente físico da rede precisa ser melhorado ou expandido. Outra utilização para este tipo de informação é a realização de bilhetagem da rede. Tendo-se conhecimento da quantidade de bytes que cada máquina transferiu na rede, calcula-se o quanto que cada uma deve ser taxada. Para realizar bilhetagem de rede, deve ser criado uma regra de filtragem com um acumulador diferente para cada máquina a ser taxada. Todos os acumuladores devem ter regras de estatísticas associados a eles. Estas regras são configuradas na janela de visualização de estatística. Como funcionam as estatísticas do Aker Firewall? O funcionamento das estatísticas do Aker Firewall é baseado em três etapas distintas:
Criação de Acumuladores: Nesta etapa, cadastramos os acumuladores que serão associados a regras de filtragem. Eles servem apenas como totalizadores de uma ou mais regras de filtragem. Para maiores informações sobre a criação de acumuladores e sua associação com regras de filtragem, vejam os capítulos Cadastrando Entidades e O Filtro de Estados.
Criação de regras de estatística: Após a criação dos acumuladores e sua associação com as regras de filtragem desejadas, devemos criar regras de estatística que definem os intervalos de coleta e quais acumuladores serão somados para gerar o valor da estatística em um dado momento. Esta etapa será explicada neste capítulo.
463
Visualização das estatísticas: Após a criação das regras de estatísticas, podemos ver os valores associados a cada uma delas, exportá-los ou traçar gráficos. Esta etapa também será mostrada neste capítulo.
17.1.
Utilizando a Interface Remota
Para ter acesso a janela de configuração de estatística deve-se:
Figura 333 - Janelas de eventos - Estatística.
Clicar no menu Auditoria da janela do firewall que queira administrar. Selecionar o item Estatísticas.
464
A janela de regras de estatística
Figura 334 - Regras de estatística.
A janela de estatísticas contém todas as regras de estatística definidas no Aker Firewall. Cada regra será mostrada em uma linha separada, composta de diversas células. Caso uma regra esteja selecionada, ela será mostrada em uma cor diferente:
O botão OK fará com que o conjunto de estatísticas seja atualizado e passe a funcionar imediatamente. O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta. 465
A barra de rolagem do lado direito serve para visualizar as regras que não couberem na janela.
Cada regra de estatística é composta dos seguintes campos:
Nome: Nome da estatística, utilizada para facilitar a sua referência. Deve possuir um nome único entre o conjunto de regras; Intervalo: Corresponde ao intervalo de tempo que fará a totalização da regra, ou seja, a soma dos valores de todos os acumuladores presentes na regra; Acumulador: Este campo define quais os acumuladores farão parte da regra; Hora: Esta tabela define as horas e dias da semana em que a regra é aplicável. As linhas representam os dias da semana e as colunas às horas. Caso queira que a regra seja aplicável em determinada hora o quadrado deve ser preenchido, caso contrário o quadrado deve ser deixado em branco.
Para interagir com a janela de regras, utilize a barra de ferramentas localizada na parte superior da janela ou clicar com o botão direito sobre ela.
Figura 335 - Barra de ferramentas - Regras de estatística.
Inserir: Permite a inclusão de uma nova regra na lista. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada para o final da lista. Excluir: Remover da lista a regra selecionada. Habilitar/Desabilitar: Ativar ou desativar a regra selecionada da lista. Visualização: Exibe a janela de visualização de estatísticas relativa à regra selecionada.
Visualizando estatísticas 466
Ao clicar no botão Visualização ou clicar duas vezes sobre uma regra de estatística, a seguinte janela será mostrada:
Figura 336 - Visualizar Estatísticas.
Nesta janela, os dados computados para a estatística selecionada serão mostrados em formato gráfico:
Figura 337 - Botão: gráfico.
ou texto.
Figura 338 - Botão: Texto.
467
Estas informações são relativas à data de início e fim especificadas na parte superior da janela. Para alterar esta data deve-se escolher os campos de Data, colocando as datas de início e de finalização da pesquisa.
Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro refere à contabilização dos acumuladores da estatística em um determinado tempo.
O botão Remover desta pasta irá remover o conjunto de registros com o tempo especificado.
Figura 339 - Botão: remover.
Gráfico: Representa os dados contidos na pasta Leitura em formato gráfico. O gráfico é gerado ao ser pressionado o botão gráfico na barra de ferramentas. Este gráfico também permite que o usuário selecione qual linha deve ser mostrada pressionando-se os rótulos dos mesmos.
Figura 340 - Visualizar Estatísticas – Gráfico.
468
Ao pressionar o botão de salvar estatísticas a janela abaixo irá aparecer de modo a escolher o nome do arquivo. Este arquivo é gravado no formato CSV que permite sua manipulação através de planilhas de cálculo.
Figura 341 - Botão: salvar estatística.
Figura 342 - Exportar Estatística.
A barra de ferramentas da visualização das estatísticas A barra de ferramentas da visualização das estatísticas terá as seguintes funções:
Figura 343 - Barra de ferramentas: visualização das estatísticas.
17.2.
Utilizando a Interface Texto
A Interface Texto para o acesso às estatísticas tem funcionalidade similar à da Interface Remota (E possível usar todos os comandos sem o prefixo “FW”, para isso 469
execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. Todas as funções da Interface Remota estão disponíveis, exceto a opção de verificar os dados através de gráfico e de se verificar em quais regras os acumuladores de uma determinada estatística estão presentes. A tabela de horário é visualizada da seguinte forma: O símbolo “: “(dois pontos) informa que a regra é valida para os dois dias da semana que aparecem separados por / .Ex: Dom/Seg
470
O símbolo”.” (ponto) informa que a regra só é válida para o dia da semana que segue o caractere / .Ex: Dom/Seg - Seg O símbolo “'“ (acento) informa que a regra são é válida para o dia da semana que antecede o caractere / .Ex: Dom/Seg - Dom Localização do programa: /aker/bin/firewall/fwstat Sintaxe: fwstat ajuda mostra [[-c] <estatística> [<data inicial> <data final>]] inclui <estatística> <período> [<acumulador1> [acumulador2] ...] remove <estatística> desabilita <estatística> [<dia> <hora>] habilita <estatística> [<dia> <hora>] Ajuda do programa: Firewall Aker Uso: fwstat ajuda mostra [[-c] <estatística> [<data inicial> <data final>]] inclui <estatística> <período> [<acumulador1> [acumulador2] ...] remove <estatística> desabilita <estatística> [<dia> <hora>] habilita <estatística> [<dia> <hora>]
ajuda = mostra esta mensagem mostra = sem parâmetros, mostra as estatísticas cadastradas com, mostra os dados coletados para estatística = nome da estatística -c = resultado no formato CSV (comma separated value) (útil para importar dados em planilhas eletrônicas) datas = dadas limite para mostrar dados inclui = adiciona uma estatística de nome "estatística” remove = remove uma estatística de nome "estatística" período = período de captura dos dados (segundos) acumulador_ = nome das entidades acumulador para ler desabilita = desabilita uma estatística habilita = habilita uma estatística dia hora = se especificado (sempre ambos), habilita ou desabilita apenas para a hora especificada. 'dia' pertence a {dom, seg, ter, ...} e 'hora' a {0.23}
Exemplo 1: (mostrando as estatísticas) 471
#fwstat mostra Nome : estatística1 (habilitada) ---Período : 17400 segundo (s) Acumuladores: a1 Horário : Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 ------------------------------------------------------------------------------Dom/Seg |: : : : : : : : : : : : : : : : Ter/Qua |: : : : : : : : : : : : : : : : Qui/Sex |: : : : : : : : : : : : : : : : Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' Nome : estatística2 (habilitada) ---Período : 100 segundo (s) Acumuladores: a1 a11 Horário : Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 ------------------------------------------------------------------------------Dom/Seg |: : : : : : : : : : : : : : : : : : : : : : : : Ter/Qua |: : : : : : : : : : : : : : : : : : : : : : : : Qui/Sex |: : : : : : : : : : : : : : : : : : : : : : : : Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' Exemplo 2: (mostrando a estatística do dia 28/10/2001 ao dia 29/10/2001) #fwstat mostra estatística 28/10/2001 29/10/2001 Dia Hora Enviados (bytes/pacotes) Recebidos (bytes/pacotes) ----------------------------------------------------------------------29/10/2001 17:24:54 320/1 321/1 29/10/2001 17:23:14 652/6 654/6 29/10/2001 17:21:34 234/2 980/9 29/10/2001 17:19:54 324/3 650/6 29/10/2001 17:18:14 325/3 150/1 29/10/2001 17:16:34 985/9 240/2 29/10/2001 17:14:54 842/8 840/8 29/10/2001 17:13:14 357/3 289/2 29/10/2001 16:58:14 786/7 261/2
472
Visualizando e Removendo Conexões
473
18.
Visualizando e Removendo conexões Neste capítulo mostra como visualizar e remover conexões TCP e sessões UDP em tempo real.
O que são conexões ativas? Conexões ativas são conexões TCP ou sessões UDP que estão ativas através do firewall. Cada uma destas conexões foi validada através de uma regra do filtro de estados, acrescentada pelo administrador do sistema, ou por uma entrada na tabela de estados, acrescentada automaticamente pelo Aker Firewall. Para cada uma destas conexões, o firewall mantém diversas informações em suas tabelas de estado. Algumas destas informações são especialmente úteis para o administrador e podem ser visualizadas a qualquer momento através da janela de conexões ativas. Dentre estas informações, pode-se citar a hora exata do estabelecimento da conexão e o tempo em que ela se encontra parada, isto é, sem que nenhum pacote trafegue por ela.
474
18.1.
Utilizando a Interface Remota
Para ter acesso a janela de conexões ativas deve-se:
Figura 344 -: Conexões TCP.
Clicar no menu Informação do firewall que queira visualizar. Selecionar Conexões TCP ou Conexões UDP.
A janela de conexões ativas A janela de conexões ativas é onde são mostradas todas as conexões IPv4 e IPv6, que estão passando pelo firewall em um determinado instante. As janelas para os protocolos TCP e UDP são exatamente iguais, com a exceção do campo chamado Status que somente existe na janela de conexões TCP. Para simplificar o entendimento, fala-se de conexões TCP e UDP, entretanto, isto não é totalmente verdadeiro devido ao protocolo UDP ser um protocolo não orientado à conexão. Na verdade, quando se fala em conexões UDP refere-se às sessões onde existe tráfego nos dois sentidos. Cada sessão pode ser vista como um conjunto dos pacotes de requisição e de resposta que fluem através do firewall para um determinado serviço provido por uma determinada máquina e acessado por outra. Essa janela é composta de quatro pastas: nas duas primeiras são mostradas uma lista com as conexões ativas tanto IPv4 como IPv6 e as duas últimas permitem visualizar gráficos em tempo real das máquinas e serviços mais acessados, das conexões IPv4e IPv6. 475
Pasta de conexões IPv4
Figura 345 - Conexões TCP – Conexões IPv4.
476
Pasta de conexões IPV6
Figura 346 - Conexões TCP – Conexões IPv6.
As pastas, conexão IPv4 e conexão IPv6, consistem de uma lista com uma entrada para cada conexão ativa. Na parte inferior da janela é mostrada uma mensagem informando o número total de conexões ativas em um determinado instante. As velocidades, total e média, são exibidas na parte inferior da janela.
O botão OK faz com que a janela de conexões ativas seja fechada. Caixa Filtro exibe as opções de filtragem sendo possível selecionar os endereços origem ou destino e/ou portas para serem exibidos na janela. A opção Mostrar itens selecionados no topo coloca as conexões selecionadas no topo da janela para melhor visualização. 477
A opção Remover, que aparece ao clicar com o botão direito sobre uma conexão, permite remover uma conexão.
Ao remover uma conexão TCP, o firewall envia pacotes de reset para as máquinas participantes da conexão, efetivamente derrubando-a, e remove a entrada de sua tabela de estados. No caso de conexões UDP, o firewall simplesmente remove a entrada de sua tabela de estados, fazendo com que não sejam mais aceitos pacotes para a conexão removida.
Figura 347 - Barra de ferramentas: conexões TCP.
Todas as alterações efetuadas na barra de ferramentas, quando a opção conexão ipv4 ou a opção gráfico ipv4, estiverem selecionadas, também serão realizados nas opções, conexão ipv6 ou gráfico ipv6, e assim respectivamente.
O botão Atualizar, localizado na barra de ferramentas faz com que as informações mostradas sejam atualizadas periodicamente de forma automática ou não. Ao clicar sobre ele permite alternar entre os dois modos de operação. O intervalo de atualização pode ser configurado mudando o valor logo à direita deste campo.
O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes (DNS) para resolver os nomes das máquinas cujos endereços IPs aparecem listados. Cabe ser observado, os seguintes pontos: 1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, a tradução dos nomes é feita em segundo plano. 2. Muitas vezes, devido aos problemas de configuração do DNS reverso (que é o utilizado para resolver nomes a partir de endereços IP), não será possível a resolução de certos endereços. Neste caso, os endereços não resolvidos serão mantidos na forma original e será indicado ao seu lado que eles não possuem DNS reverso configurado.
A opção Desabilitar gráficos desabilita o desenho do gráfico de conexões, sendo indicada para máquinas especialmente lentas.
A opção Mostrar velocidade das conexões, se ativa, faz com que a interface calcule e mostre a velocidade de cada conexão em bits/s.
É possível ordenar a lista das conexões por qualquer um de seus campos, bastando para isso clicar no título do campo. O primeiro click produzirá uma ordenação ascendente e o segundo uma ordenação descendente.
Pasta Gráfico de Conexões IPv4 e IPv6
478
As pastas, gráfico IPv4 e gráfico IPv6, consistem de dois gráficos: o gráfico superior mostram os serviços mais utilizados e o gráfico inferior mostram as máquinas que mais acessam serviços ou que mais são acessadas. No lado direito existe uma legenda mostrando qual máquina ou serviço correspondem a qual cor do gráfico.
Figura 348 - Conexões TCP – Gráfico de conexões IPv4.
O intervalo de tempo no qual o gráfico é atualizado é o mesmo configurado na pasta de conexões. Significado dos campos de uma conexão ativa IPv6 e IPv4 Cada linha presente na lista de conexões ativas representa uma conexão. O significado de seus campos é mostrado a seguir:
479
IP origem: Endereço IP da máquina que iniciou a conexão. Porta origem: Porta usada pela máquina de origem para estabelecer a conexão. IP destino: Endereço IP da máquina para a qual a conexão foi efetuada. Porta destino: Porta para qual a conexão foi estabelecida. Esta porta normalmente está associada a um serviço específico. Início: Hora de abertura da conexão. Inativo: Número de minutos e segundos de inatividade da conexão. Estado Atual: Este campo só aparece no caso de conexões TCP. Ele representa o estado da conexão no instante mostrado e pode assumir um dos seguintes valores: SYN Enviado: Indica que o pacote de abertura de conexão (pacote com flag de SYN) foi enviado, porém a máquina servidora ainda não respondeu. SYN Trocados: Indica que o pacote de abertura de conexão foi enviado e a máquina servidora respondeu com a confirmação de conexão em andamento. Estabelecida: Indica que a conexão está estabelecida. Escutando Porta: Indica que a máquina servidora está escutando na porta indicada, aguardando uma conexão a partir da máquina cliente. Isto só ocorre no caso de conexões de dados FTP. Bytes Enviados/Recebidos: Estes campos só aparecem no caso de conexões TCP, e indicam o número de bytes trafegados por esta conexão em cada um dos dois sentidos. Pacotes Enviados/Recebidos: Estes campos só aparecem no caso de conexões TCP, e indicam o número de pacotes IP trafegados por esta conexão em cada um dos dois sentidos.
18.2.
Utilizando a Interface Texto
A Interface Texto para acesso à lista de conexões ativas possui as mesmas capacidades da Interface Remota (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. O mesmo programa trata as conexões TCP e UDP. Localização do programa: /aker/bin/firewall/fwlist
480
Sintaxe: Uso: fwlist ajuda fwlist mostra [[-w] [TCP]] | [UDP] | [sessões] fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino fwlist remove sessão IP_origem Ajuda do programa: fwlist - Lista e remove conexões TCP/UDP e sessões ativas
Uso: fwlist ajuda fwlist mostra [[-w] [TCP | TCP6]] | [UDP | UDP6] fwlist mostra [sessoes | roaming | bloqueados] fwlist mostra [quotas | www] fwlist remove [TCP | TCP6 | UDP | UDP6] IP_origem Porta_origem IP_destino Porta_destino fwlist remove sessao IP_origem [usuario] fwlist remove bloqueado IP_origem fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume]
ajuda
= mostra esta mensagem
mostra = lista as conexões ou sessoes ativas remove = remove uma conexão ou sessão ativa reinicia = reinicia a quota dos usuários Exemplo 1: (listando as conexões ativas TCP) #fwlist mostra TCP Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado ------------------------------------------------------------------------------10.4.1.196:1067 10.4.1.11:23 15:35:19 00:00 Estabelecida 10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida Exemplo 2: (listando as conexões ativas UDP) 481
#fwlist mostra UDP Origem (IP:porta) Destino (IP:porta) Inicio Inativo ----------------------------------------------------------10.4.1.1:1099 10.4.1.11:53 15:35:19 00:00 10.4.1.18:1182 10.5.2.1:111 15:36:20 00:10 Exemplo 3: (removendo uma conexão TCP e listando as conexões) #fwlist remove tcp 10.4.1.196 1067 10.4.1.11 23 #fwlist mostra TCP Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado ------------------------------------------------------------------------------10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida
482
Utilizando o Gerador de Relatórios
483
19.
Utilizando o Gerador de Relatórios Este capítulo mostra para que serve e como configurar os Relatórios no Aker Firewall. Visando disponibilizar informações a partir de dados presentes nos registros de log e eventos, bem como apresentar uma visão sumarizada dos acontecimentos para a gerência do Firewall, foi desenvolvida mais esta ferramenta. Neste contexto trataremos dos relatórios que nutrirão as informações gerenciais. Os relatórios são gerados nos formatos HTML, TXT ou PDF, publicados via FTP em até três sites distintos ou enviados através de e-mail para até três destinatários distintos. Podem ser agendados das seguintes formas: "Diário", "Semanal", "Quinzenal", "Mensal", "Específico" e também em tempo real de execução.
19.1.
Acessando Relatórios
Para ter acesso à janela de Relatórios deve-se:
Figura 349 - Relatório.
Clicar no menu Auditoria da janela de administração do firewall. Selecionar o item Relatório.
484
19.2.
Configurando os Relatórios
Figura 350 - Configurando relatório - Diário.
Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal", "Mensal", "Quinzenal", "Específico" e a opção “Gerar relatório diário agora”. Em todos será necessário escolher quais sub-relatórios serão incluídos. Para executar qualquer relatório, deve-se clicar com o botão direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre que for pressionado o botão direito, mesmo que não exista nenhum relatório selecionado. Neste caso, somente as opção Inserir estará habilitada); inclusive podendo ser executada a partir da barra de ferramentas.
Inserir: Esta opção permite incluir um novo relatório.
Ao tentar inserir um novo relatório constará três abas:
485
Aba geral Nesta aba serão configurados os seguintes campos:
Figura 351 - Configuração do relatório - geral.
Título do Relatório: Atribuir nome ao relatório. Agendamento: Definir hora que será gerado o relatório. Formato do Relatório: Define em qual formato será gerado o relatório. As opções de formato são:
TXT: Quando selecionada esta opção é gerado um arquivo chamado report.txt que contém o relatório. HTML: Quando selecionada esta opção é gerado um arquivo chamado index.html que contém o relatório. PDF: Quando selecionada esta opção é gerado um arquivo chamado report.pdf que contém o relatório.
486
Em ambos os casos, o navegador será aberto automaticamente, exibindo o conteúdo do arquivo correspondente ao relatório. Aba Sub-relatório Um sub-relatório é oferecido para que os níveis de detalhamento possam ser evidenciados e a informação que compõe o relatório seja mais objetiva.
Figura 352 - Configuração do relatório – sub-relatório.
Esta aba é composta por duas colunas, onde será necessário indicar filtros para ambas. Na coluna de "Sub-relatório" deverá ser incluído qual tipo de sub-relatório e como será agrupado, por exemplo: "Não agrupar", "Quota", "Usuário". Esta opção varia conforme o tipo de sub-relatório selecionado. É possível definir relacionamentos com lógica "E" ou "OU" e um limite para TOP.
487
Na coluna de "Filtros" haverá mais uma possibilidade de filtro de acordo com o tipo de dado. Métodos de Publicação
Método FTP Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os relatórios via ftp. Como utilizar:
Selecione o(s) servidor (es); Digite o usuário; Digite a senha de acesso; Digite o caminho de destino do relatório.
488
Figura 353 - Configuração do relatório – método de publicação.
Método SMTP Nesta aba o usuário poderá indicar até três destinatários, para onde serão enviados os relatórios através de e-mail. Como utilizar:
Digite o endereço do remetente ("De"); Digite o endereço do destinatário ("Para"); Digite o "Assunto"; Caso deseje é possível incluir uma mensagem, no campo "Mensagem".
489
Figura 354 - Configuração do relatório – método de SMTP.
Opção Gerar relatório diário agora Esta opção permite a geração de relatório em tempo real, ou seja, o administrador do firewall pode gerar relatórios no momento em que desejar. O produto continuará funcionando normalmente. Quando o relatório estiver pronto, salve-o em um diretório conforme desejado, logo em seguida será exibido uma janela mostrando o relatório. Nesta opção a coluna Método de Publicação não estará disponível.
490
19.3.
Lista dos Relatórios disponíveis
Abaixo segue os tipos de relatórios possíveis de serem gerados: 1. Quantidade de acessos web por usuários do autenticador; 2. Quantidade de acessos web por grupos do autenticador; 3. Quantidade de acessos web por perfis de acesso; 4. Quantidade de acessos web por endereço IP origem; 5. Quantidade de acessos web por endereço IP destino; 6. Quantidade de acessos TCP e UDP (cada serviço) por grupos do autenticador; 7. Quantidade de acesso por páginas Web (domínio), com possibilidade de seleção das N páginas mais acessadas; 8. Quantidade de acesso por páginas Web (domínio), com possibilidade de seleção das N páginas mais acessadas por grupos do autenticador; 9. Quantidade de acesso, relacionando conjunto de usuários e respectivas páginas web mais acessadas; 10. Quantidade de acessos bloqueados por usuários, com possibilidade de seleção dos N usuários com maior número de requisições a páginas proibidas; 11. Quantidade de downloads realizados (HTTP e FTP), com possibilidade de seleção dos N arquivos mais baixados; 12. Volume de tráfego (kbps ou Mbps) processado pelo Firewall, em médias de períodos de cinco minutos; 13. Categoria dos sites; 14. Downloads; 15. Sites bloqueados; 16. Categorias bloqueadas; 17. Downloads bloqueados; 18. IPs web; 19. IPs web bloqueados; 20. IPs destino; 21. IPs destino bloqueados; 22. IPs e Serviços; 23. IPs e Serviços bloqueados; 24. Serviços; 25. Serviços bloqueados; 26. Tráfego que entrou; 27. Tráfego que saiu; 28. Destinatários de e-mails entregues; 29. Destinatários de e-mails rejeitados; 30. Endereço IP de e-mails entregues; 31. Endereço IP de e-mails rejeitados; 32. Domínios dos destinatários de e-mails entregues; 33. Domínios dos destinatários de e-mails bloqueados; 34. Quota - consumo de bytes; 35. Quota - consumo de tempo; 36. MSN - duração do chat; 37. MSN – chat log; 491
38. Contabilidade de tráfego web - upload consumido; 39. Contabilidade de tráfego web - download consumido; 40. Contabilidade de tráfego web - tempo consumido; 41. Contabilidade de tráfego de downloads - upload consumido; 42. Contabilidade de tráfego de downloads - download consumido; 43. Contabilidade de tráfego de downloads - tempo consumido; 44. Contabilidade de tráfego de FTP - upload consumido; 45. Contabilidade de tráfego de FTP - download consumido; 46. Usuários que acessaram um site; 47. Usuários que foram bloqueados tentando acessar um site.
492
Exportação Agendada de Logs e Eventos
493
20.
Exportação Agendada de Logs e Eventos Este capítulo mostra como configurar a Exportação Agendada de Logs e Eventos. Os registros de Logs e/ou Eventos são exportados nos formatos TXT ou CSV, publicados via FTP em até três sites distintos ou localmente em uma pasta do próprio Firewall. Podem ser agendados das seguintes formas: "Diário", "Semanal" e/ou “Mensal”.
20.1.
Acessando a Exportação Agendada de Logs e Eventos
Para ter acesso à janela de Exportação Agendada de Logs e Eventos deve-se:
Figura 355 - Janela de acesso: Exportação Agendada de Logs e Eventos.
Clicar no menu Auditoria da janela de administração do Aker Firewall; Selecionar o item Exportação Agendada de Logs e Eventos.
494
20.2.
Configurando a Exportação Agendada de Logs e Eventos
Figura 356 - Exportação Agendada de Logs e Eventos - diário.
Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal" e "Mensal". Para executar qualquer exportação, deve-se clicar com o botão direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre que for pressionado o botão direito, mesmo que não exista nenhum relatório selecionado. Neste caso, somente as opção Inserir estará habilitada); inclusive podendo ser executada a partir da barra de ferramentas.
Inserir: Esta opção permite incluir um novo relatório. Ao tentar inserir um novo relatório constará duas abas: Aba Geral Nesta aba serão configurados os seguintes campos:
495
Figura 357 - Configuração da Exportação Agendada de Logs e Eventos - geral.
Título: Atribuir nome a exportação. Formato do Relatório: Define em qual formato será gerado o relatório. As opções de formato são: TXT; CSV.
Tipo: Define qual informação será exportada: Logs; Eventos. Agendamento: Definir hora que será realizada a exportação.
496
Aba Método de Publicação FTP: Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os dados via ftp. Como utilizar:
Selecione o(s) servidor (es); Digite o usuário; Digite a senha de acesso; Digite o caminho de destino do relatório
Figura 358 - Configuração da Exportação Agendada de Logs e Eventos – método de publicação.
497
Local: Nesta aba, o usuário poderá indicar em qual diretório local do Aker Firewall deseja salvar os dados exportados.
Figura 359 - Configuração da Exportação Agendada de Logs e Eventos – tipo de publicação.
498
Trabalhando com proxies
499
21.
Trabalhando com Proxies Neste capítulo mostra toda a base de conhecimento necessária, para entender o funcionamento dos proxies do Aker Firewall. Os detalhes específicos de cada proxy serão mostrados nos próximos capítulos.
21.1.
Planejando a instalação
O que são proxies? Proxies são programas especializados que geralmente rodam em firewalls e que servem como ponte entre a rede interna de uma organização e os servidores externos. Seu funcionamento é simples: eles ficam esperando por uma requisição da rede interna, repassam esta requisição para o servidor remoto na rede externa, e devolvem sua resposta de volta para o cliente interno. Na maioria das vezes os proxies são utilizados por todos os clientes de uma subrede e devido a sua posição estratégica, normalmente eles implementam um sistema de cache para alguns serviços. Além disso, como os proxies trabalham com dados das aplicações, para cada serviço é necessário um proxy diferente. Proxies tradicionais Para que uma máquina cliente possa utilizar os serviços de um proxy é necessário que a mesma saiba de sua existência, isto é, que ela saiba que ao invés de estabelecer uma conexão com o servidor remoto, ela deve estabelecer a conexão com o proxy e repassar sua solicitação ao mesmo. Existem alguns clientes que já possuem suporte para proxies embutidos neles próprios (como exemplo de clientes deste tipo, pode-se citar a maioria dos browsers existentes atualmente). Neste caso, para utilizar as funções de proxy, basta configurá-los para tal. A grande maioria dos clientes, entretanto, não está preparada para trabalhar desta forma. A única solução possível neste caso, é alterar a pilha TCP/IP em todas as máquinas clientes de modo a fazer com que transparentemente as conexões sejam repassadas para os proxies. Esta abordagem traz inúmeras dificuldades, já que além de ser extremamente trabalhoso alterar todas as máquinas clientes, muitas vezes não existe forma de alterar a implementação TCP/IP de determinadas plataformas, fazendo com que clientes nestas plataformas não possam utilizar os proxies.
500
Outro problema dos proxies tradicionais, é que eles só podem ser utilizados para acessos de dentro para fora (não pode solicitar para que clientes externos repassem suas solicitações para o seu proxy para que este repasse para seu servidor interno). A figura abaixo ilustra o funcionamento básico de um proxy tradicional:
Figura 360 - Funcionamento básico de um Proxy tradicional.
Proxies transparentes O Aker Firewall introduz um novo conceito de firewall com a utilização de proxies transparentes. Estes proxies transparentes são capazes de serem utilizados sem nenhuma alteração nas máquinas clientes e nas máquinas servidoras, simplesmente porque nenhuma delas sabe de sua existência. Seu funcionamento é simples, todas as vezes que o firewall decide que uma determinada conexão deve ser tratada por um proxy transparente, esta conexão é desviada para o proxy em questão. Ao receber a conexão, o proxy abre uma nova conexão para o servidor remoto e repassa as requisições do cliente para este servidor. A grande vantagem desta forma de trabalho, é que torna possível oferecer uma segurança adicional para certos serviços sem perda da flexibilidade e sem a necessidade de alteração de nenhuma máquina cliente ou servidora. Além disso, é possível utilizar proxies transparentes em requisições de dentro para fora e de fora para dentro, indiferentemente.
501
Figura 361 - Funcionamento básico de um Proxy transparente.
Proxies transparentes e contextos O Aker Firewall introduz uma novidade com relação aos proxies transparentes: os contextos. Para entendê-los, vamos inicialmente analisar uma topologia de rede onde sua existência é necessária. Suponha que exista um Aker Firewall conectado a três redes distintas, chamadas de redes A, B e C, e que as redes A e B sejam redes de dois departamentos de uma mesma empresa e a rede C a Internet. Suponha ainda que na rede A exista um servidor SMTP que seja utilizado também pela rede B para enviar e receber correio eletrônico. Isto está ilustrado no desenho abaixo:
Figura 362 - Proxies transparentes e contextos.
502
Suponha agora que queira configurar o firewall para desviar todas as conexões SMTP para o proxy SMTP, de modo a assegurar uma maior proteção e um maior controle sobre este tráfego. É importante que exista um meio de tratar diferentemente as conexões para A com origem em B e C: a rede B utilizará o servidor SMTP de A como relay ao enviar seus e-mails, entretanto este mesmo comportamento não deve ser permitido a partir da rede C. Pode-se também querer limitar o tamanho máximo das mensagens originadas na rede C, para evitar ataques de negação de serviço baseados em falta de espaço em disco, sem ao mesmo tempo querer limitar também o tamanho das mensagens originadas na rede B. Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos. Contextos nada mais são que configurações diferenciadas para os proxies transparentes de modo a possibilitar comportamentos diferentes para conexões distintas. No exemplo acima, poderia criar dois contextos: um para ser usado em conexões de B para A e outro de C para A. Os proxies do Aker Firewall O Aker Firewall implementa proxies transparentes para os serviços FTP, Telnet, SMTP, POP3, HTTP, HTTPS, RPC, DCE-RPC, SIP, H323, MSN e proxies não transparentes para os serviços acessados através de um browser WWW (FTP, Gopher, HTTP e HTTPS) e para clientes que suportem o protocolo SOCKS. Para utilizar os proxies não transparentes é necessário um cliente que possa ser configurado para tal. Dentre os clientes que suportam este tipo de configuração, pode-se citar o Mozilla Firefox (Tm) e o Internet Explorer (Tm). Os proxies transparentes podem ser utilizados tanto para controlar acessos externos às redes internas quanto acessos de dentro para fora. Os proxies não transparentes somente podem ser usados de dentro para fora. O Aker Firewall permite ainda implementar Proxies criados pelo usuário que são proxies criados por terceiros utilizando a API de desenvolvimento que a Aker Security Solutions provê. O objetivo é possibilitar que instituições que possuam protocolos específicos possam criar suporte no firewall para estes protocolos. Os autenticadores do Aker Firewall Os proxies SOCKS, Telnet e WWW do Aker Firewall suportam autenticação de usuários, isto é, podem ser configurados para só permitir que uma determinada sessão seja estabelecida caso o usuário se identifique para o firewall, através de um nome e uma senha, e este tenha permissão para iniciar a sessão desejada. O grande problema que surge neste tipo de autenticação é como o firewall irá validar os nomes e as senhas recebidas. Alguns produtos exigem que todos os usuários sejam cadastrados em uma base de dados do próprio firewall ou que 503
sejam usuários válidos da máquina que o firewall estiver rodando. Ambos os métodos possuem o grande inconveniente de não aproveitar a base de usuários normalmente presente em uma rede local. No Aker Firewall, optou-se por uma solução mais versátil e simples de ser implantada: ao invés de exigir um cadastramento de usuários no firewall, estes são validados nos próprios servidores da rede local, sejam estes Unix ou Windows Server tm. Para que seja possível ao firewall saber em quais máquinas ele deve autenticar os usuários, e também para possibilitar uma comunicação segura com estas máquinas, foi criado o conceito de autenticadores. Autenticadores são máquinas Unix ou Windows Servertm, que rodam um pequeno programa chamado de Agente de autenticação. Este programa é distribuído como parte do Firewall Aker e tem como função básica servir de interface entre o firewall e a base de dados remota. Para que o Aker Firewall utilize uma base de dados em um servidor remoto, deve-se efetuar os seguintes procedimentos: 1. Instalar e configurar o agente de autenticação na máquina onde reside à base de dados de usuários (este procedimento será descrito nos tópicos intitulados Instalando o agente de autenticação no Unix e Instalando o agente de autenticação no Windows Servertm). 2. Cadastrar uma entidade do tipo autenticador com o endereço da máquina onde o agente foi instalado e com a senha de acesso correta (para maiores informações de como cadastrar entidades, veja o capítulo intitulado Cadastrando Entidades). 3. Indicar para o firewall que ele deve utilizar o autenticador cadastrado no passo 2 para realizar a autenticação de usuários (este procedimento será descrito no capítulo intitulado Configurando parâmetros de autenticação). O Aker Firewall 6.5 é incompatível com versões anteriores a 4.0 dos agentes de autenticação. Caso tenha feito upgrade de uma versão anterior e esteja utilizando autenticação, é necessário reinstalar os autenticadores. É possível também realizar autenticações através dos protocolos LDAP e RADIUS. Neste caso, não existe a necessidade de instalação dos autenticadores nas máquinas servidoras, bastando-se criar os autenticadores dos tipos correspondentes e indicar ao firewall que eles devem ser utilizados, de acordo com os passos 2 e 3 listados acima.
504
21.2.
Instalando o agente de autenticação em plataformas Unix
Para instalar o agente de autenticação é necessário efetuar o download do Agente de autenticação adequado ao seu sistema no site da Aker (http://www.aker.com.br), após o download descompacte o arquivo e execute o seguinte comando: #/ ./aginst O símbolo # representa o prompt do shell quando executado como root, ele não deve ser digitado como parte do comando. O programa de instalação copiará o executável do agente (fwagaut) para o diretório /usr/local/bin e copiará um modelo do arquivo de configuração (fwagaut.cfg) para o diretório /etc/. Após a instalação, é necessário personalizar este arquivo, como descrito na próxima seção. Caso tenha respondido "Sim" quando o programa de instalação perguntou se o agente deveria ser iniciado automaticamente, uma chamada será criada em um arquivo de inicialização da máquina de modo a carregar automaticamente o agente. O nome deste arquivo de inicialização é dependente da versão de Unix utilizada.
A sintaxe do arquivo de configuração do agente de autenticação Após instalar o agente de autenticação é necessário criar um arquivo de configuração com o endereço dos firewalls que poderão utilizá-lo e a senha de acesso de cada um. Este arquivo é em formato texto e pode ser criado por qualquer editor. O arquivo de configuração do agente de autenticação deve ter seus direitos configurados de forma que só o usuário root possa ler ou alterar seu conteúdo. Para fazer isso, pode-se usar o comando chmod, com a seguinte sintaxe: # chmod 600 nome_do_arquivo. A sua sintaxe é a seguinte:
Cada linha deve conter o endereço IP de um Aker Firewall que irá utilizar o agente, um ou mais espaços em branco ou caracteres tab e a senha de acesso que o firewall irá utilizar para a comunicação. Linhas começadas pelo caractere #, bem como linhas em branco, são ignoradas.
505
Um exemplo de um possível arquivo de configuração é mostrado a seguir: # Arquivo de configuração do agente de autenticação do Firewall Aker 6.5 # # Sintaxe: Endereço IP do Firewall e senha de acesso (em cada linha) # # Obs: A senha não pode conter espaços e deve ter até 31 caracteres # # Linhas começadas pelo caractere '#' são consideradas comentários # Linhas em branco são permitidas 10.0.0.1 teste_de_senha 10.2.2.2 123senha321 O local padrão para o arquivo de configuração do agente é /etc/fwagaut.cfg, entretanto é possível criá-lo com qualquer outro nome ou em outro diretório, desde que essa ação seja informadaao agente no momento de sua execução. Isto será mostrado no tópico abaixo. Sintaxe de execução do agente de autenticação O agente de autenticação para Unix possui a seguinte sintaxe de execução: fwagaut [-?] [-c NOME_ARQUIVO] [-s <0-7>] [-q] Onde: -? Mostra esta mensagem retorna ao prompt do shell -c Especifica o nome de um arquivo de configuração alternativo -s Especifica a fila do syslog para onde devem ser enviadas as mensagens do autenticador. 0 = local0, 1 = local1, ... -r Aceita validação do usuário root -e Aceita usuários com senhas em branco -q Não mostra mensagem na hora da entrada Suponha que o agente esteja localizado no diretório /usr/local/bin e que se tenha criado o arquivo de configuração com o nome /usr/local/etc/fwagaut.cfg. Neste caso, para executar o agente, a linha de comando seria: /usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg Caso queira executar o agente com o arquivo de configuração no local padrão, não é necessário a utilização da opção -c , bastando simplesmente executá-lo com o comando: /usr/local/bin/fwagaut O agente de autenticação deve ser executado pelo o usuário root. 506
Quando for feito alguma alteração no arquivo de configuração é necessário informar isso ao agente, se ele estiver rodando. Para tal, deve-se executar o seguinte comando: #kill -1 pid Onde “pid” é o número do processo do agente de autenticação. Para ser obtido este número, pode-se executar o comando.
#ps -ax | grep fwagaut , em máquinas baseadas em Unix BSD, ou #ps -ef | grep fwagaut, em máquinas baseadas em Unix System V. O agente de autenticação escuta requisições na porta 1021/TCP. Não pode existir nenhuma outra aplicação utilizando esta porta enquanto o agente estiver ativo.
21.3.
Instalando o agente de autenticação em Windows Servertm
A instalação do agente de autenticação para Windows Servertm é bastante simples. Efetue o download do Agente de Autenticação adequado ao seu sistema no site da Aker (http://www.aker.com.br), Para instalá-lo, clique duas vezes no arquivo salvo. O programa inicialmente mostra uma janela pedindo uma confirmação para prosseguir com a instalação. Deve-se responder Sim para continuar com a instalação. A seguir será mostrada uma janela com a licença e por fim a janela onde pode especificar o diretório de instalação. Após selecionar o diretório de instalação, deve-se pressionar o botão Copiar arquivos, que realizará toda a instalação do agente. Esta instalação consiste na criação de um diretório chamado de fwntaa, dentro do diretório Arquivos de Programas, com os arquivos do agente, a criação de um grupo chamado de Firewall Aker com as opções de configuração e remoção do agente e a criação de um serviço chamado de Agente de autenticação do Aker Firewall. Este serviço é um serviço normal do Windows Servertm e pode ser interrompido ou iniciado através do Painel de Controle, no ícone serviços. O agente de autenticação escuta requisições nas portas 1016/TCP e 1021/TCP. Não pode existir nenhuma outra aplicação utilizando estas portas enquanto o agente estiver ativo.
507
21.4.
Configuração do agente de autenticação para Windows Servertm
Depois de realizada a instalação do agente, é necessário proceder com a sua configuração. Esta configuração permite fazer o cadastramento de todos os firewalls que irão utilizá-lo, bem como a definição de quais mensagens serão produzidas pelo agente, durante seu funcionamento. Ao contrário do agente de autenticação para Unix, esta configuração é feita através de um programa separado. Para ter acesso ao programa de configuração, deve-se clicar no menu Iniciar, selecionar o grupo Firewall Aker e dentro deste grupo a opção Configurar agente de autenticação. Ao ser feito isso, será mostrada a janela de configuração do agente, que está distribuída em três abas: Aba de configuração dos firewalls
Figura 363 - Agente de autenticação - Aker.
Esta aba consiste em todas as opções de configuração do agente. Na parte superior existe dois botões que permitem testar a autenticação de um determinado usuário, a fim de verificar se o agente está funcionando corretamente. Na parte inferior da pasta existe uma lista com os firewalls autorizados a se conectarem ao agente de autenticação. 508
Para incluir um novo firewall na lista, basta clicar no botão Incluir, localizado na barra de ferramentas. Para remover ou editar um firewall, basta selecionar o firewall a ser removido ou editado e clicar na opção correspondente da barra de ferramentas.No caso das opções Incluir ou Editar será mostrada a seguinte janela:
Figura 364 - Agente de autenticação – Firewall Aker.
IP: É o endereço IP do firewall que se conectará ao agente. Descrição: É um campo livre, utilizado apenas para fins de documentação. Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia usadas na comunicação com o firewall. Esta senha deve ser igual à configurada na entidade do firewall. Para maiores informações, veja o capítulo intitulado Cadastrando Entidades. Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada corretamente. Deve-se digitá-la exatamente como no campo Senha. Autenticação de usuários suportada: Esse campo indica quais formas de autenticação de usuários serão permitidas. Ela consiste de duas opções que podem ser selecionadas independentemente: Domínio Windows NT/2000: Se essa opção estiver marcada, o agente realizará autenticação de usuários utilizando a base de usuários do Windows NT/2000. SecurID ACE/Server: Se essa opção estiver marcada, o agente realizará autenticação de usuários consultando o servidor SecurID.
509
Aba de log
Figura 365 - Agente de autenticação - Log.
Esta aba é muito útil para acompanhar o funcionamento do agente de autenticação. Ela consiste de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um ícone colorido, simbolizando sua prioridade. As cores têm o seguinte significado: Verde
Depuração
Azul
Informação
Amarelo
Notícia
Vermelho
Advertência
Preto
Erro
Caso não queira que uma determinada prioridade de mensagens seja gerada, basta desmarcar a opção a sua esquerda.
510
A opção Usar visualizador de eventos, se estiver marcada, faz com que as mensagens sejam enviadas para o visualizador de eventos do Windows. Aba de sobre
Figura 366 - Agente de autenticação - Sobre.
Esta é uma aba meramente informativa e serve para obter algumas informações do cliente. Dentre as informações úteis se encontram sua versão e release. Remoção do agente de autenticação para Windows Servertm Para facilitar a remoção do agente de autenticação para NT, existe um utilitário que a realiza automaticamente. Para iniciá-lo, deve-se clicar no menu Iniciar, selecionar o grupo Firewall Aker e dentro deste grupo a opção Remover agente de autenticação. Ao ser feito isso, será mostrada uma janela de confirmação. Caso deseje desinstalar o agente, deve-se clicar no botão Sim, caso contrário, deve-se clicar no botão Não, que cancelará o processo de remoção.
511
Configurando parâmetros de autenticação
512
22.
Configurando parâmetros de autenticação Este capítulo mostra quais são e como devem ser configurados os parâmetros de autenticação, essenciais para que seja possível a autenticação de usuários pelo firewall.
O que são os parâmetros de autenticação? Os parâmetros de autenticação servem para informar ao firewall quais as formas de autenticação que são permitidas, quais autenticadores devem ser pesquisados na hora de autenticar um determinado usuário e em qual ordem. Além disso, eles controlam a forma com que a pesquisa é feita, permitindo uma maior ou menor flexibilidade para as autenticações.
22.1.
Utilizando a Interface Remota
Para ter acesso a janela de parâmetros de autenticação deve-se:
Figura 367 - Autenticação.
Clicar no menu Configuração do Firewall da janela Firewalls. Selecionar o item Autenticação. 513
Essa janela consiste de seis partes distintas: a primeira aba corresponde ao Controle de Acesso onde os usuários e grupos de autenticadores são associados com perfis de acesso. A configuração desta aba será vista em detalhes em Perfis de Acesso de Usuários, na segunda aba escolhe-se os Métodos de autenticação onde se determina os parâmetros relativos à autenticação de usuários por meio de nomes/senhas e se configuram os parâmetros de autenticação por token (SecurID) e Autoridade Certificadora (PKI), a terceira aba configura-se a Autenticação para Proxies. Na quarta aba configura-se a "Autenticação local", e na quinta aba são configuradas o Controle de Acesso por IP, e a ultima aba NTLM configura a integração do Aker Firewall ao Microsoft Active Directory (AD) e utilizar o login automaticamente. Mais detalhes serão vistos em Perfis de Acesso de Usuários.
O botão OK fará com que a janela de configuração de parâmetros seja fechada e as alterações efetuadas aplicadas. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta. O botão Cancelar fará com que a janela seja fechada porém as alterações efetuadas não sejam aplicadas.
Aba de Controle de Acesso
Figura 368 - Autenticação de acesso: Controle de acesso.
514
A janela de controle de acesso permite que seja criada a associação de usuários/grupos com um perfil de acesso. Na parte inferior da janela existe um campo chamado Perfil Padrão onde é possível selecionar o perfil que será associado aos usuários, que não se enquadrem em nenhuma regra de associação. A última coluna, quando preenchida, especifica redes e máquinas onde a associação é válida. Se o usuário se encaixar na regra, mas estiver em um endereço IP fora das redes e máquinas cadastradas, então a regra será pulada, permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útil para permitir acesso às áreas sensíveis da rede apenas de alguns locais físicos com segurança aumentada. Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se proceder da seguinte maneira: 1. Click com o botão direito do mouse na lista de regras e selecionar a opção Inserir; 2. Selecione o autenticador do qual se deseja obter a lista de usuários ou grupos, clicando-se com o botão direito no campo Autenticador; 3. Click com o botão direito sobre o campo Usuário/Grupo e selecione entre listagem de usuários ou grupos e sua lista será montada automaticamente a partir do autenticador selecionado. A partir de a lista selecione o usuário ou grupo desejado.
515
Figura 369 - Autenticação de acesso: Listagem de grupos ou usuários.
4. Click com o botão direito sobre o campo Perfil para selecionar o perfil desejado, conforme o menu abaixo:
Figura 370 - Autenticação de acesso: Escolha do perfil desejado.
5. Caso queira, arraste algumas entidades máquina, rede ou conjuntos para o campo entidades. Se o usuário estiver fora dessas entidades, a regra será pulada. Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da seguinte maneira: 1. Clicar na regra a ser removida, na lista da janela; 2. Clicar no botão Apagar.
516
Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte forma: 1. Clicar na regra a ser movida de posição; 2. Arrastar para a posição desejada. A ordem das associações na lista é de fundamental importância. Quando um usuário se autenticar, o Aker Firewall pesquisará a lista a partir do início procurando pelo nome desse usuário ou por um grupo de que ele faça parte. Tão logo um desses seja encontrado, o perfil associado ao mesmo será utilizado.
517
Aba Métodos
Figura 371 - Autenticação de acesso: Métodos.
Habilita autenticação usuário/senha: Essa opção indica se o firewall aceitará ou não autenticação de usuários por meio de nomes/senhas. Caso ela esteja ativa, deve-se configurar os demais parâmetros relativos a esse tipo de autenticação: Pesquisar todos autenticadores: Este parâmetro indica se o firewall deve tentar validar um usuário nos próximos autenticadores da lista no caso de um autenticador retornar uma mensagem de senha inválida. Se esta opção estiver marcada, o firewall percorre todos os autenticadores da lista, um a um, até receber uma resposta de autenticação correta ou até a lista terminar. Caso ela não esteja marcada, a pesquisa será encerrada no primeiro autenticador que retornar uma mensagem de autenticação correta ou de senha inválida. Esta opção só é usada para respostas de senha inválida. Caso um autenticador retorne uma resposta indicando que o usuário a ser validado não está cadastrado na base de dados de sua máquina, o firewall continuará a pesquisa no próximo autenticador da lista, independentemente do valor desta opção. Pesquisar autenticador interno: Este parâmetro indica se a base de usuários locais do firewall - definida na pasta Autenticação Local - deve ser consultada para 518
validar a senha dos usuários. Se sim, também deve escolher no combo box ao lado se essa base deve ser consultada antes ou depois dos demais autenticadores. Permitir domínios especificados pelo usuário: Este parâmetro indica se o usuário na hora de se autenticar pode informar ao firewall em qual autenticador ele deseja ser validado. Se esta opção estiver marcada, o usuário pode acrescentar juntamente ao seu nome, um sufixo formado pelo símbolo / e um nome de autenticador, fazendo com que a requisição de autenticação seja enviada diretamente para o autenticador informado. Caso ela não esteja marcada, a autenticação será feita na ordem dos autenticadores configurada pelo administrador. O uso desta opção não obriga que o usuário informe o nome do autenticador, apenas permite que ele o faça, se desejar. Caso o usuário não informe, a autenticação seguirá na ordem normal. Para ilustrar a especificação de domínio, pode-se tomar como base um sistema no qual existam dois autenticadores configurados, chamados de Unix e Windows Server. Neste sistema, se um usuário chamado administrador desejar se autenticar na máquina Windows Server, então ele deverá entrar com o seguinte texto, quando lhe for solicitado seu login ou username: administrador/Windows Server. Caso ele não informe o sufixo, o Aker Firewall tentará autenticá-lo inicialmente pela máquina Unix e caso não exista nenhum usuário cadastrado com este nome ou a opção Pesquisa em todos os autenticadores estiver marcada, ele então tentará autenticar pela máquina Windows Server. O nome do autenticador informado pelo usuário deve estar obrigatoriamente na lista de autenticadores a serem pesquisados. Autenticadores a pesquisar Para incluir um autenticador na lista de autenticadores a serem consultados, devese proceder da seguinte forma: 1. Clicar com o botão direito do mouse onde aparecerá um menu suspenso (figura abaixo) ou arrastando a entidade autenticador para o local indicado;
519
Figura 372 - Autenticação de acesso: Adicionar entidades.
2. Seleciona-se o a opção Adicionar entidades e o autenticador a ser incluído, na lista mostrada à direita. Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinte forma: 1. Selecionar o autenticador a ser removido e apertar a tecla delete ou; 2. Clicar no botão direito do mouse e selecionar no menu suspenso o item Apagar
Figura 373 - Autenticação de acesso: Remover entidades.
Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte forma: 1. Selecionar o autenticador a ser mudado de posição na ordem de pesquisa; 2. Clicar em um dos botões à direita da lista: o botão com o desenho da seta para cima fará com que o autenticador selecionado suba uma posição na lista. O botão com a seta para baixo fará com que ele seja movido uma posição para baixo na lista.
520
Dica: A adição ou remoção dos autenticadores pode ser feita diretamente com o mouse, bastando clicar e arrastar os mesmos para a janela correspondente, soltando em seguida. Os autenticadores serão pesquisados na ordem que se encontram na lista, de cima para baixo. Habilitar autenticação PKI: Essa opção indica se o firewall aceitará ou não a autenticação de usuários por meio de smart cards. Caso ela esteja ativa, deve-se configurar as autoridades certificadoras nas quais o firewall confia.
Figura 374 - Autenticação de acesso: Métodos 1.
Autoridades Certificadoras Confiáveis Para incluir uma autoridade certificadora na lista de autoridades certificadoras confiáveis, deve-se proceder da seguinte forma: 1. Clicar com o botão direito do mouse e escolher a opção Incluir Entidades; 2. Selecionar a autoridade a ser incluída; 3. Clique em Incluir; 4. Pode-se também clicar em uma autoridade certificadora e arrastá-la para posição desejada. Para remover uma autoridade certificadora da lista de autoridades confiáveis, devese proceder da seguinte forma: 521
1. Selecionar a autoridade a ser removida e apertar a tecla delete ou 2. Clicar no botão direito do mouse sobre a entidade a ser removida e escolher a opção Apagar Habilitar autenticação por token: Essa opção indica se o firewall aceitará ou não a autenticação de usuários por meio de tokens. Caso ela esteja ativa, deve-se configurar o nome do autenticador token a ser consultado para validar os dados recebidos.
Figura 375 - Autenticação de acesso: Métodos (habilitar autenticação do Token).
Autenticador token a pesquisar: Este campo indica o autenticador token para o qual os dados a serem validados serão repassados.
522
Aba Autenticação para Proxies
Figura 376 - Autenticação de acesso: Autenticação para proxies.
Estes parâmetros indicam que tipos de autenticação serão aceitas nos proxies e em que ordem serão validadas. Isso é importante pois quando um usuário é autenticado através de um browser, por exemplo, não é possível que ele especifique se está utilizando token ou usuário/senha. As opções possíveis de configuração são:
Autenticação Token antes da autenticação usuário/senha; Autenticação usuário/senha antes da autenticação Token; Autenticação Token somente; Autenticação usuário/senha somente;
523
Aba Autenticação Local
Figura 377 - Autenticação de acesso: Autenticação local.
Esta aba, pode cadastrar uma série de usuários e associar um grupo a cada um deles. Se a opção de usar a base local de usuários estiver habilitada, então esses usuários também serão verificados como se estivessem em um autenticador remoto. Eles compõem o autenticador local. Para incluir um usuário, clique com o botão da direita e escolha Inserir, ou então use o toolbar e clique no botão inserir. Pode-se usar o botão Inserir no seu teclado.
Figura 378 - Menu para inclusão de usuário.
Para alterar o nome do usuário e seu nome completo, basta dar um duplo clique no campo correspondente:
524
Figura 379 - Autenticação – Autenticação local.
Para alterar a senha ou o grupo a que está associado o usuário, use o menu de contexto sobre o item, clicando com o botão direito do mouse.
Figura 380 - Autenticação – alteração de senha ou grupo.
Para criar ou remover grupos, o procedimento é o mesmo, mas na lista lateral direita. 525
Figura 381 - Autenticação local – criar ou remover grupos.
Grupos vazios não serão mantidos pelo firewall, apenas aqueles que contiverem ao menos um usuário.
526
Aba Controle de acesso por IP
Figura 382 - Controle de acesso por IP.
O Aker Firewall pode controlar os acessos por intermédio de endereços IP conhecidos juntamente com perfis criados para este fim. Esta aba permite habilitar e a desabilitar individual das regras que configuram a autenticação por IP, não sendo mais necessário ter que removê-las para desabilitá-las, podendo ser habilitada ou desabilitada por meio da opção no menu suspenso ou por meio do botão
localizado na barra de tarefas.
É preciso escolher uma entidade rede ou uma entidade máquina, que definirão a origem do tráfego e associá-las ao perfil, de forma que o tráfego originário dessas entidades não precisará de autenticação por usuário. O Acesso por IP estará habilitado sempre que houver pelo menos uma regra habilitada nesta aba.
527
Aba NTLM
Figura 383 - Configuração NTLM.
A janela acima tem a função de configurar a integração do Aker Firewall ao Microsoft Active Directory (AD) e utilizar o login automaticamente, sem que seja solicitada a digitação no browser. Esta integração é realizada através do Kerberos, Winbind e Samba e o comportamento deste autenticador será idêntico aos outros tipos de autenticações suportadas pelo Aker Firewall podendo listar os usuários e grupos para a vinculação com os perfis de acesso. Habilitar NTLM: ativando esta opção, uma entidade com o nome NTLM_Auth, estará disponível para a configuração na Aba Métodos da janela de Autenticação. Active directory: Endereço IPv4: endereço IP do servidor com o Microsoft Active Directory; Host: nome netbius do servidor com o Microsoft Active Directory, obtido a partir do comando hostname executado neste servidor.
528
Autenticação Usuário: usuário com privilégios de administração do domínio para integração. Senha: senha do usuário citado acima. Status/Atualizar status: Informa o status da integração e logs em caso de falhas. Para o bom funcionamento da integração o Aker Firewall e o servidor com o Microsoft Active Directory devem estar com a data e horas sincronizados através de um servidor NTP. Para que a integração funcione o domínio configurado no Aker Firewall na janela Configuração do Sistema, TCP/IP, aba DNS, deve ser o mesmo domínio do Microsoft Active Directory. Esta integração está disponível somente para o Filtro Web, em próximas versões a integração se estenderá para todas as funcionalidades do Aker Firewall. Para usuários que não estiverem cadastrados no domínio do Microsoft Active Directory a autenticação será realizada através de um POP-UP no browser do usuário que será solicitada a cada 15 minutos para autenticação http 1.1, e solicitada apenas uma vez para autenticação Java;. Abaixo segue a imagem que será apresentada as estes usuarios.
Figura 384 - Segurança do Windows – solicitação de usuário e senha.
529
A autenticação transparente está disponível somente para o Filtro Web e Modo PROXY ATIVO, em próximas versões a integração se estenderá para todas as funcionalidades do Aker Firewall.
22.2.
Utilizando a Interface Texto
A Interface Texto Interface Texto permite configurar qual o tipo de autenticação será realizada e a ordem de pesquisa dos autenticadores (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”). Localização do programa: /aker/bin/firewall/fwauth Sintaxe: Uso: fwauth [mostra | ajuda] fwauth [habilita | desabilita] fwauth [inclui | remove] [ca | token | autenticador] <entidade> fwauth [domínio | pesquisa_todos] [sim | não] fwauth proxy [token | senha] [sim | não] fwauth proxy primeiro [token | senha] Ajuda do programa: Firewall Aker fwauth - Configura parâmetros autenticação Uso: fwauth [mostra | ajuda] fwauth [habilita | desabilita] fwauth [inclui | remove] [ca | token | autenticador] <entidade> fwauth [domínio | pesquisa_todos] [sim | não] fwauth local [primeiro | ultimo | nao] fwauth proxy [token | senha] [sim | não] fwauth proxy primeiro [token | senha] mostra = mostra a configuração atual ajuda = mostra esta mensagem habilita
= habilita a autenticação
desabilita = desabilita a autenticação inclui = inclui entidade na lista de autenticadores ativos remove = remove entidade da lista de autenticadores ativos domínio = configura se o usuário pode ou não especificar domínio 530
local = indica se o autenticador local deve ser consultado antes dos demais autenticadores (primeiro), depois de todos (ultimo) ou se nao deve ser utilizado (nao) pesquisa_todos = configura se deve pesquisar em todos os autenticadores proxy senha = habilita autenticação por proxies do tipo usuário/senha proxy token = habilita autenticação por proxies do tipo Token proxy primeiro = configura qual o primeiro tipo de autenticação a ser usado
531
Exemplo 1: (mostrando os parâmetros de autenticação) #fwauth mostra AUTENTICACAO USUÁRIO/SENHA: --------------------------Pesquisa em todos autenticadores: sim Usuário pode especificar domínio: não Autenticadores cadastrados: aut_local AUTENTICACAO PKI: ----------------Não ha autenticadores cadastrados AUTENTICACAO SECURY ID: ----------------------Não ha autenticadores cadastrados Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos) #fwauth inclui autenticador "agente 10.0.0.12” Autenticador incluído
532
Perfis de acesso de Usuários
533
23.
Perfis de acesso de Usuários Neste capítulo mostra para que servem e como configurar perfis de acesso no Aker Firewall.
23.1.
Planejando a instalação
O que são perfis de acesso? Firewalls tradicionais baseiam suas regras de proteção e controle de acesso a partir de máquinas, através de seus endereços IP. Além de o Aker Firewall permitir este tipo de controle, ele também permite definir o controle de acesso por usuários. Desta forma, é possível que determinados usuários tenham seus privilégios e restrições garantidos, independentemente de qual máquina estejam utilizando em um determinado momento. Isso oferece o máximo em flexibilidade e segurança. Para possibilitar este controle de acesso em nível de usuários, o Aker Firewall introduziu o conceito de perfis de acesso. Perfis de acesso representam os direitos a serem atribuídos a um determinado usuário no firewall. Estes direitos de acesso englobam todos os serviços suportados pelo firewall, o controle de páginas WWW e o controle de acesso através do proxy SOCKS. Desta forma, a partir de um único local, consegue definir exatamente o que pode e não pode ser acessado. Como funciona o controle com perfis de acesso? Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados e posteriormente associa-se estes perfis com usuários e grupos de um ou mais autenticadores. A partir deste momento, todas as vezes que um usuário se logar no firewall com o Aker Client ou outro produto que ofereça funcionalidade equivalente, o firewall identificará o perfil de acesso correspondente a este usuário e configurará as permissões de acesso de acordo com este perfil. Tudo é feito de forma completamente transparente para o usuário final. Para que seja possível o uso de perfis de acesso é necessário que o Aker Client esteja instalado em todas as máquinas clientes ou que se use a opção de autenticação por Java no Filtro Web. Caso contrário, só será possível a utilização de controle de acesso a páginas WWW ou a serviços através do proxy SOCKS. A autenticação de usuários através do Filtro Web (sem Java) e SOCKS são possíveis na medida em que eles solicitarem um nome de usuário e uma senha e pesquisarem o perfil correspondente quando não identificarem uma sessão ativa para uma determinada máquina.
534
23.2.
Cadastrando perfis de acesso
Os perfis de acesso do Aker Firewall definem quais páginas WWW podem ser visualizadas e quais tipos de serviço podem ser acessados. Para cada página WWW ou serviço, existe uma tabela de horários associada, através da qual é possível definir os horários nos quais o serviço ou página podem ser acessados. Para ter acesso à janela de perfis de acesso deve-se:
Figura 385 - Perfis.
Clicar no menu Configuração do Firewall da janela de administração do firewall. Selecionar o item Perfis.
535
A janela de Perfis
Figura 386 - Perfis – Aker Firewall.
A janela de perfis contém todos os perfis de acesso definidos no Firewall. Ela consiste de uma lista onde cada perfil é mostrado em uma linha separada.
O botão OK fará com que a janela de perfis seja fechada; O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá a janela aberta;
Para executar qualquer operação sobre um determinado perfil, deve-se clicar sobre ele e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes opções estão disponíveis:
Figura 387 - Opções de configuração de perfil
536
Inserir perfil filho: Incluir um novo perfil que é filho do perfil atual, i.e., estabelece uma hierarquia de perfis. Inserir: Permitir a inclusão de um novo perfil na lista. Copiar: Copiar o perfil selecionado para uma área temporária. Colar: Copiar o perfil da área temporária para a lista. Excluir: Remover da lista o perfil selecionado. Relatório dos perfis: Gera relatório da lista de perfis em um documento HTML
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de ferramentas, bem como a opção de relatório dos Perfis, todos localizados logo acima da lista. Na opção relatório dos perfis, primeiro selecionam-se os itens para relatório, e em seguida indica o caminho e clique no botão Gerar. Recomenda-se a não utilização de caracteres especiais (espaços, traços, sinais, acentos, aspas e etc..) na criação ou edição dos "perfis de acesso" do Firewall, exemplo: "Perfil Administração", a forma correta é "Perfil_Administracao”. Para excluir um perfil de acesso, ele não poderá estar associado a nenhum usuário (para maiores informações veja o tópico Associando Usuários com Perfis de Acesso) O perfil filho, criado com a opção Inserir perfil filho herdará automaticamente as configurações do perfil pai. Na parte superior de ambas as pastas se encontram o campo Nome, que serve para especificar o nome que identificará unicamente o perfil de acesso. Este nome será mostrado na lista de perfis e na janela de controle de acesso. Não podem existir dois perfis com o mesmo nome. Cada perfil de acesso é composto de onze tópicos diferentes. Dependendo do tópico selecionado em um momento, a parte direita da janela mudará de modo a mostrar as diferentes opções. Os tópicos de configuração são:
537
23.3.
Regras
Figura 388 - Regras: regras de filtragem para o perfil de acesso.
A opção de regras permite especificar regras de filtragem para o perfil de acesso. Seu formato é exatamente igual à janela de regras de filtragem com a única exceção de que não se devem especificar entidades origem para a regra. Aqui também é possível trabalhar com Políticas de Regras de Filtragem. (para maiores informações, consulte o capítulo intitulado Filtro de Estados). As regras de filtragem para os perfis de acesso consideram como origem a máquina na qual a sessão foi estabelecida. Devido a isso, é necessário apenas especificar as entidades destino e serviços que podem ser acessados.
538
23.4.
Regras SOCKS
Figura 389 - Perfis: Socks.
A opção de regras SOCKS permite especificar regras de filtragem para o acesso através do proxy SOCKS. Seu formato é exatamente igual à janela de regras de filtragem com a única exceção de que não se deve especificar entidades origem para a regra (para maiores informações, consulte o capítulo intitulado Filtro de Estados). As regras de filtragem para o proxy SOCKS consideram como origem a máquina na qual a sessão foi estabelecida. Devido a isso é necessário apenas especificar as entidades destino e serviços que podem ser acessados.
539
23.5.
Geral
Figura 390 - Perfis: Geral.
As opções gerais de filtragem são definidas pelos seguintes campos: Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as regras de seus perfis filhos.
Configura a prioridade para as regras dos perfis filhos: Se esta opção estiver marcada, as regras dos perfis filhos irão aparecer acima das regras dos perfis pais, isto é, elas terão prioridade sobre as regras do pai. Caso contrário, as regras do perfil pai terão prioridade sobre as regras dos seus perfis filhos. Ou seja, nos perfis filhos, as regras herdadas do pai irão aparecer acima de suas regras.
Horário padrão: Esta tabela define o horário padrão para as regras de filtragem WWW. Posteriormente, ao se incluir regras de filtragem WWW, existe a opção de se utilizar este horário padrão ou especificar um horário diferente. As linhas representam os dias da semana e as colunas às horas. Caso queria que a regra seja aplicável em determinada hora então o quadrado deve ser preenchido, 540
caso contrário o quadrado deve ser deixado em branco. Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse sobre um quadrado e a seguir arrastá-lo, mantendo o botão pressionado. Isto faz com que o a tabela seja alterada na medida em que o mouse se move. 23.6.
FTP e GOPHER
Figura 391 - Perfis: FTP e GOPHER.
A opção de filtragem FTP e GOPHER permitem a definição de regras de filtragem de URLs para os protocolos FTP e GOPHER. Ela consiste de uma lista onde cada regra é mostrada em uma linha separada. Na parte inferior da pasta existe um grupo que define a ação a ser executado caso o endereço que o cliente desejou acessar não se encaixe em nenhuma regra de filtragem. Este grupo é chamado de Ação padrão para o protocolo e consiste de duas opções. Permitir: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se enquadrarem em nenhuma regra. Bloquear: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se enquadrarem em nenhuma regra. Para executar qualquer operação sobre uma determinada regra, basta clicar sobre ela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes opções estão disponíveis: 541
Figura 392 - Menu de opções (Perfis).
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova regra será incluída no final da lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada para o final da lista. Desabilitar: Ativar ou desativar a regra selecionada na lista.
Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posição desejada, soltando em seguida. Observe que o cursor de indicação do mouse irá mudar para uma mão segurando um bastão. A ordem das regras na lista de regras de filtragem é de fundamental importância. Ao receber uma solicitação de acesso a um endereço, o firewall pesquisará a lista a partir do início, procurando por uma regra na qual o endereço se encaixe. Tão logo uma seja encontrada, a ação associada a ela será executada.
Cada regra de filtragem consiste de uma operação, que indica qual tipo de pesquisa será feita e o texto a ser pesquisado. Para acessar estas opções de operação click na entidade que selecionada na coluna Padrões de Texto e a seguinte tela será mostrada: 542
Figura 404 – Opções de operação
CONTÉM: A URL deve conter o texto informado em qualquer posição. NÃO CONTÉM: A URL não pode conter o texto informado. É: O conteúdo da URL deve ser exatamente igual ao texto informado. NÃO É: O conteúdo da URL deve ser diferente do texto informado. COMEÇA COM: O conteúdo da URL deve começar com o texto informado. NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto informado. TERMINA COM: O conteúdo da URL deve terminar com o texto informado. NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto informado. EXPRESSÃO REGULAR: O campo a ser pesquisado deverá ser uma expressão regular. TUDO: Aceitara todo conteúdo da URL
Seguem as definições dos campos da janela: N: Número da regra de filtragem.
543
Limite de busca: Esse campo permite escolher em qual parte da URL será feito a busca, sendo que os parâmetros a serem pesquisados serão definidos no campo Text Patterns. Padrões de texto: Ao clicar com o botão direito do mouse nesse campo, permite selecionar uma entidade lista de padrões criada anteriormente. Com isso, será possível associar a regra a uma entidade padrão de pesquisa, permitindo definir qual será a string ou os parâmetros que serão pesquisados na URL acessada e qual operação a ser efetuada. Ação: Define a ação a ser executada caso o endereço que o usuário desejou acessar não se encaixe em nenhuma regra de filtragem. Consiste em duas opções. Permitir: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se enquadrarem em nenhuma regra. Bloquear: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se enquadrarem em nenhuma regra. Categorias: Nesse campo, permite associar alguma entidade categoria à regra que está sendo criada. Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de determinados serviços, máquinas, redes e/ou usuários. Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos funcionários, com acesso a sites da WEB. Assim as quotas são os limites em termos de tempo de acesso e volume de dados, por usuário. Esta opção permite associar ao usuário alguma entidade quota criada. Time: Período em que a regra é aplicada. Dia da semana e horário. Exemplo: Permite definir que nas segundas-feiras e nas quartas-feiras o usuário terá acesso à Internet somente das 12:00 às 14:00. Período de Validade: Período de validade e aplicação da regra. É definido em mês e ano.
544
23.7.
HTTP/HTTPS
Aba Geral
Figura 393 - Geral: HTTP e HTTPS.
Bloquear: Este campo define as opções de bloqueio em sites WWW. São elas:
URLs com endereço IP: Se esta opção estiver marcada, não será permitido o acesso a URLs com endereços IP ao invés de nome (por exemplo, http://10.0.1.6), ou seja, somente será possível se acessar URLs por nomes.
Caso tenha configurado o Filtro Web para fazer filtragem de URLs, deve-se configurar esta opção de modo que o usuário não possa acessar através de endereços IP, caso contrário, mesmo com o nome bloqueado, o usuário continuará acessando a URL através de seu endereço IP. É possível acrescentar endereços IP nas regras de filtragem WWW do perfil (caso queria realizar filtragem com esta opção ativa), entretanto, devido a estes sofrerem mudanças e ao fato de muitos servidores terem mais de um endereço IP, isto se torna extremamente difícil. Por outro lado, muitos administradores percebem que sites mal configurados (especialmente os de webmail) utilizam redirecionamento para servidores pelo seu endereço IP, de forma que, com esta opção desmarcada, tais sites ficam inacessíveis. 545
O bloqueio de URL não tem suporte para páginas HTTPS quando estiver sendo utilizado o Proxy ativo (ao bloquear uma página utilizando este método, o browser irá mostrar o erro de comunicação. Java, Javascript e Activex: Este campo permite definir uma filtragem especial para páginas WWW, bloqueando, ou não, tecnologias consideradas perigosas ou incômodas para alguns ambientes. Ela possui três opções que podem ser selecionadas independentemente: Javascript, Java e Activex. A filtragem de Javascript, Java e ActiveX é feita de forma com que a página filtrada seja visualizada como se o browser da máquina cliente não tivesse suporte para a(s) linguagem(s) filtrada(s). Em alguns casos, isto pode fazer com que as páginas percam sua funcionalidade.
Bloqueio de Banners: Esta opção realiza o bloqueio de banners publicitários em páginas Web. Caso ela esteja marcada, o firewall substituirá os banners por espaços vazios na página, diminuindo o seu tempo de carga.
Uma vez configurado que se deve realizar o bloqueio, o mesmo será feito através de regras globais, iguais para todos os perfis. Para configurar estas regras de bloqueio de banners, basta:
Figura 394 - Janela de acesso: Bloqueio de Banners.
Clicar no menu Aplicação da janela principal. Selecionar o item Bloqueio de banners.
546
A janela abaixo irá ser mostrada:
Figura 395 - Bloqueio de Banners (URL de banners).
Esta janela é formada por uma série de regras no formado de expressão regular. Caso uma URL se encaixe em qualquer regra, a mesma será considerada um banner e será bloqueada. A pasta de filtragem HTTP/HTTPS permite a definição de regras de filtragem de URLs para os protocolos HTTP/HTTPS. Ela consiste de uma lista onde cada regra é mostrada em uma linha separada. O protocolo HTTPS, para a URL inicial é filtrado como se fosse o protocolo HTTP. Além disso, uma vez estabelecida à comunicação não é mais possível para o firewall filtrar qualquer parte de seu conteúdo, já que a criptografia é realizada diretamente entre o cliente e o servidor.
547
Aba Filtro de URL
Figura 396 - Perfis: bloqueio de URL.
Na parte inferior da pasta existe um grupo que define a ação a ser executado caso o endereço que o cliente desejou acessar não se encaixe em nenhuma regra de filtragem. Este grupo é chamado de Ação padrão para o protocolo e consiste de três opções. Permitir: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se enquadrarem em nenhuma regra. Bloquear: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se enquadrarem em nenhuma regra. Para executar qualquer operação sobre uma determinada regra, basta clicar sobre ela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes opções estão disponíveis:
Figura 397 - Barra de ferramentas (inserir ou desabilitar).
548
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova regra será incluída no final da lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada para o final da lista. Desabilitar: Ativar ou desativar a regra selecionada na lista.
Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posição desejada, soltando em seguida. Observe que o cursor de indicação do mouse irá mudar para uma mão segurando um bastão. A ordem das regras na lista de regras de filtragem WWW é de fundamental importância. Ao receber uma solicitação de acesso a um endereço, o firewall pesquisará a lista a partir do início, procurando por uma regra na qual o endereço se encaixe. Tão logo uma seja encontrada, a ação associada a ela será executada. Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisa será feita e, o texto a ser pesquisado. As seguintes opções operação estão disponíveis:
CONTÉM: A URL deve conter o texto informado em qualquer posição. NÃO CONTÉM: A URL não pode conter o texto informado. É: O conteúdo da URL deve ser exatamente igual ao texto informado. NÃO É: O conteúdo da URL deve ser diferente do texto informado. COMEÇA COM: O conteúdo da URL deve começar com o texto informado. NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto informado. TERMINA COM: O conteúdo da URL deve terminar com o texto informado. NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto informado. EXPRESSÃO REGULAR: O campo a ser pesquisado deverá ser uma expressão regular. Seguem as definições dos campos da janela: N: Número da regra de filtragem. Limite de busca: Esse campo permite escolher em qual parte da URL será feito a busca, sendo que os parâmetros a serem pesquisados foram definidos no campo Text Patterns. Padrões de texto: Ao clicar com o botão direito do mouse nesse campo, permite selecionar uma entidade lista de padrões criada anteriormente. Com isso, será possível associar a regra a uma entidade padrão de pesquisa, permitindo definir qual será a string ou os parâmetros que serão pesquisados na URL acessada e qual operação a ser efetuada. Ação: Define a ação a ser executado caso o endereço que o usuário desejou acessar não se encaixe em nenhuma regra de filtragem. Consiste em duas opções.
549
Permitir: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se enquadrarem em nenhuma regra. Bloquear: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se enquadrarem em nenhuma regra. Categorias: Nesse campo, permite associar alguma entidade categoria à regra que está sendo criada. Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de determinados serviços, máquinas, redes e/ou usuários. Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos funcionários, com acesso a sites da WEB. Assim as quotas são os limites em termos de tempo de acesso e volume de dados, por usuário. Esta opção permite associar ao usuário alguma entidade quota criada. Time: Período em que a regra é aplicada. Dia da semana e horário. Exemplo: Permite definir que nas segundas-feiras e nas quartas- feiras o usuário terá acesso à internet somente das 12:00 às 14:00. Período de Validade: Período de validade e aplicação da regra. É definido em mês e ano.
Aba Arquivos Bloqueados
Figura 398 - Perfis: Arquivos bloqueados.
Especificar os arquivos que serão bloqueados pelo perfil juntamente com o Filtro Web. 550
É possível utilizar dois critérios complementares para decidir se um arquivo transferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo firewall. O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informação para decidir como mostrar a informação que ele recebeu do mesmo modo como o sistema operacional usa a extensão do nome do arquivo. Sites Excluídos: Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se enquadrarem na lista de excluídos não serão analisados. Opções de operação:
Figura 399 - Escolhas de operações.
URL Bloqueada: Permitir a configuração de qual ação deve ser executada pelo firewall quando um usuário tentar acessar uma URL não permitida. Ela consiste das seguintes opções: Mostra mensagem padrão ao bloquear URL: Quando selecionada essa opção, o firewall mostra uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. 551
Redireciona URL bloqueada: Quando selecionada essa opção, o firewall redirecionará todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados serão redirecionados (sem o prefixo http://) no campo abaixo. Mostrar: Essa opção permite definir a página que será mostrada ao usuário, quando a tentativa de acesso a uma URL for bloqueada. Então se pode optar em mostrar a página padrão ou redirecionar para a página escolhida, que será personalizada de acordo com os check boxes selecionados. Segue abaixo a descrição de cada opção e o detalhamento das variáveis criadas. Cada um desses checkbox selecionado, é um parâmetro. Isso é utilizado para identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria que causou o bloqueio da página. Domínio: Quando selecionada essa opção será mostrada o domínio da URL. Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br. Quando selecionado o domínio, é criada a variável domain. Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Quando selecionado o Método é criada a variável method. Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Quando selecionada essa opção é criada a variável perfil. Ip do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada. Quando selecionado o Método é criada a variável IP. Razões: Ao selecionar a Razão é criada a variável razão. Ao habilitar essa opção será mostrada a razão do bloqueio do site. Por exemplo, temos as seguintes razões: "categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto não permitido", "tipo de arquivo não permitido globalmente", "tipo de arquivo não permitido no perfil", "connect para a porta especificada não permitido” Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria é criada a variável cats. Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o nome do usuário é criada a variável user. 552
Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao selecionar o número da regra é criada a variável rule. Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url. Quando o proxy ativo estiver sendo utilizado é uma URL for bloqueada por uma quota ou por lista de padrão de busca, a pagina padrão para o bloqueio não será mostrada. Em preview, aparece como será a URL e o que será enviado via método GET.
23.8.
Secure Roaming
Aba Configuração
Figura 400 - Perfis: Security Roaming.
Essa aba permite que sejam configuradas as opções de acesso do Secure Roaming que variam de acordo com as permissões do cliente que está conectado. Para as demais configurações, veja o capítulo Configurações do Secure Roaming.
Permite Secure Roaming: Habilita a fazer uso do secure roaming do Firewall. 553
Permite o envio de pacotes broadcast aos clientes: Pacotes broadcast são utilizados por protocolos que precisam, em algum ponto de seu funcionamento, uma comunicação entre um hosts e todos os outros de uma sub-rede de modo eficiente. Esse é o caso do protocolo Netbios sobre IP. Infelizmente, o abuso no uso desse tipo de pacote pode causar o congestionamento de um link lento, como uma conexão dial-up. Alterar o gateway padrão durante a sessão VPN: Ao alterar a rota padrão dos hosts que se conectam via Secure Roaming, eles passam a não conseguir acessar outros destinos na Internet sem passar por dentro da rede com os endereços virtuais do Secure Roaming. Isso significa que, para conexões bidirecionais, eles ficam protegidos pelo firewall coorporativo e também sujeitos às políticas nele definidas. Servidores DNS: Configura até três servidores DNS a serem usados durante a sessão criptográfica. Usado para o caso de haver um servidor de DNS interno na corporação. Servidores WINS: Configura até três servidores WINS a serem usados durante a sessão criptográfica. Da mesma forma, essa configuração será útil no caso da corporação usar servidores WINS internos. É ignorada pelos clientes que não sejam Windows. Domínio: Acrescenta um domínio às configurações de nomes da máquina cliente durante a sessão criptográfica. Geralmente usado em conjunto com a alteração dos servidores DNS. Rotas: Durante a sessão do cliente, algumas rotas podem ser necessárias para acessar diversos serviços da rede interna. Elas se cadastram uma a uma nesse campo.
554
Aba Conjunto de Endereços
Figura 401 - Perfis: Security Roaming (conjunto de endereços).
Permite definir um IP ou um range de IPs aos clientes que se conectarem ao Firewall e estiverem vinculados a este perfil. Caso não tenha uma configuração nesta “Aba”, será utilizado as configurações padrões do Secure Roaming.
555
23.9.
VPN SSL (Proxy SSL)
Figura 402 - Perfis: VPN-SSL (Proxy SSL).
Esta aba permite configurar os serviços para que possam ser acessados através de Proxy SSL e/ou VPN SSL pelos usuários que se enquadrarem neste perfil de acesso. Seu formato é exatamente igual à janela de regras de filtragem com as exceções de que não se deve especificar entidades origem para a regra e de que nem todas as opções estão disponíveis (acumulador, canal, etc). Aqui também é possível trabalhar com Políticas de Regras de Filtragem. (para maiores informações, consulte o capítulo intitulado O Filtro de Estados). N.: Número da regra de filtragem. Destino: Nesta coluna pode-se controlar o destino da conexão. Serviços: Permite indicar a porta de comunicação do protocolo. Tipo: Indica o tipo de conexão SSL. Pode ser direta ou por meio do applet. A conexão direta é denominada Proxy Reverso SSL, que possibilita a utilização de certificados X.509 com tamanhos de chaves 1024, 2048 ou 4096 bits. O Cliente abre uma conexão SSL com o Firewall, e o Firewall abre uma conexão normal com o servidor.
556
Figura 403 - Conexão Direta: Proxy Reverso SSL.
Na conexão via applet o cliente abre uma conexão via SSL com o Firewall por meio de uma página WEB. O Firewall disponibiliza um applet de redirecionamento que o cliente irá baixá-lo em sua máquina. Esse applet inicia uma conexão com o Firewall via SSL e o Firewall inicia uma conexão com o servidor.
Figura 404 - Conexão Via Apllet.
Figura 405 - Conexão Cliente Applet / SSL / Normal.
557
Serviço de Bind: Permite indicar a porta de comunicação onde o applet (dará um bind) iniciará o serviço. Para isso deve-se inserir uma ou mais entidades do tipo serviço. Ação: Este campo define qual a ação a ser tomada para todos os pacotes que se encaixem nesta regra. Ela consiste nas seguintes opções:
Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem através do firewall; Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta regra. Assim será enviado um pacote ICMP para a máquina de origem do pacote dizendo que o destino é inatingível. Esta opção não funciona para alguns tipos de serviço ICMP, devido a uma característica inerente a este protocolo.
Log: Definir quais tipos de ações serão executadas pelo sistema quando um pacote se encaixar na regra. Ele consiste em várias opções que podem ser selecionadas independentemente uma das outras. Hora: Definir as horas e dias da semana em que a regra será aplicável. As linhas representam os dias da semana e as colunas representam as horas. Caso queira que a regra seja aplicável em determinada hora o quadrado deve ser preenchido, caso contrário o quadrado deve ser deixado em branco. As regras de filtragem para os perfis de acesso consideram como origem a máquina na qual a sessão foi estabelecida. Devido a isso é necessário apenas especificar as entidades destino e serviços que podem ser acessados.
558
23.10. MSN Messenger
Figura 406 - Perfis – MSN Messenger.
Essa aba permite configurar as opções de uso do MSN Messenger e seus serviços. Para mais informações, veja o capítulo Configurando o Proxy MSN. As seguintes opções estão disponíveis: Permite Messenger: Se esta opção estiver desmarcada, os usuários que pertencerem a este perfil não poderão acessar o Messenger, mesmo que exista uma regra de filtragem permitindo este acesso. É fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP, caso contrário poderá ser possível acessar o Messenger através deste serviço. Esta opção de bloqueio já vem configurada como padrão, mas é importante atentar a isso caso se realize configurações no proxy HTTP. Não Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger esteja ativa. Ela indica que o usuário poderá usar MSN Messenger, sem nenhum tipo de filtragem (ex: tempo de conversação, etc.). Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger esteja ativa. Ela indica que o usuário poderá usar o MSN Messenger, porém de forma controlada, ou seja, definida através das regras de filtragem para este serviço. 559
Permite notificações do Hotmail: Esta opção (que só estará ativa caso o acesso filtrado ao MSN Messenger tenha sido selecionado) permite que o usuário receba notificações de mensagens disponíveis no Hotmail. Incluir conversas nos registros de log: Esta opção registrará todas as conversas entre os usuários. Bloquear versão: Estas opções permitem que sejam bloqueadas as versões específicas do cliente MSN Messenger. Caso tenha selecionado a opção de acesso filtrado ao Messenger, é necessário criar uma ou mais regras para definir que tipo de acesso será permitido. Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão direito e a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão disponíveis:
Figura 407 - Menu (inserir/desabilitar) para executar qualquer operação sobre a regra.
Inserir: Permitir a inclusão de uma nova regra na lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Desabilitar: Ativar ou desativar a regra selecionada na lista.
Cada regra MSN consiste das seguintes opções: Origem: Endereço de e-mail do usuário que enviou a mensagem, ou seja que iniciou a conversa. Destino: Nesta coluna pode-se controlar com quem os usuários internos irão conversar, para isso deve-se inserir uma ou mais entidades do tipo Lista de e-mails (para maiores informações veja o capítulo (Cadastrando entidades), contendo a lista de e-mails ou domínios liberados. Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos podem ser enviados/recebidos através do Messenger. Para isso deve-se inserir uma ou mais entidades do tipo Lista de Tipo de Arquivo (para maiores informações veja o capítulo Cadastrando entidades), contendo a lista de tipos de arquivos permitidos. Serviços Permitidos: Nesta coluna pode-se especificar quais serviços adicionais podem ser utilizados através do Messenger. A definição dos tipos de serviços
560
possíveis é feita dentro da configuração do proxy MSN. Para maiores informações veja o capítulo Configurando o proxy MSN. Log: Se estiver marcado, informação sobre as conversas de todos os usuários serão registradas. Os seguintes dados estarão disponíveis no log: logon/logoff de usuário, transferência de arquivos, utilização de serviço adicional e início e fim de conversa. Pastas compartilhadas: Nesta opção pode-se optar por permitir ou não que o usuário compartilhe pastas no MSN. Tabela de Horários: Horário em que o usuário poderá utilizar o serviço Messenger, dividido nas 24 horas do dia. Caso seja desejado é possível copiar o horário padrão do perfil de acesso, clicando-se com o botão direito sobre a tabela de horários e selecionando-se a opção Usar tabela de horário padrão do perfil. Ação: Define a ação a ser executado caso o endereço que o usuário desejou acessar não se encaixe em nenhuma regra de filtragem. Consiste em duas opções. Permitir: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se enquadrarem em nenhuma regra. Bloquear: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se enquadrarem em nenhuma regra. Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gasto pelos funcionários, com acesso a sites da WEB. Assim as quotas são os limites em termos de tempo de acesso e volume de dados, por usuário. Esta opção permite associar ao usuário alguma entidade quota criada.
561
23.11. Filtros de Aplicação
Figura 408 - Perfis: Filtragem de aplicação.
Essa aba permite configurar as regras para filtros de aplicação. Estas regras permitem, por exemplo, que determinados tipos de arquivos sejam bloqueados de acordo com seu tipo real, independentemente de sua extensão ou protocolo que esteja sendo utilizado para enviá-los. É possível também ao invés de bloquear, simplesmente mudar a prioridade de um serviço ou tipo de arquivo sendo transmitido. Uma das grandes utilizações destes filtros é para otimizar o acesso à Internet. É possível, por exemplo, que todos os usuários tenham um acesso rápido à Internet, porém quando estes tentarem baixar arquivos cujos tipos não sejam considerados importantes, i.e, mp3, vídeos, etc, a conexão sendo utilizada para transferir estes arquivos automaticamente fique com uma largura de banda bastante reduzida. Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão direito e a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão disponíveis:
562
Figura 409 - Menu (inserir/desabilitar) para executar qualquer operação sobre a regra.
Inserir: Permitir a inclusão de uma nova regra na lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Desabilitar: Ativar ou desativar a regra selecionada na lista.
Cada regra consiste dos seguintes campos: Destino: Especificar os destinos da comunicação que o filtro estará inspecionando, para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ou conjuntos (para maiores informações veja o capítulo Cadastrando entidades). Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando, para isso deve-se inserir uma ou mais entidades do tipo serviço (para maiores informações veja o capítulo Cadastrando entidades). Filtros de Aplicação: Indicar quais os filtros que estarão ativos para as conexões que forem em direção a um dos destinos especificados na regra e utilizando um dos serviços também especificados. A definição dos filtros é feita na janela de Filtragem de Aplicações. Para maiores informações veja o capítulo Configurando Filtragem de Aplicações. Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtros especificados seja aplicado. Ela consiste das seguintes opções: Aceita: Significa que a conexão será autorizada a passar através do firewall. Rejeita: Significa que a conexão não passará pelo firewall e será enviado um pacote de reset para a máquina originária da comunicação. Descarta: Significa que a conexão não passará pelo firewall, mas não será enviado nenhum pacote para a máquina de origem. Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridade diferente, que deverá ser especificada na coluna Canal. Bloqueia origem: Indica que a máquina que originou a conexão deverá ser bloqueada por algum tempo (isso significa que todas as conexões originadas nela serão recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto tempo a máquina permanecerá bloqueada. 563
Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sido selecionada. Ela indica qual a nova prioridade que será atribuída à conexão. Devese inserir uma entidade do tipo canal (para maiores informações veja o capítulo Cadastrando entidades). Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueia origem tenha sido selecionada. Ela indica por quanto tempo a máquina origem será bloqueada. 23.12. Associando Usuários com Perfis de Acesso
Uma vez que os perfis de acesso estão criados, torna-se necessário associá-los com usuários e grupos de um ou mais autenticadores ou autoridades certificadoras do firewall. Isto é feito através da janela de controle de acesso. Para ter acesso a janela de controle de acesso deve-se:
Figura 410 - Autenticação.
Clicar no menu Configurações do Firewall da janela principal. Selecionar o item Autenticação. Selecionar a aba Controle de Acesso.
564
Aba de Controle de Acesso
Figura 411 - Autenticação: Controle de acesso.
A aba de controle de acesso permite que seja criada a associação de usuários/grupos com um perfil de acesso. Na parte inferior da janela existe um campo chamado Perfil Padrão onde se pode selecionar o perfil que será associado aos usuários que não se enquadrem em nenhuma regra de associação. A última coluna Entidades, quando preenchida, especifica redes e máquinas onde a associação é válida. Se o usuário se encaixar na regra, mas estiver em um endereço IP fora das redes e máquinas cadastradas, então a regra será pulada, permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útil para permitir acesso às áreas sensíveis da rede apenas de alguns locais físicos com segurança aumentada. Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se proceder da seguinte maneira: 565
1. Click com o botão direito do mouse na lista de regras e selecionar a opção Inserir; 2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos, clicando-se com o botão direito no campo Autenticador. Para maiores informações sobre os autenticadores, veja o capítulo intitulado Configurando parâmetros de autenticação. 3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecione entre listagem de usuários ou grupos, então a lista selecionada será montada automaticamente a partir do autenticador selecionado. A partir da lista, selecione o usuário ou grupo desejado.
Figura 412 - Menu de escolha do usuário.
4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado, conforme o menu abaixo:
Figura 413 - Menu de escolha do perfil.
5. Caso deseje, arraste algumas entidades máquina, rede ou conjuntos para o campo entidades. Se o usuário estiver fora dessas entidades, a regra será pulada. 566
Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da seguinte maneira: 1. Clicar na regra a ser removida, na lista da janela. 2. Clicar no botão Apagar. Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte forma: 1. Clicar na regra a ser movida de posição. 2. Arrastar para a posição desejada. A ordem das associações na lista é de fundamental importância. Quando um usuário se autenticar, o firewall pesquisará a lista a partir do início procurando pelo nome desse usuário ou por um grupo de que ele faça parte. Tão logo um desses seja encontrado, o perfil associado ao mesmo será utilizado. A aba Controle de Acesso por IP
Figura 414 - Controle de acesso por IP.
O firewall pode controlar os acessos por intermédio de endereços IP conhecidos juntamente com perfis criados para este fim. Basta o administrador cadastrar a rede conhecida e arrastar para a posição Entidades de Origem, em seguida incluir na coluna Perfil o perfil ou perfis necessários na regra. 567
A caixa Ativar controle de acesso por endereço IP origem deverá estar marcada para que o firewall use esta facilidade.
568
Autenticação de Usuários
569
24.
Autenticação de Usuários Este capítulo mostra o que é o Cliente de Autenticação Aker e para que serve essa ferramenta que propicia grande nível de segurança.
24.1.
Visualizando e Removendo Usuários Conectados no Firewall
É possível visualizar a qualquer momento os usuários que possuem sessão estabelecida com o firewall, através do cliente de autenticação, e remover uma destas sessões. Isto é feito através da janela de usuários logados. Para ter acesso a janela de usuários logados deve-se:
Figura 415 - Usuários conectados.
Clicar no menu Informação da janela de administração do firewall. Selecionar Usuários Conectados.
570
A janela de Usuários Conectados
Figura 416 - Usuários conectados (máquina, nome, domínio, perfil, inicio, TPC e nº de usuários conectados.)
Esta janela consiste de uma lista com uma entrada para cada usuário. Na parte inferior da janela é mostrada uma mensagem informando o número total de usuários com sessões estabelecidas um determinado instante. Para os usuários logados via Secure Roaming, serão mostrados também os dados da conexão (endereço IP e portas) junto com o estado de estabelecimento da mesma.
O botão OK faz com que a janela de usuários seja fechada. O botão Cancelar fecha a janela. A caixa Itens selecionados no topo coloca os itens que foram selecionados para o topo da janela de usuários conectados.
Barra de Ferramentas de Usuários Conectados:
Figura 417 - Barra de ferramentas: usuários conectados.
571
O botão Atualiza faz com que as informações mostradas sejam atualizadas periodicamente de forma automática ou não. Clicando-se sobre ele, alterna-se entre os dois modos de operação. O intervalo de atualização pode ser configurado mudando-se o valor logo a direita deste campo. O botão Buscar, localizado na barra de ferramentas, permite remover uma sessão de usuário. Para tal deve-se primeiro clicar sobre a sessão que deseja remover e a seguir clicar neste botão (ele estará desabilitado enquanto não existir nenhuma sessão selecionada). O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes (DNS) para resolver os nomes das máquinas cujos endereços IPs aparecem listados. Cabem ser observados os seguintes pontos: 1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, a tradução dos nomes é feita em segundo plano. 2. Muitas vezes, devido a problemas de configuração do DNS reverso (que é o utilizado para resolver nomes a partir de endereços IP), não será possível a resolução de certos endereços. Neste caso, os endereços não resolvidos serão mantidos na forma original e será indicado ao seu lado que eles não possuem DNS reverso configurado.
É possível ordenar a lista das sessões por qualquer um de seus campos, bastando para isso clicar no título do campo. O primeiro click produzirá uma ordenação ascendente e o segundo uma ordenação descendente.
Significado dos campos de uma sessão de usuário ativa Cada linha presente na lista de sessões de usuários representa uma sessão. O significado de seus campos é mostrado a seguir: Ícone: É mostrado a esquerda do nome de cada usuário e pode assumir três formas distintas: Cadeado: Este ícone indica que o usuário se logou através do cliente de criptografia apenas. Usuário: Este ícone indica que o usuário se logou através do cliente de autenticação apenas. Usuário dentro do cadeado: Este ícone indica que o usuário se logou através do cliente de autenticação e de criptografia. Máquina: Endereço IP ou nome (caso o DNS esteja ativo) da máquina na qual a sessão foi estabelecida. Nome: Nome do usuário que estabeleceu a sessão. Domínio: Nome do domínio, i.e. autenticador, no qual o usuário se autenticou. Caso o usuário não tenha especificado domínio ao se logar, este campo aparecerá em branco. 572
Perfil: Qual o perfil de acesso correspondente a esta sessão. Se este campo está em branco, o usuário se autenticou antes de a tabela de perfis ser alterada, de forma que ele está utilizando um perfil que não existe mais. Início: Hora de abertura da sessão.
24.2.
Utilizando a Interface Texto Interface Texto
A Interface Texto para acesso à lista de usuários logados possui as mesmas capacidades da Interface Remota e é simples de ser utilizado. Ele é o mesmo programa que produz a lista de conexões ativas TCP e UDP, mostrado anteriormente. Localização do programa: /aker/bin/firewall/fwlist Sintaxe: Uso: fwlist ajuda fwlist mostra [[-w] [TCP | TCP6]] | [UDP | UDP6] fwlist mostra [sessoes | roaming | bloqueados] fwlist mostra [quotas | www] fwlist remove [TCP | TCP6 | UDP | UDP6] IP_origem Porta_origem IP_destino Porta_destino fwlist remove sessao IP_origem [usuario] fwlist remove bloqueado IP_origem fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume]
ajuda
= mostra esta mensagem
mostra = lista as conexões ou sessões ativas remove = remove uma conexão ou sessao ativa reinicia = reinicia a quota dos usuários Exemplo 1: (listando as sessões de usuários logados no firewall) #fwlist mostra sessões 573
Nome/Domínio Perfil IP origem Inicio ------------------------------------------------------------------------------administrador/BSB Admin 10.20.1.1 08:11:27 jose.silva/GOA Padrao5 10.45.1.1 07:39:54 joao.souza/POA Padrao3 10.57.1.1 07:58:10 josemaria/GRU Padrao3 10.78.1.1 08:01:02 angelam/BSB 1 Restrito 10.22.1.1 08:48:31 marciam/POA Restrito 10.235.1.1 10:49:44 antonioj/POA Especial 10.42.2.1 06:02:19 operador/BSB Padrão 10.151.2.1 20:44:34 Exemplo 2: (removendo a sessão do usuário logado a partir da máquina 10.19.1.1) #fwlist remove sessão 10.19.1.1
A remoção da sessão foi solicitada ao servidor de usuários.
574
Configurando o Proxy SMTP
575
25.
Configurando o Proxy SMTP Este capítulo mostra quais as funções oferecidas pelo proxy SMTP e como realizar sua configuração.
O que é o proxy SMTP? O proxy SMTP é um programa especializado do Aker Firewall feito para trabalhar com correio eletrônico (SMTP é um anagrama para Simple Mail Transfer Protocol, que é o nome completo do serviço de transferência de correio eletrônico na Internet). Este proxy possibilita que sejam realizadas filtragens de e-mails baseadas em seu conteúdo ou em qualquer campo de seu cabeçalho. Ele também atua como uma barreira protegendo o servidor SMTP contra diversos tipos de ataques. Ele é um proxy transparente (para maiores informações veja o capítulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de sua existência. Descrição de uma mensagem SMTP Para entender o funcionamento da filtragem de campos do proxy SMTP, é necessário algumas informações sobre as mensagens de correio eletrônico. Uma mensagem de e-mail é formada por três partes distintas: envelope, cabeçalho e corpo. Cada uma destas partes possui um papel específico:
Envelope O envelope é chamado desta forma por ser análogo a um envelope de uma carta comum. Nele se encontram as informações do emissor e dos destinatários de uma mensagem. Para cada recipiente de um domínio diferente é gerado um novo envelope. Desta forma, um servidor SMTP recebe no envelope de uma mensagem o nome de todos os recipientes da mensagem que se encontram no seu domínio. O envelope não é visto pelos destinatários de uma mensagem. Ele somente é usado entre os servidores SMTP.
Cabeçalho No cabeçalho da mensagem se encontram informações sobre a mensagem, como o assunto, data de emissão, nome do emissor, etc. O cabeçalho normalmente é mostrado ao destinatário da mensagem.
576
Corpo O corpo é composto pela mensagem propriamente dita, da forma com que foi produzida pelo emissor.
Ataques contra um servidor SMTP Existem diversos ataques passíveis de serem realizados contra um servidor SMTP. São eles:
Ataques explorando bugs de um servidor Neste caso, o atacante procura utilizar um comando ou parâmetros de um comando que conhecidamente provocam falhas de segurança. O proxy SMTP do Aker Firewall impede estes ataques na medida em que só permite a utilização de comandos considerados seguros e validando os parâmetros de todos os comandos.
Ataques explorando estouro de áreas de memória (buffer overflows) Estes ataques consistem em enviar linhas de comando muito grandes, fazendo com que um servidor que não tenha sido corretamente desenvolvido apresente falhas de segurança. O proxy SMTP do Aker Firewall impede estes ataques na medida em que limitam o tamanho máximo das linhas de comando que podem ser enviadas para o servidor.
Ataques de relay Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar suas mensagens de correio eletrônico. Desta forma, utiliza-se os recursos computacionais que deveriam estar disponíveis para requisições válidas. O proxy SMTP do Aker Firewall impede ataques de relay desde que corretamente configurado.
Utilizando o proxy SMTP
Para se utilizar o proxy SMTP em uma comunicação, é necessário executar uma sequência de 2 passos:
577
1. Criar um serviço que será desviado para o proxy SMTP e editar os parâmetros do contexto a ser usado por este serviço (para maiores informações, veja o capítulo intitulado Cadastrando Entidades). 2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para as redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O Filtro de Estados).
25.1.
Editando os parâmetros de um contexto SMTP
A janela de propriedades de um contexto SMTP será mostrada quando a opção Proxy SMTP for selecionada. Através dela é possível definir o comportamento do proxy SMTP quando este for lidar com o serviço em questão. A janela de propriedades de um contexto SMTP.
Figura 418 - Serviços: relay.
578
Na janela de propriedades são configurados todos os parâmetros de um contexto associado a um determinado serviço. Ela consiste de diversas pastas, cada uma responsável por uma das diferentes características de proteção. Aba Geral
Figura 419 - Serviços: geral.
Tamanho máximo da mensagem: Este campo indica o tamanho máximo, em bytes ou kbytes, de uma mensagem para que ela possa ser aceita pelo proxy. Caso não queira definir um tamanho máximo, basta marcar a opção Sem Limite, localizada à direita deste campo. Registrar na lista de eventos: Este campo indica se as mensagens que não se enquadrarem em nenhuma regra SMTP deste contexto devem ser registradas na lista de eventos. Envia cópia de todas as mensagens: Independente de uma mensagem ter sido aceita ou rejeitada, é possível enviar uma cópia completa dela para um endereço de e-mail qualquer. Este campo indica se deve ou não ser enviada esta cópia. Checagem de DNS reverso habilitada: O firewall fará a checagem para determinar a existência do DNS reverso cadastrado para o servidor SMTP para aceitar a mensagem baseado nas regras da pasta DNS. 579
E-mail padrão: Indica o endereço de e-mail padrão, para o qual serão enviadas as cópias das mensagens que não se enquadrarem em nenhuma regra SMTP deste contexto (se a opção Envia Cópia de todas as mensagens estiver marcada). Este email também pode ser referenciado em qualquer regra de filtragem do contexto. Aba de Relay
Figura 420 - Serviços: relay.
Esta pasta serve para especificar uma lista de domínios válidos para recebimento de e-mails. E-mails destinados a quaisquer domínios não listados serão rejeitados antes mesmo que se comece sua transmissão. Caso a lista de domínios esteja em branco o firewall não fará controle de relay, ou seja, aceitará e-mails destinados a quaisquer domínios. Diferentemente do controle de relay de servidores SMTP, o firewall apenas pode basear seu controle no destinatário dos e-mails, e não no remetente, uma vez que não possui a lista de usuários válidos do servidor SMTP protegido.
580
Aba de Regras
Figura 421 - Serviço: regras.
Nesta pasta são mostradas todas as regras de filtragem para o contexto. Estas regras possibilitam que o administrador configure filtros de e-mails baseados em seu conteúdo. Para executar qualquer operação sobre uma determinada regra, basta clicar com o botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será acionado sempre que pressionar o botão direito, mesmo que não exista nenhuma regra selecionada. Neste caso, somente as opções Incluir e Colar estarão habilitadas).
581
Figura 422 - Menu (inserir, copiar, editar, excluir ou renomear).
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova regra será incluída no final da lista. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada para o final da lista. Editar: Abrir a janela de edição para a regra selecionada. Excluir: Remover da lista a regra selecionada. Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada. A ordem das regras na lista de regras de filtragem SMTP é de fundamental importância. Ao receber uma mensagem, o firewall pesquisará a lista a partir do início procurando uma regra na qual a mensagem se enquadre. Tão logo uma seja encontrada, a ação associada a ela será executada. No caso de inclusão ou edição de regras, será mostrada a janela de edição, mostrada abaixo:
582
A janela de edição de regras SMTP
Figura 423 - Edição de regra: SMTP.
Nesta janela são configurados todos os parâmetros relativos a uma regra de filtragem para um contexto SMTP. Cada regra consiste basicamente de 3 condições independentes que podem ou não estar preenchidas (ou seja, é possível criar regras com apenas uma ou duas condições). Para criar uma regra, é necessário preencher os seguintes campos: Nome: Nome que define unicamente a regra dentro do contexto. Este nome será mostrado na lista de regras do contexto SMTP. Não podem existir duas regras com o mesmo nome.
583
Campo: Definir o nome do campo dentro da mensagem SMTP onde será feita a pesquisa. Ele pode assumir um dos seguintes valores (alguns valores são mostrados em inglês devido ao fato de serem nomes de campos fixos de uma mensagem):
NENHUM: Não será feita pesquisa. PARA (Todos): A pesquisa é feita no endereço de destino da mensagem (todos os recipientes devem se encaixar na regra). PARA (Qualquer): A pesquisa é feita no endereço de destino da mensagem (pelo menos um recipiente deve se encaixar na regra). DE: A pesquisa é feita no endereço de origem da mensagem. CC: A pesquisa é realizada sobre a lista de endereços que irão receber uma cópia da mensagem. REPLY-TO: A pesquisa é feita no campo REPLY-TO, que indica o endereço para o qual a mensagem deve ser respondida. ASSUNTO: A pesquisa é feita no campo que define o assunto da mensagem. CABEÇALHO: A pesquisa é realizada sobre todos os campos que compõem o cabeçalho da mensagem. CORPO: A pesquisa é feita no corpo da mensagem (onde existe efetivamente a mensagem).
Os campos TO e CC são tratados de forma diferente pelo proxy SMTP: o campo TO é tratado com uma lista dos vários recipientes da mensagem, retirados do envelope da mensagem. O campo CC é tratado como um texto simples, retirado do cabeçalho da mensagem, e sua utilidade é bastante limitada. Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. São elas:
CONTÉM: O campo a ser pesquisado deve conter o texto informado em qualquer posição. NÃO CONTÉM: O campo a ser pesquisado não pode conter o texto informado. É: O conteúdo do campo a ser pesquisado deve ser exatamente igual ao texto informado. NÃO É: O conteúdo do campo a ser pesquisado deve ser diferente do texto informado. COMEÇA COM: O conteúdo do campo a ser pesquisado deve começar com o texto informado. NÃO COMEÇA COM: O conteúdo do campo a ser pesquisado não pode começar com o texto informado. TERMINA COM: O conteúdo do campo a ser pesquisado deve terminar com o texto informado NÃO TERMINA COM: O conteúdo do campo a ser pesquisado não pode terminar com o texto informado. CONTÉM PALAVRAS: Neste tipo de pesquisa, o texto informado é considerado como formado por palavras individuais (separadas por espaços), ao invés de um texto contínuo. Para se enquadrar na pesquisa, o campo em questão deve conter todas as palavras informadas, independente de sua posição.
584
Texto: Texto a ser pesquisado. Este campo é tratado como um texto contínuo que será comparado com o campo especificado, exceto no caso da pesquisa CONTÉM PALAVRAS, quando ele é tratado como diversas palavras separadas por espaços. Em ambos os casos, letras maiúsculas e minúsculas são consideradas como sendo iguais. Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma, é possível definir até 3 condições distintas que uma mensagem deve cumprir para que seja enquadrada pela regra. Caso não queira especificar três condições, basta deixar as demais com o valor NENHUM no parâmetro campo. Ativação dos filtros: Este campo só tem sentido quando especifica mais de uma condição. Ele indica que tipo de operação será usada para relacioná-las:
Somente se todos são verdadeiros: Para que uma mensagem enquadre na regra, é necessário que ela satisfaça todas as condições. Se qualquer um for verdadeiro: Para que uma mensagem enquadre na regra, basta ela satisfazer uma das condições.
Ação: Este campo indica se as mensagens que se enquadrarem na regra devem ser aceitas ou rejeitadas pelo proxy SMTP. Registrar na lista de eventos: Este campo indica se as mensagens que se enquadrarem na regra devem ou não ser registradas na lista de eventos. Enviar cópia: Para toda mensagem que se enquadrar na regra, independentemente de ter sido aceita ou rejeitada, é possível enviar uma cópia completa dela para um endereço de e-mail qualquer. Este campo indica se deve ou não ser enviada esta cópia. Caso ele esteja marcado, deve-se escolher uma das seguintes opções de envio:
Padrão: A cópia da mensagem é enviada para o e-mail padrão. e-mail: A cópia da mensagem é enviada para o endereço especificado no campo à direita.
585
Aba de DNS
Figura 424 - Serviço: DNS.
Nesta pasta são mostradas todas as regras de filtragem de DNS para o contexto. Estas regras possibilitam que o administrador configure filtros de e-mails baseados no nome retornado pelo DNS reverso do servidor SMTP que estiver enviando a mensagem. Para executar qualquer operação sobre uma determinada regra, basta clicar com o botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será acionado sempre que se pressionar o botão direito, mesmo que não exista nenhuma regra selecionada. Neste caso, somente as opções Incluir e Colar estarão habilitadas).
586
Figura 425 - Menu (inserir, copiar, editar, excluir ou renomear).
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova regra será incluída no final da lista. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada para o final da lista. Editar: Abrir a janela de edição para a regra selecionada. Excluir: Remover da lista a regra selecionada. Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada. No caso de inclusão ou edição de regras, será mostrada a janela de edição, mostrada abaixo:
587
A janela de edição de regras DNS reverso
Figura 426 - Serviço: DNS.
Para criar uma regra deve-se preencher os seguintes campos: Nome: Nome que define unicamente a regra dentro do contexto. Este nome será mostrado na lista de regras do contexto SMTP. Não podem existir duas regras com o mesmo nome. Operador de pesquisa: Os mesmos operadores utilizados nas regras de filtragem SMTP podem ser utilizados para a filtragem do DNS reverso. Texto: Definir o texto a ser pesquisado. Registrar na lista de eventos: Registrar no log de eventos do firewall caso a regra tenha sido executada. Verificar alias: Se esta opção estiver marcada, o firewall comparará todos os nomes retornados pelo DNS para verificar se algum deles se encaixa na regra. Ação: Ação a ser executada pelo firewall caso a regra seja atendida. Ela pode ser Aceita ou Rejeitada.
588
Aba de Anexos
Figura 427 - Serviço: anexos.
Esta pasta são especificadas as regras de tratamento de arquivos anexados. Essas regras permitem que, caso uma mensagem tenha sido aceita, ela tenha seus arquivos anexados removidos ou checados contra vírus. Elas permitem também que se rejeite uma mensagem por completo, caso ela contenha um arquivo anexo inaceitável (com vírus, por exemplo). Agente de antivírus para checagem dos arquivos: Esse campo indica o agente antivírus que será utilizado para checar vírus dos arquivos anexados a mensagens de e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informações veja o capítulo intitulado Cadastrando entidades. Permitir a passagem de anexos mal codificados: Se esta opção estiver marcada, anexos que apresentem erros de codificação serão aceitos pelo firewall, caso contrário à mensagem será recusada. Para executar qualquer operação sobre uma determinada regra, basta clicar com o botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será acionado sempre que se pressionar o botão direito, mesmo que não exista nenhuma 589
regra selecionada. Neste caso, somente as opções Incluir e Colar estarão habilitadas).
Figura 428 - Menu (inserir, copiar, editar, excluir ou renomear).
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova regra será incluída no final da lista. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada para o final da lista. Editar: Abrir a janela de edição para a regra selecionada. Excluir: Remover da lista a regra selecionada. Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada. A ordem das regras na lista de regras de filtragem de arquivos anexados é de fundamental importância. Para cada arquivo anexado de uma mensagem, o firewall pesquisará a lista a partir do início procurando uma regra na qual ele se enquadre. Tão logo uma seja encontrada, a ação associada a ela será executada. No caso de inclusão ou edição de regras, será mostrada a janela de edição, mostrada abaixo:
590
A janela de edição de regras de anexos
Figura 429 - Regra: edição de regras e anexos.
Nesta janela são configurados todos os parâmetros relativos a uma regra de filtragem de arquivos para um contexto SMTP. Ela consiste dos seguintes campos: Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado na lista de regras de arquivos. Não podem existir duas regras com o mesmo nome. Filtrar por tipo MIME: Permitir a definição de uma regra de filtragem de arquivos baseando-se em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo.
591
Filtrar por nome: Permitir a realização de filtragens a partir (de parte) do nome, do arquivo anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a ser pesquisado. Estes campos são análogos aos campos de mesmo nome da regra de filtragem SMTP, descrita acima. Operador de pesquisa: Este campo é análogo ao campo de mesmo nome da regra de filtragem SMTP, descrita acima. Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo se enquadrar na regra. Ela consiste de três opções:
Aceita o anexo: Se essa opção for selecionada o firewall irá manter o arquivo anexado na mensagem. Remove o anexo: Se essa opção for selecionada o firewall irá remover o arquivo anexado da mensagem. Descarta mensagem: Se essa opção for selecionada o firewall recusará a mensagem completa. Remove anexo infectado: Se essa opção for selecionada o firewall irá verificar o arquivo anexado da mensagem contra vírus. Caso exista vírus o firewall tomará uma das seguintes ações: se o arquivo puder ser desinfectado, o vírus será removido e o arquivo reanexado à mensagem. Caso o arquivo não possa ser desinfectado, o firewall o removerá e acrescentará uma mensagem informando ao destinatário desse fato. Descarta mensagem infectada: Se essa opção for selecionada o firewall irá verificar o arquivo anexado da mensagem contra vírus. Caso exista vírus o firewall tomará uma das seguintes ações: se o arquivo puder ser desinfectado, o vírus será removido e o arquivo reanexado à mensagem. Caso o arquivo não possa ser desinfectado, o firewall recusará a mensagem.
Recomenda-se utilizar as ações que removem os arquivos anexados nos e-mails recebidos pela companhia e as que bloqueiam a mensagem por completo nas regras aplicadas aos e-mails que saem. Remove arquivos encriptados: Se essa opção estiver marcada, o firewall removerá os arquivos anexados que estejam cifrados, de forma que não possam ser checados quanto à presença de vírus. Remove arquivos corrompidos: Se essa opção estiver marcada, o firewall removerá os arquivos anexados que estejam corrompidos. Notifica emissor no caso de remoção do arquivo anexado: Se essa opção estiver marcada, o firewall enviará uma mensagem para o emissor de um e-mail todas as vezes que um ou mais de seus arquivos anexados for removido. Envia cópia para o administrador do arquivo anexado for removido: Se essa opção estiver marcada, o firewall enviará uma cópia de todos os arquivos removidos para o administrador. Caso ela esteja marcada, deve-se escolher uma das seguintes opções de envio: 592
Padrão: A cópia da mensagem é enviada para o e-mail padrão. E-mail: A cópia da mensagem é enviada para o endereço especificado no campo à direita.
Aba RBL (Real-time Black List)
Figura 430 - Regra: edição de regras e anexos.
Esta pasta contém opções de bloqueio de sites considerados fontes de SPAM. O bloqueio é feito em tempo real, mediante consulta a uma ou mais listas de bloqueio dinâmicas, mantidas por terceiros. Ela consiste das seguintes opções: Black list padrão: São três listas negras que contém vários relays acusados de fazer SPAM (envio de mensagem não desejada). Elas são gerenciadas por organizações e o firewall simplesmente consultam-nas, antes de aceitar os e-mails. Marque as opções correspondentes se desejar utilizar esta facilidade.
SBL: Para saber mais acesse o endereço http://www.mail-abuse.org/rbl/ CBL: Para saber mais acesse o endereço http://www.orbs.org/ SORBS: Para saber mais acesse o endereço http://www.sorbs.net/
593
Black list do usuário: São listas negras configuráveis pelo administrador do firewall. Ela consiste de uma lista de listas negras, cada uma com os seguintes campos: Nome: Nome pelo qual deseja chamar a blacklist. URL: URL explicativa para ser mostrada para o usuário que tiver seus e-mails recusados. Zona de DNS: É a zona completa de DNS que deverá ser consultada pelo firewall. Caso um endereço IP esteja presente nessa zona, e-mails vindos dele serão recusados. Alguns serviços de black list costumam ter seu funcionamento interrompido temporariamente devido aos problemas de natureza judicial. Quando isto acontece, ou eles se tornam inefetivos ou bloqueiam mais e-mails do que deveriam. Por favor verifique o funcionamento correto da blacklist desejada antes de colocá-la em uso.
594
Aba de Spam Meter
Figura 431 - Serviço: Spam Meter.
Esta aba contém as opções de configuração da comunicação do firewall com o Spam Meter, um produto criado pela Aker Security Solutions com o objetivo de atribuir notas a mensagens de e-mail, de acordo com a probabilidade de estas serem ou não SPAM. Ela consiste das seguintes opções: Habilitar Spam Meter: Habilita o uso de o Spam Meter pelo firewall. Agente de Spam Meter a usar: Esse campo indica o Spam Meter que será utilizado para se atribuir notas a mensagens de e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informações veja o capítulo intitulado Cadastrando entidades. Base a usar: O Spam Meter permite a utilização de diversas bases para realizar a classificação de mensagens. A ideia por trás disso é permitir que cada pessoa ou grupo de pessoas com características semelhantes possam ter suas mensagens classificadas por uma base que melhor reflita sua definição de SPAM. O Aker Firewall não permite a utilização de bases distintas por pessoas ou grupos, porém é possível utilizar uma base distinta para cada contexto SMTP. Este campo serve para especificar o nome da base que será utilizada por este contexto. 595
Níveis de Spam: Este controle permite a definição de dois limites de notas (entre 0 e 100) para a filtragem de mensagens: Limite 1 e Limite 2. Limite 1: Define o limite, faixa verde, até o qual as mensagens são consideradas como não SPAM. Limite 2: Define, junto com o Limite 1, as faixas amarelas e vermelhas. A faixa amarela indica e-mails que potencialmente são SPAM mas que o SPAM Meter não tem certeza suficiente. A faixa vermelha indica mensagens que foram consideradas SPAM. Detecção de SPAM aprimorada: Se esta opção estiver selecionada o Spam Meter tentará detectar a maior quantidade possível de mensagens SPAM, com o inconveniente de eventualmente poder gerar mais falsos positivos, ou seja, mensagens que seriam válidas classificadas como potenciais SPAM. Redução de Falso-positivo: Se esta opção estiver selecionada, o Spam Meter tentará reduzir ao máximo os falsos positivos, com o inconveniente de eventualmente classificar como inofensiva uma mensagem que seria SPAM. Ação: Este campo indica as ações que devem ser executadas pelas mensagens que se enquadrarem em cada uma das áreas definidas pelos limites 1 e 2. As seguintes opções estão disponíveis: Aceitar: As mensagens que se enquadrarem nesta faixa serão aceitas sem qualquer modificação. Normalmente esta ação é associada à faixa verde. Descartar: As mensagens que se enquadrarem nesta faixa serão descartadas pelo firewall, isto é, elas serão recebidas por ele e o servidor que as enviou será informado do sucesso no envio, no entanto elas nunca serão reenviadas aos usuários que as deveriam receber. Esta ação deve ser utilizada apenas na faixa vermelha e seu objetivo é impedir que potenciais emissores de SPAM saibam se conseguiram ou não enviar suas mensagens. Rejeitar: As mensagens que se enquadrarem nesta faixa serão rejeitadas pelo firewall, isto é, o servidor que as enviou será informado que elas foram recusadas e que ele não deve tentar enviá-las novamente. Esta ação deve ser utilizada apenas na faixa vermelha. Adicionar assunto: As mensagens que se enquadrarem nesta faixa serão aceitas porém terão seu assunto precedido de um texto qualquer definido pelo administrador. O campo à direita serve para o administrador definir o texto que será adicionado ao assunto. Esta ação normalmente é utilizada na faixa amarela, mas pode também ser utilizada na vermelha. A ideia é configurar um filtro, para o texto a ser adicionado, nos leitores de e-mail de modo a fazer com que as mensagens suspeitas ou consideradas SPAM sejam automaticamente separadas em outra caixa postal.
596
Enviar cópia: Para toda mensagem, independentemente de ter sido aceita ou rejeitada, é possível enviar uma cópia completa dela para um endereço de e-mail qualquer. Este campo indica se deve ou não ser enviada esta cópia. Caso ele esteja marcado, deve-se escolher uma das seguintes opções de envio:
Padrão: A cópia da mensagem é enviada para o e-mail padrão. E-mail: A cópia da mensagem é enviada para o endereço especificado no campo à direita.
Modificar mensagem para treinamento: Uma das características fundamentais do Spam Meter é sua possibilidade de aprender novas características de SPAM, de modo à sempre oferecer um ótimo nível de acerto. Os campos contidos nesta opção indicam quais usuários podem realizar treinamento da base de dados do contexto e de que forma as mensagens devem ser modificadas para possibilitar este treinamento. As seguintes opções estão disponíveis: Usar plugin: Esse campo indica os destinatários que treinarão mensagens através do plugin de treinamento disponibilizado pela Aker (disponível inicialmente para Outlook e Thunderbird). Neste caso, as mensagens não serão modificadas em nenhuma forma, apenas alguns campos novos serão acrescentados no cabeçalho. Ele especifica uma entidade do tipo de e-mails que deve ter sido previamente cadastrada no firewall (para maiores informações veja o capítulo intitulado Cadastrando entidades). Usar sub-mensagens (.eml): Os destinatários que estiverem neste campo receberão suas mensagens originais encapsuladas em outra, que conterá botões que os possibilitará de realizar o treinamento (a mensagem inicial virá sem nenhuma modificação, porém em alguns leitores de e-mail será necessário clicar sobre ela para pode visualizá-la). Ele especifica uma entidade do tipo de e-mail que deve ter sido previamente cadastrada no firewall (para maiores informações veja o capítulo intitulado Cadastrando entidades). Usar layout HTML: Os destinatários que estiverem neste campo receberão suas mensagens originais acrescidas de um novo layout HTML, que conterá botões que os possibilitará de realizar o treinamento. Ele especifica uma entidade do tipo de emails que deve ter sido previamente cadastrada no firewall (para maiores informações veja o capítulo intitulado Cadastrando entidades). Ajustar mensagens: Se umas das opções Usar sub-mensagens ou Usar Layout HTML for selecionada, este botão será habilitado e permitirá a definição das mensagens que serão mostradas aos usuários para que eles possam realizar o treinamento. Endereço para treinamento: Este campo deve ser preenchido com o nome ou endereço IP da máquina na qual o firewall está rodando, de modo a que os leitores de e-mails dos clientes saibam para onde enviar o resultado do treinamento.
597
As listas serão pesquisadas pelo firewall na ordem em que aparecem, isto é, se um destinatário estiver em duas ou mais listas, a mensagem será modificada de acordo com a lista superior. Caso um usuário não apareça em nenhuma lista ele não poderá realizar treinamento da base.
598
Aba Avançado
Figura 432 - Serviço: Avançado.
Esta pasta permite o acesso às opções de configuração avançadas do proxy SMTP. Elas permitem um ajuste fino do funcionamento do proxy. As opções são: Permite cabeçalho incompleto: Se esta opção estiver marcada como NÃO, não serão aceitas mensagens cujos cabeçalhos não contenham todos os campos obrigatórios de uma mensagem SMTP. Número de processos: Este campo indica o número máximo de cópias do proxy que poderão estar ativas em um determinado momento. Como cada processo trata uma conexão, este número também representa o número máximo de mensagens que podem ser enviadas simultaneamente para o contexto em questão. Caso o número de conexões ativas atinja este limite, os clientes que tentarem enviar novas mensagens serão informados que o servidor se encontra temporariamente impossibilitado de aceitar novas conexões e que devem tentar novamente mais tarde. É possível utilizar este número de processos como uma ferramenta para controlar o número máximo de mensagens simultâneas passando pelo link, de forma a não saturá-lo. 599
Tempo limite de resposta do cliente: Este parâmetro indica o tempo máximo, em segundos, que o proxy espera entre cada comando do cliente que está enviando a mensagem SMTP. Caso este tempo seja atingido, sem receber nenhum comando do cliente, o proxy assume que este caiu e derruba a conexão. Tempo limite de resposta para servidor: Para cada um dos possíveis comandos válidos do protocolo SMTP, existe um tempo máximo de espera por uma resposta do servidor. Caso não receba nenhuma resposta dentro deste período, o proxy assume que o servidor caiu e derruba a conexão. Neste grupo é possível configurar o tempo máximo de espera, em segundos, para cada um destes comandos. Todos os demais parâmetros se referem aos tempos limites de resposta para cada comando SMTP e não devem ser modificados a não ser que haja uma razão específica para fazê-lo.
600
Configurando o Proxy Telnet
601
26.
Configurando o Proxy Telnet Este capítulo mostra como configurar o proxy telnet para realizar autenticação de usuários.
O que é o proxy Telnet? O proxy Telnet é um programa especializado do Aker Firewall feito para trabalhar com o protocolo Telnet, que é o protocolo utilizado para emulação de terminais remotos. A sua função básica é possibilitar a realização de uma autenticação em nível de usuário para as sessões telnet a serem estabelecidas. Este tipo de autenticação permite uma grande flexibilidade e um elevado nível de segurança. Ele é um proxy transparente (para maiores informações veja o capítulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de sua existência. Utilizando o proxy Telnet Para utilizar o proxy Telnet para realizar autenticações em uma comunicação, é necessário executar uma sequência de 2 passos: 1. Criar um serviço que será desviado para o proxy Telnet e editar os parâmetros do contexto a ser usado por este serviço (para maiores informações, veja o capítulo intitulado Cadastrando Entidades). 2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para as redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O Filtro de Estados). A partir deste momento, todas as vezes que uma sessão telnet enquadrar na regra criada que foi estabelecida, o firewall solicitará uma identificação do usuário e uma senha. Se a identificação e a senha forem válidas e o usuário em questão tiver permissão, a sessão será estabelecida. Caso contrário o usuário será informado do erro e a sessão cancelada.
26.1.
Editando os parâmetros de um contexto Telnet
A janela de propriedades de um contexto Telnet será mostrada quando a opção Proxy Telnet for selecionada. Através dela é possível definir o comportamento do proxy Telnet quando este for lidar com o serviço em questão. 602
A janela de propriedades de um contexto Telnet
Figura 433 - Serviço: propriedade de um contexto Telnet.
Na janela de propriedades são configurados todos os parâmetros de um contexto associado a um determinado serviço. Ela consiste dos seguintes campos: Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionar essa opção, somente serão aceitas conexões de máquinas cujo DNS reverso esteja configurado e aponte para um nome válido. Permissão Padrão: Indicar a permissão que será aplicada a todos os usuários que não estiverem presentes e que não façam parte de nenhum grupo presente na lista de permissões. O valor aceita permite que a sessão de telnet seja estabelecida e o valor rejeita impede sua realização. Número máximo de sessões simultâneas: Definir o número máximo de sessões telnet que podem estar ativas simultaneamente neste contexto. Caso o número de sessões abertas atinja este limite, os usuários que tentarem estabelecer novas conexões serão informados que o limite foi atingido e que devem tentar novamente mais tarde.
603
Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxy pode ficar sem receber dados da sessão Telnet e ainda considerá-la ativa. O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite TCP, nos parâmetros de configuração globais. (para maiores informações, veja o capítulo intitulado Configurando os parâmetros do sistema) Lista de permissões: Definir de forma individual, as permissões de acesso para usuários ou grupos. Para executar qualquer operação sobre um usuário ou grupo na lista de permissões, basta clicar com o botão direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre que se pressionar o botão direito, mesmo que não exista nenhum usuário/grupo selecionado. Neste caso, somente as opções Incluir e Colar estarão habilitadas).
Figura 434 - Menu (inserir).
Inserir: Permitir a inclusão de um novo usuário/grupo na lista. Se algum usuário/grupo estiver selecionado, o novo será inserido na posição selecionada. Caso contrário, o novo usuário/grupo será incluído no final da lista. Editar: Permite alterar a permissão de acesso do usuário/grupo selecionado. Excluir: Remover da lista o usuário/grupo selecionado.
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se o usuário/grupo, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada. A ordem dos usuários e grupos na lista de permissões é de fundamental importância. Quando um usuário se autenticar, o firewall pesquisará a lista a partir do início procurando pelo nome desse usuário ou por um grupo de que ele faça parte. Tão logo um desses seja encontrado, a permissão associada ao mesmo será utilizada. Para alterar a posição de um usuário ou grupo dentro da lista, deve-se proceder da seguinte forma:
604
1. Selecionar o usuário ou grupo a ser movido de posição. 2. Clicar em um dos botões em formato de seta, localizados a direita da lista. O botão com o desenho da seta para cima fará com que o usuário/grupo selecionado seja movido uma posição para cima. O botão com a seta para baixo fará com que este seja movido uma posição para baixo. No caso de inclusão de usuários/grupos, será mostrada a seguinte janela: A janela de inclusão de usuários/grupos
Figura 435 - Janela de inclusão de usuários ou grupos.
A janela de inclusão permite definir a permissão de acesso para um usuário ou um grupo de um determinado autenticador. Para fazê-lo, deve-se proceder da seguinte forma: Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos, clicando-se com o botão esquerdo sobre seu nome na lista superior da janela (se o autenticador desejado não aparecer na lista, é necessário acrescentá-lo na lista de autenticadores a serem pesquisados. Para maiores informações, veja o capítulo intitulado Configurando parâmetros de autenticação). 1. Selecionar entre listagem de usuários ou grupos, clicando-se nos botões correspondentes localizados entre as duas listas. 2. Clicar com o botão esquerdo sobre o nome do usuário ou grupo que queira incluir, na lista inferior da janela. 3. Definir a permissão de acesso para o usuário ou grupo, escolhendo entre os valores aceita (que possibilitará o estabelecimento da sessão) ou rejeita (que impedirá seu estabelecimento). 4. Clicar no botão OK, o que provocará o fechamento da janela e a inclusão do usuário ou grupo na lista de permissões da janela de propriedades do contexto.
605
Configurando o Proxy FTP
606
27.
Configurando o Proxy FTP Este capítulo mostra como configurar o proxy FTP, de forma a bloquear determinados comandos da transferência de arquivos.
O que é o proxy FTP? O proxy FTP é um programa especializado do Aker Firewall feito para trabalhar com o protocolo FTP, que é o protocolo utilizado para a transferência de arquivos pela Internet. A sua função básica é possibilitar que o administrador defina os comandos que podem ser aceitos e impedir, por exemplo, a criação de novos arquivos ou de diretórios. Ele é um proxy transparente (para maiores informações veja o capítulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de sua existência. Utilizando o proxy FTP Para utilizar o proxy FTP para realizar o controle de uma transferência de arquivos é necessário executar uma sequência de 2 passos: 1. Criar um serviço que será desviado para o proxy FTP e editar os parâmetros do contexto a ser usado por este serviço (para maiores informações, veja o capítulo intitulado Cadastrando Entidades). 2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para as redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O Filtro de Estados). O proxy FTP não realiza autenticação de usuários. Para possibilitar que certos usuários tenham privilégios diferentes é necessário criar serviços do proxy FTP com contextos distintos e associar cada um destes serviços com um perfil de acesso. Para maiores informações sobre perfis de acesso, verifique o capítulo chamado Perfis de acesso de usuários.
607
27.1.
Editando os parâmetros de um contexto FTP
A janela de propriedades de um contexto FTP será mostrada quando selecionar a opção Proxy FTP, na janela de edição de serviços. Através dela é possível definir o comportamento do proxy FTP quando este for lidar com o serviço em questão. A janela de propriedades de um contexto FTP
Figura 436 - Serviços: propriedades de um contexto FTP.
Na janela de propriedades são configurados todos os parâmetros de um contexto associado a um determinado serviço. Ela consiste dos seguintes campos: Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionar essa opção, somente serão aceitas conexões de máquinas cujo DNS reverso esteja configurado e aponte para um nome válido. Permitir que o servidor abra conexões em qualquer porta com o cliente: Esta opção permite que o servidor FTP comunique-se com o cliente por uma porta diferente da padrão que é TCP 20. 608
Habilitar logs de downloads e uploads: Esta opção fará com que seja gerado um evento informando dados sobre os downloads e uploads realizados passando pelo proxy. Número máximo de conexões simultâneas: Definir o número máximo de sessões FTP que podem estar ativas simultaneamente neste contexto. Caso o número de sessões abertas atinja este limite, os usuários que tentarem estabelecer novas conexões serão informados que o limite foi atingido e que devem tentar novamente mais tarde. Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxy pode ficar sem receber dados da sessão FTP e ainda considerá-la ativa. O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite TCP, nos parâmetros de configuração globais. (para maiores informações, veja o capítulo intitulado Configurando os parâmetros do sistema. Esta janela permite a criação de uma lista de regras que poderão ser aceitas ou não, de acordo com ícone na coluna Ação que terão as opções Aceita ou Rejeita. Para poder inserir um comando na coluna FTP é necessário clicar com o botão direito dentro do componente e selecionar a opção inserir, assim depois de inserida a regra, deve-se clicar na coluna FTP e selecionar a opção desejada ou digitar outro comando.
. Figura 437 - Janela de lista de regras (aceitas ou não).
Abaixo segue a descrição de todas as opções: mkd - Criar diretório: Ao selecionar essa opção, será possível a criação de diretórios através das conexões FTP que se encaixarem neste contexto. xmkd - Criar diretório estendido: Ao selecionar essa opção, será possível a criação de diretórios estendidos por meio das conexões FTP que se encaixarem neste contexto. 609
rmd - Apagar diretório: Ao selecionar essa opção, será possível a remoção de diretórios através das conexões FTP que se encaixarem neste contexto. xrmd - Apaga um diretório estendido: Ao selecionar essa opção, será possível remover diretórios estendidos através das conexões FTP que se encaixarem neste contexto. list - Listar diretório: Ao selecionar essa opção será possível a visualização do conteúdo de diretórios (comandos DIR ou LS) através das conexões FTP que se encaixarem neste contexto. nlst - Listar nomes dos diretórios: Ao selecionar essa opção será possível a visualização dos nomes dos diretórios, através das conexões FTP que se encaixarem neste contexto. retr - Download de arquivos: Ao selecionar essa opção, será possível fazer download de arquivos através das conexões FTP que se encaixarem neste contexto. stor - Upload de arquivos: Ao selecionar essa opção, será possível fazer upload de arquivos através das conexões FTP que se encaixarem neste contexto. stou - Upload de apenas um arquivos: Ao selecionar essa opção, será possível fazer upload de um arquivo com o nome único no diretório corrente. appe - Adicionar arquivo com a criação: Ao selecionar essa opção, será possível concatenar os dados no fim de um arquivo. Caso o arquivo não exista ele será criado. rest - Retomada de transferência de arquivos: Ao selecionar essa opção, será possível recomeçar o download ou upload do ponto de onde foi interrompido. dele - Remove arquivos: Ao desmarcar essa opção, não será possível remover arquivos através das conexões FTP que se encaixarem neste contexto. rnfr - Renomear arquivos: Se esta opção estiver desmarcada, não será possível renomear arquivos através das conexões FTP que se encaixarem neste contexto. As regras que não forem listadas obedecerão a "ação padrão".
610
Configurando o Proxy POP3
611
28.
Configurando o Proxy POP3 Este capítulo mostra quais as funções oferecidas pelo proxy POP3 e como realizar a sua configuração.
O que é o proxy POP3? O proxy POP3 é um programa especializado do Aker Firewall feito para trabalhar com correio eletrônico. Este proxy possibilita realizar filtragens de e-mails baseadas em seus arquivos anexos. Ele também atua como uma barreira protegendo o servidor POP3 contra diversos tipos de ataques. Ele é um proxy transparente (para maiores informações veja o capítulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de sua existência. POP3 é um anagrama para protocolo Post Office, que é o nome completo do serviço de download de mensagens de correio eletrônico na Internet. Ataques contra um servidor POP3 Existem diversos ataques passíveis de serem realizados contra um servidor POP3. São eles:
Ataques explorando bugs de um servidor Neste caso, o atacante procura utilizar um comando ou parâmetros de um comando que conhecidamente provocam falhas de segurança. O proxy POP3 do Aker Firewall impede estes ataques na medida em que só permitem a utilização de comandos considerados seguros e validando os parâmetros de todos os comandos.
Ataques explorando estouro de áreas de memória (buffer overflows) Estes ataques consistem em enviar linhas de comando muito grandes, fazendo com que um servidor que não tenha sido corretamente desenvolvido apresente falhas de segurança. O proxy POP3 do Aker Firewall impede estes ataques na medida em que limita o tamanho máximo das linhas de comando que podem ser enviadas para o servidor.
612
Utilizando o proxy POP3 Para utilizar o proxy POP3 em uma comunicação, é necessário executar uma sequência de 2 passos: 1. Criar um serviço que será desviado para o proxy POP3 e editar os parâmetros do contexto a ser usado por este serviço (para maiores informações, veja o capítulo intitulado Cadastrando Entidades). 2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para as redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O Filtro de Estados).
28.1.
Editando os parâmetros de um contexto POP3
A janela de propriedades de um contexto POP3 será mostrada quando a opção Proxy POP3 for selecionada. Através dela é possível definir o comportamento do proxy POP3 quando este for lidar com o serviço em questão. A janela de propriedades de um contexto POP3
613
Figura 438 - Propriedades de um contexto POP3.
Na janela de propriedades são configurados todos os parâmetros de um contexto associado a um determinado serviço. São eles: Configurações: É formado por diversos campos que indicam as ações a serem executadas pelo proxy POP3:
Agente de antivírus: Indicar o agente antivírus que será utilizado para checar vírus dos arquivos anexados a mensagens de e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informações veja o capítulo intitulado Cadastrando entidades. E-mail padrão: Indicar o endereço de e-mail padrão, para o qual serão enviadas as cópias das mensagens que não se enquadrarem em nenhuma regra deste contexto (se a opção Envia Cópia estiver marcada). Este e-mail também pode ser referenciado em qualquer regra de filtragem do contexto. Número máximo de processos: Indicar o número máximo de cópias do proxy que poderão estar ativas em um determinado momento. Como cada processo trata uma conexão, este número também representa o número máximo de mensagens que podem ser transmitidas simultaneamente para o contexto em questão. Caso o número de conexões ativas atinja este limite, os clientes que tentarem enviar novas mensagens devem repetir a tentativa posteriormente.
614
Tempo limite de resposta: Indicar o tempo máximo, em segundos, que o proxy espera a conexão em inatividade. Caso este tempo seja atingido o proxy encerra a conexão. Permitir a passagem de anexos mal codificados: Permitir que anexos que estejam mal codificados passem pelo firewall e sejam entregues aos clientes de email.
Lista de regras: Nessa lista são especificadas as regras de tratamento de arquivos anexados que permitem que uma mensagem tenha seus arquivos anexados removidos ou checados contra vírus. Para executar qualquer operação sobre uma determinada regra, deve-se clicar com o botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será acionado sempre que pressionar o botão direito, mesmo que não exista nenhuma regra selecionada. Neste caso, somente as opções Incluir e Colar estarão habilitadas).
Figura 439 - Operações sobre determinada regra.
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova regra será incluída no final da lista. Editar: Abrir a janela de edição para a regra selecionada. Excluir: Remover da lista a regra selecionada. Renomear: Renomear a regra selecionada.
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.
A ordem das regras na lista de regras de filtragem de arquivos anexados é de fundamental importância. Para cada arquivo anexado de uma mensagem, o firewall pesquisará a lista a partir do início procurando uma regra na qual ele se enquadre. Tão logo uma seja encontrada, a ação associada a ela será executada.
615
No caso de inclusão ou edição de regras, será mostrada a janela de edição, mostrada abaixo: A janela de edição de regras de arquivos
Figura 440 - Edição de regras de arquivos.
Nesta janela são configurados todos os parâmetros relativos a uma regra de filtragem de arquivos para um contexto POP3. Ela consiste dos seguintes campos: Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado na lista de regras de arquivos. Não podem existir duas regras com o mesmo nome. Filtrar por tipo MIME: Permitir definir uma regra de filtragem de arquivos baseandose em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo. 616
Filtrar por nome: Permitir realizar filtragens a partir (de parte) do nome, do arquivo anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a ser pesquisado. As seguintes opções de pesquisa estão disponíveis:
CONTÉM: O nome deve conter o texto informado em qualquer posição. NÃO CONTÉM: O nome não pode conter o texto informado. É: O conteúdo do nome deve ser exatamente igual ao texto informado. NÃO É: O conteúdo do nome deve ser diferente do texto informado. COMEÇA COM: O conteúdo do nome deve começar com o texto informado. NÃO COMEÇA COM: O conteúdo do nome não pode começar com o texto informado. TERMINA COM: O conteúdo do nome deve terminar com o texto informado. NÃO TERMINA COM: O conteúdo do nome não pode terminar com o texto informado. CONTÉM PALAVRAS: Neste tipo de pesquisa, o texto informado é considerado como formado por palavras individuais (separadas por espaços), ao invés de um texto contínuo. Para enquadrar na pesquisa, o nome deve conter todas as palavras informadas, independente de sua posição.
Ativação do filtro: Caso tenha especificado filtragem por tipo MIME e por nome, esse campo permite especificar se a regra deve ser aplicada Somente se ambos são verdadeiros (valor E) ou Se qualquer um for verdadeiro (valor OU). Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo se enquadrar na regra. Ela consiste em três opções:
Aceita o anexo: Ao selecionar essa opção o firewall irá manter o arquivo anexado na mensagem. Remove o anexo: Ao selecionar essa opção o firewall irá remover o arquivo anexado da mensagem. Remove anexo infectado: Ao selecionar essa opção o firewall irá verificar o arquivo anexado da mensagem contra vírus. Caso exista vírus o firewall tomará uma das seguintes ações: se o arquivo puder ser desinfectado, o vírus será removido e o arquivo reanexado à mensagem. Caso o arquivo não possa ser desinfectado, o firewall o removerá e acrescentará uma mensagem informando o destinatário desse fato.
Caso a caixa Registrar na lista de eventos estiver marcado, quando a regra for atendida a mesma será registrada no log de eventos. Remover arquivos encriptados: Ao selecionar essa opção, o firewall removerá os arquivos anexados que estejam compactados e cifrados, porque não poderá examiná-los para testar a presença de vírus. Remover arquivos corrompidos: Ao selecionar essa opção, o firewall removerá os arquivos anexados que estejam compactados, porém corrompidos, porque não poderá examiná-los para testar a presença de vírus.
617
Notifica emissor no caso de remoção do arquivo anexado: Ao selecionar essa opção, o firewall enviará uma mensagem para o emissor de um e-mail todas as vezes que um ou mais de seus arquivos anexados for removido. Envia cópia para o administrador se o arquivo anexado for removido: Ao marcar essa opção, o firewall enviará uma cópia de todos os arquivos removidos para o administrador. Caso ela esteja marcada, deve-se escolher uma das seguintes opções de envio:
E-mail Padrão: A cópia da mensagem é enviada para o e-mail padrão, definido na janela de propriedades do contexto. outro: A cópia da mensagem é enviada para o endereço especificado no campo à direita.
618
Utilizando as Quotas
619
29.
Utilizando as Quotas Este capítulo mostra como são utilizadas as quotas.
O que são quotas? A produtividade dos funcionários é de fundamental importância para o desenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos de rede devem ser utilizados de forma racional. A partir dessa necessidade, o Aker Firewall tornou-se uma ferramenta indispensável para o controle de acesso às páginas web, que são visitadas pelos empregados de uma corporação. Com o uso desse produto, os usuários só terão acesso a sites dentro dos limites estabelecidos pelas quotas de acesso. As Quotas são utilizadas para controlar e racionalizar o tempo gasto pelos funcionários, com acesso a sites da WEB. Assim as quotas são os limites em termos de tempo de acesso e volume de dados, por usuário. Estes limites são definidos na seguinte forma:
Quanto à periodicidade de acesso, pode ser definido diariamente, semanalmente e mensalmente; Quanto à quantidade de horas e de dias disponíveis; Quanto ao volume de dados de bytes trafegados.
Observação 1: Filtro Web: Consumo de cota – o tempo calculado é aproximado à média de tempo de carregamento de um site. MSN: Consumo de cota – o tempo calculado é aproximado à média de tempo de utilização do MSN, como chats, envio de arquivo, uso de jogos, vídeo chamada ou qualquer outra funcionalidade do MSN. Observação 2: Filtro Web: Para os casos de acesso simultâneos (de um mesmo usuário) somente o tempo de carregamento do maior site é que será contabilizado. MSN: para cada janela de conversação, o tempo é contado separadamente;
620
29.1.
Editando os parâmetros do Uso de Quota
Figura 441 - Uso de quotas.
Clicar no menu Informação da janela do firewall. Selecionar o item Uso de Quotas.
621
Visualização do Usuário
Figura 442 - Uso de quotas: visualização do usuário.
Esta janela permite mostrar todas as informações de quota de acesso, especificadas por usuário. Reiniciar o tempo do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção zera toda a quota de tempo de acesso para todas as quotas desse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. Reiniciar o tráfego do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção opta em zerar todas as quotas de volume de dados desse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. Reiniciar hora e tráfego do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção opta em zerar toda quota de tempo de acesso e a quota de volume, para esse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. 622
Usuário: Usuário para qual foi aplicado à quota. Quota: Nome da quota criada. Time: Tempo gasto da quota. Volume: Quantidade de bytes trafegados. Regularidade: Período que a quota vai ser aplicada se é diariamente, semanalmente ou mensalmente. Mostra valores relativos: Mostra os valores das quotas gastas em forma de porcentagem. Visualização da Quota
Figura 443 - Uso de quotas: visualização da quota.
Esta janela permite mostrar todas as informações de quota de acesso, especificados por quota. Reinicia o tempo do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção zera toda a quota de tempo de acesso para 623
todas as quotas desse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. Reinicia o tráfego do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção opta em zerar todas as quotas de volume de dados desse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. Reinicia hora e tráfego do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção opta em zerar toda quota de tempo de acesso e a quota de volume, para esse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. Mostra valores relativos: Mostra os valores das quotas em forma de porcentagem. Quota: Nome da quota criada. Usuário: Usuário para qual foi aplicado à quota. Tempo: Tempo gasto da quota. Volume: Quantidade de bytes trafegados. Regularidade: Período que a quota vai ser aplicada se é diariamente, semanalmente ou mensalmente.
624
Configurando o Filtro Web
625
30.
Configurando o Filtro Web Este capítulo mostra para que serve e como configurar o Filtro Web.
30.1.
Planejando a instalação
O que é o Filtro Web do Aker Firewall? O filtro web é um programa especializado do Aker Firewall feito para trabalhar com os protocolos que compõem a chamada WWW (World Wide Web). Dentre entre estes protocolos, estão o HTTP, HTTPS, FTP e Gopher. Este produto possui como principal função controlar o acesso dos usuários internos à Internet, definindo quais páginas os usuários poderão acessar e se podem ou não transferir arquivos, por exemplo. Além disso, ele pode bloquear tecnologias consideradas perigosas para algumas instalações como o Active-XTM, scripts (JavaScript) e até applets JavaTM. Mais ainda, ele possibilita a remoção dos banners das páginas, de forma a aumentar a sua velocidade de carga e reduzir a utilização do link. Ele é um proxy simultaneamente transparente (apenas para HTTP) e não transparente (para maiores informações, veja o capítulo intitulado Trabalhando com proxies), facilitando a instalação do sistema. Quando utilizado da forma transparente, o proxy é normalmente mais rápido do que quando utilizado como um proxy normal, além de não necessitar configuração extra nos clientes. Por outro lado, a capacidade de filtrar URLs para os protocolos HTTPS, FTP e GOPHER só existe no proxy normal. Para que o proxy não transparente tenha a mesma performance do transparente, é necessário que os browsers suportem o envio de requisições HTTP 1.1 via proxies. O que é um servidor de cache WWW? Um servidor de cache é um programa que visa aumentar a velocidade de acesso às páginas da Internet. Para conseguir isso, ele armazena internamente as páginas mais utilizadas pelas diversas máquinas clientes e todas as vezes que recebe uma nova solicitação, ele verifica se a página desejada já se encontra armazenada. Caso a página esteja disponível, ela é retornada imediatamente, sem a necessidade de consultar o servidor externo, caso contrário à página será carregada normalmente do servidor desejado e armazenada, fazendo com que as próximas requisições a esta página sejam atendidas rapidamente. 626
O filtro web do Aker Firewall trabalhando com um servidor de cache O Aker Firewall implementa automaticamente um servidor de cache no seu Filtro Web, entretanto ele pode ser configurado para trabalhar com qualquer um que siga os padrões de mercado. Este servidor de cache pode estar rodando na própria máquina onde o firewall se encontra ou em uma máquina separada. Caso utilize-se de um servidor de cache em uma máquina separada (modo de instalação recomendado), esta máquina deve ficar em uma sub-rede diferente de onde estão as máquinas clientes, caso contrário, todo o controle de segurança pode ser facilmente ultrapassado. Este tipo de configuração pode ser visualizado na seguinte figura:
Figura 444 - Conexão (internet, rede interna, firewall e DMZ.
Neste tipo de instalação, para assegurar uma total proteção, basta configurar o filtro de estados (para maiores informações, veja o capítulo intitulado O Filtro de Estados) de forma a permitir que a máquina com o cache seja a única que possa acessar os serviços ligados ao WWW, e que as máquinas clientes não possam abrir nenhuma conexão em direção à máquina onde se encontra o cache. Feito isso, configura-se todas as máquinas clientes para utilizarem o Filtro Web do firewall e configura-se o firewall para utilizar o cache na máquina desejada.
627
Utilizando o Filtro Web Para se utilizar o filtro web do Aker Firewall no modo não transparente (normal), é necessária a seguinte sequência de passos: 1. Criar os perfis de acesso desejados e os associar com os usuários e grupos desejados. (Isso foi descrito no capítulo chamado Perfis de acesso de usuários); 2. Editar os parâmetros de configuração do Filtro Web (isso será mostrado no tópico chamado Editando os parâmetros do filtro web); 3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenham acesso ao proxy (para maiores informações, veja o capítulo intitulado O Filtro de Estados). O filtro web não transparente escuta conexões na porta 80, utilizando o protocolo TCP. Caso seja necessário, pode-se alterar este valor para qualquer porta, bastando para isso acrescentar o parâmetro -p porta, onde porta é o número da porta que queira que ele escute, na hora de iniciá-lo. A linha de comando a ser alterada se encontra no arquivo /aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall /fwhttppd para /aker/bin/firewall/fwhttppd -p 8080, por exemplo. Para utilizar o filtro web no modo transparente é necessário executar uma sequência de 2 passos: 1. Criar um serviço que será desviado para o Filtro Web transparente (HTTP e/ou HTTPS) e editar os parâmetros do contexto a ser usado por este serviço (para maiores informações, veja o capítulo intitulado Cadastrando Entidades). 2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para as redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O Filtro de Estados).
628
30.2.
Editando os parâmetros de Filtro Web
Para utilizar o filtro web, é necessária a definição de alguns parâmetros que determinarão características básicas de seu funcionamento. Esta definição é feita na janela de configuração do Filtro Web. Para acessá-la, deve-se:
Figura 445 - Filtro web.
Clicar no menu Aplicação da janela do firewall. Selecionar o item Filtro Web.
629
A janela de configuração de parâmetros do Filtro Web Aba Geral
Figura 446 - Configuração dos parâmetros do filtro web (geral).
O botão OK fará com que a janela de configuração do Filtro Web seja fechada e as alterações salvas. O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá a janela aberta. 630
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada.
O botão Retornar à Configuração Inicial - Desconsidera as configurações personalizadas e retorna ao padrão; é aplicável em todas as abas e encontra-se na barra de ferramentas do Firewall, bem como o botão Assistente.
Cache Cache Interno Habilitado: Esta opção permite que o firewall funcione como servidor de cache. Cache externo Habilitado: Esta opção permite definir se o Filtro Web irá redirecionar suas requisições para um servidor de cache. Caso esta opção esteja habilitada, todas as requisições recebidas serão repassadas para o servidor de cache, no endereço IP e porta especificada. Caso contrário, o Filtro Web atenderá todas as requisições. IP: Este campo especifica o endereço IP do servidor de cache para onde as requisições serão redirecionadas, caso a opção habilita cache estiver ativa. Porta: Este campo especifica a porta na qual o servidor de cache espera receber conexões, caso a opção habilita cache estiver ativa.
Parâmetros Esta aba possibilita ajustar o funcionamento do Filtro Web para situações especiais. Ela consiste dos seguintes campos: Autentica usuários WWW: Este campo ativa ou não a autenticação de usuários do Filtro Web. Caso ele esteja marcado, será solicitada ao usuário uma identificação e uma senha todas as vezes que ele tentar iniciar uma sessão, e esta somente será iniciado caso ele seja autenticado por algum dos autenticadores. Utiliza cliente de autenticação em Java: Esta opção instrui o proxy a utilizar o cliente de autenticação em Java, mesmo quando operando de modo não transparente. A vantagem deste cliente é permitir que a autenticação do usuário seja completa (como quando se usa o cliente de autenticação para Windows, e não apenas para o Filtro Web).
Caso o usuário esteja utilizando o Cliente de Autenticação Aker para Windows e esteja com uma sessão estabelecida com o Firewall, então não será solicitado nome nem senha, ou seja, o proxy se comportará como se não estivesse realizando autenticação de usuários, mas ele está de fato fazendo-o. Se a sessão do Cliente de Autenticação for finalizada, então o proxy solicitará um nome de usuário e senha no próximo acesso. Para maiores informações sobre o Cliente de Autenticação Aker, leia o capítulo (Autenticação de usuários). 631
Para o cliente de autenticação em Java funcionar em seu browser, ele deve ter o suporte Java instalado e habilitado, além de permitir o uso do protocolo UDP para applets Java. Forçar autenticação: Se esta opção estiver marcada o proxy obrigará a autenticação do usuário, ou seja, somente permitirá acesso para usuários autenticados. Se ela estiver desmarcada e um usuário desejar se autenticar, ele poderá fazê-lo (para ganhar um perfil diferente do padrão), mas acessos não identificados serão permitidos.
Tempos Limites Leitura: Definir o tempo máximo, em segundos, que o proxy aguarda por uma requisição do cliente, a partir do momento que uma nova conexão for estabelecida. Caso este tempo seja atingido sem que o cliente faça uma requisição, a conexão será cancelada. Resposta: Definir o tempo máximo, em segundos, que o proxy aguarda por uma resposta de uma requisição enviado para o servidor WWW remoto ou para o servidor de cache, caso a opção habilita cache esteja ativa. Caso este tempo seja atingido sem que o servidor comece a transmitir uma resposta, a conexão com o servidor será cancelada e o cliente receberá uma mensagem de erro. HTTPS: Definir o tempo máximo, em segundos, que o proxy pode ficar sem receber dados do cliente ou do servidor em uma conexão HTTPS, sem que ele considere a conexão inativa e a cancele. Manter ativo: Definir quanto tempo um usuário pode manter uma conexão keepalive (HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o processo para outro usuário. Recomenda-se manter este tempo bastante baixo, para evitar o uso desnecessário de todos os processos do sistema. Timeout das sessões web: Indica quanto tempo uma sessão web vai ficar sendo monitorada, permitindo ao administrador do firewall saber quais são as sessões web ativas do seu firewall. Exemplo: Se for marcado 30 segundos nesse campo, a janela de sessões web (Informação -> Sessões Web) só vai mostrar as sessões ativas dos últimos 30 segundos.
Performance Não permitir a transferência de arquivos comprimidos: Permite que o Firewall não aceite transferências do filtro Web que tenham dados compactados. Em uma requisição HTTP e ou HTTPS, pode ser especificado que os dados venham compactados. Caso os dados venham comprimidos e caso exista ActiveX, Java ou JavaScript compactados, o firewall precisa descompactá-los para fazer a análise dos dados, por isso que nesses casos, essa opção é 632
bastante importante. O mais aconselhado é deixar esta opção desmarcada, pois é o padrão da janela. Logar toda URL aceita: Permite que o Firewall logue todas as URL que são realizadas em método (GET, POST e etc), sendo assim teremos um volume de logs muito maior para geração de relatórios e contabilização de Quotas. Exemplo: com esta opção desmarcado o acesso ao endereço http://www.terra.com.br será gerado apenas um log informando o acesso ao portal, já com a opção marcada será gerado logs para cada GET que o browser faz para receber todo o site. Para melhorar o desempenho e a gestão de recursos, os processos do Filtro Web são criados automaticamente pelo firewall, conforme a demanda de requisições.
Quotas Interromper a transferência quando a quota for excedida: Essa opção permite interromper a transferência dos arquivos caso a quota tenha excedido. Caso essa opção não esteja marcada o firewall vai verificar a quota do usuário antes dele começar a fazer o download. Exemplo: Se o usuário tiver 50 MB de quota, e quer fazer um download de um arquivo de 100 MB, com certeza ele não irá conseguir finalizar essa transferência. Todas às vezes que essa opção estiver marcada, e for mais de um download simultâneo ou um download que não foi informado o seu tamanho, o firewall permite o download, mas irá interromper antes do término.
Contabilizar duração do download: Permite que o tempo da quota seja "gasto" enquanto durar o tempo do download, por exemplo, se o usuário quiser fazer o download de um arquivo de 100 MB e esse download levar 30 minutos, vão ser gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opção não esteja marcada, só vão ser gastos 100 MB, e não os 30 minutos. Normalmente o tempo de quota só é utilizado quando o usuário fica navegando, mandando mensagens pelo MSN e etc. Quando ele está fazendo o download de um arquivo grande, não é gasto o tempo de sua quota, somente o volume de bytes.
Arquivos
633
Permitir retomada de transferência: Está opção deverá ser selecionada caso o usuário queira permitir, que um download continue de onde havia parado. Aba Cliente de autenticação
Figura 447 - Filtro Web: cliente de autenticação.
Esta aba serve para compor o Layout da janela de autenticação do Aker Firewall.
Crie um título para a janela de autenticação.
Autenticação - Este campo é composto por duas opções que serão disponibilizadas para o usuário quando do logon no Firewall; e poderá se conectar habilitando:
Mostrar botão S/Key - Esta opção permite que os usuários se autentiquem usando S/Key. Mostrar campo domínio - O usuário informará o domínio para logar-se no Filtro Web.
Logotipo
Usar logo personalizada. Neste caso ao marcar esta opção, será preciso indicar o caminho que se encontra a logotipo. 634
E é possível acompanhar as mudanças na Visualização. Mostrar tela de splash antes da janela de autenticação: Esta opção exibe uma janela com a URL especificada antes de solicitar a autenticação do usuário através do cliente de autenticação em Java.
635
Aba Controle de conteúdo
Figura 448 - Filtro Web: controle de conteúdo.
Analisador de URL: Especificar o agente analisador de URLs que será utilizado para categorizar as páginas da Internet. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informações veja o capítulo intitulado Cadastrando entidades. URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelo firewall quando um usuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções: Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o firewall mostra uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Ao selecionar essa opção, o firewall redirecionará todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados serão redirecionados (sem o prefixo http://) no campo abaixo. Mostrar: Essa opção permite definir a página que será mostrada ao usuário, quando a tentativa de acesso a uma URL for bloqueada. Então pode optar em mostrar a página padrão ou redirecionar para a página escolhida, que
636
será personalizada de acordo com os checkboxes selecionados. Segue abaixo a descrição de cada opção e o detalhamento das variáveis criadas. Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado para identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria que causou o bloqueio da página. Domínio: Ao selecionar essa opção será mostrado o domínio da URL. Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br. Ao selecionar o domínio, é criada a variável domain. Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Método é criada a variável method. Nome do perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar essa opção é criada a variável perfil. IP do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada. Ao selecionar o Método é criada a variável IP. Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa opção será mostrada a razão do bloqueio do site. Por exemplo, temos as seguintes razões:
"categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto não permitido", "tipo de arquivo não permitido globalmente", "tipo de arquivo não permitido no perfil", "connect para a porta especificada não permitida” Nome da categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria é criada a variável cats. Nome do usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o nome do usuário é criada a variável user. Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao selecionar o número da regra é criada a variável rule. Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url.
No preview, aparece como será a URL e o que será enviado via método GET.
637
Aba Tipos de arquivos
Figura 449 - Filtro Web: tipo de arquivo.
Arquivos Bloqueados Especificar os arquivos que serão bloqueados pelo Filtro Web. É possível utilizar dois critérios complementares para decidir se um arquivo transferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo firewall. O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informação para decidir como mostrar a informação que ele recebeu do mesmo modo como o sistema operacional usa a extensão do nome do arquivo. 638
URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelo firewall quando um usuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções:
Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o firewall mostra uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Ao selecionar essa opção, o firewall redirecionará todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados serão redirecionados (sem o prefixo http://) no campo abaixo.
Mostrar: Essa opção permite definir a página que será mostrada ao usuário, quando a tentativa de acesso a uma URL for bloqueada. Então pode optar em mostrar a página padrão ou redirecionar para a página escolhida, que será personalizada de acordo com os checkboxes selecionados. Segue abaixo a descrição de cada opção e o detalhamento das variáveis criadas. Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado para identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria que causou o bloqueio da página.
Domínio: Ao selecionar essa opção será mostrado o domínio da URL. Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br. Ao selecionar o domínio, é criada a variável domain. Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Método é criada a variável method. Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar essa opção é criada a variável perfil. IP do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada. Ao selecionar o Método é criada a variável IP. Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa opção será mostrada a razão do bloqueio do site. Por exemplo, temos as seguintes razões: "categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto não permitido", "tipo de arquivo não permitido globalmente", "tipo de arquivo não permitido no perfil", "connect para a porta especificada não permitido” Nome da categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria é criada a variável cats. 639
Nome do usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o nome do usuário é criada a variável user. Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao selecionar o número da regra é criada a variável rule. Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url.
No preview, aparece como será a URL e o que será enviado via método GET.
Downloads Especificar os arquivos que serão analisados contra vírus pelo Download manager do Aker Firewall, ou seja, para os quais o firewall mostra ao usuário uma página web com o status do download do arquivo e realizará seu download em background. Esta opção é interessante para arquivos potencialmente grandes (arquivos compactados, por exemplo) ou para arquivos que normalmente não são visualizáveis de forma on-line pelo navegador. É possível utilizar dois critérios complementares para decidir se um arquivo transferido deve ser analisado: a extensão do arquivo ou seu tipo MIME. Se um destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem analisados, então o arquivo deverá ser analisado pelo firewall. O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informação para decidir como mostrar a informação que ele recebeu do mesmo modo como o sistema operacional usa a extensão do nome do arquivo. Sites Excluídos: Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se enquadrarem na lista de excluídos não serão analisados.
640
As escolhas dos operadores podem ser vistas abaixo:
Figura 450 - Escolhas dos operadores.
Configurações: Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo encriptado. Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo corrompido. Online Da mesma maneira que em downloads o administrador do firewall deve escolher os tipos MIME e as extensões.
641
Aba Antivírus
Figura 451 - Filtro Web: antivírus.
Habilitar antivírus: Ao selecionar essa caixa, permitirá que o firewall faça a verificação antivírus dos conteúdos que tiverem sendo baixados. O botão Retornar à configuração padrão restaura a configuração original do firewall para esta pasta.
Agente antivírus utilizado: Permitir a escolha de um agente antivírus previamente cadastrado para realizar a verificação de vírus. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informações veja o capítulo intitulado Cadastrando entidades. Ignorar erros online do antivírus (podem permitir a passagem de anexos contaminados): Quando este campo estiver selecionado, se houver um erro de análise do antivírus no tráfego on-line, o mesmo não bloqueará o conteúdo, permitindo a transferência dos dados. Caso o campo não esteja marcado, a transferência de dados será bloqueada. Ignorar erros de download do antivírus (pode permitir a passagem de anexos contaminados): Quando este campo estiver selecionado, se houver erro de análise do antivírus no tráfego on-line, o mesmo não bloqueará o download, permitindo a transferência dos dados. Caso o campo não esteja marcado, o download será bloqueado. Habilitar janela de progresso do antivírus: Esta opção permite desabilitar o Download manager do Aker Firewall. 642
Intervalo de atualização do status: Esta opção determina o tempo em a página de download exibida pelo firewall deve ser atualizada. Número de tentativas: Número máximo de tentativas de download para cada arquivo, caso seja necessário tentar mais de uma vez. Número máximo de downloads simultâneos: Configura o número máximo de downloads simultâneos que o firewall irá permitir.
Analise de Vírus: Opção para mostrar uma página caso seja encontrado um vírus durante a análise do antivírus. A página poderá ser a do próprio firewall ou personalizada pelo usuário. É possível personalizar a mensagem para cada tipo de vírus encontrado, bastando utilizar a string {VIR} que será substituída pelo nome do vírus.
Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o firewall mostra uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Ao selecionar essa opção, o firewall redirecionará todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados serão redirecionados (sem o prefixo http://) no campo abaixo.
O Aker Antivírus Module suporta diversas opções de varredura de vírus, worms, dialers, hoax, cavalo de troia e analise heurísticas, abaixo segue uma lista de opções suportadas: Opções de análise: Utilizado para selecionar quais os tipos de bloqueio que devem ser realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se será ou não utilizado um método de detecção heurístico (caso seja marcado, poderá ser utilizado às opções baixo, médio ou alto);
Habilitar análise heurística: A Heurística é um conjunto de regras e métodos que podem levar o parceiro instalado a detectar um vírus sem a necessidade de uma base de assinaturas de vírus, ou seja, é um algoritmo capaz de detectar programas maliciosos baseando-se em seu comportamento; Detectar Malware: Habilita a analise de programas maliciosos e ferramentas hackers.
Varredura de Arquivos:
Habilitado: Permite habilitar a análise do conteúdo de arquivos compactados; Nível Máximo de profundidade: Define o nível máximo de recursão ao analisar um arquivo compactado; Tamanho máximo do Arquivo: Define o tamanho máximo permitido de um arquivo a ser analisado dentro de um arquivo compactado; Número Máximo de Arquivos: Define a quantidade máxima de arquivos a serem analisados dentro de um arquivo compactado. 643
O Aker Antivírus Module suporta a analise de arquivos compactados das seguintes extensões: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR, BZIP2, UPX, AsPack, PEPack, Petite, Telock, FSG, Crunch, WWWPack32, DOC, PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO, Gzip, MS OLE2, MS Cabinet Files (+ SFX), MS SZDD compression format, BinHex, SIS (SymbianOS packages), AutoIt, NSIS, InstallShield. Aba SSL O proxy HTTPS é a parte do Filtro Web que trata as conexões TCP pela porta 443. O princípio de funcionamento é o de um ataque man-in-the-middle: as máquinas clientes que fazem o acesso através do Aker Firewall, e este com o servidor remoto, de forma transparente. Entendendo um pouco de certificados O que é um certificado digital? Certificado digital é um documento fornecido pela Entidade Certificadora para cada uma das entidades que irá realizar uma comunicação, de forma a garantir sua autenticidade. Para os certificados utilizados na comunicação HTTPS o padrão utilizado é o X.509. Este comumente utiliza-se das extensões “pem”, “cer” e “crt”. Formato PKCS#12 O formato PKCS#12 foi criado pela “RSA Laboratories” para armazenamento do certificado X.509 acompanhado da chave privada. Esse arquivo geralmente tem a extensão “pfx” e “p12”. Comunicação HTTPS A comunicação HTTPS utiliza-se do sistema de certificação digital. Quando o cliente acessa um site com HTTPS o servidor envia ao cliente o certificado X.509 (que contém sua chave pública). De posse deste certificado o navegador (cliente) faz algumas validações:
Validade do certificado; Se o CN (Common Name) do certificado é o host da url; Se a autoridade certificadora que assinou o certificado é uma autoridade confiável.
Após a validação ocorrer com sucesso o cliente efetua o processo de comunicação de requisições e respostas HTTP. Vejam o diagrama abaixo: 644
Figura 452 - Diagrama de certificados envolvidos no acesso.
O diagrama mostra os certificados envolvidos no acesso:
Certificado do servidor remoto: certificado original de onde alguns dados como data de expiração e common name são copiados para os certificados gerados no firewall. Certificado do proxy: certificado criado a cada requisição, que contém cópia daqueles dados do certificado original que identificam o site. Assinado pela CA inserida pelo administrador.
Os clientes precisam confiar nessa CA inserida no Aker Firewall para que seu browser não detecte o ataque. Logo, dois certificados são necessários, um para os clientes e outro para o Aker Firewall. Outros certificados que aparecem são os utilizados pelo Aker Firewall para validar os sites remotos.
645
Gerando certificado para utilização do Firewall Para o firewall poder gerar certificados ele atua como uma Autoridade certificadora (CA), ou seja, ele gera os certificados para os sites no qual é acessado através do Proxy. Para poder realizar este processo alguns pré-requisitos são necessários:
O firewall necessita de um certificado digital no formato PKCS#12, pois somente este tem a chave privada; O Certificado X.509 contido no PKCS#12 necessita ser um certificado com prerrogativas específicas para que este certificado possa assinar novos certificados, ou seja, atuar como uma CA.
Para o processo de geração do certificado há várias possibilidades, neste FAQ serão explicadas duas delas. Para o correto funcionamento do firewall não é necessário realizar estas duas formas, portanto escolha uma delas e realize somente ela. 1. Gerando um certificado auto-assinado com o OpenSSL; 2. Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows.
Ao final de qualquer um dos dois processos escolhidos haverá dois arquivos que serão utilizados no processo do Proxy HTTPS: 1. Arquivo no formato X.509, com extensão .cer; 2. Arquivo no formato PKCS#12, com extensão .pfx.
O Arquivo PKCS#12 será utilizado na configuração do Proxy HTTPS. O arquivo X.509 precisa ser importado na seção de autoridades certificadoras raiz confiáveis dos navegadores conforme demonstrado posteriormente.
646
Configuração
Figura 453 - Filtro web: configuração.
O proxy HTTPS ativo é habilitado por padrão e tem como opção a filtragem do serviço para determinadas portas e entidades. Controle SSL -proxy Ativo: Permitir a definição das portas de conexão segura (HTTPS) que serão aceitas pelo firewall. Caso um cliente tente abrir uma conexão para uma porta não permitida, o firewall mostra uma mensagem de erro e não possibilitará o acesso.
Permite HTTPS apenas para a porta padrão (443): caso queira utilizar apenas a porta padrão (443), deve-se selecionar a primeira opção. Essa é a configuração a ser utilizada na grande maioria dos firewalls. Permite HTTPS para todas as portas: indica ao firewall que ele deve aceitar conexões HTTPS para quaisquer portas. Essa configuração não é recomendada para nenhum ambiente que necessite de um nível de segurança razoável, já que é possível para um usuário utilizar o proxy para acessar serviços não permitidos simulando uma conexão HTTPS.
647
Permite HTTPS para as entidades listadas abaixo: que possibilita ao administrador definir exatamente quais portas serão permitidas. Nesse caso devem ser cadastradas as entidades correspondentes aos serviços desejados. Para maiores informações, veja o capítulo intitulado Cadastrando Entidades.
Habilitar proxy HTTPS transparente Para habilitar o proxy HTTPS transparente, crie uma regra de filtragem para o serviço HTTPS e habilite o proxy no combo box da entidade de serviço (da mesma forma como se faz para o proxy HTTP). Nesta janela, marque a caixa “Certificado local – proxy transparente”.
Lista de exceções do HTTPS: aqui vão entidades do novo tipo “Listas de Common Name SSL”, que ficam na aba listas no widget de entidades. Devem ser cadastrados os Common Names dos sites que não devem passar pelo proxy.
A lista de Common Names não é tão simples. Por exemplo, “www.gmail.com” e “mail.google.com”, precisam estar na lista pra liberar o Gmail do proxy. Uma lista com “www.bb.com.br” também não é suficiente para proteger o Banco do Brasil, visto que já ao logar um novo certificado é apresentado, para “www2.bancobrasil.com.br”.
Usar um certificado personalizado em caso de erro no proxy: caso o proxy detecte que o certificado da outra ponta não é válido, deve avisar o usuário, como faz o browser. Caso esta checkbox esteja marcada o Filtro Web assina o certificado da comunicação com uma CA de erro importada pelo administrador, para que seja possível adicionar exceções ao proxy em nível de usuário. Com a checkbox desmarcada o acesso é bloqueado, um evento é gerado e uma página de erro vai para o usuário.
648
Figura 454 - Certificado de erro do Firefox.
Erro do Firefox ao detectar certificado assinado pela CA de erro.
Figura 455 - Certificado assinado pela CA de erro.
Certificado assinado pela CA de erro.
649
Figura 456 - Erro de acesso.
Sem a CA de erro o acesso é bloqueado. Certificado da CA do proxy: aqui é possível importar/exportar a CA utilizada para assinar os certificados gerados. Siga os passos abaixo para gerar este certificado corretamente: Utilizando Open SSL 1. Efetue a instalação do OpenSSL; 2. Crie um diretório para utilizações durante este processo; 3. Crie um arquivo, dentro deste diretório, vazio, com o nome “database.txt”; 4. Crie um arquivo, dentro deste diretório, vazio, com o nome “serial.txt”; 5. Crie um arquivo nomeado “autoassinado.conf” e adicione o seguinte conteúdo: RANDFILE
= .rnd
[ ca ] default_ca
= CA_default
[ CA_default ] certs = certs crl_dir = crl database = database.txt new_certs_dir = certs certificate = cacert.pem serial = serial.txt crl = crl.pem private_key = private\cakey.pem RANDFILE = private\private.rnd default_days = 365 default_crl_days= 3 default_md = sha1 preserve = no
650
policy
= policy_match
[ policy_match ] commonName = supplied emailAddress = optional countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional [ req ] default_bits = 1024 default_keyfile = privkey.pem distinguished_name = req_distinguished_name [ req_distinguished_name ] commonName = Common Name (eg, your website's domain name) commonName_max = 64 emailAddress = Email Address emailAddress_max = 40 countryName = Country Name (2 letter code) countryName_min = 2 countryName_max = 2 countryName_default = BR stateOrProvinceName = State or Province Name (full name) localityName = Locality Name (eg, city) 0.organizationName = Organization Name (eg, company) organizationalUnitName = Organizational Unit Name (eg, section) countryName_default = BR [ v3_ca ] certificatePolicies=2.5.29.32.0 subjectKeyIdentifier=hash authorityKeyIdentifier=keyid:always,issuer basicConstraints=critical,CA:TRUE keyUsage = critical,cRLSign, keyCertSign, digitalSignature
6. Crie a chave privada que será utilizada: openssl genrsa -des3 -out ca.key 1024
Neste momento será solicitada a senha para armazenamento da chave, está senha será utilizada posteriormente para abertura da chave privada. Loading 'screen' into random state - done Generating RSA private key, 1024 bit long modulus ..............++++++ ...............++++++
651
e is 65537 (0x10001) Enter pass phrase for ca.key:
7. Crie o certificado X.509. Este é o arquivo que será utilizado futuramente para instalação nos clientes: openssl req -extensions v3_ca -config autoassinado.conf -new -x509 days 3650 -key ca.key -out firewall.cer
Neste momento algumas informações serão solicitadas, a primeira delas é a senha da chave privada criada no passo anterior. Enter pass phrase for ca.key:
Agora serão solicitados os dados do certificado, o único item obrigatório é o Common Name (CN), nele adicione o nome como deseja que a sua CA seja identificada. Após a finalização deste processo temos o nosso certificado conforme imagem abaixo:
652
Figura 457 - Certificado de informação.
Porém temos dois arquivos, um para a chave privada e outro para o certificado, desta forma será necessário colocá-los em um único arquivo no formato PKCS#12, que é o formato reconhecido pelo firewall. 8. Crie o arquivo PKCS#12 com a chave privada e o certificado openssl pkcs12 -export -out firewall.pfx -in firewall.cer -inkey ca.key
Neste processo serão solicitadas duas senhas, a primeira para abertura da chave privada e a segunda para a exportação do arquivo PKCS#12. Esta segunda senha será utilizada no momento da importação do arquivo PKCS#12 no firewall. Enter pass phrase for ca.key: Enter Export Password: Verifying - Enter Export Password:
Utilizando CA Microsoft: 653
Este item não demonstra como efetuar a instalação de uma autoridade certificadora (CA) no Windows, e sim como utilizar uma já instalada, sendo a instalação desta um pré-requisito para continuidade deste processo. 1. Abra a console de gerenciamento de autoridade certificadora em Start > Administrative Tools > Certification Authority (Iniciar > Ferramentas Administrativas > Autoridade de certificação)
Figura 458 - Certificado de informação.
2. Selecione a sua CA
654
Figura 459 – Certification Authority.
3. Nestes próximos passos iremos exportar o certificado X.509 da CA. Clique com o botão direito do mouse e clique em Properties (Propriedades)
Figura 460 - Certificado CA – properties.
655
4. Selecione o último certificado da CA e clique em View Certificate (Exibir certificado)
Figura 461 - Certificado CA – General.
656
5. Na tela de visualização do certificado clique em Details (detalhes) e depois em Copy to file (Copiar para arquivo)
Figura 462 - Certificado CA – Details.
6. Selecione um local para salvar o arquivo. Este é o arquivo que será utilizado futuramente para instalação nos clientes. 7. Nestes próximos passos iremos Exportar o arquivo no formato PKCS#12 para a utilização no firewall. 8. Volte para a tela principal da autoridade certificadora. Clique com o botão direito do mouse no nome da CA e clique em All Tasks (Todas as tarefas) e clique em Back up CA (Fazer Backup da autoridade de cert...)
657
Figura 463 - Certificado CA – All tasks / Back up Ca.
9. Na próxima tela clique em Avançar. Na tela subsequente selecione somente o item Private key and CA certificate (Chave particular e certificado de autoridade de certificação), indique o diretório onde será salvo o arquivo, clique em avançar.
Figura 464 - Certificado Authority Backup Wizard.
658
10.a tela abaixo, indique a senha de proteção do arquivo PKCS#12. Esta senha será utilizada no momento da importação do arquivo PKCS#12 no firewall.
Figura 465 - Certificado Authority Backup Wizard – senha e confirmação.
Após este processo, será gerado o arquivo PKCS#12 com a chave privada e o certificado desta CA. Usar um certificado de CA personalizado em caso de erro no proxy: aqui é possível importar/exportar CA utilizada quando há erro na validação do certificado remoto. Quando a opção de utilizar CA de erro é desmarcada, a opção de visualizar a CA de erro fica desabilitada. Importando certificado X.509 no Windows A importação deste certificado na base do Windows tem efeito em todos os aplicativos que consultam esta base como base dos certificados confiáveis desta forma os certificados gerados pelo Filtro Web serão validados nas estações de trabalho filtradas, sem apresentar as mensagens de segurança mostradas acima. Na lista destes aplicativos estão:
Internet Explorer; Google Chrome; Windows live messenger (MSN).
659
1. Abra a Microsoft Management Console. Acesse: Iniciar > Executar e digite mmc e clique em OK.
Figura 466 - Microsoft Management Console.
2. Na tela do MMC clique em File (Arquivo) depois clique em Add/Remove snap-in... (Adicionar/remover snap-in...). 3. Selecione a opção Certificates (Certificados) e clique em Add (Adicionar)
660
Figura 467 - Adicionar ou remover Snap-is.
4. Selecione a opção Computer account (Conta de computador), selecione a opção Local Computer (Computador local).
661
5. Na opção Certificates > Trusted Root Certification Authorities > Certificates (Certificados > Autoridade de certificação raiz confiáveis > Certificados) clique com o botão direito e clique em All tasks > Import (Todas as tarefas > Importar).
Figura 468 - Microsoft Management Console – certificates, all task, import).
662
6. Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer.
Figura 469 - Escolha do diretório onde deseja importar o relatório.
Importando certificado X.509 no Mozilla Firefox 1. Clique em Ferramentas > Opções
663
Figura 470 - Mozilla Firefox (importar certificado).
2. Selecione a opção Avançado > Criptografia
Figura 471 - Mozilla Firefox (criptografia).
664
665
3. Selecione a opção Certificados, na tela de certificados selecione a aba Autoridades e clique no botão Importar.
Figura 472 - Gerenciador de certificados – autoridades.
666
4. Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer. Aba Avançado Filtro Navegador
Figura 473 - Filtro Web: avançado.
Ao selecionar a opção Filtro de navegador habilitado, permite ao usuário aceitar ou rejeitar os navegadores inseridos na lista.
Essa lista é criada pelo próprio usuário e nela devem ser inseridos os vários tipos de navegadores que se deseja bloquear ou liberar, abaixo segue um exemplo de como devem ser incluídos:
Internet Explorer 6: “MSIE 6.0”; Internet Explorer 7: “MSIE 7.0"; Internet Explorer (qualquer um): “MSIE”; Media Player: " Windows-Media-Player "; Firefox: “Firefox”; Firefox 2: “Firefox/2”.
667
A validação do browser é feita ANTES do header stripping, assim sendo é possível substituir versão por uma string fixa sem perder esta filtragem.
Reescrita de URLs
Figura 474 - Filtro Web: avançado.
A reescrita de URL é semelhante ao redirecionamento de sites. É um processo interno ao servidor web que funciona de forma transparente resolvendo os problemas com links quebrados no site web. No campo URL anterior como o próprio o nome já diz deve ser informado o endereço que será traduzido para um novo endereço informado no campo. URL reescrita. Por exemplo: URL anterior: www.aker.com.br URL reescrita: www.aker.security.com.br
Stripping do cabeçalho HTTP
668
Figura 475 - Filtro Web: avançado.
Essa opção permite remover e modificar partes do Header. Potencialmente aumenta a segurança interna, evitando que informações internas sejam enviadas para fora. Por exemplo: cookies e versão do navegador do usuário. O Header stripping funciona da seguinte forma, todas as linhas do header HTTP são comparadas individualmente com todas as expressões cadastradas. Caso uma se encaixe, a linha é substituída e a próxima linha é tratada. A primeira linha (com a requisição) não é filtrada (ou seja, não é comparada com as expressões). O Header stripping funciona apenas na remoção do header do cliente para o servidor; O Header Stripping é realizado imediatamente após a versão de o browser cliente ser verificada e ANTES de todos os demais processamentos do proxy HTTP, sendo assim, o proxy tratará a versão modificada do header (caso ele tenha sido) como o que foi enviado pelo cliente; Seguem abaixo, exemplos de como preencher os campos: O que procurar e o Substituir por: Para a remoção de cookies (sem as aspas): Procurar: “Cookie: *” - Substituir por: "" (nada).
Para esconder a versão dos browsers dos clientes: Procurar: “User-Agent: *\r\n” - Substituir por:” User Agent: Mozilla/4.0\r\n". 669
A configuração do Header Stripping deve ser feita com muito cuidado já que ele pode potencialmente inviabilizar o uso da Internet. Deve-se tomar o cuidado de SEMPRE acrescentar um \r\n no final de uma substituição que envolva uma linha.
670
30.3.
Editando os parâmetros de Sessões Web
Sessões Web Esta janela permite ao administrador do Firewall, visualizar as sessões ativas, verificando o que foi acessado e por quem foi acessado, no tempo definido na janela de Filtro Web, aba Geral, opção “Timeout das sessões web”. Para ter acesso a janela de sessões web, deve-se:
Figura 476 - Sessões Web.
Clicar no menu Informação Selecionar o item Sessões Web
671
As informações serão visualizadas e distribuídas nos seguintes campos: Tempo: Indica o dia e horário e a URL que foi acessada. Host: Indica a máquina de onde foi acessada a URL. Usuário: Indica o usuário que acessou a URL. Perfil: Indica qual o perfil de acesso que o usuário caiu quando tentou acessar a URL. Regra: Indica qual a regra de acesso que a URL se enquadrou. Categoria: Indica qual a categoria que a URL se enquadrou. Ação: Indica se as sessões web que passaram pelo firewall foram aceitas ou rejeitadas.
672
Configurando o Proxy Socks
673
31.
Configurando o Proxy Socks Este capítulo mostra para que serve e como configurar o Proxy Socks.
31.1.
Planejando a instalação
O que é o proxy SOCKS do Aker Firewall? O proxy SOCKS é um programa especializado do Aker Firewall feito para trabalhar com programas que suportem o protocolo SOCKS nas versões 4 ou 5. Este proxy possui como função principal prover uma melhor segurança para protocolos passarem através do firewall, principalmente protocolos complexos que utilizam mais de uma conexão. É possível através do uso do SOCKS 5 realizar autenticação de usuários para quaisquer serviços que passem pelo firewall, mesmo sem o uso do cliente de autenticação. Ele é um proxy não transparente (para maiores informações, veja o capítulo intitulado Trabalhando com proxies), desta forma, os clientes que forem utilizá-lo devem ter suporte para trabalhar com proxies e devem ser configurados para usá-lo. Utilizando o proxy SOCKS Para utilizar o proxy SOCKS do Aker Firewall, é necessário a seguinte sequência de passos: 1. Criar os perfis de acesso desejados e associá-los aos usuários e grupos desejados. (isso foi descrito no capítulo chamado Perfis de acesso de usuários); 2. Editar os parâmetros de configuração do proxy SOCKS (isso será mostrado no tópico chamado Editando os parâmetros do proxy SOCKS); 3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenham acesso ao proxy (para maiores informações, veja o capítulo intitulado O Filtro de Estados). O proxy SOCKS do Aker Firewall escuta conexões na porta 1080, utilizando o protocolo TCP. Caso seja necessário, pode-se alterar este valor para qualquer porta, bastando para isso acrescentar o parâmetro -p porta, onde porta é o número da porta que queira que ele escute, na hora de iniciá-lo. A linha de comando a ser alterada se encontra no arquivo /aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall/fwhttppd para /aker/bin/firewall/fwhttppd -p 8080, por exemplo.
674
675
31.2.
Editando os parâmetros do Proxy SOCKS
Para utilizar o Proxy SOCKS, é necessário à definição de alguns parâmetros que determinarão características básicas de seu funcionamento. Esta definição é feita na janela de configuração do proxy SOCKS. Para acessá-la, deve-se:
Figura 477 - Proxy Socks
Clicar no menu Aplicação da janela de administração. Selecionar o item Proxy Socks.
A janela de configuração de parâmetros do proxy SOCKS
Figura 478 - Autenticação dos usuários Socks.
O botão OK fará com que a janela de configuração do proxy SOCKS seja fechada e as alterações salvas. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta. O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada. 676
Significado dos parâmetros: Autentica usuários SOCKS: Este campo ativa ou não a autenticação de usuários do proxy SOCKS. Caso ele esteja marcado, será solicitada ao usuário uma identificação e uma senha todas as vezes que ele tentar iniciar uma sessão e esta somente será iniciado caso ele seja autenticado por algum dos autenticadores. Caso o usuário esteja utilizando o Cliente de Autenticação Aker e esteja com uma sessão estabelecida com o Firewall, então não será solicitado nome nem senha, ou seja, o proxy se comportará como se não estivesse realizando autenticação de usuários, mas ele está de fato fazendo-o. Se a sessão do Cliente de Autenticação for finalizada, então o proxy solicitará um nome de usuário e senha no próximo acesso. Para maiores informações sobre o Cliente de Autenticação Aker, leia o capítulo Autenticação de Usuários. A versão 4 do protocolo SOCKS não permite realizar autenticação de usuários, dessa forma, a única maneira de autenticar clientes utilizando essa versão do protocolo é com o uso do cliente de autenticação. Caso essa opção esteja marcada, a versão suportada pelo cliente for a 4 e não existir uma sessão de perfil de acesso ativa, então o firewall não permitirá acessos para o cliente. Tempo limite de resposta: Este parâmetro define o tempo máximo, em segundos, que o proxy aguarda por dados do cliente, a partir do momento que uma nova conexão for estabelecida. Caso este tempo seja atingido sem que o cliente envie os dados necessários, a conexão será cancelada. Número máximo de processos: Este campo define o número máximo de processos do proxy SOCKS que poderão estar ativos simultaneamente. Como cada processo atende uma única conexão, este campo também define o número máximo de requisições que podem ser atendidas simultaneamente.
677
Configurando o Proxy RPC e o Proxy DCE-RPC
678
32.
Configurando o Proxy RPC e o proxy DCE-RPC Este capítulo mostra como configurar o proxy RPC e o proxy DCE-RPC.
O que é o proxy RPC? O proxy RPC é um programa especializado do Aker Firewall feito para trabalhar com o protocolo RPC, mais especificamente, o SUN RPC, descrito na RFC1050. A sua função básica é fazer chamadas a funções remotas (Remote Procedure Call), ou seja, funções disponibilizadas por outras máquinas acessíveis através do firewall. Exemplos de protocolos que usam o RPC são os portmapper e o NFS. Quando um cliente deseja realizar uma chamada RPC para um determinado número de processo, o firewall verifica a ação relacionada àquele processo. Se permitir, o proxy insere as regras de liberação de portas direta e automaticamente no kernel. Caso contrário, o firewall bloqueia o processo como se ele estivesse indisponível. Ele é um proxy transparente (para maiores informações veja o capítulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da sua existência. Utilizando o proxy RPC Para utilizar o proxy RPC, é necessário executar uma sequência de 2 passos: Criar um serviço que será desviado para o proxy RPC e editar os parâmetros do contexto a ser usado por este serviço (para maiores informações, veja o capítulo intitulado Cadastrando Entidades); Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para as redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado Filtro de Estados). O que é o proxy DCE-RPC? O proxy DCE-RPC é um programa especializado do Aker Firewall feito para trabalhar com o protocolo RPC, mais especificamente, o DCE- RPC. A sua função básica é fazer chamada às funções remotas (Remote Procedure Call), ou seja, funções disponibilizadas por outras máquinas acessíveis através do firewall. Exemplos de protocolos que usam o DCE- RPC são os Transmission Control Protocol (TCP) e o HTTP.
679
Quando um cliente deseja realizar uma chamada DCE-RPC para um determinado número de processo, o firewall verifica a ação relacionada àquele processo. Se permitir, o proxy insere as regras de liberação de portas direta e automaticamente no kernel. Caso contrário, o firewall bloqueia o processo como se ele estivesse indisponível. Ele é um proxy transparente (para maiores informações veja o capítulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da sua existência. Utilizando o proxy DCE-RPC Para utilizar o Proxy RPC, é necessário executar uma sequência de 2 passos: Criar um serviço que será desviado para o proxy DCE-RPC e editar os parâmetros do contexto a ser usado por este serviço (para maiores informações, veja o capítulo intitulado Cadastrando Entidades).
Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para as redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O Filtro de Estados).
680
32.1.
Editando os parâmetros de um contexto RPC
A janela de propriedades de um contexto DCE-RPC será mostrada quando for selecionado o protocolo UDP e a opção Proxy RPC na janela de edição de serviços. Através dela é possível definir o comportamento do proxy RPC quando este for lidar com o serviço em questão. A janela de propriedades de um contexto RPC
Figura 479 - Propriedades de um contexto RCP.
Na janela de propriedades são configurados todos os parâmetros de um contexto associado a um determinado serviço. Ela consiste dos seguintes campos: Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos que não estiverem presentes na lista de permissões. O valor aceita permite que o serviço seja utilizado e o valor rejeita impede sua utilização.
681
Lista de permissões: Definir, de forma individual, as permissões de acesso aos serviços remotos. Para executar qualquer operação sobre um serviço na lista de permissões, basta clicar com o botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguinte menu (Caso não exista nenhum serviço selecionado, somente as opções Inserir e Apagar estarão presentes):
Figura 480 - Menu de execução da janela RPC.
Inserir: Permitir a inclusão de um novo serviço na lista. Se algum serviço estiver selecionado, o novo será inserido na posição selecionada. Caso contrário, o novo serviço será incluído no final da lista. Excluir: Remover da lista o serviço selecionado. Lista de serviços: Contém uma lista pré-definida de serviços e seus respectivos números. É possível acrescentar serviços que não estejam presentes nessa lista. Para isso, basta clicar no campo logo abaixo da opção Apagar e digitar o código do novo serviço.
Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito do mouse sobre ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita, que aparecerão no menu seguinte:
Figura 481 - Menu de execução da janela RPC (inserir, apagar, rejeitar ou aceitar).
682
Editando os parâmetros de um contexto DCE-RPC
A janela de propriedades de um contexto RPC será mostrada quando for selecionado o protocolo TCP e a opção Proxy DCE-RPC na janela de edição de serviços. Através dela é possível definir o comportamento do proxy DCE-RPC quando este for lidar com o serviço em questão. A janela de propriedades de um contexto DCE-RPC
Figura 482 - Propriedades de um contexto DCE-RPC.
Na janela de propriedades são configurados todos os parâmetros de um contexto associado a um determinado serviço. Ela consiste dos seguintes campos: Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos que não estiverem presentes na lista de permissões. O valor aceita permite que o serviço seja utilizado e o valor rejeita impede sua utilização. Lista de permissões: Definir, de forma individual, as permissões de acesso aos serviços remotos. 683
Para executar qualquer operação sobre um serviço na lista de permissões, basta clicar com o botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguinte menu (Caso não exista nenhum serviço selecionado, somente as opções Inserir e Apagar estarão presentes):
Figura 483 - Menu de execução da janela DCE-RPC.
Inserir: Permitir a inclusão de um novo serviço na lista. Se algum serviço estiver selecionado, o novo será inserido na posição selecionada. Caso contrário, o novo serviço será incluído no final da lista. Excluir: Remover da lista o serviço selecionado. Lista de serviços: Contém uma lista pré-definida de serviços e seus respectivos números. É possível acrescentar serviços que não estejam presentes nessa lista. Para isso, basta clicar no campo logo abaixo da opção Apagar e digitar o código do novo serviço. Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito do mouse sobre ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita, que aparecerão no menu seguinte:
Figura 484 - Menu de execução da janela DCE-RPC (inserir, apagar, rejeitar ou aceitar).
684
Configurando o Proxy MSN
685
33.
Configurando o Proxy MSN Este capítulo mostra para que serve e como configurar o proxy MSN.
33.1.
Planejando a instalação
O que é o MSN Messenger? MSN Messenger, ou apenas MSN, é um programa de mensagens instantâneas criado pela Microsoft Corporation. O programa permite que um usuário da Internet converse com outro que tenha o mesmo programa em tempo real por meio de conversas de texto, voz ou até com vídeo. Ele é uma ferramenta gratuita com um grande número de funcionalidades, algumas potencialmente prejudiciais ao ambiente coorporativo como a transferência de arquivos on-line, fazendo com que as empresas busquem soluções para melhor trabalhar com este serviço. O que é o proxy MSN - Messenger do Aker Firewall? Este proxy possui como função principal controlar um importante canal de trânsito de informações que é o MSN Messenger, possibilitando que não se abra mão de seu uso, ao mesmo tempo em que se evita a perda de produtividade. Integrado ao sistema de perfis de acesso, esse sistema se adaptará à realidade das corporações, onde cada usuário terá privilégios distintos. As funcionalidades do produto baseiam-se em:
Estar integrado ao sistema de perfil de acesso (permitindo controle por usuários e grupos). Definir white-lists e black-lists por perfil. Controlar o horário de uso. Controlar o tempo de uso por dia (configurado no perfil) para cada usuário. Controlar o envio/recebimento de arquivo (inclusive por tipo). Controlar convites para outros serviços (vídeo, áudio, games, etc..). Realizar um log de sessões.
Utilizando o proxy MSN O MSN Messenger por padrão trabalha na porta TCP 1863, porém também pode se conectar aos servidores através do protocolo HTTP e SOCKS. O Proxy MSN da Aker controla os dados que trafegarão através de um proxy transparente (ver mais detalhes em Trabalhando com proxies).
686
Para utilizar o proxy MSN do Aker Firewall é necessário a seguinte sequência de passos: 1. Definir os parâmetros genéricos do proxy MSN. 2. Criar os perfis de acesso desejados e associá-los aos usuários e grupos desejados. (Isso foi descrito no capítulo chamado Perfis de acesso de usuários). 3. Associar a uma regra de filtragem possibilitando que os usuários possam utilizar o serviço MSN (para maiores informações, veja o capítulo intitulado O Filtro de Estados).
33.2.
Editando os parâmetros do Proxy MSN
Para utilizar o proxy MSN é necessário à definição de alguns parâmetros que determinarão características básicas de seu funcionamento. Esta definição é feita na janela de configuração do proxy MSN. Para acessá-la, deve-se:
Figura 485 - Proxy Messenger.
Clicar no menu Aplicação da janela de administração do Firewall Selecionar o item Proxy Messenger
A janela de configuração de parâmetros do proxy MSN
O botão OK fará com que a janela de configuração do proxy MSN seja fechada e as alterações salvas. O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá a janela aberta. O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada. 687
Esta janela é composta por quatro abas: Aba Tipos de Serviços
Figura 486 - Proxy Messenger – Aba Tipo Serviço.
Esta aba define os serviços adicionais que poderão ser utilizados através de uma conexão MSN. Estes serviços poderão posteriormente ser controlados a partir das regras dos perfis de cada usuário. Para inserir um novo tipo de serviço, deve-se clicar com o botão direito e selecionar a opção Novo. Para remover um tipo de serviço, deve-se clicar com o botão direito sobre o serviço a ser removido e escolher a opção Remover. Para editar qualquer um dos campos de um serviço, basta clicar com o botão direito sobre a coluna cujo valor se deseja alterar e modificar o dado diretamente no menu que irá aparecer. É possível adicionar automaticamente vários serviços pré-configurados, bastando para isso clicar no botão Adicionar Serviços Padrão, localizado na barra de tarefas.
688
Aba Mensagens
Figura 487 - Proxy Messenger – Aba Mensagens.
Esta aba permite configurar as mensagens que serão mostradas aos usuários internos e externos quando eles não tiverem permissão de executar uma determinada ação através do proxy Messenger.
689
Aba Controle de Acesso
Figura 488 - Proxy Messenger – Controle de acesso.
Essa aba controla o acesso dos usuários, por meio da vinculação de um passport a um perfil. No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa entidade será associada a algum perfil definido no Firewall. Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usuários que tiverem o login no MSN terminando por @aker.com.br irá automaticamente cair no perfil teste.
690
Aba Configurações
Figura 489 - Proxy Messenger – Configurações.
Essa aba permite configurar a quantidade máxima de descritores (socket) e/ou arquivos que o processo do proxy MSN pode abrir. O valor padrão é de 1024, mas pode chegar a até 8192 no máximo. O Aker Firewall 6.5 conta com a análise de vírus para arquivos transferidos. Para ativar essa verificação marque a opção “Habilitar Antivírus no MSN” caso deseje que o firewall analise os arquivos. A opção “Permitir a passagem de arquivos se ocorrer erro no Antivírus” permite transferência de arquivos infectados, caso o servidor de antivírus estiver indisponível. Marque "Usar Antivírus Local" para que o firewall utilize o antivírus já incluído nele, caso contrário, inclua a autenticação e o endereço de IP do seu servidor Antivírus.
691
Configurando a Filtragem de Aplicações
692
34.
Configurando a Filtragem de Aplicações Este capítulo mostra para que serve e como configurar a Filtragem de Aplicações.
34.1.
Planejando a instalação
O que é a Filtragem de Aplicações? Esta filtragem baseia-se no controle dos dados que estão passando através do Aker Firewall. É possível analisar o conteúdo de protocolos e tipos reais de arquivos que estão trafegando, independentemente de que porta de comunicação esteja utilizando e automaticamente bloqueá-los ou colocá-los em uma prioridade de tráfego mais baixa, evitando o consumo de banda com recursos desnecessários. Esta filtragem pode ser realizada de forma global, tratando qualquer pacote que passe pelo firewall ou por perfis de acesso. Em especial, os seguintes tipos de tráfego podem ser identificados:
Download de tipos de arquivos específicos via FTP, HTTP e aplicativos peer-topeer. Conexões de controle de aplicativos peer-to-peer (GNUTELLA, Napster, Kazaa, etc) e de comunicação (Messenger, ICQ, etc.) sobre qualquer mídia (TCP ou UDP direto e proxy HTTP).
Utilizando as regras de Filtragem de Aplicação Para utilizar a Filtragem de Aplicação do Aker Firewall deve-se seguir a seguinte sequência de passos: 1. Criar os filtros desejados, o que está descrito no tópico Criando Filtros de Aplicações. 2. Criar regras de filtragem de aplicações globais ou para os perfis de acesso desejados.
693
34.2.
Criando Regras de Filtragem de Aplicações
Para acessar a janela de filtragem de aplicações deve-se:
Figura 490 - Filtragem de aplicações.
Clicar no menu Aplicação da janela de administração do Firewall. Selecionar o item Filtragem de Aplicações.
694
A janela de regras de Filtragem de Aplicações
Figura 491 - Filtragem de aplicações – Regras de filtragem de aplicações.
Esta janela é composta por duas abas, uma com a definição das regras globais da filtragem de aplicações e outra que permite a criação dos filtros que serão utilizados nestas regras e nas regras de filtragem dos perfis de acesso.
O botão OK fará com que a janela seja fechada e as alterações salvas. O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá a janela aberta. O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada.
Regras de Filtragem de Aplicação Esta aba disponibiliza as regras de aplicação que serão utilizadas pelo firewall de forma global. É possível também criar regras específicas para os perfis de acesso (para maiores informações veja Cadastrando perfis de acesso). Estas regras permitem, por exemplo, que determinados tipos de arquivos sejam bloqueados de acordo com seu tipo real, independentemente de sua extensão ou 695
protocolo que esteja sendo utilizado para enviá-los. É possível também ao invés de bloqueá-lo, simplesmente mudar a prioridade de um serviço ou tipo de arquivo sendo transmitido. Uma das grandes utilizações destes filtros é para otimização do acesso à Internet. É possível, por exemplo, que todos os usuários tenham um acesso rápido à Internet, porém quando estes tentarem baixar arquivos cujos tipos não sejam considerados importantes, i.e, mp3, vídeos, etc, a conexão sendo utilizada para transferir estes arquivos automaticamente fique com uma largura de banda bastante reduzida. Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão direito e a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão disponíveis:
Figura 492 - Menu de operação sobre uma regra.
Inserir: Permitir a inclusão de uma nova regra na lista. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Excluir: Remover da lista a regra selecionada. Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo com seu estado atual.
Cada regra consiste dos seguintes campos: Origem: Especificar as origens da comunicação que o filtro estará inspecionando, para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ou conjuntos (para maiores informações veja o capítulo Cadastrando entidades). Destino: Especificar os destinos da comunicação que o filtro estará inspecionando, para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ou conjuntos (para maiores informações veja o capítulo Cadastrando entidades).
696
Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando, para isso deve-se inserir uma ou mais entidades do tipo serviço (para maiores informações veja o capítulo Cadastrando entidades). Filtragem de Aplicações: Indicar quais os filtros que estarão ativos para as conexões que forem em direção a um dos destinos especificados na regra e utilizando um dos serviços também especificados. A definição dos filtros é feita na janela de Filtragem de Aplicações. Para maiores informações veja o capítulo Configurando Filtragem de Aplicações. Ação: Indicar a ação que será tomada pelo firewall caso um dos filtros especificados seja aplicado. Ela consiste das seguintes opções: Aceita: Significa que a conexão será autorizada a passar através do firewall. Rejeita: Significa que a conexão não passará pelo firewall e será enviado um pacote de reset para a máquina originária da comunicação. Descarta: Significa que a conexão não passará pelo firewall, mas não será enviado nenhum pacote para a máquina de origem. Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridade diferente, que deverá ser especificada na coluna Canal. Bloqueia origem: Indica que a máquina que originou a conexão deverá ser bloqueada por algum tempo (isso significa que todas as conexões originadas nela serão recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto tempo a máquina permanecerá bloqueada. Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sido selecionada. Ela indica a nova prioridade que será atribuída à conexão. Deve-se inserir uma entidade do tipo canal (para maiores informações veja o capítulo Cadastrando entidades). Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueia origem tenha sido selecionada. Ela indica por quanto tempo a máquina origem será bloqueada.
34.3.
Criando Filtros de Aplicações
Os filtros de aplicações informam ao firewall o que deve ser buscado em uma comunicação para possibilitar a identificação de um determinado protocolo ou tipo de arquivo. O produto já vem com vários filtros pré-configurados, porém é possível que o administrador configure novos filtros para atender às suas necessidades. Para acessar a janela de criação dos Filtros de Aplicações deve-se: 697
Figura 493 - Filtragem de aplicações.
Clicar no menu Aplicação da janela de administração do Firewall. Selecionar o item Filtragem de Aplicações. Clicar na aba Filtros de Aplicações.
698
A janela de criação de Filtros de Aplicações
Figura 494 – Filtro de Aplicações.
Esta janela está dividida em duas partes. Na parte superior aparece uma lista dos filtros atualmente criados. Ao selecionar um filtro, serão mostrados na parte inferior da janela as operações de pesquisa relacionadas a ele. Para executar qualquer operação sobre um filtro, basta clicar sobre ele com o botão direito e a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão disponíveis:
Figura 495 - Menu de operação sobre um filtro.
Inserir: Permite a inclusão de um novo filtro na lista. Copiar: Copiar o filtro selecionado para uma área temporária. Colar: Copiar o filtro da área temporária para a lista. Excluir: Remover da lista o filtro selecionada.
699
Para alterar o nome do filtro ou a forma de concatenação das operações do mesmo, basta clicar com o botão direito sobre a coluna correspondente. Para incluir, editar ou excluir operações de um determinado filtro, deve-se selecioná-lo na parte superior da janela e a seguir clicar com o botão direito sobre qualquer uma das operações. O seguinte menu aparecerá:
Figura 496 - Menu de operação para acessar o nome do filtro ou forma de concatenação.
Inserir: Permite a inclusão de uma nova operação para o filtro selecionado. Editar: Abrir a janela de edição para modificar a operação selecionada. Remover: Remover da lista a operação selecionada.
Ao editar uma operação, a seguinte janela será mostrada:
Figura 497 - Operações de filtragem.
O que filtrar: Neste campo deve-se colocar a sequência de bytes que deve ser pesquisada na conexão. Sequência de bytes: Definir a sequência de dados que será pesquisada nos dados do arquivo/protocolo ou nos metadados (cabeçalho).
700
Iniciar em (bytes): Caso se tenha escolhido que a pesquisa deve ser feita a partir do meio do arquivo ou comunicação, este campo serve para especificar em que posição deve-se começar a pesquisa. Direção: Direção em que os dados serão analisados para verificar a existência da sequência definida em O que filtrar.
Profundidade da procura (bytes): Este campo indica a quantidade de bytes que será analisada dinamicamente a partir da posição de início de pesquisa. Onde pesquisar: Especificar se a procura deve ser a partir do início do arquivo ou da comunicação ou em um ponto qualquer do mesmo. ).
701
Configurando IDS/IPS
702
35.
Configurando IDS/IPS Este capítulo mostra as funções oferecidas pelo conjunto IPS/IDS e como realizar sua configuração.
Sobre o módulo de IPS/IDS O módulo de IPS/IDS do Aker Firewall reúne diversas funções para identificação e bloqueio de ataques em tempo real. Este módulo trabalha de forma integrada com o firewall e consegue, com isso, oferecer um alto grau de proteção. O módulo interno vem com vários ataques pré-configurados, sendo possível sua atualização através da Internet. Além do módulo interno, é possível também utilizar um IDS externo, de forma a complementar ainda mais o nível de segurança da solução.
35.1.
Acessando IPS/IDS
Para ter acesso a janela de configuração dos parâmetros de IPS/IDS, deve-se:
Figura 498 - IPS/IDS.
Clicar no menu Segurança na janela do Firewall que queira administrar. Escolher o item IPS/IDS.
703
A janela de configuração do IDS/IPS Esta janela é composta por quatro abas, cada uma responsável por um aspecto distinto da configuração do módulo de IDS.
O botão OK fará com que a janela seja fechada e as alterações salvas. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta. O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada.
Regras IDS
Figura 499 - IPS/IDS – Regras IDS.
Esta aba contém todas as regras de IDS definidas no Aker Firewall. Cada regra será mostrada em uma linha separada, composta de diversas células. Caso uma das regras esteja selecionada, ela será mostrada em uma cor diferente. Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão direito e a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão disponíveis:
704
Figura 500 - Menu para execução de operação de regras.
Inserir: Permitir a inclusão de uma nova regra na lista. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Excluir : Remover da lista a regra selecionada. Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo com seu estado atual.
Cada regra consiste dos seguintes campos: Origem: Especificar as origens da comunicação que o filtro estará inspecionando, para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ou conjuntos (para maiores informações veja o capítulo Cadastrando entidades). Destino: Especificar os destinos da comunicação que o filtro estará inspecionando, para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ou conjuntos (para maiores informações veja o capítulo Cadastrando entidades). Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando, para isso deve-se inserir uma ou mais entidades do tipo serviço (para maiores informações veja o capítulo Cadastrando entidades). Filtros IDS: Nesta coluna deve-se inserir os filtros IDS que estarão ativos para esta comunicação. Deve-se escolher um dos grupos de filtros disponíveis e posteriormente, caso seja desejado, habilitar individualmente os filtros dentro de cada grupo. Os seguintes grupos estão disponíveis:
FTP: É composto de filtros contra ataques que visam servidores FTP. HTTP: É composto de filtros contra ataques que visam servidores WEB. HTTP Client: É composto de filtros contra ataques que visam navegadores. POP3: É composto de filtros contra ataques que visam leitores de e-mail. IMAP: É composto de filtros contra ataques que visam leitores de e-mail (IMAP e superior ao POP3). 705
SMTP: É composto de filtros contra ataques que visam servidores de email. TCP: É composto de filtros contra ataques genéricos utilizando o protocolo TCP. UDP: É composto de filtros contra ataques genéricos utilizando o protocolo UDP.
Uma vez inseridos os filtros, é possível clicar sobre esta mesma coluna com o botão direito, escolher o nome do grupo de filtros desejado e indicar se os ataques pertencentes a este grupo devem ser selecionados automaticamente, opção Selecionar todo o grupo, ou manualmente através da opção Seleção manual. Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtros especificados seja aplicado. Ela consiste das seguintes opções: Ignora: Significa que o ataque será ignorado pelo firewall. Bloqueia: Indica que a máquina que originou a conexão deverá ser bloqueada por algum tempo (isso significa que todas as conexões originadas nela serão recusadas). Tempo de Bloqueio: Esta coluna indica por quanto tempo uma máquina atacante permanecerá bloqueada.
706
Filtros IDS
Figura 501 - IPD/IDS – Filtros IDS.
Esta janela serve para se ver os filtros de IDS que estão disponíveis no firewall bem como criar novos filtros. Ela consiste de uma lista com os filtros atualmente criados. É possível ver esta lista de três maneiras distintas: por grupo de filtros (conforme mostrado no tópico anterior), por classe de ameaça ou uma lista linear com todos os filtros. O campo Organizar por, localizado na parte superior da janela permite a escolha da forma de visualização mais adequada. Classes de ameaça: Ataque: ataques diretos que exploram bugs ou vulnerabilidades de aplicativos ou sistemas operacionais. Malware: ataques originados de vírus e cavalos-de-tróia. Sondagem: varredura de portas ou identificação de vulnerabilidades.
707
Grupos dos filtros:
FTP: É composto de filtros contra ataques que visam servidores FTP. HTTP: É composto de filtros contra ataques que visam servidores WEB. HTTP Client: É composto de filtros contra ataques que visam navegadores. POP3: É composto de filtros contra ataques que visam leitores de e-mail. SMTP: É composto de filtros contra ataques que visam servidores de e-mail. TCP: É composto de filtros contra ataques genéricos utilizando o protocolo TCP. UDP: É composto de filtros contra ataques genéricos utilizando o protocolo UDP. Ao selecionar um filtro é mostrada na parte inferior da janela uma URL de referência, que permite ao administrador obter maiores informações sobre o ataque. Para inserir um novo filtro, deve-se clicar com o botão direito sobre a lista de filtros e selecionar a opção Novo filtro. A seguinte janela será mostrada:
Figura 502 - Filtros IDS – Configuração do filtro.
A janela de criação/edição de filtros
O botão OK fará com que a janela seja fechada e as alterações salvas. O botão OK e novo fará com que a janela seja fechada, as alterações salvas porém a janela permaneça aberta. Isso é particularmente útil quando se deseja cadastrar vários ataques seguidamente. O botão Cancelar, fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada.
Esta janela permite criar um novo filtro ou alterar os parâmetros de um filtro já existente. Ela consiste dos seguintes parâmetros: 708
Nome do filtro: Nome pelo qual o filtro será referenciado no restante do firewall. Url de referência: URL que permite obter maiores informações sobre o ataque (este campo é puramente informativo). O que filtrar: Neste campo deve-se colocar a sequência de bytes que identifica o ataque. Iniciar em: Este campo serve para especificar em que posição do fluxo de dados deve-se começar a pesquisa. Profundidade da procura (bytes): Este campo indica a quantidade de bytes que será analisada a partir da posição de início de pesquisa. Direção: Direção em que os dados serão analisados para verificar a existência da sequência definida em O que filtrar. Protocolo: Indica em que protocolo o ataque será pesquisado. As seguintes opções estão disponíveis:
UDP: Procura dados diretamente no protocolo UDP. TCP: Procura dados diretamente no protocolo TCP. Cabeçalho HTTP: Procura dados no cabeçalho do protocolo HTTP. URL HTTP: Procura dados em URLs do protocolo HTTP. Corpo do HTTP: Procura dados no corpo do protocolo HTTP. Comando SMTP: Procura dados em comandos do protocolo SMTP. Dados do SMTP: Procura dados no corpo do protocolo SMTP. Comando FTP: Procura dados em comandos do protocolo FTP. Dados do FTP: Procura dados no corpo do protocolo FTP. Comando POP3: Procura dados em comandos do protocolo POP3. Dados do POP3: Procura dados no corpo do protocolo POP3.
Grupo: Este campo informa ao firewall em que grupo este ataque deve ser colocado. Classe de ameaça: Este campo informa ao firewall em que classe de ameaça este ataque deve ser colocada.
709
Portscan
Figura 503 - IPD/IDS - Portscan.
Esta aba serve para configurar a proteção contra ataques de varreduras de portas. Estes ataques consistem em tentar acessar todas ou várias portas de comunicação em uma ou mais máquinas de uma rede. Ele é normalmente o primeiro ataque feito por um hacker, já que objetiva determinar quais os serviços e máquinas que estão ativos em uma rede. Para configurar a proteção contra varredura de portas, os seguintes parâmetros devem ser preenchidos: Detecção de portscan ativada: Esta opção deve estar marcada para ativar o suporte detecção de varreduras de portas. Número permitido de portas varridas: Este campo indica o número máximo de portas que podem ser acessadas em uma mesma máquina. Tentativas de acesso de um número maior de portas farão que a máquina origem seja bloqueada. 710
Número permitido de máquinas x portas: Este campo indica o número máximo de portas que podem ser acessadas em uma ou mais máquinas. Para este parâmetro é a mesma coisa se um potencial atacante acessa duas portas em uma máquina ou uma porta em duas máquinas. Tentativas de acesso de um número maior de portas farão que a máquina origem seja bloqueada. Exemplo: Se o valor deste parâmetro for 12, uma pessoa qualquer poderia acessar as seguintes combinações sem ser considerado um ataque:
12 portas por máquina em uma máquina 6 portas por máquina em 2 máquinas 4 portas por máquina em 3 máquinas 3 portas por máquina em 4 máquinas 1 porta por máquina em 12 máquinas
Tempo limite de detecção: Este campo indica o tempo em que as informações de acesso serão mantidas pelo firewall. Valores muito baixos possibilitarão varreduras de portas muito lentas (por exemplo, 1 porta por hora). Valores muito altos ocuparão memória desnecessariamente. Bloquear a máquina do ataque por: No caso de detecção de um ataque de varredura de portas, esta coluna indica por quanto tempo a máquina atacante permanecerá bloqueado, sem poder iniciar nenhuma conexão através do firewall. Entidades protegidas: Esta lista indica as entidades (máquinas, redes ou conjuntos) que estarão protegidas contra ataques de varreduras de portas. Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos: Executar uma operação de drag-n-drop (arrastar e soltar) da janela de entidades diretamente para a lista. Abrir o menu de contexto na lista entidades protegidas com o botão direito do mouse ou com a tecla correspondente no teclado e selecionar Adicionar entidades , para então escolher aquelas que serão efetivamente incluídas na lista. Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete , ou escolher a opção correspondente no menu de contexto, acionado com o botão direito do mouse ou com a tecla correspondente: Entidades que podem fazer portscan: Esta lista indica as entidades (máquinas, redes ou conjuntos) que poderão executar ataques de varreduras de portas. Esta lista serve basicamente para liberar acesso a ferramentas de detecção de vulnerabilidades ou de monitoração. Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos:
711
Executar uma operação de drag-n-drop (arrastar e soltar) da janela de entidades diretamente para a lista. Abrir o menu de contexto na lista entidades que podem fazer portscan com o botão direito do mouse ou com a tecla correspondente no teclado e selecionar Adicionar entidades , para então escolher aquelas que serão efetivamente incluídas na lista. Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete , ou escolher a opção correspondente no menu de contexto, acionado com o botão direito do mouse ou com a tecla correspondente: IDS Externo
Figura 504 - IPD/IDS – IDS Externo.
Nessa aba são configurados todos os parâmetros que propiciam que agentes de IDS Externo acrescentem regras de bloqueio no Firewall. Os seguintes parâmetros estão disponíveis:
712
Habilitar agente de IDS: Esta opção deve estar marcada para ativar o suporte a agentes IDS externos e desmarcada para desativá-lo. (ao se desabilitar o suporte a agentes IDS, as configurações antigas continuam armazenadas, mas não podem ser alteradas). Agente de IDS a ser usado: Esse campo indica o agente IDS que estará habilitado a incluir regras de bloqueio no firewall. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informações veja o capítulo intitulado Cadastrando entidades. Status permite ao administrador verificar o status da conexão com o agente IDS. Um valor verde, com a palavra Conectados, indica que o firewall conseguiu autenticar-se e estabelecer com sucesso a comunicação com o agente.
O botão Atualizar fará com que o status da conexão seja renovado. O botão Remover fará com que todas as regras cadastradas pelo agente IDS sejam excluídas do firewall.
713
35.2.
Visualizando os IPs bloqueados
É possível a qualquer momento visualizar a lista de IPs que estão bloqueados no firewall, devido à inclusão de uma regra de bloqueio temporária do módulo de IDS/IPS. Para ter acesso a janela de IPs bloqueados, deve-se:
Figura 505 -: IPs bloqueados.
Clicar no menu Informação na janela do Firewall que queira administrar. Escolher o item IPs bloqueados.
714
A janela de IPs bloqueados
Figura 506 - IPs bloqueados.
Esta janela consiste de uma lista onde cada IP bloqueado é mostrado em uma linha, com as seguintes informações: IP Bloqueado: Endereço IP de uma máquina que foi bloqueada; Inserido por: Módulo que inseriu a regra de bloqueio temporária; Data de expiração: Até quando este IP permanecerá bloqueado; Para remover um IP da lista, basta selecioná-lo e então clicar com o botão direito. Ao ser mostrado o menu pop-up , basta selecionar a opção Remover IP; Para atualizar a lista de IPs, basta clicar com o botão direito e selecionar a opção Atualizar no menu pop-up.
715
35.3.
Configurando a atualização de assinaturas
É fundamental que qualquer IDS esteja sempre atualizado com as assinaturas dos ataques mais recentes, caso contrário, em pouco tempo ele se torna obsoleto. O Aker Firewall permite que configurar o seu IDS interno para automaticamente baixar as novas assinaturas que forem disponibilizadas pela Aker, diretamente de nosso site web. Para ter acesso a janela de atualização de assinaturas deve-se:
Figura 507 - Atualização de assinaturas.
Clicar no menu Configurações do sistema na janela do Firewall que queira administrar. Escolher o item Atualização de assinaturas.
A janela de configuração de atualização de assinaturas: 716
Figura 508 - Atualização de assinaturas.
Esta janela consiste de duas partes: no lado esquerdo pode configurar os dias da semana em que o download de assinaturas será realizado e em que horário. No lado direito, pode visualizar informações sobre a última atualização de assinaturas realizada: seu horário, se foi bem sucedida ou não, entre outras informações.
O botão OK fará com que a janela seja fechada e as alterações salvas. O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela aberta. O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada.
35.4.
Instalando o Plugin para IDS Externo no Windows
No caso de se desejar utilizar um IDS externo, além da configuração mostrada em IDS Externo, faz-se necessário a instalação do plugin para possibilitar a comunicação deste IDS externo com o firewall. A instalação do plugin para IDS é bastante simples. Efetue o download no site da Aker (http://www.aker.com.br), inicie o programa que acabou de efetuar o download. O programa inicialmente mostra uma janela pedindo uma confirmação para prosseguir com a instalação. Deve-se clicar no botão Continuar para prosseguir com a instalação. A seguir será mostrada uma janela com a licença de uso do produto e pedindo uma confirmação para continuar. Deve-se clicar no botão Eu Concordo para continuar com a instalação. 717
Configuração do plugin do Aker Firewall para IDS Externo Depois de realizada a instalação do plugin é necessário proceder com a sua configuração. Esta configuração permite fazer o cadastramento de todos os firewalls que serão notificados, bem como a definição de que regras serão acrescentadas. Para ter acesso ao programa de configuração deve-se clicar no menu Iniciar, e selecionar o grupo Aker Firewall. Dentro de este selecionar, o grupo Detecção de Intrusão e então a opção Detecção de Intrusão. A seguinte janela será mostrada:
Figura 509 - Configuração IDS – configuração.
Esta janela consiste de 4 abas. Na primeira, que está sendo mostrada acima, é onde é feita a configuração do plugin. Ela consiste de uma lista com o nome das diversas configurações criadas pelo administrador e que depois serão mostradas como opção de ação no console de administração do Real Secure. Pode-se especificar o nome de uma das configurações quando na execução de um evento 718
ou utilizar o botão Default para especificar uma configuração que será executada por padrão, isto é, quando não for especificada o nome de nenhuma configuração. Para criar uma nova configuração, basta clicar no botão Inserir , localizado na parte esquerda superior da janela. Fazendo isso, uma configuração em branco será criada. Para editar os parâmetros desta ou de qualquer outra configuração basta clicar sobre seu nome e a seguir modificar os parâmetros desejados.
Significado dos parâmetros Nome da configuração: Este é o nome que será mostrado no console de administração do Real Secure, NFR, Dragon Enterasys e Snort. Quando selecionado, executará as ações definidas pelo administrador. Notificação: Este campo permite definir que ações serão executadas pelo firewall quando uma regra de bloqueio for acrescentada pela execução da configuração. Caso a opção Padrão seja selecionada, então as ações associadas à mensagem Regra de bloqueio IDS acrescentada serão executadas. Caso contrário pode-se especificar exatamente que ações devem ser tomadas. Para maiores informações sobre a configuração das ações, veja o capítulo Configurando as ações do sistema. Bloqueio: Este campo permite definir que tipo de bloqueio será realizado quando a configuração for executada. Existem três opções possíveis que podem ser selecionadas independentemente (quando mais de uma opção for selecionada, a regra bloqueará pacotes que se enquadrem em todas as opções marcadas e não em apenas algumas): Origem: Os pacotes que tiverem endereço origem igual ao da regra serão bloqueados. Destino: Os pacotes que tiverem endereço destino igual ao da regra serão bloqueados. Serviço: Os pacotes que utilizarem serviço igual ao da regra serão bloqueados. Se esta opção for marcada, deve-se selecionar quais protocolos estarão associados ao serviço através do campo Protocolo. Isto é necessário devido a uma limitação do Real Secure na medida em que não fornece o protocolo de um determinado serviço, apenas seu número. Como o NFR inspeciona apenas tráfego TCP, esse protocolo deve ser selecionado no caso desse IDS. Tempo de ativação da regra: Este campo permite definir por quanto tempo as regras acrescentadas por esta configuração ficarão ativas. Caso a opção Tempo de ativação esteja marcada, deve-se especificar o tempo, em segundos, que a regra ficará ativa. Caso esta opção não esteja marcada, a regra será mantida até a próxima reinicialização do firewall.
719
Firewalls Usados: Este campo serve para definir em quais firewalls as regras temporárias serão acrescentadas. Para cada firewall deve-se configurar uma senha de acesso e seu endereço IP. A senha de acesso deve ser a mesma configurada na definição da entidade do agente IDS (para maiores informações veja o capítulo Cadastrando Entidades). Ao clicar no botão incluir ou editar, a seguinte janela será mostrada:
Figura 510 - Firewalls usados.
Os firewalls definidos acima devem ser adicionados às configurações fazendo-se os seguintes passos: Selecione os firewalls requeridos; Pressione o botão de seta -> para que os firewall selecionados apareçam na lista da direita da janela. O botão de Flush é utilizado para apagar as regras dinâmicas adicionadas pelos IDS nos firewalls selecionados. Após realizar todas as modificações deve-se clicar no botão Aplicar. Caso esteja utilizando o Real Secure será então mostrada uma janela informando que os Global Responses do Real Secure serão alterados e pedindo uma confirmação para continuar. Deve-se clicar no botão Sim para salvar a nova configuração.
720
Log
Figura 511 - Configuração de IDS – log.
Todos os bloqueios enviados pelo IDS serão registrados nesta janela.
721
Eventos
Figura 512 - Configuração de IDS – eventos.
Esta aba é muito útil para acompanhar o funcionamento do agente. Ela consiste de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um ícone colorido, simbolizando sua prioridade.
722
35.5.
Utilizando a Interface Texto - Portscan
A utilização da Interface Texto na configuração do suporte ao Portscan é bastante simples e possui todos os recursos da Interface Remota (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. Localização do programa: /aker/bin/firewall/fwportscan Sintaxe: fwportscan [ajuda | mostra | ativa | desativa] fwportscan [max_portas | max_acessos] <numero> fwportscan [tempo_deteccao | tempo_bloqueio] <tempo em segundos> fwportscan [inclui | remove] protegida <entidade> fwportscan [inclui | remove] autorizada <entidade> Ajuda do programa: fwportscan - Configura parâmetros da portscan Uso: fwportscan [ajuda | mostra | ativa | desativa] mostra = mostra a configuração atual. ativa = ativa proteção contra portscan. desativa = desativa proteção contra portscan. max_portas = define o número máximo de portas que podem ser acessadas por uma máquina em um mesmo servidor sem que isso seja considerado portscan. max_acessos = define o número máximo de acessos distintos(portas X No. de servidores) que podem ser acessadas por uma máquina, sem ser considerado portscan. tempo_deteccao = define o tempo, em segundos, que um acesso feito por uma máquina não mais será contabilizado em futuras detecções contra portscan tempo_bloqueio = define o tempo, em segundos, que uma máquina será bloqueada após se detectar um portscan. inclui = inclui uma nova entidade na lista especificada. remove = remove uma entidade da lista especificada. ajuda = mostra esta mensagem. 723
Para inclui/remove temos: protegida = inclui/remove entidade da lista de entidades protegidas contra portscan. autorizada = inclui/remove entidade da lista de entidades que podem realizar portscan. Exemplo 1: (Ativando o suporte a detecção de portscan) #/aker/bin/firewall/fwportscan ativa Exemplo 2: (Mostrando a configuração atual da proteção contra portscan) #/aker/bin/firewall/fwportscan mostra
35.6.
Utilizando a Interface Texto - IDS Externo
A utilização da Interface Texto na configuração do suporte ao IDS Externo é bastante simples e possui todos os recursos da Interface Remota (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo “FW”).. Localização do programa: /aker/bin/firewall/fwids Sintaxe: fwids [habilita | desabilita | mostra | limpa | ajuda] fwids agente <entidade> fwids bloqueia [origem <ip origem>] [destino <ip destino>] [servico <servico/protocolo>] [tempo] Ajuda do programa : fwids - Configura parâmetros do agente IDS externo Uso: fwids [habilita | desabilita | mostra | limpa | ajuda] fwids agente <entidade> fwids bloqueia [origem <ip origem>] [destino <ip destino>] [servico <servico/protocolo>] [tempo] habilita = habilita o funcionamento de agentes IDS externos desabilita = desabilita o funcionamento de agentes IDS externos mostra = mostra a configuração atual bloqueia = inclui uma regra de bloqueio temporária limpa = remove todas as regras de bloqueio temporárias agente = especifica nome da entidade com dados do agente ajuda = mostra esta mensagem 724
Para bloqueia temos: origem = Especifica que se deve bloquear conexões originadas no endereço IP especificado destino = Especifica que se deve bloquear conexões destinadas ao endereço IP especificado servico = Especifica que se deve bloquear conexões que utilizem o serviço especificado. Neste caso, deve-se especificar o serviço como a porta, para os protocolos TCP e UDP, o tipo de serviço, para ICMP, ou o número do protocolo, no caso de outros protocolos (ex: 23/tcp, 53/udp, 57/outro) tempo = tempo, em segundos, no qual a regra permanecera ativa. No caso de não ser especificado, a regra ficara ativa até a próxima inicialização do firewall
Exemplo 1: (Habilitando o suporte a detecção de intrusão) #/aker/bin/firewall/fwids habilita
Exemplo 2: (Definindo o agente IDS) #/aker/bin/firewall/fwids agente Agente_IDS A entidade Agente_IDS deve ter sido previamente cadastrada no sistema. Para maiores informações sobre como cadastrar entidades no Aker Firewall , veja o capítulo intitulado Cadastrando Entidades.
Exemplo 3: (Mostrando a configuração atual) #/aker/bin /firewall/ fwids mostra Parâmetros de configuração: --------------------------Agente IDS externo: habilitado Agente: Agente_IDS
725
Exemplo 4: (Acrescentando uma regra de bloqueio da máquina 192.168.0.25 para a máquina 10.0.0.38, no serviço WWW, porta 80 do protocolo TCP, por uma hora) #/aker/bin/firewall/ fwids bloqueia origem 192.168.0.25 destino 10.0.0.38 servico 80/ tcp 3600.
726
Configurações TCP/IP
727
36.
Configurações TCP/IP Este capítulo mostra para que serve e como configurar a rede no Aker Firewall.
36.1.
Configuração TCP/IP
Esta opção permite configurar todos os parâmetros de TCP/IP do firewall através da Interface Remota. É possível configurar os endereços de interfaces de rede, DNS e roteamento básico e avançado, bem como as opções de PPPoE, 3G e Servidor/Relay DHCP.
Para ter acesso à janela de configuração TCP/IP deve-se:
Figura 513 - TCP/IP.
Clicar no menu TCP/IP na janela de administração do firewall.
728
36.2.
DHCP
Para ter acesso à janela de configuração DHCP, deve-se:
Figura 514 - DHCP.
Clicar no menu TCP/IP na janela do Firewall que queira administrar. Escolher o item DHCP
729
A janela abaixo será exibida:
Figura 515 - Servidor DHCP.
Nesta aba são definidas as opções do firewall em relação ao serviço DHCP. Ela consiste das seguintes opções: Não está usando DHCP: Ao selecionar essa opção, o firewall não atuará como servidor DHCP nem efetuará relay entre redes conectadas a ele. Relay DHCP entre redes: Permitir que se defina que o firewall realizará o relay de pacotes DHCP entre as redes selecionadas. Ela é utilizada quando se possui apenas um servidor DHCP e se deseja que ele forneça endereços para máquinas localizadas em sub-redes distintas, conectadas diretamente ao firewall.
730
Figura 516 - Relay DHCP entre redes.
Ao selecioná-la, deve-se especificar em Interfaces de Escuta as interfaces nas quais o firewall escutará broadcasts DHCP e os encaminhará para os servidores, especificados em Servidores DHCP. No caso de haver mais de um servidor, o firewall encaminhará as requisições para todos e retornará ao cliente a primeira resposta recebida. Servidor DHCP Interno: Esta opção é designada para redes pequenas que não possuem um servidor DHCP ou que possuíam em um modem ADSL. Ela permite que o firewall atue como um servidor DHCP.
731
Figura 517 - Servidor DHCP interno.
Ao selecioná-la, deve-se especificar um ou mais Escopos de endereços, i.e. a faixa de endereços, configurações DNS, Wins/NBT e WINS/NBT Node Type, exceções, Gateway padrão e reservas de endereços IP que serão atribuídos aos clientes. O firewall enviará aos clientes seu endereço como o servidor de DNS e seu domínio como nome do domínio para estes clientes.
732
36.3.
DNS
Para ter acesso à janela de configuração DNS deve-se:
Figura 518 - DNS.
Clicar no menu TCP/IP do firewall que queria administrar. Escolher o item DNS. A janela abaixo será exibida:
Figura 519 - TCP/IP - DNS
733
Nesta pasta são configuradas todas as opções relacionadas com a resolução de nomes ou DNS. Ela consiste dos seguintes campos: Máquina: Nome da máquina na qual o firewall está rodando. Domínio: Nome do domínio no qual o firewall está rodando. DNS Ativo: Esta opção deve ser marcada para ativar a resolução de nomes via DNS e desmarcada para desativá-la. Servidor primário: Definir o servidor DNS primário que será consultado para se resolver um nome. Ele é obrigatório se a opção DNS ativo estiver marcada. Servidor secundário: Definir o servidor DNS secundário que será consultado se o primário estiver fora do ar. Ele é opcional. Servidor terciário: Definir o servidor DNS terciário que será consultado se o primário e o secundários estiverem fora do ar. Ele é opcional.
36.3.1.
Interfaces de Rede
Para ter acesso à janela de configuração Interfaces de rede deve-se:
Figura 520 - Interfaces de rede.
Clicar no menu TCP/IP do firewall que queira administrar. Escolher o item Interfaces de rede. 734
A janela abaixo será exibida:
Figura 521 - Interfaces de redes.
Nesta aba podem ser configurados os endereços IP atribuídos a todas as interfaces de rede reconhecidas pelo firewall. Ela consiste de uma lista onde são mostrados os nomes de todas as interfaces e os endereços IP e máscaras de cada uma (é possível configurar até 31 endereços distintos para cada interface). Caso uma interface não tenha um endereço IP configurado, os campos correspondentes ao endereço e à máscara serão mostrados em branco. Possui os seguintes campos: IPv4 IP: Endereço da rede. Não pode ser informado um endereço auto-configurado. Máscara de rede: Informa o endereço da máscara de rede. Ponto a ponto: Configuração ponto a ponto IPv6 IP: Endereço da rede. Não pode ser informado um endereço auto-configurado. Prefixo: Informam quantos bits a rede é composta.
Alias Para configurar ou modificar o endereço IP ou máscara de uma interface e até mesmo atribuir um alias para a interface, deve-se clicar sobre a entrada do dispositivo correspondente e usar o menu suspenso que irá surgir: 735
Figura 522 - Menu: configuração ou modificação de endereço IP.
VLAN Para criar uma VLAN associada a uma interface, deve-se clicar na interface desejada no lado esquerdo da janela. Aparecerá o seguinte menu suspenso:
Figura 523 - Menu de criação: VLAN.
Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma conexão somente o switch tenha acesso a todas as suas VLANs, inclusive controlando o acesso entre elas. Para cada uma, uma interface virtual será criada dentro do Firewall. Nesse menu também permite habilitar o monitoramento e escolher a opção Habilitar monitoramento, possibilita monitorar todas as interfaces de rede do cluster e detalhes de replicação de sessão, identificando possíveis falhas, caso uma interface de algum no do cluster falhe "falta de conectividade ou falha de rota, ou etc." o no do cluster irá desativar todas as outras interfaces e fazer com que outro nó assuma, permitindo assim uma maior disponibilidade dos links. PPPoE A opção Usar PPPoE permite definir que esta interface trabalhe com PPPoE (usado basicamente para a conexão com modems ADSL). Ao ser selecionada, a seguinte janela será mostrada:
736
Figura 524 - Configuração PPPoE.
Nome do dispositivo: Este campo indica o nome do dispositivo interno que será utilizado na comunicação PPPoE. É importante que no caso de que haja mais de uma interface trabalhando em PPPoE, que eles sejam distintos.
Ativar no boot: Se esta opção estiver marcada, o firewall ativará o PPPoE automaticamente, ao iniciar a maquina. Serviço PPPoE ativado sob demanda: Se esta opção estiver marcada, o firewall ativará o serviço PPPoE apenas quando houver tráfico de rede direcionado através desta interface de rede. Nome do Usuário: Nome do usuário que será utilizado na autenticação durante o estabelecimento da sessão PPPoE. Senha: Senha que será utilizada na autenticação durante o estabelecimento da sessão PPPoE. Confirmação: Confirmação da senha que será utilizada na autenticação durante o estabelecimento da sessão PPPoE. Provedor: É o provedor do serviço de PPPoE.
O protocolo IP permite a fragmentação de pacotes, possibilitando que um datagrama seja dividido em pedaços, cada um pequeno o suficiente para poder ser 737
transmitido por uma conexão com o MTU menor que o datagrama original. Esta fragmentação acontece na camada IP (camada 3 do modelo OSI) e usa o parâmetro MTU da interface de rede que irá enviar o pacote pela conexão. O processo de fragmentação marca os fragmentos do pacote original para que a camada IP do destinatário possa montar os pacotes recebidos, reconstituindo o datagrama original.O protocolo da Internet define o "caminho MTU" de uma transmissão Internet como o menor valor MTU de qualquer um dos hops do IP do path" desde o endereço de origem até ao endereço de destino. Visto de outro modo, o "caminho MTU" define o maior valor de MTU que pode passar pelo caminho sem que os seus pacotes sofram posterior fragmentação. Só é possível configurar endereços IP de interfaces de rede reconhecidas pelo sistema operacional no qual o firewall está rodando. Caso tenha acrescentado uma nova interface de rede e seu nome não apareça na lista de interfaces, é necessário configurar o sistema operacional de forma a reconhecer esta nova interface antes de tentar configurá-la nesta pasta. Valor padrão de 1500. O IP e o prefixo têm que ser informados juntos. Não será possível ao usuário remover ou editar os endereços auto-configurados (que são derivados dos endereços MAC). As interfaces que estiverem em vermelho, indicam que não estão presentes em todos os nodos do cluster.
738
36.4.
Roteamento
Para acessar a janela de configuração de Roteamento deve-se:
Figura 525 - Roteamento.
Click no menu TCP/IP do firewall que queria administrar. Selecione o item Roteamento.
739
A janela abaixo será exibida:
Figura 526 - Janela de Roteamento.
740
36.4.1.
Geral
Figura 527 - Roteamento - Geral.
Esta janela possibilita configurar rotas IPv4 e Ipv6 no firewall. Divide-se em duas partes: A primeira parte se refere à configuração do endereçamento IPv4 e consiste dos seguintes campos: Rede: Configuração dos endereços IP Máscara de rede: Informa o endereço da máscara de rede Gateway: Nesse campo deve ser informado o endereço IP do roteador. Métrica: É o valor de distância da rede. A distância pode ser medida, por número de dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor associado à velocidade do link. Rota Padrão: Pode-se especificar o roteador padrão, por qual todos os pacotes serão encaminhados.
741
Para a inclusão de uma nova rota, basta clicar no botão direito do mouse e irá aparecer o menu
.
Para remover ou editar uma rota, basta clicar com o botão direito sobre ela.
A segunda parte se refere à configuração do endereçamento IPv6 e consiste dos seguintes campos: Habilita Roteamento IPV6: Essa opção permite ativar ou desativar o roteamento de pacotes IPv6 Dispositivos: Define a interface de rede usada para rota estática. Rede: Configuração dos endereços IP Prefixo: Informa quantos bits a rede é composta. Valor entre 0 e 128 que define quantos bits do endereço serão usados no roteamento Gateway: Nesse campo deve ser informado o endereço IP do roteador. Métrica: É o valor de distância da rede. A distância pode ser medida, por número de dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor associado à velocidade do link. Rota padrão: Nesse campo deve ser informado o endereço IP da rota padrão. A validação normal dos endereços IPv6 se aplica também a este campo. Dispositivos de Gateway Padrão: Pode-se especificar a porta padrão, por qual todos os pacotes serão encaminhados. Pode-se deixar em branco, não será opcional se o gateway padrão for auto-configurado.
Rotas com escopo de link são as que começam pelo prefixo fe80: definido na macro FWTCPIP_IPV6_AUTOCONF_PREFIX. Devido a uma limitação do Linux, não é possível remover o módulo de IPv6 uma vez que ele tenha sido instalado. Também, se o módulo não estava instalado no kernel, os daemons todos do firewall estavam escutando um socket IPv4. Sendo assim, ao modificar o valor desta opção, a GUI deverá mostrar um aviso ao administrador dizendo: “This setting will be fully functional only after the next firewall reboot”.
742
36.4.2.
Dinâmico
Figura 528 - Roteamento dinâmico.
O Roteamento Estático é normalmente configurado manualmente, a tabela de roteamento é estática, as rotas não se alteram dinamicamente de acordo com as alterações da topologia da rede, o custo de manutenção cresce de acordo com a complexidade e tamanho da rede e está sujeito às falhas de configuração. O Roteamento Dinâmico é a divulgação e alteração das tabelas de roteamento de forma dinâmica, não tem a intervenção constante do administrador, as tabelas são alteradas dinamicamente de acordo com as mudanças na topologia da rede, ou seja, o processo é adaptativo e melhora o tempo de manutenção em redes grandes, estando também sujeito às falhas. Nesta janela são definidas as configurações de Roteamento Dinâmico. Ela consiste nas seguintes opções: Interface: O enlace utilizado para alcançar o próximo roteador da rota de destino. Protocolos: Pode-se optar entre o protocolo RIP e o OSPF.
743
RIP: O protocolo RIP (Routing Information Protocol) foi o primeiro protocolo de roteamento padrão desenvolvido para ambientes TCP/IP. O RIP é um protocolo de roteamento dinâmico que implementa o algoritmo vetor de distância e se caracteriza pela simplicidade e facilidade de solução de problemas. Em seu método, os equipamentos são classificados em ativos e passivos. Roteadores ativos informam suas rotas para outros e passivos apenas escutam e atualizam suas rotas baseadas nas informações recebidas, mas não informam. Normalmente, os roteadores usam RIP em modo ativo e as estações (hosts) em modo passivo. O RIP transmite sua tabela de roteamento a cada 30 segundos. O RIP permite 15 rotas por pacote; assim, em redes grandes, são exigidos vários pacotes para enviar a tabela de roteamento inteira. A distância ao destino é medido pelos roteadores que se passa até chegar ao destino. Vantagens: Em redes pequenas não consume muita largura de banda e tempo de configuração e gerenciamento e de fácil implementação; Desvantagens: Convergência lenta para redes de tamanho médio ou maior; Existência de loops e contagem ao infinito; Limitações do número saltos por caminho (15) e Limitação de métrica. OSPF: O protocolo OSPF - Open Shortest Path First é a alternativa para redes de grande porte, onde o protocolo RIP não pode ser utilizado, devido às suas características e limitações. O OSPF permite a divisão de uma rede em áreas e torna possível o roteamento dentro de cada área e através das áreas, usando os chamados roteadores de borda. Com isso, usando o OSPF, é possível criar redes hierárquicas de grande porte, sem que seja necessário que cada roteador tenha uma tabela de roteamento gigantesca, com rotas para todas as redes, como seria necessário no caso do RIP. O OSPF é projetado para intercambiar informações de roteamento em uma interconexão de rede de tamanho grande ou muito grande, como por exemplo, a Internet. O OSPF é eficiente em vários pontos, requer pouquíssima sobrecarga de rede mesmo em interconexões de redes muito grandes, pois os roteadores que usam OSPF trocam informações somente sobre as rotas que sofreram alterações e não toda a tabela de roteamento, como é feito com o uso do RIP. Sua maior desvantagem é a complexidade, pois, requer planejamento adequado e é mais difícil de configurar e administrar do que o protocolo RIP. A suas vantagens são: Maior velocidade de convergência, suporte a várias métricas, caminhos múltiplos, sem loop nem contagem ao infinito e sincronismo entre os bancos. As suas desvantagens são: Complexidade no gerenciamento e implementação. Custo OSPF: O custo OSPF também é chamado de métrica, ou seja, a métrica é expressa como um valor de “custo”. O melhor caminho possui o custo mais baixo, sendo tipicamente o de maior largura de banda. É o custo da rota para se chegar a um determinado lugar.
744
Velocidade OSPF: É a velocidade do link, ou seja, é a velocidade da conexão entre dois roteadores que é informada em Kbits/seg. Área OSPF: Área é a designação atribuída a um subconjunto dos roteadores e redes que constituem o sistema autônomo e que participam numa instância do protocolo OSPF, isto é, as rotas de uma área não se propagam para as demais e vice versa. Verifica cada área e rota de modo a privilegiar as rotas de menor custo e com o mesmo destino. Logar rotas adicionadas e removidas: Ao selecionar essa opção as rotas adicionadas e removidas serão exibidas na lista de eventos. Redistribuir: Nessa opção são escolhidas as rotas que serão informadas para os outros roteadores. Redes Locais: São Rotas localmente conectadas, correspondem às sub redes configuradas nas interfaces de redes. Rotas de Outros Protocolos: Ao selecionar essa opção as rotas redistribuídas serão aquelas determinadas pelos protocolos RIP e o OSPF. Haverá uma troca de informações na comunicação entre eles, ou seja, o que foi aprendido por um protocolo será informado pelo outro e vice versa. Rotas Estáticas: As rotas estáticas são explicitamente configuradas pelo administrador, ou seja, rotas fixas pelos quais os dados serão transmitidos na aba Rotas dessa mesma janela. Filtrar redes distribuídas e recebidas Ativando esta opção devem-se selecionar quais as redes e hosts deseja-se receber e distribuir novas rotas através dos protocolos RIP e/ou OSPF. Através deste filtro desconsideram-se as informações que não são necessárias para nosso ambiente e também assim não é informado aos outros roteadores rotas de redes que não são utilizadas pela Aker.
745
RIP
Figura 529 - Roteamento dinâmico.
Autenticação e versão RIP Essa opção permite escolher a forma de autenticação do protocolo. Recomenda-se a escolha do RIPv2 com MD5, pois é a forma mais segura de autenticação. O protocolo enviará todo o seu tráfego com segurança após a autenticação. Caso essa opção não seja escolhida existe, um grande risco do canal de comunicação ser interceptado ou violado, ou seja, não é garantido que a autenticidade ou a integridade sejam mantidas. RIPv1: Sem autenticação. São enviados apenas os dados. RIPv2: Sem autenticação. São enviados apenas os dados. 746
RIPv2 com senha: Tem autenticação com senha. São enviados os dados e o segredo. RIPv2 com MD5: Autenticação com MD5. São enviados os dados juntamente com uma assinatura digital que contêm dados mais o segredo. Senha RIP: Nesse campo será informada a senha relacionada com a autenticação do protocolo. Confirmação: Deve ser informada a senha, para que seja confirmada a senha rip. Na opção Vizinhos RIP: Nesta opção são definidos quais roteadores e quais os protocolos que irão comunicar-se entre si. É apenas necessário preencher esse campo em caso de operação em modo passivo. Desabilitar Separação Horizontal: Ao selecionar essa opção, desativa a omissão do envio de rotas que passam pelo nó que receberá a mensagem, ou seja, não vai evitar que um roteador RIP propague rotas para a mesma interface que ele "aprendeu" e nem o loop entre estes nós. Métrica RIP: É o valor de distância da rede. A distância pode ser medida, por número de dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor associado à velocidade do link. Normalmente RIPD incrementa a métrica quando a informação da rede é recebida. A métrica das rotas distribuídas é configurada em 1. Temporizador da atualização: O tempo de atualização padrão é de 30 segundos. Cada vez que ele expira, o processo RIP é acordado para enviar uma mensagem não solicitada, contendo a tabela de roteamento completa para todos os roteadores RIP vizinhos. Tempo limite: Após a expiração do timeout, o roteador é considerado fora de funcionamento; entretanto, é mantida por um breve período a informação desse roteador na tabela de roteamento, para que os vizinhos possam ser notificados que ele foi removido. O tempo de timeout padrão é de 180 segundos. Temporizador da coleta de lixo: É o tempo que o firewall leva para considerar uma rota expirada. Se passar esse tempo sem que o outro roteador informe novamente a rota, ela é removida automaticamente.
747
OSPF
Figura 530 - Roteamento avançado (OSPF).
Métodos de autenticação OSPF Essa opção permite selecionar uma forma de autenticação mais segura na troca de informações entre roteadores, evitando ataques a esses roteadores. Recomenda-se a escolha do MD5, pois é a forma mais segura de autenticação. O protocolo enviará todo o seu tráfego com segurança após a autenticação. Caso essa opção não seja escolhida existe, um grande risco do canal de comunicação ser interceptado ou violado, ou seja, não é garantido que a autenticidade ou a integridade sejam mantidas. Nenhum: Não tem autenticação. Simples: Chave não criptografada. MD5: Hash da chave e dos dados. Chave: É o segredo que será utilizada na autenticação OSPF.
748
ID chave: Identifica qual a chave que está usando. Definição ABR Ao selecionar alguma das opções abaixo, opta-se em definir como o protocolo OSPF distribuirá as rotas entre os roteadores. Padrão CISCO IBM Habilita compatibilidade com RFC 1583: Ao selecionar essa opção opta em se utilizar um padrão mais antigo. A RFC2328 é a sucessora da RFC1583, e sugere que, de acordo com a seção G.2 na seção 16.4 mudanças no caminho no algoritmo de preferência que previnem possíveis loops de roteamento que poderiam acontecer ao utilizar a versão antiga de OSPFv2. Mais especificamente ela demanda que as rotas da inter-área e os da intra-área são de iguais preferências, embora ambos prefiram rotas externas.
ID do Roteador: Endereço ID que identifica o roteador no processo OSPF, ou seja, contém a identificação numérica do roteador que originou o pacote. Intervalo de Inatividade: Período máximo em segundos desde o último recebimento de um pacote hello, antes de o roteador considerar o seu "vizinho" como não acessível. O valor padrão é de 40 segundos. Intervalo do "Hello": O intervalo em segundos entre as transmissões do pacote hello. Configurando este valor, os pacotes hello serão enviados periodicamente de acordo com o tempo especificado na interface. Este valor deve ser o mesmo para todos os roteadores existentes na rede. O valor padrão é 10 segundos. Intervalo de retransmissão: Este valor é usado quando, a base de dados de descrição e os pacotes de requisição de estado de link são retransmitidos. O valor padrão é de 5 segundos. Prioridade: Ao configurar um valor de prioridade mais alto, o roteador terá maiores chances de se tornar o roteador designado, ou seja, é o roteador que será considerado vizinho de todos os demais roteadores da rede. Configurando o valor para 0, o roteador não será mais a rota preferível. O valor padrão é 1.
749
36.4.3.
Avançado
Figura 531 - Roteamento avançado.
Esta configuração permite a utilização de rotas por origem e o balanceamento de link por rotas, onde é possível direcionar o tráfego de rede para um determinado gateway a partir de sua origem e ainda balancear este tráfego em até 3 links diferentes. Não é possível configurar rotas por origem pela tabela de roteamento Geral, por esse motivo as regras criadas aqui têm maior prioridade. Para realizar com sucesso esta configuração, é necessário cadastrar as entidades de origem, destino e serviço antes do início do processo. Este cadastramento pode ser feito tanto na Interface Remota do Aker Control Center como no modo texto utilizando o comando “fwent” no console do Aker Firewall. Abaixo segue alguns exemplos de configurações:
750
Teste da funcionalidade balanceamento de link por rota:
Laboratório
Figura 532 - Exemplo de laboratório de teste – balanceamento de rotas.
Testes e configurações Configurações do FW A:
Figura 533 - Teste e configurações – NAT – exemplo A.
751
Figura 534 - Teste e configurações – Balanceamento de link – exemplo B.
Via linha de comando: fwadvroute inclui 1 -src 192.168.0.0/255.255.255.0 -dst 172.16.21.0/255.255.255.0 bal 1 2 3 Configurações do FW B:
Figura 535 - Teste e configurações – NAT exemplo B.
752
Figura 536 - Teste e configurações – Balanceamento de link – exemplo B.
Figura 537 - Roteamento.
Via linha de comando: fwadvroute inclui 1 -src 172.16.21.0/255.255.255.0 -dst 192.168.0.0/255.255.255.0 bal 1 2 3 Esta configuração faz com que todo o tráfego entre as redes 192.168.0.0/24 e 172.16.21.0/24 seja balanceado pelos 3 links. Utilizando a interface de texto: Localização do programa: /aker/bin/firewall # fwadvroute ajuda Aker Firewall Uso: fwadvroute ajuda fwadvroute mostra fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc <svc_ents>] { -gw <gw_ent> | [-P] -bal <link1> <link2> ... } fwadvroute remove <pos> fwadvroute < habilita | desabilita > <pos> fwadvroute refresh
Os parâmetros são: pos: posição da regra na tabela (a partir de 1); 753
src_ents : Entidades origem (rede/máquina/conjunto); dst_ents : Entidades destino (rede/máquina/conjunto); svc_ents : Entidades serviço (servico); gw_ent : Entidade gateway (máquina); linkN : Nomes dos links para balanceamento (veja 'fwblink mostra'); -P : Persistência de conexão.
A seguir, serão demonstrados alguns exemplos práticos das sintaxes utilizadas nesta configuração: Obs: Os nomes das entidades utilizadas nos exemplos são apenas nomes de demonstração para facilitar a compreensão. Sintaxe: fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc <svc_ents>] -gw <gw_ent> Cria e/ou define uma rota especificando a posição, origem, serviço (caso haja), destino e o gateway desejado. Exemplo: fwadvroute inclui 1 -src "rede interna" -dst host1 -gw server1
Note que para indicar a entidade "rede interna" foi utilizada aspas, pois, nomes de entidades que contenham mais de uma palavra devem estar sempre entre aspas. Caso o espaço para indicar o serviço a ser utilizado estiver vazio, serão considerados todos os serviços para esse roteamento. Sintaxe: fwadvroute remove <pos> Remove uma rota já criada indicando a posição da mesma. Exemplo: fwadvroute remove 1 Sintaxe: fwadvroute < habilita | desabilita > <pos> Habilita ou desabilita uma rota indicando a posição da mesma. Exemplo: fwadvroute habilita 1 Não é possível configurar as rotas por origem pelo Control Center, esta configuração é feita apenas pelo console do Aker Firewall. 754
36.5.
Utilizando a Interface Texto nas Chaves de Ativação
É possível configurar as Chaves de Ativação pela Interface Texto. Localização do programa: /aker/bin/firewall/fwkey path Path: Caminho completo do arquivo com a chave de ativação a ser substituída.
36.6.
Utilizando a Interface Texto na Configuração TCP/IP
É possível configurar os parâmetros do TCP/IP pela Interface Texto. Localização do programa:/aker/bin/firewall/fwinterface O programa é interativo e as opções de configuração são as descritas abaixo:
Figura 538 - Modo de configuração para interfaces de rede.
Analogamente a configuração da Interface Remota, a Interface Texto possui 6 opções conforme visualizado na figura acima.
755
Na janela abaixo é possível visualizar, configurar e desconfigurar uma interface de rede
Figura 539 - Configuração de Interfaces.
756
Na tela abaixo é apresentada a opção de listar interfaces
Figura 540 - Lista da interfaces de rede.
Para configurar uma interface deve-se digitar o nome da mesma. A tecla <enter> retorna ao menu anterior.
Figura 541 - Módulo de configuração para interfaces de rede.
757
Nesta tela é apresentada a opção de cadastrar VLAN
Figura 542 - Cadastro de VLan.
758
Após a digitação dos valores de configuração é perguntado se deseja configurar alias para a interface.
Figura 543 - Configuração de interfaces.
759
Após a digitação da Opção 2 da tela principal, é possível realizar a configuração de rotas estáticas.
Figura 544 - Configuração de rotas estáticas.
760
Após as informações terem sido digitadas é perguntado se deseja gravar as novas configurações.
Figura 545 - Configuração de rotas estáticas – entrada de dados.
761
Após a digitação da Opção 3 da tela principal, é possível realizar a configuração dos Servidores DNS.
Figura 546 - Configuração de DNS.
Após a digitação da Opção 4 da tela principal, é possível realizar a configuração da rota padrão. A opção 5 da tela principal salva as novas configurações.
Figura 547 - Módulo de configuração para interfaces de rede.
762
36.7.
Utilizando a Interface Texto na Configuração de Wireless
Esta opção é configurada apenas pelo console do Aker Firewall e está disponível somente no Aker Firewall Box com suporte para conexão Wireless. O Aker Firewall possui suporte a múltiplas SSID. Ter esse suporte significa fragmentar a rede (virtualmente ou Access Point virtual). Isto é muito benéfico pois com essa aplicação é possível atender demandas, serviços e transmissores diferentes. No Aker Firewall, para utilizar múltiplas SSID é necessário criar várias interfaces utilizando o seguinte comando: Sintaxe: wireless cria_interface ath0 ap g Sintaxe: wireless cria_interface ath1 ap g Sintaxe: wireless cria_interface ath...N ap g As configurações personalizadas devem ser realizadas para cada interface criada. A seguir, serão demonstrados seus comandos e alguns exemplos de configuração: Localização do programa: /aker/bin/firewall/akwireless Uso: akwireless cria_interface <interface> <sta|adhoc|ap|monitor|wds|ahdemo> <b:g> akwireless destroi_interface <interface> akwireless muda_protocolo <interface> <b:g> akwireless lista_interface [interface] akwireless muda_modo <interface> <sta|adhoc|ap|monitor|wds|ahdemo> akwireless muda_SSID <interface> <SSID> akwireless wep_chave <interface> <indice> <chave> akwireless wep_chave_indice <interface> <indice> akwireless wpa1_chave <interface> <chave> <arq> akwireless wpa2_chave <interface> <chave> <arq> akwireless sem_chave <interface> akwireless escolhe_lista_mac <interface> black:white <mac_arq> akwireless add_mac <interface> <mac> 763
akwireless del_mac <interface> <mac> akwireless lista_mac <interface> akwireless limpa_lista <interface> akwireless lista_autenticacao |interface| akwireless muda_canal <interface> |channel| akwireless lista_usuarios_conectados <interface> Logo após um comando, é obrigatório inserir os dados necessários quando o espaço para inseri-los estiver entre os sinais "< e >" (menor que, e maior que). Caso este espaço estiver entre os sinais "[e]" (colchetes), será facultativo a inserção dos mesmos. Vários desses comandos são autoexplicativos, por este motivo será enfatizada às particularidades dos comandos mais importantes: akwireless cria_interface <interface> <sta | adhoc | ap | monitor | wds | ahdemo> <b:g> = cria uma interface. Sintaxe: wireless cria_interface ath0 ap g Dentre os modos existentes, o mais utilizado é o "AP" (Modo Master), que permite outras máquinas se conectarem nele. Existem vários protocolos como A, B, G, N. Os protocolos A e N são suportados pelo Aker Firewall apenas nas versões 6.5 com patch1 e superiores. As interfaces wireless são definidas por "ath", logo, caso existam 3 interfaces listadas, estas serão definidas por: ath0, ath1 e ath2. akwireless destroi_interface <interface> = destrói uma interface. Sintaxe: wireless destroi_interface ath0 akwireless muda_protocolo <interface> <b:g> = altera o protocolo a ser utilizado. Sintaxe: wireless muda_protocolo ath0 g Cabe ressaltar que a placa wireless suporta apenas um protocolo para todas as interfaces. akwireless lista_interface [interface] = mostra todas as interfaces listadas. Sintaxe: wireless lista_interface
764
Caso queira listar uma determinada interface, basta defini-la na frente do comando. akwireless muda_modo <interface> <sta | adhoc | ap | monitor | wds | ahdemo> = altera o modo a ser utilizado. Sintaxe: wireless muda_modo ath0 ap akwireless muda_SSID <interface> <SSID> = criar/alterar nome da rede wireless. Sintaxe: wireless muda_SSID ath0 rede1
akwireless wep_chave <interface> <índice> <chave> = habilitar autenticação WEP com índice e chave indicados. Sintaxe: wireless wep_chave ath0 1 12345 akwireless wep_chave_indice <interface> <índice> = altera o índice corrente. Sintaxe: wireless wep_chave_indice ath0 1 Pode-se criar até 4 chaves em índices diferentes. akwireless wpa1_chave <interface> <chave> <arq> = habilita autenticação WPA1 com a chave e o arquivo de configuração indicados. Sintaxe: wireless wpa1_chave ath0 123456789 wpa1.conf Pode-se obter configurações avançadas modificando o arquivo de configuração citado acima. akwireless wpa2_chave <interface> <chave> <arq> = habilita autenticação WPA2 com a chave e o arquivo de configuração indicados. Sintaxe: wireless wpa2_chave ath0 123456789 wpa2.conf Pode-se obter configurações avançadas modificando o arquivo de configuração citado acima. akwireless sem_chave <interface> = desabilitar autenticação. Sintaxe: wireless sem_chave ath0 akwireless escolhe_lista_mac <interface> black : white <mac_arq> = habilitar a filtragem de Mac. Sintaxe: wireless escolhe_lista_mac ath0 white white.conf 765
Black: lista de macs que não poderão se conectar no Firewall. White: lista dos únicos macs que poderão se conectar ao Firewall. akwireless add_mac <interface> <mac> = adicionar um Mac na lista. Sintaxe: wireless add_mac ath0 00:13:20:3A:11:5B akwireless del_mac <interface> <mac> = deletar um Mac da lista. Sintaxe: wireless del_mac ath0 00:13:20:3A:11:5B akwireless lista_mac <interface> = listar os Mac adicionados. Sintaxe: wireless lista_mac ath0 akwireless limpa_lista <interface> = deleta todos os Macs listados. Sintaxe: wireless limpa_lista ath0 akwireless lista_autenticacao |interface| = listar os tipos de autenticação de cada interface. Sintaxe: wireless lista_autenticacao ath0 akwireless muda_canal <interface> |channel| = alterar o canal da interface. Sintaxe: wireless muda_canal ath0 3 Para mostrar os canais disponíveis, basta utilizar este comando sem indicar o canal. akwireless lista_usuários_conectados <interface> = Mostra os usuários que estão conectados. Sintaxe: wireless lista_usuários_conectados ath0 Esta configuração é feita apenas através da Interface de Texto.
36.8.
Utilizando a Interface Texto na Configuração de DDNS
Esta opção é configurada apenas pelo console do Aker Firewall. A seguir, serão demonstrados seus comandos e alguns exemplos de configuração: Localização do programa: /aker/bin/firewall/akddns 766
akddns - Configura um cliente de servico DDNS
Uso: akddns [ajuda | mostra | ativa | desativa | lista | limpa] akddns interface <interface> akddns server [pwd_server]
<servername>
<servico>
akddns gateway <tipo_gateway> [login_gateway] [pwd_gateway]
<dynamic_name>
<ip_gateway>
[login_server]
<porta_gateway>
akddns web <url> [token] akddns ip <ip>
ajuda
= mostra essa mensagem
ativa
= ativa o cliente de servico DDNS
desativa = desativa o cliente de servico DDNS mostra lista publico server
= mostra o estado atual do cliente e sua configuração = lista modelos de gateways que podem ser consultados para obter IP
= configura servico DDNS a ser utilizado <servername> <servico>
= hostname do servico DDNS
= servico utilizado (exemplo: dyndns2, zoneedit1)
<dynamic_name> = hostname a ser configurado no servico DDNS [login_server] = login no servico DDNS [pwd_server]
= senha no servico DDNS
O cliente DDNS utilizara um dos meios abaixo para obter o IP publico do hostname configurado: interface = usa IP da interface fornecida para o hostname sendo configurado 767
<interface>
= nome da interface que possui o IP utilizado
gateway = consulta um gateway (roteador, etc) para obter o IP publico do hostname sendo configurado <tipo_gateway> = modelo do gateway a ser consultado (ver comando 'lista') <ip_gateway>
= endereço Eco IP do gateway
<porta_gateway> = porta onde a consulta será feita [login_gateway] = login no gateway [pwd_gateway] = senha no gateway web = consulta uma pagina WEB que contem o IP publico para o hostname sendo configurado <url>
= URL da pagina WEB a ser consultada
[token]
= Token a partir do qual a consulta pelo IP publico
será feita ip
= estabelece um IP publico estático para o hostname sendo configurado <ip>
= endereço IP publico estático
Logo após um comando, é obrigatório inserir os dados necessários quando o espaço para inseri-los estiver entre os sinais “< e >” (menor que, e maior que). Caso esse espaço estiver entre os sinais “[e]” (colchetes), será facultativo a inserção dos mesmos. Vários desses comandos são autoexplicativos, por este motivo será enfatizada às particularidades dos comandos mais importantes: ddns server <servername> <servico> <dynamic_name> [login_server] [pwd_server] = configura o servidor DDNS a ser utilizado pelo produto. Sintaxe: ddns server members.dyndns.org dyndns2 meuhost.dyndns.org usuário senha no comando, especifica-se o hostname do servidor onde se fará a atualização, o protocolo a ser utilizado para isso (ex. dyndns2), o hostname a ser atualizado, o login e a senha de atualização. ddns interface <interface> = monitora o IP de uma interface. Sintaxe: ddns interface eth0 = Com esse comando, o IP dinâmico a ser atualizado no servidor será o existente na interface fornecida (ex. eth0). 768
ddns gateway <tipo_gateway> <ip_gateway> <porta_gateway> [login_gateway] [pwd_gateway] = monitora o IP de um gateway da rede Sintaxe: ddns gateway linksys 10.0.0.1 80 usuário senha com esse comando, o IP dinâmico a ser atualizado no servidor será o de um gateway (ex. modem) da rede. Normalmente, seria o IP externo da rede. Para uma lista com os tipos de gateway suportados, execute o comando “ddns lista”. ddns web <url> [token] = monitora o IP fornecido em uma URL. Sintaxe: ddns web meuip.meudominio.com.br "IP:" Com esse comando, o IP dinâmico a ser atualizado no servidor será obtido a partir de uma página web localizada na URL fornecida, após o token configurado. ddns ip <ip> = especifica um IP fixo a ser fornecido ao servidor DDNS Sintaxe: ddns ip 200.140.230.137 Define um IP fixo para o seu hostname cadastrado no servidor DDNS.
36.9.
Configuração do Link 3G
O Aker Firewall traz para seus usuários duas novas funcionalidades no acesso à Internet. A partir de agora, a solução UTM da Aker suporta conexão pelos modems 3G e redes wireless. Essas funcionalidades foram desenvolvidas com o objetivo de possibilitar uma maior mobilidade e facilidade no acesso à Internet. Conexão via modem 3G O Aker Firewall permite que você conecte um modem 3G em sua porta USB e essa conexão passa a ser utilizada como um link de dados para acesso à Internet. O 3G pode ser de qualquer. E possível assim, proporcionar maior economia, alto desempenho e facilidade na instalação para os usuários do Aker Firewall, pois os links 3G, além de mais baratos e rápidos, são fácies de se instalar, não necessitando de nenhum equipamento nem cabos de rede. Configurando o modem 3G O procedimento de configuração é dividido em duas partes: 1. Configuração dos drivers do modem; 769
2. Configuração do modem 3G no Aker Firewall. Configuração dos drivers do modem: Procedimento manual: Execute o comando "config3g.sh". Serão listados todos os dispositivos USB conectados ao firewall. Ao identificar o modem na lista de dispositivos USB que lhe foi listado, os campos "product id" e "vendor id" devem ser preenchidos. Após esse preenchimento, o script irá configurar os drivers do modem corretamente.
Figura 548 - Configuração de link 3G.
Procedimento automático: Execute o comando "config3gauto.sh". Automaticamente será identificado o modem da lista de dispositivos USB conectados. Configuração do modem 3G no Aker Firewall Neste passo, a configuração ocorre através da Interface Remota na janela "Configurações do Sistema → TCP/IP". Na janela irá aparecer uma nova interface chamada 3G. Essa é apenas uma interface virtual que significa que existe um modem 3G configurado. Para configurar uma interface real, clique com o botão direito na interface virtual 3G e opte pela opção "Usar 3G".
770
Figura 549 - Configuração 3G no Aker Firewall.
Ao realizar o procedimento acima irá abrir uma janela de configuração com os seguintes campos:
"Nome do dispositivo"; "Ativar no boot": Efetuar a conexão automaticamente, após ligar o Aker Firewall BOX; "Usar configuração DNS do servidor": Utilizar as configurações de DNS, fornecidas pela operadora do 3G; "Usar rota Padrão do Servidor": Utilizar como rota padrão o link 3G (apenas no caso da rota padrão não ter sido configurada previamente); "Serviço 3G ativado sob demanda": Utilizar o link 3G apenas quando a rede tiver necessidade de conexão com à Internet. Quando não houver dados para serem transmitidos ou recebidos à conexão do link 3G será desativada; "ID do produto:" Já estará preenchido, deve mudar apenas se mudou o modem; "ID do vendedor:" Já estará preenchido, deve mudar apenas se mudou o modem; "Caminho do arquivo de configuração do modem":
Existem três opções já criadas:
TIM; CLARO; VIVO. 771
"Usar outro caminho:" É possível usar um arquivo de configuração, criado pelo administrador do Aker Firewall. Para utilizá-lo, basta especificar o caminho onde este arquivo está salvo. Essa opção é utilizada para o Aker Firewall suportar outros modelos de modems e/ou outras operadoras, dando assim maior flexibilidade à solução. Testando a conexão Após configurar a interface 3G, o Aker Firewall vai tentar discar para a operadora. Esse procedimento pode não funcionar por problemas na operadora. Para verificar se conexão foi efetuada com sucesso, observe a cor da interface criada. Se tiver com uma cor clara quer dizer que o modem conectou normalmente, se a cor for escura significa que houve algum problema. Repita o procedimento e, se o problema continuar, contate o departamento de suporte da Aker Security Solutions.
36.10
Agregação de link
A agregação de link é um termo usado em redes de computadores para descrever métodos de combinação de várias conexões de rede em paralelo. Este tipo de operação tem o intuito de aumentar a capacidade de transporte para mais do que uma única conexão seria capaz de tratar, e em alguns casos também fornecer redundância no caso de falha de um dos links. Outros termos também são utilizados pelos diversos fabricantes para descrever o método, dentre eles: trunking de porta, link bundling, Ethernet/network/NIC bonding, ou Grupo de Placas de Rede. Atualmente o padrão atual definido pelo IEEE (Institute of Electrical and Electronic Engineers) é o IEEE 802.1ax Aggregation Control Protocol (LACP) que substituiu o anterior: IEEE 802.3ad. A agregação pode ser implementada em qualquer uma das três camadas mais baixas do modelo OSI. Exemplos comuns de agregação na camada 1 são linhas de energia (por exemplo, IEEE 1901) e dispositivos de redes sem fio (por exemplo, IEEE 802.11) que combinam múltiplas bandas de frequência em um único canal de maior capacidade. Na camada 2 do modelo OSI (camada de enlace, por exemplo, frame de Ethernet em redes locais ou multi-link PPP em WANs, endereço MAC) a agregação ocorre normalmente nas portas de switch, que podem ser portas físicas, ou virtuais gerenciadas por um sistema operacional, por exemplo, Open vSwitch. A agregação também pode ocorrer na camada 3 do modelo OSI, ou seja, na camada 772
de rede (por exemplo, IP ou IPX), usando o round-robin scheduling, ou com base em valores de hash calculado a partir de campos no packet header, ou uma combinação destes dois métodos. Independentemente da camada de agregação em que ocorre, a carga da rede é equilibrada em todos os links. A maioria dos métodos fornecem redundância e failover.
A instrução a seguir cobrirá os tipos de agregação de link mais utilizados que são disponibilizados pelo Aker Firewall. O exemplo a seguir configura uma interface de ligação (bond0) usando duas interfaces de rede (eth0 e eth1) no Aker Firewall. #!/bin/bash modprobe bonding mode=0 miimon=100 # carrega o modulo de agregação ifconfig eth0 down # desabilita a interface eth0 ifconfig eth1 down # desabilita a interface eth1 ifconfig bond0 hw ether 00:11:22:33:44:55 # mudando o endereço MAC da interface bond0 ifconfig bond0 192.168.55.55 up # para colocar a interface ethX como membro do grupo (slave), a interface bond0 precisa ter um endereço ip já configurado. akenslave bond0 eth0 akenslave bond0 eth1
# insere a interface eth0 no agrupamento bond0 # insere a interface eth1 no agrupamento bond0
É possível configurar a interface de agrupamento (bonding interface) de acordo com sua necessidade. Os tipos de agrupamento possíveis permitem configuração de acordo com o parâmetro “mode” (mode=X). Os seguintes modos estão disponíveis: mode = 0 (balanceado rr) Política round-robin: Encaminha os pacotes usando em ordem sequencial o primeiro canal até o último disponível daquele agrupamento. Este modo fornece balanceamento de carga e tolerância a falhas. mode = 1 (failover) Política de backup ativo: Apenas um dos escravos no grupo está em uso efetivo (canal principal). Um outro escravo tornará ativo somente se, o principal falhar. O endereço MAC do vínculo é externamente visível em apenas uma porta (adaptador de rede) para evitar confundir o switch. Este modo fornece tolerância a falhas. 773
mode = 2 (equilíbrio xor) Política XOR: Transmite com base em (endereço MAC de origem XOR com endereço MAC de destino) modulo de contagem escravo. Isso seleciona o mesmo escravo para cada endereço MAC de destino. Este modo fornece balanceamento de carga e tolerância a falhas. mode = 3 (broadcast) Política de Broadcast: Transmite tudo em todas as interfaces de escravos. Este modo fornece tolerância a falhas.
mode = 4 (802.3ad) IEEE 802.3ad - agregação dinâmica de link: Cria grupos de agregação que compartilham a mesma velocidade e configurações de duplex. Utiliza todos os escravos no agregador de ativos de acordo com a especificação 802.3ad. mode = 5 (balanceado tlb) Balanceamento de carga de transmissão: Tipo de agregação que balanceia o tráfego de saída e não exige qualquer suporte especial do switch. O tráfego de saída é balanceado de acordo com a carga momentânea (que é calculada em relação à velocidade) em cada um dos escravos (canais) que participam do grupo. O tráfego de entrada é recebido pelo canal principal. Se o canal principal falhar, o outro canal assume o endereço MAC do canal principal que falhou e passa a responder pela recepção/entrada de pacotes. mode = 6 (balanceado alb) Balanceamento de carga adaptativo: Funciona como modo 5 (balanceamento na transmissão), mas também inclui balanceamento de carga de recebimento para tráfego IPv4, e como o modo anterior, também não requer nenhuma capacidade especial do switch. O balanceamento de carga de recebimento ocorre por meio da negociação ARP. O módulo de agrupamento intercepta a resposta ARP enviada pelo sistema local enviada na saída e sobrescreve o endereço de hardware de origem da comunicação com o endereço de hardware único de um dos canais do grupo de tal forma que diferentes pares usem endereços de hardware diferentes para se comunicar com o servidor.
774
Configurando o Firewall em Cluster
775
37.
Configurando o firewall em Cluster Este capítulo mostra como configurar a tolerância a falhas e o cluster cooperativo do Aker Firewall.
37.1.
Planejando a Instalação
O que é um sistema de tolerância às falhas? Quanto mais os computadores ganham espaço nas empresas, nos escritórios e na vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um simples e bom motivo: nenhum usuário quer que a sua máquina pare de funcionar ou que os recursos de rede não possam mais ser acessados. É justamente a alta disponibilidade que vai garantir a continuidade de operação do sistema na prestação de serviços de rede, armazenamento ou processamento, mesmo se houver falhas em um ou mais de seus elementos. Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vez maior de usuários. Tornou-se um requisito fundamental para os sistemas que ficam no ar 24 horas por dia, sete dias por semana, ou que não possam ficar fora do ar por até mesmo alguns minutos. Afinal, paradas não planejadas podem comprometer, no mínimo, a qualidade do serviço, sem contar os prejuízos financeiros. Tolerância às falhas nada mais é que um agrupamento de recursos que fornece ao sistema a ilusão de um recurso único. A maioria dos seus componentes, encontramse duplicados, desta forma, mesmo que um componente individual apresente falhas o serviço não é comprometido. Para possibilitar a redundância de recursos é necessário um mecanismo de gerência, de forma a tornar seu funcionamento transparente. O que é um sistema Cooperativo? No sistema de tolerância às falhas foi falado a respeito de alta disponibilidade e de agrupamento de recursos, mas no sistema cooperativo além da alta disponibilidade ocorre o balanceamento de carga entre os sistemas. No sistema cooperativo todos os sistemas ficam ativos e se o peso entre eles for igual tratarão de forma balanceada as conexões e todos os processos entre eles. Como trabalha a Tolerância às Falhas do Aker Firewall?
776
A tolerância às falhas do Aker Firewall é composta por dois sistemas idênticos, ou seja, duas máquinas com o mesmo Sistema Operacional, mesmas placas de rede e com a mesma versão do Firewall, conectadas entre si. A exigência de se usar o mesmo sistema operacional se dá pelo fato de poder aplicar correções através da Interface Remota e essas correções serem replicadas automaticamente de uma máquina para a outra. Além de estarem conectadas entre si, o que deve ser feito por uma interface de rede, é necessário que todas as placas de rede correspondentes das duas máquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos os firewalls tenham acesso às mesmas máquinas e roteadores. Como trabalha o sistema Cooperativo do Aker Firewall? Antes de tudo a diferença básica da configuração do cluster cooperativo e do failover está vinculada à licença. A licença do cluster cooperativo faz com que a convergência de dois firewalls com pesos iguais seja de 50% para cada um, já a licença do failover faz com que ocorra convergência em apenas um dos firewalls. O que são modos UNICAST e MULTICAST do sistema Cooperativo do Aker Firewall? No Aker Firewall em modo cooperativo, mais de um host ( os nodos do cluster) precisam receber os mesmos pacotes, para posteriormente cada um deles possam decidir se estes pacotes são ou não de sua responsabilidade. Como os switches não estão preparados nativamente para isso, uma das duas técnicas precisa ser empregada (UNICAST ou MULTICAST). A primeira técnica é chamada de modo unicast, implica-se em re-configurar o switch para que ele saiba que um determinado endereço ethernet (MAC) está em duas ou mais portas simultaneamente, significando que ele deve copiar o pacote com esse endereço destino em todas elas, e jamais aprendê-lo como estando em uma porta apenas. Nesse modo, todos os firewalls do cluster usam o mesmo endereço MAC. O único inconveniente desse modo é que são raros os switches que o suportam. A segunda técnica é chamada de modo multicast, ela faz com que os firewalls de um cluster registrem um endereço ethernet multicast em suas interfaces e respondam as chamadas de ARP para o IP virtual com esse endereço. Se o switch não for configurado para limitar o espalhamento de pacotes multicast, todos os pacotes destinados ao firewall serão redistribuídos em todas as portas, como se fossem pacotes broadcast. Para fazer essa configuração, existem duas opções: faz manualmente no switch, ou então utiliza o protocolo IGMP, onde cada firewall anuncia ao switch que é membro do grupo multicast correspondente ao endereço escolhido. Seu switch deve suportar uma dessas duas opções. Além disso, existem alguns roteadores que não aprendem o endereço multicast ethernet da resposta ARP enviada pelo firewall.
777
Nesses casos, as entradas para o firewall devem ser adicionadas manualmente em suas tabelas. Existem implicações sérias de performance (flooding, por exemplo) e segurança (requisição de associação IGMP por qualquer host da rede) no caso de cluster no modo multicast. Todos os problemas podem ser evitados com corretas configurações nos switches. Tenha certeza que você entende o funcionamento desse modo antes de colocá-lo em funcionamento. Quando o cluster estiver no ar, qualquer alteração feita nas configurações de um firewall através da Interface Remota será replicada automaticamente para o outro firewall.
37.2.
Configuração do Cluster
Para que possa ser iniciada a configuração do Cluster, é necessário que previamente exista uma licença de cluster e que já tenha sido aplicada no Firewall. Para se ter acesso à janela de Configuração do Cluster deve-se:
Figura 550 - Configuração do cluster.
Clicar no menu Configuração do Sistema na janela de Administração do Firewall. Clicar no item Configuração do Cluster.
778
Caso o usuário opte em configurar, deverá clicar no botão "sim", e automaticamente aparecerá a seguinte tela:
Figura 551 - Criar cluster.
Essa janela permite a criação de um novo cluster. O usuário deverá preencher os seguintes campos: Nome: Nesse campo deve ser informado o nome do Firewall no cluster. Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá escolher o valor mais apropriado. Interface: Esse campo permite a escolha de uma entidade que representa uma interface de controle do firewall. Essa entidade será usada pelo firewall para controle do cluster. Botão Ok: Ao término da escolha das opções, deve-se clicar no botão Ok. Se a licença tiver sido aplicada anteriormente, o cluster será habilitado, caso tenha algum problema, aparecerá uma mensagem informando que não foi possível habilitá-lo.
779
Se a criação do cluster tiver sido feita com sucesso a Interface Remota será desconectada para garantir que toda a configuração do firewall seja recarregada, assim o usuário deverá conectar novamente. Caso o usuário deseje fazer alguma alteração nas configurações do cluster criado, deverá acessar a Janela de Configuração de Cluster. Abaixo seguem as descrições dos campos:
Figura 552 - Configuração do cluster – configurações gerais.
Informações Gerais Nessa parte da janela são mostradas informações gerais do cluster criado. Tipo de Cluster: Esta opção permite selecionar o tipo de cluster desejado ou desabilitá-lo. Interface de Controle: Essa informação é definida na hora da criação do cluster, não podendo ser alterada posteriormente. Todos os seus outros membros utilizarão essa mesma entidade. 780
Informações dos Membros Nessa parte da Janela mostra todas as informações sobre os membros do cluster. Identificação: Esse campo informa o ID do Cluster. É gerado aleatoriamente, não podendo ser alterado. Nome: Indica o nome do firewall do cluster. Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá escolher o valor mais apropriado. Estado: Permite visualizar o status do cluster, se está ativado ou desativado Interfaces Nessa parte da janela permite a visualização das características de configuração das interfaces de rede dos membros do cluster. Essas características pertencem a todos os membros, incluindo os ativados, desativados e os que vierem a ser incluídos. Interface: Nesse componente permite adicionar uma nova interface. IP Virtual: É o IP virtual que representa as máquinas do cluster para a rede atual. Deverá ser definido apenas nos casos de cluster cooperativos. Modo: Esse campo informa o modo como os pacotes são redistribuídos dentro de um grupo de máquinas. O modo UNICAST é o padrão, mas pode ser alterado para o modo Multicast ou Multicast com IGMP. IP Multicast : As informações contidas nesse campo, são alteradas de acordo com o modo indicado/escolhido, mas só poderá ser editado quando for escolhido o modo multicast IGMP. MAC: Esse campo indica o endereço físico da placa de rede. Pode ser informado quando o modo escolhido for o Multicast. Caso não seja especificado o cluster, vai ser utilizado o endereço que consta na placa, se for escolhido o modo Multicast IGMP o MAC não será configurado, ou seja, não poderá ser editado. A opção de adicionar um IP virtual só é válida quando se tratar de cluster cooperativo. Observação: Deve haver no mínimo um membro ativo. Janela Adicionar Membro Nessa janela pode-se incluir um novo membro do cluster. Para incluí-lo, clique com o botão direito do mouse no componente que mostra as informações dos membros. Clique no botão adicionar Membro
, a janela abaixo será exibida: 781
Figura 553 - Configuração do cluster: Adicionar membro.
Nessa janela se preenche todas as informações do firewall que será adicionado ao cluster. Abaixo segue a descrição dos campos: Informação da conexão IP: É o endereço da interface de controle a ser adicionada no cluster. Usuário: Usuário de administração do firewall. Senha: Senha do usuário administrador do firewall. Informação do Firewall Nome: Nome do Firewall no cluster Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá escolher o valor mais apropriado. Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum. Mestre: Requisita que durante a primeira convergência, esta seja a máquina Mestre, que é a maquina ativa que tratará as requisições
782
Escravo: Requisita que durante a primeira convergência esta máquina seja Escravo, que é um nó que será ativado apenas se a estação mestre cair. Nenhum: As maquinas irão decidir entre elas quem deve ser a estação mestre e qual estação será escravo.
O membro do cluster, também pode ser incluído por meio do ícone barra de ferramentas.
37.3.
presente na
Estatística do Cluster
A janela de estatística do Cluster permite a visualização das informações de cada nó do cluster. Para se ter acesso à janela de Estatística do Cluster deve-se:
Figura 554 - Estatísticas do cluster.
Clicar no menu Informação na janela de Administração do Firewall. Clicar no item Estatística do Cluster. 783
Aba Firewall 1 A janela possui dois tipos de informações: as informações estáticas se referem ao nome do nodo, o identificador e o peso. As outras informações que constam na janela são estatísticas do tráfego de redes que permite, por exemplo, a visualização da quantidade de pacotes trafegados na rede. Os valores são acumulativos, a cada segundo os dados são somados ao valor anterior.
Figura 555 - Estatísticas do cluster: Firewall 1.
Aba Gráfico Esta janela permite a visualização gráfica das informações referentes ao tratamento dado aos pacotes dos nodos que passam pelo Firewall. Esse gráfico permite a visualização de até 8 nodos.
784
As informações do tráfego de cada nodo são mostradas em porcentagem. Esta aba possui vários tipos de filtros, permitindo ao usuário, para uma eventual comparação de dados, filtrar informações em percentual, das atividades de cada firewall.
Figura 556 - Estatísticas do cluster: Gráfico.
37.4.
Configurando um cluster coorporativo
Para iniciar a configuração de um Cluster Cooperativo no Aker Firewall será considerado a permissão que os equipamentos já estão devidamente instalados, ou seja, com licenças aplicadas, configurações TCP/IP efetuadas e todas as interfaces cadastradas.
785
Deve-se conectar ao Firewall via Aker Control Center, e ir à janela “Configurações do Sistema” e escolher a opção “Configuração do Cluster”, conforme imagem abaixo:
Figura 557 - configuração do Cluster.
Após clicar na aba “Configuração do Cluster” será aberta uma janela mostrando a seguinte mensagem “Você mão tem um cluster configurada. Deseja criar um agora ?”.
Figura 558 - Criar Cluster.
Selecione a opção “Sim” e será aberta uma nova janela de configuração:
786
Figura 559 - Preenchimento dos campos para criar cluster.
A seguinte tela deve ser preenchida: Nome: será o nome do equipamento; Peso: ele irá definir qual o balanceamento de tráfego que melhor se encaixe a sua rede; Interface: Esse campo permite a escolha de uma entidade que representa uma interface de controle do firewall. Essa entidade será usada pelo firewall para controle do cluster. Hierarquia: selecione a opção “Nenhum”.
787
Segue o exemplo de configuração abaixo:
Figura 560 – Exemplo: criar cluster.
Com todas as informações preenchidas, clicar no botão “OK”. Será aberta uma janela informando: “A nova configuração do cluster foi aplicada com sucesso!”. clicar no botão “OK”.
Figura 561 - Mensagem de configuração realizada com sucesso.
Clicar no botão “OK”, em seguida, aparecerá uma popup informando que você será desconectado para recarregar as novas configurações.
788
Figura 562 – Mensagem que o usuário será desconectado para as configurações serem recarregadas.
Clicar no botão “OK”. Conecte novamente via Control Center, vá em “Configurações do Sistema”, clique em “Configuração do Cluster” e na opção “Tipo de Cluster” selecione a opção “Cluster Cooperativo” e clique no botão “Aplicar”.
Figura 563 - Escolha do cluster corporativo.
789
Será aberta uma janela informando que ao mudar o tipo de cluster, é necessário reiniciar o servidor.
Figura 564 - Pop-up informando que ao mudar o tipo de cluster será realizado um reinício do servidor.
Clique no botão “Sim” e aguarde o servidor ser reiniciado. Conecte novamente via Control Center, vá em “Configurações do Sistema” e selecione a opção “Configuração do Cluster” e na janela de “Interfaces”, clique com o botão direito no espaço em branco e adicione as Interfaces cadastradas conforme figura abaixo:
790
Figura 565 - Configuração do Cluster.
Clique com o botão direito sobre cada uma das interfaces cadastradas e selecione a opção “Multicast” conforme a figura abaixo:
791
Figura 566 - Escolha Multicast.
792
Agora clique na opção “IP Virtual” e selecione a entidade referente ao ip virtual da rede em que se encontra a placa que está sendo configurada:
Figura 567 - Adicionar entidades.
793
Após esse procedimento, acesse o servidor via SSH e colete o endereço MAC das interfaces:
Figura 568 - Acesso ao servidor SSH.
Copie os quatro últimos octetos do endereço MAC de cada interface que nesse caso é 17:C6:4E:65 para cadastrar na configuração de cluster. Na Control Center vá em “Configuração do Sistema”, em “Configuração do Cluster”, clique com o botão direito em cima da opção “MAC” da interface e cadastre todos os MAC de acordo com a Interface que está sendo configurada de forma que fique configurado.
Figura 569 - Cadastro de MAC.
Repita todo o procedimento em todos os outros servidores que irão participar do Cluster Cooperativo, tomando cuidado para não repetir os nomes dos servidores. 794
Após esse procedimento para confirmar a montagem do cluster, conecte via “Aker Control Center” vá em “Configuração do Sistema” e abra a janela “Configuração do Cluster”:
Figura 570 - Cluster cooperativo montado.
Após esse procedimento, o Cluster Cooperativo está montado.
795
37.5.
Utilizando a Interface Texto
A utilização da Interface Texto na configuração da tolerância às falhas é bastante simples. Localização do programa: /aker/bin/firewall # fwcluster /aker/bin/firewall # fwcluster
Aker Firewall Uso: fwcluster [ajuda | mostra] fwcluster tipo <off | failover | ha | coop> fwcluster interface_controle <if> fwcluster peso <peso> fwcluster nome <nome> fwcluster <habilita | desabilita> [master / slave] [ -f ] fwcluster <inclui | remove> <if> <maquina> [ -f ] fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast] fwcluster limpa [ -f ] (!) onde: if : entidade interface peso : peso desta maquina no cluster maquina : endereço IP virtual a remover ou incluir (entidade maquina) master : argumento opcional que indicara essa maquina a ser master slave : argumento opcional que indicara essa maquina a ser slave -f : argumento opcional que forca a aplicação da configuração mesmo com a control center autenticada Exemplo 1: (mostrando a configuração) Como efeito didático será explanada a topologia de uma rede com três firewalls em cluster e duas redes (rede 192 e rede 10).
796
Figura 571 - Interface Texto – exemplo 1: mostrando a configuração da interface.
Antes que se inicie a montagem do cluster, primeiramente devem ser cadastradas todas as interfaces, lembrando que diferente do cluster no firewall 4.5, aqui todos os firewalls possuem endereços ip diferentes. Exemplos: Firewall A - rl0 - if_externa - 10.0.0.1 Firewall B - rl0 - if_externa - 10.0.0.2 rl1 - if_interna - 192.168.1.1 rl1 - if_interna - 192.168.1.2 rl2 - if_controle - 172.16.0.1 rl2 - if_controle - 172.16.0.2 Firewall C – rl0 - if_externa - 10.0.0.3 rl1 - if_interna - 192.168.1.3 rl2 - if_controle - 172.16.0.3 Em seguida crie uma entidade virtual para cada uma das placas, exceto para a interface de controle, essas entidades terão valor igual para todos os firewalls do cluster. Exemplos: Firewall A - externa_firewall (ip 10.0.0.4) Firewall B - externa_firewall (ip 10.0.0.4) interna_firewall (ip 192.168.1.4) interna_firewall (ip 192.168.1.4) Firewall C - externa_firewall (ip 10.0.0.4) interna_firewall (ip 192.168.1.4) Para iniciar a configuração do cluster, crie primeiro a interface de controle: /aker/bin/firewall/fwcluster interface_controle interface_cadastrada
797
Depois inicie o cadastro de cada uma das interfaces participantes do firewall: /aker/bin/firewall/fwcluster inclui interface_cadastrada máquina_virtual_cadastrada Defina o peso de cada Firewall, se não for definido, por padrão será aplicado peso 1 para todos: /aker/bin/firewall/fwcluster peso numero_do_peso Após aplicar todas essas configurações em todos os firewalls participantes, habilite o cluster em cada um deles: /aker/bin/firewall/fwcluster habilit As máquinas do cluster não precisam ser iguais, mas as placas de rede sim. Para o cluster failover utilize apenas 2 firewalls, já que apenas um responderá por todo o tráfego.
798
Arquivos do Sistema
799
38.
Arquivos do Sistema Este capítulo mostra onde estão localizados e para que são usados os arquivos que fazem parte do Aker Firewall.
38.1.
Arquivos do Sistema
Neste tópico serão mostrados quais são e onde se localizam os arquivos do sistema. Isto é muito importante na hora de fazer os backups ou para diagnosticar possíveis problemas de funcionamento. Árvore de diretórios
/aker/bin/firewall - contém programas executáveis e sub-diretórios /aker/ config /firewall/x509 - contém os arquivos correspondentes aos certificados X.509 /aker/bin/firewall/httppd - contém a raiz do sistema de arquivos do servidor local HTTP do Filtro Web. Não remova os arquivos já presentes neste diretório. /aker/config/firewall - contém os arquivos de configuração do firewall /aker/bin/firewall/snmpd - contém o agente SNMP /var/log - contém os arquivos de log e eventos do Aker Firewall /var/spool/firewall - usado pelos proxies SMTP e POP3 para armazenar as mensagens a serem enviadas
Programas executáveis Programas que podem ser executados pelos administradores do Aker Firewall
/aker/bin/firewall/fwadmin - Interface Texto para administração de usuários /aker/bin/firewall/fwaction - Interface Texto para configuração das ações do sistema /aker/bin/firewall/fwblink - Interface Texto para configuração do balanceamento de links /aker/bin/firewall/fwkey - Interface Texto para configurar chave de ativação do sistema /aker/bin/firewall/fwclient - Interface Texto para a configuração do acesso dos clientes de criptografia /aker/bin/firewall/fwcluster - Interface Texto para a configuração da tolerância a falhas /aker/bin/firewall/fwcripto - Interface Texto para configuração da criptografia e autenticação <> /aker/bin/firewall/fwedpwd - Interface Texto para configuração das bases de dados para autenticação local 800
/aker/bin/firewall/fwent - Interface Texto para a criação de entidades /aker/bin/firewall/fwflood - Interface Texto para configuração da proteção contra SYN flood /aker/bin/firewall/fwids - Interface Texto para a configuração do suporte a agentes de detecção de intrusão /aker/bin/firewall/fwaccess - Interface Texto para a configuração das associações de perfis de acesso /aker/bin/firewall/fwlist - Interface Texto para acesso às conexões e sessões de usuários ativos /aker/bin/firewall/fwlog - Interface Texto para acesso ao log e aos eventos do firewall /aker/bin/firewall/fwmaxconn - Interface Texto para configuração do controle de flood /aker/bin/firewall/fwnat - Interface Texto para a configuração da conversão de endereços (NAT) /aker/bin/firewall/fwpar - Interface Texto para configuração dos parâmetros gerais /aker/bin/firewall/fwrule - Interface Texto para configuração do filtro de pacotes inteligente /aker/bin/firewall/fwipseccert - Interface Texto para a gerência dos certificados X.509 necessários à criptografia IPSEC. /aker/bin/firewall/fwstat - Interface Texto para a configuração e visualização das estatísticas do Firewall. /aker/bin/common/akinterface - Interface Texto para a configuração das interfaces de rede do Firewall. /aker/bin/firewall/fwauth - Interface Texto para a configuração dos parâmetros globais de autenticação do Firewall. /aker/bin/firewall/akddns – Interface Texto para configuração do cliente DDNS. /aker/bin/firewall/fwadvroute – Interface Texto para configuração de roteamento avançado. /aker/bin/firewall/fwedpwd - Interface Texto para configura usuários do autenticador local do firewall. /aker/bin/firewall/akhwsig – Imprime na tela a chave de hardware do BOX. /aker/bin/firewall/fwl2tp – Interface Texto para configurar a vpn L2TP; /aker/bin/firewall/fwpptpsrv - Interface Texto para configurar a vpn PPTP; /aker/bin/firewall/fwlic – Imprime na tela informações sobre a utilização de licença limitada por ip. /aker/bin/firewall/fwpacket – Interface Texto para coleta de dumps no Aker Firewall. /aker/bin/firewall/fwportscan – Interface Texto para configurar o filtro de detecção de portscan. /aker/bin/firewall/fwver – Imprime a versão e a data de compilação dos arquivos do Firewall.
Programas que NÃO devem ser executados diretamente pelo administrador
/aker/bin/firewall/2.6.x/aker_firewall_mod-xxxx.o - Módulo carregável do kernel com o firewall (apenas no Linux) /aker/bin/firewall/fwauthd - Servidor de autenticação de usuários 801
/aker/bin/firewall/fwcardd - Módulo de validação de certificados X.509 para smart cards /aker/bin/firewall/fwconfd - Servidor de comunicação para a interface remota /aker/bin/firewall/fwcrld - Módulo de download de CRLs das autoridades certificadoras ativas /aker/bin/firewall/fwcryptd - Servidor de criptografia para clientes /aker/bin/firewall/fwdnsd - Servidor de resolução de nomes (DNS) para a interface remota /aker/bin/firewall/fwidsd - Programa de comunicação com agentes de detecção de intrusão /aker/bin/firewall/fwinit - Programa de inicialização do Aker Firewall /aker/bin/firewall/fwftppd - Proxy FTP transparente /aker/bin/firewall/fwgkeyd - Servidor de geração de chaves de criptografia /aker/bin/firewall/fwhttppd - Proxy HTTP transparente e Filtro Web não transparente /aker/bin/firewall/fwheartd - Serviço de controle do cluster /aker/bin/firewall/fwhconfd - Serviço de configuração distribuída do cluster /aker/bin/firewall/fwgenericstd - Serviço de coleta de informação distribuída do cluster /aker/bin/firewall/fwstconnd - Serviço de replicação de conexões do cluster /aker/bin/firewall/fwlinkmond - Serviço de monitoramento de links /aker/bin/firewall/fwdlavd - Serviço de anti-vírus web /aker/bin/firewall/fwmachined - Serviço de coleta de informações de performance /aker/bin/firewall/fwpmapd - Proxy RPC transparente /aker/bin/firewall/fwlkeyd - Servidor de certificados de criptografia /aker/bin/firewall/fwmond - Módulo de monitoramento e reinicialização dos processos do firewall /aker/bin/firewall/fwnatmond - Módulo de monitoramento de máquinas para o balanceamento de carga /aker/bin/firewall/fwprofd - Servidor de login de usuários /aker/bin/firewall/fwrapd - Proxy Real Player transparente /aker/bin/firewall/fwrtspd - Real Time Streaming Protocol proxy /aker/bin/firewall/fwsocksd - Proxy SOCKS não transparente /aker/bin/firewall/fwsmtppd - Proxy SMTP transparente /aker/bin/firewall/fwpop3pd - Proxy POP3 transparente /aker/bin/firewall/fwlogd - Servidor de log, eventos e estatísticas /aker/bin/firewall/fwscanlogd - Servidor de pesquisa de log, eventos e estatísticas /aker/bin/firewall/fwsyncd - Processo de geração de sementes de criptografia e sincronia /aker/bin/firewall/fwtelnetd - Proxy telnet transparente /aker/bin/firewall/fwtrap - Módulo de envio de traps SNMP /aker/bin/firewall/fwurld - Módulo de análise e checagem de permissão de acesso a URLs /aker/bin/firewall/fwiked - Módulo de negociação de chaves para criptografia IPSEC (protocolo IKE) /aker/bin/firewall/fwtunneld - Secure Roaming Server para Firewall /aker/bin/firewall/libaker.so - Biblioteca genérica do firewall /aker/bin/firewall/libconfd.so - Biblioteca de configuração do firewall 802
/aker/bin/firewall/snmpd/snmpd - Agente SNMP /aker/bin/firewall/corr.fw - Contém o nível de correção aplicado /aker/bin/firewall/fwadmkeys - Gerador de chaves RSA. /aker/bin/firewall/fwapply - Auxilia aplicação de patches. /aker/bin/firewall/fwarpd - Resposta de solicitações ARP. /aker/bin/firewall/fwdcerpcd – Proxy DCE-RPC. /aker/bin/firewall/fwdeepd – Módulo de IPS/IDS e filtro de aplicativos; /aker/bin/firewall/fwh2250pd - Proxy H.323. /aker/bin/firewall/fwh245pd - Proxy H.323. /aker/bin/firewall/fwhwid - Processo que cria o identificador único da máquina. /aker/bin/firewall/fwmsnd – Proxy MSN. /aker/bin/firewall/fwpptpd – Módulo que permite as conexões PPTP passem por conversão de endereço. /aker/bin/firewall/fwpptpradiusd – Módulo de autenticação da VPN LPPTP /aker/bin/firewall/fwpscand – Módulo de detecção de PORTSCAN. /aker/bin/firewall/fwquotad – Módulo de controle das Quotas. /aker/bin/firewall/fwreportd – Módulo gerador de relatórios. /aker/bin/firewall/fwrollback – Auxilia no rollback de patchs. /aker/bin/firewall/fwsipd – Proxy SIP. /aker/bin/firewall/fwsslpd – Módulo da VPN SSL e Proxy SSL. /aker/bin/firewall/fwtraind – Módulo para treinamento de e-mails de o Aker Spam Meter. /aker/bin/firewall/fwtunneldpt.qm - Arquivo de tradução /aker/bin/firewall/fwupdatepatchhis - Auxilia gestão de patches. /aker/bin/firewall/fwzebrad – Módulo de roteamento avançado, OSPF e RIP. /aker/bin/firewall/fwvlan – Módulo de criação de VLAN 802.1q. /aker/bin/firewall/hostapd_run.sh - Inicia o comando hostapd. /aker/bin/firewall/l2tpns – Módulo da VPN L2TP; /aker/bin/firewall/libh323.so.1.0.0 - Biblioteca de suporte ao proxy H.323. /aker/bin/firewall/nsctl - Auxilia o l2tpns. /aker/bin/firewall/rc.aker - Iniciador padrão do Firewall. /aker/bin/firewall/rpt_files - Arquivos de relatório /aker/bin/firewall/squid - Arquivos de cache /aker/bin/firewall/strings - Auxilia fwver.
Arquivos de Log, Eventos e Estatísticas
/var/log/fw-650-AAAAMMDD.fwlg - Armazena os logs do firewall do dia DD/MM/YYYY /var/log/fw-650-AAAAMMDD.fwev - Armazena os eventos do firewall do dia DD/MM/YYYY /var/log/stat-650-AAAAMMDD.fws - Armazena as estatísticas do firewall do dia DD/MM/YYYY
803
Aker Firewall BOX
804
39.
Aker Firewall Box Este capítulo mostra os comandos que podem ser utilizados no shell do Aker Firewall Box.
O Aker Firewall Box O Aker Firewall Box é composto por um sistema integrado de hardware e software. A grande vantagem dessa plataforma é que ela dispensa maiores conhecimentos de sistemas operacionais. Além disso, por não possuir disco rígido e por ser formada por um hardware industrial, a plataforma apresenta potencialmente maior resistência contra danos, especialmente picos de energia, o que acaba por possibilitar um funcionamento ainda mais estável. O Firewall BOX está disponível em diversos modelos, que visam atender as necessidades de pequenas, médias e grandes empresas. A lista completa dos modelos disponíveis é frequentemente atualizada e está disponível em: http://www.aker.com.br Como funciona o shell do Aker Firewall Box? Ao conectar-se um terminal serial comum configurado a 9600 bps à porta serial correspondente no Aker Firewall Box, será possível utilizar a interface de linha de comando do mesmo, isto é, seu shell. Ao se realizar esse procedimento, primeiro será necessário apertar a tecla Enter até que apareça o pedido de senha, que inicialmente é '123456'. Entrando-se corretamente a senha, o prompt seguinte aparecerá: Aker > Caso tenha perdido a senha de acesso local ao Aker Firewall Box, deve-se entrar em contato com o suporte técnico, para realizar o procedimento de reset da mesma. No prompt do shell, podem ser digitados todos os comandos normais do Aker Firewall, conforme documentados nos tópicos relativos à Interface Texto de cada capítulo. Além desses, existem comandos específicos ao firewall box que estão documentados abaixo. É possível digitar os comandos do firewall no shell sem o prefixo fw, isto é, ent ao invés de fwent. Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmente apertar as teclas Ctrl + D. 805
Comandos específicos do Aker Firewall Box Comando
quit exit
Descrição
Encerram a sessão de administração no shell
Comando
help ?
Descrição
Mostram uma tela com a lista de comandos válidos
Comando
shutdown
Descrição
Paralisa o firewall, para que ele possa ser desligado
Comando
reboot
Descrição
Reinicia o firewall
Comando
ping [-c n_pkt] [-i interv] ip_destino
Descrição
Envia pacotes ping para e espera a resposta do hosts ip_destino A opção -c especifica o número de pacotes a ser enviados A opção -i especifica o intervalo de transmissão entre os pacotes em milissegundos (ms)
Comando
password
Descrição
Troca à senha de acesso ao console do firewall
806
Comando
date <mostra> | <dd/mm/aaaa>
Descrição
Com o parâmetro mostra , informa a data do sistema. Senão, acerta a data para a informada.
Comando
time <mostra> | <hh:mm[:ss]>
Descrição
Com o parâmetro mostra , informa à hora do sistema. Senão, acerta o relógio para o horário informado.
807
Manual do Plugin AWCA Aker Web Content Analyzer
808
40.
Aker Web Content Analyzer - AWCA Este capítulo mostra como instalar e utilizar o AWCA no Aker Firewall.
40.1.
Introdução
A Web permite que cada documento na rede tenha um endereço único, que indica o nome do arquivo, diretório, nome do servidor e o método pelo qual ele deve ser requisitado e se esse endereço foi chamado de URL. URL (Uniform Resource Locator, numa tradução literal, localizador uniforme de recursos). Uma URL tem a seguinte estrutura: http://www.seed.net.tw/~milkylin/htmleasy.html . Onde: http:// é o método pelo qual ocorrerá a transação entre cliente e servidor. HTTP (Hypertext Transfer Protocol, ou protocolo de transferência de arquivos de hipertexto) é o método utilizado para transportar páginas de Web pela rede. Outros métodos comuns são: ftp:// (para transferir arquivos), news:// (grupos de discussão) e mailto:// (para enviar correio eletrônico). A produtividade é fundamental para todas as empresas. Para isso, buscam utilizar de forma racional seus recursos de rede. Apesar de a Web ser uma incrível ferramenta de trabalho, ela também pode causar uma enorme queda na produtividade. Definir algumas regras pode proteger seu negócio e seus funcionários. Páginas Web contêm programas que são usualmente inocentes e algumas vezes úteis - por exemplo, animações e menus pop-up. Mas existem sites questionáveis e maliciosos que nem sempre estão com as melhores intenções. Ao navegar na Web, operadores de sites podem identificar seu computador na Internet, dizer quais páginas você acessou, de que página você veio, usar cookies para criar um perfil seu e instalar spywares em seu computador - tudo sem o seu conhecimento. Worms destrutivos podem ainda entrar em seu sistema através de seu navegador: Cookies: são informações que um servidor web pode armazenar temporariamente junto a um browser. É um pacote de informação que viaja entre um aplicativo navegador de Internet (browser) e o servidor (web); Spywares: são programas de computador que, em vez de serem úteis, estes tentam rastrear alguma informação do computador, como os sites que você navega programas que possui e outras informações do seu computador; Worms: é um software que tem objetivos maliciosos. Neles se incluem: trojans , vírus e spywares .
Além de atividades maliciosas instigadas por usuários externos, os negócios podem ser colocados em uma posição vulnerável por funcionários que se engajarem em
809
uma atividade ilegal e/ou indesejável durante o horário de trabalho e usando computadores da empresa. Apresentando o produto AWCA O acesso descontrolado à internet, a produtividade comprometida, o acesso às páginas de conteúdos indevidos e o comprometimento do uso da rede, têm feito com que as organizações criem políticas de uso da internet. A partir dessa necessidade, o Analisador de URL tornou-se uma ferramenta indispensável para o controle de páginas web vistas por funcionários dentro de uma corporação. Com o produto, os usuários só terão acesso a sites com conteúdos autorizados pelo administrador. Esta prerrogativa motivou a Aker Security Solutions a desenvolver o Web Content Analyzer, ferramenta segura e inteligente, focada em oferecer ao cliente uma solução capaz de suprir as necessidades de monitoramento e controle em tempo real do uso da Internet pelos usuários, com limitação dos sites possíveis de acesso, proteção antivírus e emissão de relatórios de utilização. O produto faz toda filtragem a partir da pesquisa do endereço a ser acessada, essa pesquisa é feita anteriormente na Aker por uma equipe altamente qualificada, que classifica milhares de sites novos por dia distribuídos em 24 (vinte quatro) categorias. Ao administrador resta apenas escolher os usuários e grupos de usuários autorizados ou não a ter acesso a determinados sites. Com interface amigável e de fácil utilização, o Web Content Analyzer permite ao usuário, acessar sites confiáveis e, sempre utilizando para navegar um PC ou notebook, utilizando uma conexão segura através de um firewall/Proxy. Em outras palavras o uso do Web Content Analyzer inibe o uso do computador de trabalho para acessos a informações irrelevantes no trabalho.
Figura 572 - Esquema de funcionamento do Web Content Analyzer.
A cada conexão requerida, o sistema identifica a classificação do site na base de dados do Analisador de URL e determina se o usuário está apto a acessá-lo, ou não, com base em seu perfil. Como o Analisador trabalha em conjunto com o identificador de Perfis de Acesso do Aker Firewall, podem-se estabelecer perfis individuais especificando a que tipo de conteúdo cada usuário terá acesso. O sistema passa a funcionar, então, da seguinte forma: o usuário entra no sistema 810
utilizando seu nome e senha de login e seu Perfil de Acesso identifica quais conteúdos ele está autorizado. A ferramenta trabalha também em conjunto com o Aker Web Control que possui plugins de configuração para Microsoft ISA Server®, SQUID Server® e para o Firewall Checkpoint®. O Aker Web Control para Squid é um produto à parte que possibilita ao Squid aceitar ou rejeitar acessos de acordo com o nível de acesso de cada usuário e a categoria da página desejada, de acordo com o arquivo de configuração do Squid. O Aker Web Control para ISA Server é um produto à parte que possibilita ao ISA Server aceitar ou rejeitar acessos de acordo com o nível de acesso de cada usuário e a categoria da página desejada. Todas estas características fazem do Web Content Analyzer uma poderosa ferramenta de controle ao acesso à internet, quando trabalhando em conjunto com um Firewall ou um servidor Proxy compatível.
40.2.
Pré-requisitos
Software O Analisador de URL Aker executa sobre os sistemas operacionais Windows Server e Linux GNU em plataformas Intel 32 ou compatíveis. Ele é compatível com o Firewall Aker, MS Proxy Server e MS ISA Server, Checkpoint Firewall 1 e Squid Internet Object Cache. Com exceção do Firewall Aker, os demais produtos necessitam de um plugin para se comunicarem com o Analisador de URLs. Hardware A indicação do hardware mínimo varia de acordo com o número de clientes simultâneos e seus respectivos links. O mínimo absoluto é:
Computador Pentium 1 Ghz ou superior; 256 MB de memória RAM; 2GB de espaço livre em disco; Monitor; Placa de rede.
Antes da utilização do produto deve-se verificar se todos os periféricos do computador são suportados pelo sistema operacional utilizado. 811
40.3.
Instalando o Aker Web Content Analyzer
O Aker Web Content Analyzer funciona nas seguintes versões de Sistemas Operacionais: Windows Server: 2000, 2003 e 2008; Linux GNU; As telas abaixo mostrarão como é realizada a instalação do produto nos sistema operacionais:
40.4.
Instalação em Ambiente Windows
Baixar os pacotes no site da Aker: http://www.aker.com.br. Escolha o idioma (inglês ou português) para realizar a instalação e clicar em “OK”.
Figura 573 - Escolha do idioma no qual deseja realizar a instalação.
812
Contrato de licença de Programa Ler o contrato, em caso de acordo selecionar a opção “Aceito o contrato de licença”. Clicar no botão “Avançar”.
Figura 574 – Contrato de licença do programa.
813
Informações do usuário Nesta fase será realizada a inserção de informações necessárias para que a instalação seja personalizada: Digitar o “Nome Completo” do usuário; Digitar o nome da “Empresa”; Optar se as configurações para o aplicativo será instalada para o usuário atual “Somente para mim” ou para todos que compartilham o computador “Qualquer pessoa que usa este computador”; Clicar em “Avançar”.
Figura 575 - Preenchimento de informações do usuário.
814
Seleção dos recursos Escolher o recurso que será instalado no disco “AkerWebContentAnalyzerPlugin” e clicar em “Avançar”.
rígido
local
Esta tela permite selecionar os recursos que serão instalados. Atualmente, o Plugin de instalação do Aker Web Content Analyzer vem acompanhado pelo Plugin do Aker Web Control. Isto é, ao instalar o AWCA, automaticamente será instalado o AWC. Se caso desejar instalar apenas o plugin do Aker Web Content Analyzer, deve-se clicar no ícone “AkerWebControlPlugin”, selecionar a opção “Todo o recurso não estará disponível” e, em seguida clicar no botão “Avançar”.
Figura 576 - Seleção dos recursos que deseja instalar.
815
Em seguida aparece a mensagem “Pronto para instalar o aplicativo”. Clicar em “Avançar” para iniciar a instalação.
Figura 577 - Mensagem de aplicativo pronto para ser instalado.
816
Atualizando o sistema Mostra a barra de progressão da instalação do sistema.
Figura 578 - Barra de progressão de instalação.
817
Após o término da instalação, automaticamente irá aparecer uma tela dizendo que o produto foi instalado com êxito. Para terminar, basta clicar em “Concluir”.
Figura 579 - Concluindo a Instalação.
818
40.5.
Instalação em Ambiente Linux (Fedora Core 8)
A instalação realizada em Linux é bastante simples e requer apenas alguns passos que serão demonstrados a seguir. Crie um diretório e copie o arquivo AkerWebContentAnalyzer-server-br-3.0-3.fc8.tar.bz2 para dentro dele. Descompacte o arquivo usando o seguinte comando: tar -vzxf akerwebcontentanalyzer-3.4-pt-linux-server-012.bin.tar.gz
Figura 580 - Instalação Linux: Descompactação.
819
Acesse o diretório criado anteriormente e digite o seguinte comando: ./akerwebcontentanalyzer-3.4-pt-linux-server-012.bin
Figura 581 - Instalação Linux: Execução Script de Instalação.
820
O sistema irá apresentar a termo de licença do produto e ao final perguntará se você aceita os termos da licença. Caso seja selecionado N (Não), a instalação será abortada. Selecione S (Sim) para continuar a instalação.
Figura 582 - Termo de Licença.
821
Após verificar as dependências necessárias, o script de instalação irá verificar a existência do módulo de log do produto e caso não esteja instalado irá instalá-lo automaticamente.
Figura 583 – Instalação do Módulo de Log.
822
O próximo passo é a criação do usuário que terá acesso à administração via Interface Remota. Ao apertar “ENTER” sem escolher um nome, o usuário será criado conforme o nome informado entre colchetes (admin). Em seguida, digite a respectiva senha e confirme-a.
Figura 584 – Confirmação de usuário e senha.
823
Pressione o botão “Enter” para que a instalação seja completada.
Figura 585 - Instalação Linux: Criação de Usuário Administrador.
824
40.6.
Configuração do AWCA
A configuração do Aker Web Content Analyzer é simples, mas requer atenção em algumas explicações que serão dadas a seguir. Cada assunto foi agrupado em menus distintos. Para acessar o AWCA no firewall, deve-se ir em “Dispositivo Remoto” e selecionar o item “Web Content Analyzer”, conforme mostrado na figura abaixo:
Figura 586 - Opções de Configuração do Aker Web Content Analyzer.
Em seguida, será apresentado cada um dos menus de acesso e configuração no Aker Firewall: Categorias, Gerenciamento da base de URLs e Teste de URL.
40.7.
Gerenciamento da base de URLs
O menu “Gerenciamento da base de URLs” trata das atualizações de assinaturas de malwares. É nesse menu que serão configuradas as opções de como as atualizações serão automatizadas.
Figura 587 - Gerenciamento de base de URLs.
825
O Menu é composto de três abas: “Geral”, “Frequência de atualização” e “Atualiza os sites”.
Figura 588 – Menu: Gerenciamento da base de URLs.
826
Aba Geral A atualização das assinaturas é feita através da Internet. As informações necessárias para permitir esse acesso serão configuradas nessa aba, por isso para acessar à Internet, o Aker Web Content Analyzer precisa utilizar ou se autenticar em algum proxy.
Figura 589 - Gerenciamento da base de URLs: geral.
Para realizar a configuração é necessário preencher os campos:
Habilitar a opção: Usar Servidor Proxy; Endereço IP e porta do servidor Proxy em questão; Usar autenticação no proxy; Usuário e senha para aplicação do Proxy.
827
Aba Frequência de Atualização A opção “Ativar Atualização” irá habilitar ou desabilitar a atualização automática. É possível escolher a opção de “Atualização Semanal” ou “Atualização Mensal” de acordo com a necessidade do cliente. A atualização das assinaturas de URLs podem ser configuradas para serem realizadas de maneira automática. É nessa aba que o administrador irá selecionar os dias da semana/mês que as atualizações serão efetuadas, assim como o horário da atualização. O botão “Atualiza Agora” irá efetuar a atualização no momento do clique.
Figura 590 – Menu: Gerenciamento da base de URLs frequência de atualização.
Realizadas as configurações, deve-se clicar no botão “Aplicar”.
828
Aba Atualiza os sites Nessa aba, serão apresentados os sites que possuem a base de assinaturas de URLs de onde os administradores poderão atualizar suas assinaturas. Clicando no botão “Atualiza a lista de sites” o sistema irá buscar por configurações de novos sites disponíveis atualizando assim a lista.
Figura 591 – Menu: Gerenciamento da base de URLs atualiza os sites.
Realizadas as configurações, deve-se clicar no botão “Aplicar”. Observação: É possível realizar a atualização da base de URLs manualmente, para isso siga os passos a seguir: 1. Realizar o download do arquivo no site da Aker (www.aker.com.br); 2. Transferir o arquivo para uma pandrive; 3. Conectar a pen drive ao Firewall box; 4. Accesse o appliance via ssh 5. Executar o comando: Aker> awcabase
829
Uso: awcabase </base_file> Exemplo: awcabase base_awca.zip 40.8.
Categorias
O menu de categorias de sites permite ao administrador do Aker Web Content Analyzer modificar a categoria de determinados sites/URLs e criar novas categorias dinamicamente.
Figura 592 - Categorias.
O administrador pode criar sua própria base de categorização nas seguintes situações: Quando se deseja incluir alguma URL que não esteja categorizada; Quando se quer fazer uma nova configuração, caso não esteja de acordo com alguma URL/Categoria cadastrada na base de assinaturas do produto; Quando se deseja criar novas categorias que ainda não estão cadastradas no AWCA. A criação das categorias pode ser feita em dois níveis: o nível pai e o nível filho. Para criar uma nova categoria pai, o administrador do produto deve clicar com o botão direito do mouse no menu “Categorias” e escolha a opção "Nova Categoria". Para se criar uma categoria filho deve-se clicar com o botão direito do mouse na categoria escolhida e escolha a opção "Nova Categoria".
830
Exemplo 1: criando uma categoria Pai:
Figura 593 – Menu: Categorias cria categoria pai.
831
Exemplo 2: criando uma categoria Filho:
Figura 594 -– Menu: Categorias cria categoria filho.
Devem-se preencher os campos referentes à criação da categoria, na janela "Nova Categoria" e clicar no ícone abaixo para selecionar um ícone que estará associado à categoria a ser criada.
Figura 595 - Botão: ícone.
832
Surgirá a seguinte tela:
Figura 596 – Escolha dos ícones da categoria.
Deve-se escolher o ícone da categoria, clicar com o mouse neste item e apertar o botão “OK”.
Figura 597 – Janela: Nova Categoria.
Preencher os dados solicitados: Nome: Nome pelo qual a categoria será referenciada; Descrição: Um breve resumo do conteúdo do Site; Clicar no botão OK. 833
Para visualizar melhor segue um exemplo: Categoria: Educação; Descrição: Sites de organização educacional ou que de alguma maneira contribua para a divulgação da educação. Poderá ser utilizado um dos ícones oferecidos pelo AWCA ou algum outro, desde que seja 32 por 32 pixels e que esteja em formato png. Após a criação da categoria é necessário criar uma lista de expressões. As categorias com expressões cadastradas aparecem em negrito. Para criar essa lista, o administrador do produto deve selecionar a categoria e clicar com o botão direito na parte branca do menu “Categorias” e configurar as opções necessárias. As opções são duas:
Figura 598 – Criação das listas de expressões.
Expressão: Define qual será a string ou os parâmetros que serão pesquisados na URL acessada e qual operação a ser efetuada. A operação pode ser de vários tipos diferentes, alguns deles seriam “*Aker*” (contém), “Aker” (é), “*Aker” (termina com), “Aker*” (começa com).
834
Cada entrada na lista de expressões da janela de categorias deve seguir a semântica (A string digitada não faz distinção entre maiúsculo e minúsculo): * significa qualquer quantidade de caracteres, inclusive nenhum ? significa exatamente um carácter \ * é o carácter * \? é o carácter ? \\ é o carácter \
Figura 599 – Menu: categorias cria lista de expressões.
Local de Busca: Define o local específico da busca nos sites. Nessa opção, ao clicar com o botão direito poderão ser definido quatro formas de busca. Abaixo segue um exemplo de preenchimento desses campos, tomando como base o endereço: http://www.aker.com.br/index.php?pag_cod=1&ling=pt_br
Domínio: Faz a busca no domínio: www.aker.com.br Parâmetros: Faz a busca nos parâmetros do site: pag_cod=1&ling=pt_br
835
Tudo: Faz a busca em toda a URL: www.aker.com.br/index.php?pag_cod=1&ling=pt_br URL: Faz a busca somente na URL: www.aker.com.br/index.php
Figura 600 – Menu: Categorias define local de busca.
Para confirmar se as expressões que foram definidas estão realmente funcionando, digite no campo "URL" um texto. Logo em seguida clique no botão de pesquisa para que seja verificado se o texto que você digitou está sendo ou não enquadrado nas expressões.
Figura 601 - Botão: de pesquisa.
836
Figura 602 – Menu: Categorias.
Para criar estas expressões podemos contar com os recursos de exportar e importar, facilitando a migração de outras bases de URLs para a base da Aker. Exportar expressões: se houver expressões em uma categoria o usuário pode exportá-las para um arquivo. Para exportar as expressões de uma categoria clique com o botão direito do mouse na lista de expressões e selecione “Exportar”, escolha um local e um nome para o arquivo exportado e clique em “Salvar”. O Aker Control Center irá salvar as expressões no arquivo selecionado com a extensão .exps. As expressões exportadas podem ser carregadas em uma categoria através de o botão importar do mesmo menu; Importar expressões: para importar expressões de um arquivo para uma categoria clique com o botão direito do mouse na lista de expressões e selecione “Importar”. Uma janela para importação será aberta. Existem duas formas de importação: importar a partir de um arquivo exportado de uma categoria ou importar a partir de um arquivo contendo uma lista de URLs (com uma URL por linha).
837
Figura 603 – Importar arquivo.
A janela apresenta as seguintes informações: Nome do arquivo: caminho e nome do arquivo (com extensão) a ser importado; Tipo de importação: indica de qual arquivo será feita a importação. Possui duas opções:
Arquivo Aker: importar a partir de um arquivo exportado de uma categoria. O arquivo deve possuir a extensão”.exps"; Lista de URLs: importar a partir de uma arquivo texto contendo uma URL por linha. A importação por lista de URLs possui duas opções: Importação padrão: importa as URLs do arquivo criando expressões fazendo a busca no domínio da URL e o formato da expressão em "Texto completo"; Importação avançada: permite ao usuário selecionar o tipo do local de busca e o formato da expressão que serão aplicados para todas as URLs do arquivo. As opções avançadas serão mostradas somente após o usuário selecionar "Importação avançada". Abaixo segue a descrição das opções:
Tipo de localização da busca:
Domínio: seleciona todas as expressões para fazer a busca no domínio da URL; Parâmetros: seleciona todas as expressões para fazer a busca nos parâmetros da URL; URL: seleciona todas as expressões para fazer a busca na URL; 838
Tudo: seleciona todas as expressões para fazer a busca em todos os campos da URL. Formato da expressão: Texto completo: todas as URLs serão inseridas conforme estão no arquivo (para fazer a busca em tudo que for igual a URL). Ex. <url> Termina com: será inserido um * (asterisco) no início de todas as URLs importadas do arquivo (para fazer a busca em tudo que terminar com a URL). Ex. *<url>; Começa com: será inserido um * (asterisco) no final de todas as URLs importadas do arquivo (para fazer a busca em tudo que começar com a URL). Ex. <url>*; Contém: será inserido um * (asterisco) no início e no final de todas as URLs importadas do arquivo (para fazer a busca em tudo que contiver a URL). Ex. *<url>*.
Após selecionar o arquivo e o tipo de importação clique no botão “Importar” e o Aker Control Center irá importar todas as expressões do arquivo. Ao final será apresentado um resumo da importação contendo as informações como:
Número total de expressões no arquivo; Número total de expressões que estavam no arquivo; Categorias já existentes; Número total de expressões importadas e número total de expressões que não puderam ser importadas por possuírem erros. Se houver alguma expressão com erros, também será apresentada uma lista com todas as expressões que possuem erros, as quais podem ser copiadas para outro arquivo, corrigidas e importadas novamente.
Também se pode exportar e importar a lista completa de categorias e suas expressões:
Botão exportar: Salva as customizações das categorias, funcionando como uma forma de backup para uma recuperação futura ou para utilização em outro Aker Web Content Analyzer; Botão importar: Recuperar as customizações das categorias exportadas.
839
40.9.
Teste de URL
Esse menu é constituído de uma lista de ícones com os nomes das categorias em que a URL do teste se enquadra.
Figura 604 - Teste de URLs.
Surgirá a tela abaixo:
Figura 605 – Teste de URL.
Ao escrever o nome da URL (no campo em branco http://) e clicar em Categorizar, o produto irá informar qual a categoria da URL e mostrar os ícones correspondentes. Se a URL não está associada a nenhuma categoria definida será mostrado a mensagem “Não encontrado”.
840
Figura 606 – Teste de URL já categorizado.
Após a consulta, clicar no botão “Sair”.
841
Manual do Plugin - ASM Aker Spam Meter
842
41.
Aker Spam Meter - ASM Este capítulo mostra como instalar e utilizar o ASM no Aker Firewall.
41.1.
Introdução
O e-mail corporativo é uma ferramenta indispensável para fechar novos negócios, parcerias e trocar informações. No entanto, ainda é uma porta de entrada para ameaças virtuais, que podem roubar informações estratégicas e prejudicar o ambiente de rede da empresa. Além de vírus, Cavalos de Tróia e outras ameaças, as mensagens indesejadas, chamadas de Spams, também são uma realidade incontestável. Quando menos esperamos, oferecem uma infinidade de produtos e serviços, despejam lixos nas caixas de correio, esgotam seus recursos e impossibilitam a chegada de correspondências realmente necessárias. O desperdício de tempo é enorme e pode gerar consequências desagradáveis. Uma pesquisa realizada pelo */Nucleus Research/*, importante empresa de consultoria de TI dos EUA, alerta que, entre 2003 e 2004, a quantidade de Spams subiu de 13 para 29, fazendo com que a perda de produtividade dos funcionários aumentasse de 1,4% para 3,1%. O prejuízo anual chegou a computar US$ 1.934,00 por funcionário, sem considerar o custo com técnicos, desperdício de banda e de hardware, o que aumentaria ainda mais o valor. De acordo com o estudo, as empresas que utilizam algum mecanismo para filtrar as mensagens conseguem bloquear efetivamente apenas 20% do lixo eletrônico que chega diariamente. Sob esta perspectiva, proteger a informação tornou-se uma necessidade incontestável. Assim, a Aker Security Solutions desenvolveu o Aker Spam Meter ASM, uma ferramenta capaz de afastar essas mensagens indesejadas de maneira rápida e eficiente a partir de um filtro de análise bayesiana que pontua os e-mails por algoritmos matemáticos de estatística. A solução se ajusta as mais diversas necessidades, possui Menu intuitivo e com fácil administração. O Aker Spam Meter agora integra o *Aker Security Suite*, fortalecendo ainda mais essa já conhecida linha de produtos. Ao abrir sua caixa postal para ler seus e-mails, qualquer usuário se depara diariamente com uma grande quantidade de mensagens indesejadas, tais como propagandas, correntes, pornografia e até mesmo programas invasores disfarçados de mensagens legítimas. Uma pesquisa realizada por empresas de Segurança da Informação constatou que o Brasil aparece em quinto lugar na lista dos maiores emissores de lixo eletrônico na rede mundial. Outros estudos recentes estimam que dois terços de todas as mensagens de correio eletrônico que circulam diariamente na Internet são consideradas SPAM e este percentual aumenta todos os meses. Como a maior parte das mensagens de SPAM são enviadas para conjuntos 843
aleatórios de endereços de e-mail, não há como prever se uma mensagem com conteúdo impróprio será recebida por uma determinada pessoa. Uma das grandes dificuldades ao tentar lidar com este problema, no entanto, é definir o que são mensagens indesejadas, já que a internet possui um grande número de usuários distintos e que possuem visões diferentes sobre o tema. Um email recebido e lido por uma pessoa sobre um determinado assunto pode não interessar a outra, e assim sucessivamente. Em virtude desta dificuldade, a única maneira viável de conseguir resolver de forma definitiva o mal causado pelo SPAM é possibilitar que cada usuário, ou grupo de usuários com características semelhantes, possa treinar o sistema Antispam para que este aprenda seus gostos e preferências e consiga filtrar de forma eficiente suas mensagens. O Aker SPAM Meter foi criado tendo este princípio como ponto de partida.
41.2.
Apresentando o produto ASM
O Aker SPAM Meter permite que cada pessoa, ou grupo de pessoas, classifique seus e-mails de acordo com seu perfil, fazendo com que o produto aprenda o que esta pessoa deseja receber. A solução possui também atualização diária de uma base de dados, gerada pela Aker, com informações sobre SPAM, possibilitando identificar novas ameaças automaticamente. Outro ponto importante sobre o produto é que ele atribui um percentual de 0 a 100% para classificar as mensagens. Nessa escala de probabilidade, o '0%' significa que definitivamente não é spam, e '100%' é a certeza absoluta de que é spam. Desta forma, além de cada usuário ou grupo poder treinar individualmente o que é o não SPAM dentro de sua ótica, é possível também que ele defina o que fazer com as mensagens em várias faixas de certeza. É possível, por exemplo, descartar as mensagens que o sistema classifica com mais de 95% de certeza de serem SPAM, mudar o assunto das mensagens que ficarem entre 85% e 95% e aceitar as demais. 41.3.
Como funciona a classificação
O produto faz uma análise do conteúdo do e-mail, baseada em dados estatísticos, ou seja, atribui uma nota para cada mensagem com base em dados estatísticos gerados a partir de milhares de mensagens em diferentes línguas, pré-classificadas em spam e não spam. Quanto maior a base de mensagens utilizadas para gerar os dados estatísticos e quanto mais específicos forem os dados, melhor é o resultado do programa, que em boas condições pode inclusive superar o resultado de um ser humano desempenhando uma classificação manual. Para conseguir um melhor índice de classificação de mensagens, o produto conta com duas bases de dados distintas: uma gerada pela Aker e é atualizada diariamente, que representa de forma genérica os conceitos de spam e não spam, e 844
outra que é produzida a partir do treinamento realizado por cada usuário ou grupo. Com a combinação de ambas as bases, o sistema imediatamente consegue atingir um nível bom de classificação, utilizando para isso os dados estatísticos da Aker, ao mesmo tempo em que permite também que seja refinado pelos usuários até o ponto da quase perfeição. O Aker SPAM Meter é extremamente rápido e consegue atingir até 99% de acerto na classificação dos e-mails. A solução sendo uma das formas mais eficientes de classificação de mensagens indesejadas disponíveis e evolui junto com as próprias mensagens de spam. A partir do momento em que novas características são adicionadas a mensagens indesejadas - de modo a burlar detectores de spam tradicionais - o produto passa a identificar estas novas características como um forte indicador de spam e a classificar como tal estas mensagens.
Figura 607 - Aker Spam Meter: Esquema de Funcionamento.
41.4.
Aker Control Center
O Aker Spam Meter é controlado remotamente através do Aker Control Center, que é um framework integrado de gerência multiplataforma e que controla, a partir de um ponto central, todas as soluções Aker.
845
A utilização do Aker Control Center é bastante útil na configuração e manutenção do Aker Spam Meter, tendo em vista sua interface amigável e facilidade de manuseio. O produto pode ser totalmente configurado e administrado remotamente. Dispositivos Remotos Para começar a utilizar o programa, clique em Iniciar, Programas, Aker Control Center, Dispositivos remotos, Aker Firewall, Spam Meter;
Figura 608 - Spam Meter.
A configuração de o Aker Spam Meter é simples, mas requer atenção em algumas explicações que serão dadas a seguir. O spam Meter utilizado no Aker Firewall possui 4 itens: Banco de Dados, Classificação de e-mail, Configuração do Filtro e Gráfico de Notas. Cada assunto foi agrupado em menus distintos.
Figura 609 - Menu de o Spam Meter.
846
41.5.
Banco de Dados
O Menu “Bancos de dados” trabalha as opções de configuração da(s) base(s) de dados de e-mails e suas classificações.
Figura 610 - Bancos de dados.
Após aberto o “Bancos de Dados”, surgirá a seguinte tela com as abas: Estado, Lista das bases de dados e Parâmetros.
Figura 611 - Bancos de dados.
847
Aba Estado A aba “Estado” apresenta as informações com relação ao estado atual dos downloads e uploads das bases de dados. Os uploads são e-mails classificados manualmente pelos usuários que podem ou não ser enviados para a Aker de forma a melhorar a classificação dos e-mails e das bases de assinaturas. O botão “Atualizar Agora” realiza o download da base de assinaturas de e-mail mais atual A aba parâmetros permite configurar os downloads e uploads para serem realizados automaticamente. Porém, os botões “Enviar Agora” e “Atualizar Agora” permitem que seja feito sobre demanda. Aba Lista das bases de dados A aba “Lista das bases de dados” apresenta todas as bases de Dados existentes atualmente no sistema, assim como seus respectivos status e tamanho da base.
848
Figura 612 – Menu Base de Dados: Lista das bases de Dados.
Esse menu possui as opções de “Salvar Backup” e/ou “Restaura Backup” de modo que o Administrador do produto possa realizar cópias das bases de dados de e-mails/classificações e sua posterior restauração caso seja necessário. A cópia ou restauração são feitas clicando nos botões:
Figura 613 - Botões: Salva Backup e Restaura Backup.
Também pode ser feita a atualização da base de dados, o seu recálculo (informações referentes à pontuação dos e-mails) ou sua exclusão, selecionando a base de dados desejada e clicando em um dos botões apresentados:
Figura 614 - Botões: Atualizar, Recalcular e Excluir·.
Aba Parâmetros A aba “Parâmetros” apresenta as configurações necessárias para a geração e atualização automática da base de dados.
849
Figura 615 - Parâmetros.
As opções existentes nessa aba são as seguintes: Geração de base: A geração das bases de dados podem ser efetuadas sobre demanda (on-demand) conforme mostrado na sub-opção, “Estado” e “Lista das bases de Dados”. Porém, podemos configurar a geração para ser realizada automaticamente marcando essa opção e selecionando o intervalo para a atualização da base. Fazer download das atualizações da base de dados: Essa opção permite a configuração do servidor que fornece a base de dados para download assim como o horário para que o Aker Spam Meter possa efetuar o download. O download será feito diariamente, no horário estipulado. Permitir upload da Base de Dados: Caso o administrador do produto queira enviar para a Aker a base de e-mails classificada manualmente, ele poderá fazer isso conforme visto na opção “Estado” ou configurando o envio automático através da marcação dessa opção e configuração do intervalo de upload (em semanas). A atualização das bases de e-mail/classificação é feita através da Internet. Se para acessar a Internet, o Aker Spam Meter precisar utilizar ou se autenticar em algum
850
Proxy, as informações necessárias para permitir esse acesso serão configuradas nessa aba.
Figura 616 – Parâmetros: usando Proxy.
Usar Proxy Endereço IP e porta do Servidor Proxy em questão; Autenticação do Proxy; Usuário e Senha para autenticação no Proxy. Após o preenchimento de todos os campos, clicar no botão “Aplicar” se tiver realizado a primeira configuração ou feito alguma alteração. Caso tenha somente realizado consulta dos itens, clicar no botão “OK”. 41.6.
Classificação de e-mail
O Menu “Classificação de e-mail” permite ao Administrador do produto realizar verificações a respeito de determinadas mensagens. Essa opção permite que seja colado o código fonte de uma determinada mensagem de e-mail para que o produto a classifique.
851
Figura 617 - Classificação de e-mail.
Dessa forma, o administrador do produto poderá ver qual a pontuação que o Aker Spam Meter dará à mensagem.
Figura 618 – Menu Filtro: Classificação de e-mail.
Limpar: deixa em branco a caixa de texto onde fica o código-fonte do e-mail; Abrir arquivo: Abre uma janela para que você selecione um arquivo de e-
mail (*.eml), que contém o código-fonte do e-mail que você irá classificar e preenche a caixa de texto com o código-fonte deste e-mail, conforme imagem abaixo:
852
Figura 619 - Abri um arquivo de e-mail.
Opções de classificação:
Detecção de SPAM aprimorada: utiliza menos tokens, fazendo com que a classificação seja mais rápida, mas aumenta o número de falsos positivos; Redução de Falso-positivo: Utiliza um número maior de tokens, fazendo com que a classificação seja mais precisa, mas deixando o processo mais lento; Base: Seleciona qual a base de tokens que será utilizada na classificação do email.
853
41.7.
Configurações do Filtro
A sub-opção, “Configurações do Filtro” tratam opções gerais de armazenamento e acesso do produto Aker Spam Meter. As opções configuráveis nesse menu são:
Figura 620 - Configurações do filtro.
Ao clicar no item “Configurações do filtro", surgirá à janela abaixo:
Figura 621 - Mensagens salvas para treinamento.
Mensagens salvas para treinamento Tamanho Máximo do Diretório”: Tamanho máximo (em Megabytes) do diretório onde serão armazenadas as informações de classificação dos emails. Em relação a esse campo, percebe-se uma diferença entre o tamanho configurado na Interface Remota e o tamanho do diretório do sistema Linux listado como, por exemplo, "du -sh". Em Linux, o comando "du -sh" não faz a soma do tamanho de cada arquivo, ele só faz a soma do tamanho dos blocos do HD que cada arquivo usa, variando de acordo com o HD que foi formatado. Em um HD que foi formatado para que assim cada bloco possuísse 4 KB, ou seja 4096 bytes, pode ser observado o seguinte comportamento: 854
Configuração para limitar o tamanho máximo das mensagens em 1 MB (1024KB); No diretório, 1024 arquivos de 1024 bytes cada; O tamanho total do diretório será 4 MB e não 1 MB como o esperado. Isso se deve ao fato de que cada arquivo de 1024 bytes está consumindo fisicamente 4 KB do disco que é o tamanho de cada bloco. Assim, cada arquivo de 1024 bytes é "contabilizado" no "du -sh" como 4096 bytes. Lembrando que este comportamento só acontece em sistemas Unix, não sendo possível no Windows, que o tamanho é contabilizado como o esperado. “Número Máximo das Mensagens”: Número máximo de mensagens que serão armazenadas. Portas Portas do Servidor: Esse campo indica a porta de escuta do Servidor do Aker Spam Meter que recebe e classifica os e-mails; Porta da Interface: É a porta que ficará em escuta para aceitar que as conexões para o Aker Control Center vão poder se conectar ao Aker Spam Meter. Clicando no botão “Avançado” as seguintes opções ficarão disponíveis, conforme imagem abaixo:
Figura 622 – Configurações do filtro.
855
Cache Quantidade”: Tamanho é a quantidade de bases de dados que poderão ficar armazenadas em memória para efeitos de otimização na performance do produto; Timeout”: Tempo no qual uma mensagem ficará em cache caso não esteja mais sendo utilizada pelo produto. Caso a base fique o tempo determinado pelo timeout e não seja consultada, ela será removida da memória volátil da máquina permanecendo apenas no disco. Token Cache Quantidade máxima: Este campo permite a configuração do tamanho máximo do cache de tokens do servidor; Tamanho estimado: Este campo informa o tamanho máximo estimado que o cache de tokens irá ocupar na memória RAM do servidor. Quantidade atual: Esse campo indica a quantidade atual de tokens no cache do servidor. Tamanho atual: Esse campo indica o tamanho atual ocupado pelo cache de tokens na memória RAM do servidor. Taxa de acerto: Esse campo indica a porcentagem de tokens que foram encontrados no cache durante as classificações dos e-mails. Este valor tende a 100% com o passar do tempo. O ícone “Padrão” permite retornar a quantidade máxima de tokens para 500000 Tokens, que é a configuração padrão.
Figura 623 - Botão: Padrão.
A clicar no ícone “Atualização de Servidor” permite a atualização das informações do servidor que se referem à quantidade atual de tokens, calculando o tamanho atual e indicando a taxa de acerto das classificações dos e-mails.
Figura 624 - Botão: Atualização do Servidor.
Observação: É possível realizar a atualização da base de URLs manualmente, para isso siga os passos a seguir: 1. Realizar o download do arquivo no site da Aker (www.aker.com.br); 2. Transferir o arquivo para o appliance via SFTP para o servidor; 3. Abra o appliance na via SSH; 856
4. Executar o comando: Aker> asmbase Uso: asmbase <base_file> Pressione <enter> para continuar...
41.8.
Gráfico de notas
O gráfico de notas apresenta um histograma relacionando a quantidade de e-mails recebidos/analisados pelo Aker Spam Meter com a classificação recebida por eles. É um menu simples, e apenas informativo para permitir ao administrador do produto uma melhor noção dos padrões de e-mails/classificação que a sua rede vem recebendo.
Figura 625 - Gráfico de notas.
Ao clicar na janela “Gráfico de Notas”, surgirá a tela abaixo:
Figura 626 – Gráfico de notas.
857
41.9.
Anexo – plugins
O Aker Spam Meter possui plugins para alguns clientes de e-mail. Esses plugins servem para que o cliente possa classificar manualmente seus e-mails como spam ou não spam, de maneira integrada ao cliente de e-mail, utilizado hoje em dia por ela sem que seja necessário que o Aker Spam Meter insira nenhum anexo ao e-mail para realizar essa classificação. O objetivo desse anexo é apenas mostrar rapidamente como funciona o plugin e como utilizá-lo. O Aker Spam Meter possui plugins para os seguintes clientes de e-mail:
Microsoft Outlook; Mozilla Thunderbird.
Dessa forma, ao receber um e-mail, o usuário poderá ver a classificação do e-mail recebido de acordo com a base de análise bayesiana do Aker Spam Meter e poderá ter botões para classificar manualmente a mensagem como sendo um Spam ou Não spam.
Figura 627 – Plugin de o Aker Spam Meter para Mozilla Thunderbird.
858
Manual do Plugin - AKAV Aker Antivírus Module
859
42.
Aker Antivírus - AKAV Este capítulo mostra como instalar e utilizar o AKAV no Aker Firewall.
42.1.
Introdução
Os vírus de computador constituem uma das maiores ameaças às grandes redes. Os vírus podem atacar quase todos os computadores, independente de sua função ou localização. Os dispositivos podem ser atacados a partir da Internet, por e-mail ou através de mídia infectada. Em outras palavras, os vírus podem ganhar acesso a PCs por meio de qualquer entrada para o dispositivo. Os danos causados por vírus pode variar desde aquele que são apenas perceptíveis até os absolutamente desastrosos. Por essa razão, as soluções antivírus devem constituir uma parte essencial de todos os projetos de segurança da informação. Existem literalmente milhares de vírus diferentes e de programas de softwares maliciosos que podem danificar seu computador ou deixá-lo mais lento. Os tipos de programas de software maliciosos variam bastante, mas, em geral, são os seguintes: Vírus - Um programa que se copia em outro programa, em setores de uma unidade ou em itens que suportem scripts. A maioria dos vírus só faz uma cópia deles próprios, enquanto uma minoria desencadeia um "payload", que é a ação gerada pelo vírus. Os payloads podem danificar arquivos, corromper unidades de disco rígido, exibir mensagens ou abrir outros arquivos. Em geral, o payload acontece quando determinadas condições são propícias, assim como quando, uma determinada data é atingida no computador. Uma variante de vírus é um vírus que foi alterado para tirar proveito de um código de vírus já criado. Fazendo isso, o vírus não é imediatamente detectado pelo software antivírus, que procura o vírus original. Worm - Uma forma de vírus mais eficaz que localiza sistemas vulneráveis e, em seguida, se copia para esses sistemas. Os métodos mais frequentes de propagação são as listas de distribuição de e-mails, os scripts de assinatura de e-mails e as pastas compartilhadas na rede. Os worms podem ou não ter um efeito (payload) prejudicial. Atualmente, o efeito típico de um worm é deixar o computador mais suscetível a outros vírus maliciosos. Hoax - Um e-mail que normalmente declara que está prejudicando o computador, mas na verdade não tem o efeito mencionado. Alguns hoaxes pedem ao leitor do e-mail para tomar algum tipo de medida prejudicial, como excluir um arquivo importante. A maioria dos hoaxes é espalhada por indivíduos bem intencionados que desejam alertar outros indivíduos em relação a um possível vírus que, na realidade, é apenas um hoax.
860
Tróia ou Cavalo de Tróia - Um Tróia ou Cavalo de Tróia é um programa geralmente desenvolvido para provocar impacto na segurança de um sistema. Normalmente, o programa é confundido com outra coisa (um programa benigno) ou é mascarado como um arquivo legítimo que o usuário gostaria de ver ou carregar no sistema. O efeito (payload) de um Tróia, em geral, é desencadeado assim que ele é aberto e normalmente tem resultados devastadores. Os Troias são usados muitas vezes para criar back-doors (programas que permitem o acesso externo a uma rede segura) em computadores pertencentes a uma rede segura, para que um hacker possa ter acesso a ela. Na maioria das vezes, eles são enviados como anexo de um e-mail aparentemente inofensivo, como uma corrente. Vulnerabilidade de segurança - Uma vulnerabilidade de segurança é uma deficiência no software que permite atividade indesejável ou má intencionada no sistema operacional de um computador.
42.2.
Apresentação do produto
De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), as tentativas de fraudes pela internet cresceram 579% em 2005. Dentre as maiores ameaças, os ataques causados por vírus estão em terceiro lugar, com 25% do total de incidentes. Além disso, estudos recentes mostram que cerca de 80% dos ataques de vírus são realizados através de e-mails e 99% pela Internet, o que demonstra a necessidade de que todas as empresas que estejam conectadas à Internet possuam um sistema antivírus que atue no perímetro, eliminando os vírus antes que eles atinjam os servidores internos. Mesmo que uma empresa já possua um sistema de antivírus corporativo instalado nos servidores internos e nas máquinas dos usuários, estes podem falhar ou não localizar um vírus, reforçando a necessidade de se possuir máquinas dedicadas para a desinfecção de mensagens e arquivos baixados da Internet. O Aker Antivírus Module é uma ferramenta indispensável para tornar instalações que utilizam o Aker Firewall, Aker Web Gateway ou Aker Secure Mail Gateway ainda mais seguras. Uma única máquina pode ser instalada na rede e ser utilizada por diversos firewalls e gateways ao mesmo tempo. Além disso, por estar disponível para plataformas Windows, Linux ou poder ser instalada nos próprios boxes dos produtos com os quais se integram, o produto consegue atender os requisitos de preço/performance de organizações de todos os tamanhos. O produto pode ser configurado para atualizar automaticamente os arquivos de assinaturas de vírus, diariamente ou até mesmo de hora em hora, de forma a manter-se sempre atualizado. Até mesmo as epidemias de mais rápida propagação terão pouca chance de chegar ao antivírus antes que ele já esteja atualizado. É possível também que o administrador atualize o produto no momento em que desejar com um simples clique. Isso é bastante útil no caso de suspeitas de 861
epidemias ou caso a máquina não tenha conseguido atualizar-se por qualquer razão.
42.3.
Características Principais
O Aker Antivírus Module é um antivírus para gateways, que se integra nativamente ao Aker Firewall, ao Aker Web Gateway e ao Aker Secure Mail Gateway, possibilitando que mensagens de correio eletrônico e arquivos baixados via Web sejam desinfectados antes de serem enviados às máquinas ou servidores internos. Dentre as principais funcionalidades do produto estão: Atualização automática e diária da base de assinaturas e do engine do antivírus; Capacidade de agendamento das atualizações; Capacidade de filtragem (habilitada de forma independente) de spywares, cavalos-de-tróia, vírus e ferramentas de hackers; Detecção heurística de vírus desconhecidos; Integração automática com o Aker Firewall, Aker Web Gateway e Aker Secure Mail Gateway; Gerenciamento pelo Aker Control Center; Logs detalhados dos vírus e programas maliciosos encontrados;
Figura 628 - Aker Antivírus Module: Esquema de Funcionamento 1.
862
42.4.
O Aker Antivírus Module
O Aker Antivírus Module é instalado juntamente com outros produtos, como por exemplo, o Aker Firewall ou outro produto Aker, herdando funcionalidades comuns como: administração de usuários, visualização de logs, Atualizações, etc. A figura abaixo ilustra o funcionamento dessa instalação:
Figura 629 - Esquema de Funcionamento 3.
Ao tentar fazer downloads pela internet através de uma rede local, o Aker Firewall irá estabelecer uma conexão com o Aker Antivírus Module, enviando os arquivos para que ele faça uma análise, verificando se estes estão infectados ou não. Depois de analisados, o Aker Antivírus Module comunicará ao Firewall que irá bloquear ou liberar, dependendo da resposta que lhe foi dada, reportando ao usuário que está conectado na rede local na qual se deseja fazer o download (nesse exemplo está sendo utilizado o Firewall, mas poderia ser outro produto Aker, como o Aker Web Gateway).
42.5.
Configurando o Aker Antivírus Módulo
O Aker Antivírus Module é gerenciado remotamente através do Aker Control Center, que é um Framework integrado de gerência multiplataforma e que controla, a partir de um ponto central, todas as soluções Aker. Para facilitar a identificação visual de diferentes dispositivos, é possível personalizar os ícones e cores de apresentação dos componentes do Aker Control Center. 863
Desta maneira, o Administrador pode realizar diferentes arranjos dentro da tela, escolhendo uma determinada cor para o mesmo grupo de aplicativos, ou alterando os ícones conforme a região em que o objeto administrado se encontra. Para realizar a customização deve-se ter um dispositivo do Aker Antivírus Module cadastrado no Aker Control Center. Para cadastrar um dispositivo: Se a janela “Dispositivos Remotos” não estiver visível, clique no menu “Janelas” do Control Center e escolha a opção que possui o nome “Janelas”. Marque a opção “Dispositivos Remotos”. A utilização do Aker Control Center é bastante útil na configuração e manutenção do Aker Antivírus Module, tendo em vista sua interface amigável e facilidade de manuseio. O produto pode ser totalmente configurado e administrado remotamente.
Figura 630 –Antivírus.
Selecionar o Aker Firewall e escolher o item Antivírus. O Aker Antivírus Module fornece uma interface para configuração e controle dos partners engines (parceiros). Esses parceiros são fornecidos por terceiros. Atualmente é utilizado o PANDA. O usuário terá acesso ao parceiro quando adquirir a licença de uso do produto, isto é, ele irá optar em usar o software de sua preferência.
864
42.6.
Configurações
Para ter acesso a janela de Configurações do Aker Antivirus module, deve-se:
Figura 631 - Opções de Configuração do Aker Antivírus Module.
Clicar no menu Antivirus na janela do firewall que queira administrar. Escolha o item Configurações. A janela Configurações
Esta janela possui as opções de configurações especificas do Partner Engine, atualmente em uso. Como cada Partner Engine possui recursos e opções específicas do produto, as opções de varredura de vírus variam de parceiro para parceiro.
865
Aba Configurações Avançadas
Figura 632 – Configurações avançadas.
Na aba de Configurações Avançadas podemos configurar as seguintes opções: Caminho do Diretório Temporário: É o local onde o Aker Antivírus Module irá armazenar os arquivos para realizar a checagem. Idioma do Servidor: Permite configurar qual o idioma o servidor gera logs. As opções são "pt-br" e "en-us"; Opções de análise: Permite configurar as opções de análise utilizadas pelo parceiro;
866
42.7.
Informações do Engine
Menu para apresentar as informações a respeito da versão atual do produto: As seguintes informações são apresentadas:
Figura 633 - Menu “Informações do Engine”
Dados do Aker Engine:
Versão: Versão do produto Aker Antivírus Module; Data de Compilação: Data da compilação do Aker Antivírus Module.
Essas informações são muito importantes para o administrador verificar se o seu produto está atualizado com a última versão existente na página da Aker www.aker.com.br. Informações do Engine: Fornecedor: Nome do Fornecedor do Engine de Antivírus do produto Aker Antivírus Module; Versão: Versão do Engine do parceiro (Panda); 867
Número de malwares conhecidos: Quantidade de malwares conhecidos (irá variar de acordo com a data da última atualização de assinaturas); Data da base de assinaturas: Data da última base de assinaturas instalada no produto; Marca Registrada: Informações de marca registrada do produto. No caso do parceiro PANDA, essa janela mudará apenas as informações do engine como: Fornecedor, versão, quantidade de malwares conhecidos, data da base de assinaturas e marca registrada. Observa-se também que o logo do produto e a marca localizada na parte inferior da janela será a do parceiro aplicado. Conforme demonstrado abaixo:
42.8.
Gerenciamento de atualizações
Ao contrário da janela “Atualização do Servidor”, o menu “Gerenciamento de Atualizações” trata das atualizações de assinaturas de malwares. É nesse menu que serão configuradas as opções de como as atualizações serão automatizadas.
Figura 634 – Gerenciamento de atualizações.
868
A opção é composta de duas abas: Aba Configuração de Proxy
Figura 635 - Menu “Gerenciamento de atualizações” – “Configuração de Proxy”
A atualização das assinaturas é feita por meio da Internet. Para isso, o sistema precisa ter acesso a Rede Mundial de Computadores para realizar o download das assinaturas. Se para acessar a Internet, o Aker Antivírus Module precisar utilizar ou se autenticar em algum proxy, as informações necessárias para permitir esse acesso serão configuradas nessa aba. Habilitar o Servidor Proxy: Ao selecionar esta opção irá habilitar os campos Proxy e Porta. o Proxy: Permite entrar com o endereço IP do servidor. o Porta: Permite selecionar a porta utilizada na operação.
869
o Habilitar a Autenticação de Proxy: Ao clicar nesta opção será permitido autenticar-se no Proxy, cadastrando um usuário e uma senha. o Usuário: Neste campo deve se inserir o nome do usuário que irá se autenticar no Proxy. o Senha: Permite definir uma senha para poder se autenticar. o Confirmação: É necessário confirmar a senha, digitando-a novamente.
Aba Atualização da Base de Vírus
Figura 636 - Menu “Gerenciamento de Atualizações” -> “Atualização da base de vírus”
Aba com as configurações referentes às opções de atualização da base de vírus: o Intervalo de atualização: Pode ser escolhido a atualização automática entre as opções:
870
Dias específicos: Permite escolher a hora e o dia da semana que a atualização automática será realizada; Toda hora: A cada hora a atualização automática será realizada; o Hora da Atualização: Caso a opção de "Dias específicos" seja selecionada, informamos qual será o horário para essa atualização. o Dias da semana: Caso a opção de "Dias específicos" seja selecionada, informamos quais os dias será realizada essa atualização. o Atualizar agora: Caso esse botão seja selecionado, o produto irá efetuar uma atualização da base de assinaturas de vírus imediatamente.
871
Apêndice A – Mensagens do Sistema
872
43.
Apêndice A – Mensagens do sistema Neste apêndice estão listadas as mensagens do sistema.
43.1.
Mensagens do log do Firewall
Todas as mensagens abaixo podem aparecer no log do firewall. Sempre que ocorrerem, elas estarão precedendo um registro que contém as informações sobre o pacote que as produziu. Na coluna "N." que fica ao lado esquerdo da tela está sendo mostrado o número correspondente a cada uma das mensagens. 000 - Pacote fora das regras Não possui mensagem associada. 001 - Possível ataque de fragmentação Esta mensagem indica que o filtro de pacotes recebeu um pacote TCP fragmentado no header TCP, possivelmente originado de uma tentativa de um ataque de fragmentação como Teardrop ou Ping da Morte (PoD). Para maiores informações veja RFC 1858. 002 - Pacote IP direcionado Esta mensagem indica que filtro de pacotes recebeu um pacote IP com uma das seguintes opções: Record Route, Loose Routing ou Strict Routing e ele foi configurado de modo a não aceitar pacotes IP direcionados. Para maiores informações veja RFC 791. 003 - Ataque de land Um ataque de land consiste em simular uma conexão de uma porta com ela mesma. Isto provoca o travamento da máquina atacada em boa parte das implementações TCP/IP. Esta mensagem indica que o filtro de pacotes recebeu um pacote cujo endereço de origem é igual ao endereço destino e cuja porta de origem é igual à porta destino, caracterizando um ataque deste tipo. 004 - Conexão não consta na tabela dinâmica Esta mensagem indica que o firewall recebeu um pacote TCP que não era de abertura de conexão e estava endereçado para uma conexão não aberta. Isto pode
873
ser causado por um ataque ou simplesmente por uma conexão que ficou inativa por um tempo superior ao tempo limite para conexões TCP. 005 - Pacote proveniente de interface inválida Esta mensagem indica que o filtro de pacotes recebeu um pacote IP proveniente de uma interface diferente da especificada na regra de filtragem na qual ele se encaixou. Isto pode ser causado por um ataque de falsificação de endereços IP (IP spoofing) ou por uma configuração errada de uma regra de filtragem. 006 - Pacote proveniente de interface não determinada Esta mensagem indica que o filtro de pacotes recebeu um pacote, mas não conseguiu determinar a interface de origem do mesmo. Como na regra de filtragem correspondente, está especificada uma interface, o pacote foi rejeitado. Esta mensagem provavelmente nunca será mostrada. 007 - Conexão de controle não está aberta Esta mensagem indica que o firewall recebeu um pacote de uma conexão de dados (de algum protocolo que utilize mais de uma conexão, como por exemplo, o FTP e o Real Áudio/Real Vídeo) e a conexão de controle correspondente não estava aberta. 008 - Flags TCP do pacote são inválidos Esta mensagem indica que o Firewall recebeu um pacote TCP cujos flags estavam inválidos ou contraditórios (por exemplo, SYN e FIN no mesmo pacote). Isto pode caracterizar um ataque ou uma implementação de TCP/IP defeituosa. 009 - Número de sequência do pacote TCP inválido Esta mensagem indica que o Firewall recebeu um pacote TCP cujo número de sequência estava fora dos valores esperados. Isto pode caracterizar um ataque. 010 - Possível ataque de SYN Flood Esta mensagem é gerada pelo Firewall todas as vezes que uma conexão é iniciada para um dos endereços protegidos contra SYN flood e a conexão não foi realizada dentro do prazo máximo estabelecido pelo administrador. Se esta mensagem ocorrer isoladamente, ou com pouca incidência, então provavelmente o intervalo de tempo configurado na proteção contra SYN flood (ver o capítulo de Proteção contra SYN Flood) está muito pequeno. Caso ela apareça várias vezes seguidamente, provavelmente um ataque de SYN flood foi repelido pelo Firewall. 011 - Pacote sem informação de autenticação Esta mensagem indica que o pacote em questão veio sem header de autenticação e a configuração do fluxo seguro correspondente indica que ele só deveria ser aceito autenticado (ver o capítulo intitulado Criando Canais de Criptografia). Isto pode ser causado por uma configuração errada nos fluxos de autenticação 874
(possivelmente só configurando em um dos lados da comunicação) ou por uma tentativa de ataque de falsificação de endereços IP (IP spoofing). Para maiores informações consultar às RFC's 1825 e 1827. 012 - Pacote não passou pela autenticação Esta mensagem indica que o pacote em questão não foi validado com sucesso pelo módulo de autenticação do Firewall. Isto pode ser causado por uma configuração de chaves de autenticação inválida, por uma alteração indevida no conteúdo do pacote durante o seu trânsito ou por uma tentativa de ataque de falsificação de endereços IP (IP spoofing). Para maiores informações veja as RFCs 1825 e 1827. 013 - Pacote sem informação de criptografia Esta mensagem indica que pacote em questão não veio criptografado e a configuração do fluxo seguro correspondente indica que ele deveria vir (ver o capítulo intitulado Criando Canais de Criptografia). Isto pode ser causado por uma configuração errada nos fluxos de criptografia (possivelmente só configurando em um dos lados da comunicação) ou por uma tentativa de ataque de falsificação de endereços IP (IP spoofing). Para maiores informações consultar às RFC's 1825 e 1827. 014 - Tamanho do pacote a ser decriptado inválido Esta mensagem indica que o módulo de criptografia detectou um tamanho do pacote a ser decriptado incompatível com o algoritmo de criptografia correspondente. Isto provavelmente é causado por uma configuração errada nos fluxos de criptografia. 015 - Decriptação do pacote apresentou erro Esta mensagem indica que o módulo de criptografia, após desencriptar o pacote e realizar os testes de consistência no mesmo, detectou que o mesmo é inválido. Isto provavelmente é causado por uma configuração errada da tabela de criptografia ou por um possível ataque de falsificação de endereços IP (IP spoofing). 016 - Tipo de encapsulamento do pacote inválido Esta mensagem indica que o módulo de criptografia não reconheceu o tipo de encapsulamento usado neste pacote. Isto pode ser causado por uma falha na decriptação do pacote (devido a senhas erradas) ou por ter sido usado um tipo de encapsulamento não suportado. O Aker Firewall trabalha exclusivamente com encapsulamento em modo de túnel, não aceitando outros modos, por exemplo, modo de transporte. 017 - Pacote sem informações de SKIP Esta mensagem indica que o pacote em questão não veio com um header SKIP e a configuração do fluxo seguro correspondente indica que ele deveria vir. Isto provavelmente é causado por uma configuração errada na tabela de criptografia 875
onde um dos lados está configurado para usar SKIP ou Aker-CDP e o outro não (ver o capítulo intitulado Criando Canais de Criptografia). 018 - SA para o pacote não contém informações SKIP Esta mensagem indica que o módulo de criptografia recebeu um pacote com um header SKIP e a associação de segurança (SA) correspondente não possui informações sobre SKIP (ver o capítulo intitulado Criando Canais de Criptografia). Isto provavelmente é causado por uma configuração errada na tabela de criptografia onde possivelmente um dos lados está configurado para usar SKIP ou Aker-CDP e o outro não. 019 - Versão do protocolo SKIP inválida Esta mensagem indica que a versão do protocolo SKIP indicada no pacote em questão é diferente da versão suportada. O Aker Firewall implementa a versão 1 do protocolo SKIP. 020 - Valor do contador do protocolo SKIP inválido O protocolo SKIP envia em cada pacote um contador, que é incrementado de hora em hora, com o objetivo de evitar ataques de repetição de sequência. Esta mensagem indica que o contador recebido no pacote em questão é inválido. Isto pode ter duas causas distintas: ou relógio interno dos dois firewalls se comunicando está defasado em mais de uma hora ou ocorreu uma tentativa de ataque de repetição de sequência. 021 - SPI inválido para autenticação com SKIP Esta mensagem indica que foi recebido um pacote SKIP cujo número de SPI especificado no cabeçalho de autenticação era inválido (o protocolo SKIP exige que o número do SPI utilizado seja 1). 022 - Próximo protocolo do cabeçalho SKIP inválido Esta mensagem indica que o protocolo seguinte ao cabeçalho SKIP do pacote em questão não é suportado (o Aker Firewall exige que após o cabeçalho SKIP venha o cabeçalho de autenticação). 023 - Algoritmo de autenticação do SKIP inválido Esta mensagem indica que o algoritmo de autenticação especificado no cabeçalho SKIP não é suportado (o Aker Firewall somente suporta os algoritmos de autenticação MD5 e SHA-1).
024 - Algoritmo de criptografia do SKIP inválido 876
Esta mensagem indica que o algoritmo de criptografia especificado no cabeçalho SKIP não é suportado (o Aker Firewall somente suporta os algoritmos de criptografia DES, Triplo DES e Blowfish, com 128 e 256 bits de chaves). 025 - Algoritmo de criptografia de chave SKIP inválido Esta mensagem indica que o algoritmo de criptografia e separação de chaves especificado no cabeçalho SKIP não é suportado (o Aker Firewall somente suporta os algoritmos DES, com MD5 como separador de chaves, Triplo DES, com MD5 como separador de chaves e Blowfish, com MD5 como separador de chaves). 026 - Algoritmo de compressão de dados não suportado Esta mensagem indica que o algoritmo de compressão de dados especificado no cabeçalho SKIP não é suportado (o Aker Firewall não suporta nenhum algoritmo de compressão de dados, uma vez que estes ainda não estão padronizados). 027 - Identificador de espaço de nome de origem inválido O protocolo SKIP permite que sejam utilizados outros espaços de nomes, que não endereços IP, para selecionar a associação de segurança correspondente (SA). O espaço de nome pode ser especificado para a origem e/ou para o destino. Esta mensagem indica que o espaço de nome de origem não é suportado (o Aker Firewall somente suporta endereços IP como espaço de nome). 028 - Identificador de espaço de nome de destino inválido O protocolo SKIP permite que sejam utilizados outros espaços de nomes, que não endereços IP, para selecionar a associação de segurança correspondente (SA). O espaço de nome pode ser especificado para a origem e/ou para o destino. Esta mensagem indica que o espaço de nome de destino não é suportado (o Aker Firewall somente suporta endereços IP como espaço de nome). 029 - Versão do protocolo Aker-CDP inválida Esta mensagem indica que o Firewall recebeu um pacote do protocolo Aker-CDP com versão inválida. 030 - Tamanho do pacote para protocolo Aker-CDP inválido Esta mensagem indica que o Firewall recebeu um pacote do protocolo Aker-CDP com tamanho inválido.
031 - Autenticação de pacote de controle Aker-CDP inválida
877
Esta mensagem indica que o Firewall recebeu um pacote de controle do protocolo Aker-CDP com autenticação inválida. A causa provável é uma modificação do pacote durante o trânsito ou uma possível tentativa de ataque. 032 - Número de licenças do firewall atingido O Aker Firewall é vendido em diferentes faixas de licenças, de acordo com o número de máquinas da(s) rede(s) interna(s) a serem protegidas. Esta mensagem indica que o firewall detectou um número de máquinas internas maior que o número de licenças adquiridas e devido a isso impediu que as máquinas excedentes abrissem conexões através dele. Solução: Contate a Aker Security Solutions ou seu representante autorizado e solicite a aquisição de um maior número de licenças. 033 - Pacote descartado por uma regra de bloqueio IDS Esta mensagem indica que o Firewall recebeu um pacote que se enquadrou em uma regra temporária acrescentada pelo agente de detecção de intrusão e devido a isso, foi descartado (para maiores informações veja o capítulo intitulado Configurando o IPS/IDS). 034 - Header AH com formato incorreto (campo: length) Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia IPSEC que tem informações de autenticação no protocolo AH com tamanho incorreto. Veja a RFC 2402. 035 - Tunelamento AH e ESP simultâneos não permitido Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia IPSEC duplamente tunelado (via ESP e AH). Isto não é permitido. 036 - SA para este pacote não foi negociada Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia IPSEC para um canal não negociado. 037 - Padding exigido muito grande Esta mensagem indica que o Firewall calculou um tamanho de preenchimento para o protocolo ESP maior que o permitido. Provavelmente o tamanho de bloco do algoritmo de criptografia é demasiado grande.
038 - Tamanho de padding decifrado incorreto 878
Esta mensagem indica que o firewall decifrou um pacote que dizia ser maior do que efetivamente é, via criptografia IPSEC. Provavelmente o pacote está corrompido ou houve erros na troca de chaves. 039 - Erro iniciando autenticação para o algoritmo especificado Esta mensagem indica que o Firewall não conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o algoritmo de autenticação está com defeito. 040 - Erro finalizando autenticação com o algoritmo escolhido Esta mensagem indica que o Firewall não conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o algoritmo de autenticação está com defeito. 041 - Final de conexão Esta mensagem é apenas um registro de final de conexão e não deve aparecer normalmente no log do firewall. 042 - Limite configurado de conexões a partir do endereço IP excedido Esta mensagem ocorre quando o limite máximo de conexões configurado pelo módulo de proteção contra flood tiver sido atingido. Para verificar a configuração deste módulo consulte a Proteção de Flood. 043 - Tempo limite de conexão atingido Esta mensagem ocorre durante a filtragem dos pacotes, informa que uma conexão foi retirada da tabela de conexões, pois o seu tempo limite de ociosidade foi atingido.
43.2.
Mensagens dos eventos do Firewall
055 - Firewall Aker v6.5 - Inicialização completa Esta mensagem tem caráter puramente informativo, servindo para determinar os horários que o Firewall entrou em funcionamento. Ela será produzida a cada reinicialização da máquina. 056 - Erro de alocação de memória Esta mensagem indica que algum módulo do Firewall tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com pouca memória RAM utilizando conversão de endereços com um grande número de conexões simultâneas ou com um grande número de conexões ativas passando pelos proxies do firewall. 879
Solução: Adquira mais memória RAM ou aumente as partições de swap. 057- Tabela de conversão TCP cheia A tabela de conversão de endereços TCP encheu. A única solução para esse problema é diminuir o Tempo limite TCP nos parâmetros de configuração. Para maiores informações veja o capítulo Configurando os parâmetros do sistema. 058 - Tabela de conversão UDP cheia A tabela de conversão de endereços UDP encheu. A única solução para esse problema é diminuir o Tempo limite UDP nos parâmetros de configuração. Para maiores informações veja o capítulo Configurando os parâmetros do sistema. 059 - Tabela de conexões de TCP cheia O módulo de criptografia detectou um algoritmo de autenticação inválido na associação de segurança quando realizava a criptografia de um pacote. 060- Algoritmo de autenticação inválido O módulo de criptografia detectou um algoritmo de autenticação inválido na associação de segurança quando realizava a criptografia de um pacote. Solução: Contate o suporte técnico 061 - Algoritmo de criptografia inválido O módulo de criptografia detectou um algoritmo de criptografia inválido na associação de segurança quando realizava a criptografia de um pacote. Solução: Contate o suporte técnico 062 - Dados inválidos recebidos pela carga do Firewall Esta mensagem indica que foram enviados dados inválidos para os módulos do Firewall que rodam dentro do kernel do Linux. Os dados inválidos devem necessariamente ter sido produzidos por um programa rodando na máquina do firewall. Solução: Procure verificar qual programa produz esta mensagem ao ser executado e não o execute mais.
063- Erro ao ler o arquivo de parâmetros
880
Esta mensagem é produzida por qualquer um dos módulos externos ao tentar ler o arquivo de parâmetros do sistema e constatar que este não existe ou não pode ser lido. Solução: Reinicialize a máquina, que o programa de inicialização irá recriar o arquivo de parâmetros. Se isso não funcionar, contate o suporte técnico. 064- Erro ao carregar perfis de acesso Esta mensagem indica que o servidor de autenticação ou o servidor de login de usuários não conseguiu carregar a lista de perfis de acesso cadastrados no sistema. Solução: Contate o suporte técnico. 065 - Erro ao carregar entidades Esta mensagem indica que algum processo servidor do firewall não conseguiu carregar a lista de entidades cadastradas no sistema. Solução: Contate o suporte técnico. 066- Nome de perfil de acesso inválido Esta mensagem indica que o servidor de autenticação ao procurar o perfil de acesso de um usuário constatou que o mesmo não se encontra cadastrado no sistema. Solução: Contate o suporte técnico. 067 - Erro ao criar socket de conexão Esta mensagem indica que algum dos módulos externos tentou criar um socket e não conseguiu. Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número total para o sistema. Se necessário aumente estes valores. Para maiores informações de como fazer isso, contate o suporte técnico. 068 - Tamanho da linha excessivo Esta mensagem indica que algum proxy do Aker Firewall recebeu uma linha com um número excessivo de caracteres e devido a isso, derrubou a conexão. A informação complementar entre parênteses indica o endereço IP da máquina que causou o problema. Solução: Esta mensagem é causada por um servidor ou cliente fora dos padrões das RFCs. A única solução possível para o problema é contatar o administrador da máquina causadora da mensagem. 069 - Erro ao carregar contexto 881
Esta mensagem indica que um dos proxies transparentes não conseguiu carregar o contexto especificado. Solução: Contate o suporte técnico. 070 - Erro ao carregar tabela de criptografia Esta mensagem indica que um dos servidores do firewall não conseguiu carregar a tabela de criptografia. Solução: Contate o suporte técnico. 071 - DNS reverso não configurado Esta mensagem é produzida por algum dos proxies se ele tiver sido configurado para somente receber conexões a partir de máquinas com DNS reverso válido e não tiver conseguido resolver o nome para o endereço IP de origem de uma conexão. A mensagem complementar indica o endereço IP de origem da conexão. 072 - DNS direto e reverso conflitantes Quando um proxy do Firewall é configurado para somente aceitar conexões a partir de máquinas com DNS reverso válido, ele utiliza uma técnica que consiste em tentar resolver o nome para o endereço IP de origem da conexão. Caso ele não consiga, ele indica erro mostrando a mensagem anterior e não permite a realização da conexão. Caso resolva o nome, ele faz outra pesquisa de DNS a partir do nome retornado, buscando seu endereço IP. Se ele não conseguir realizar esta segunda pesquisa ou se o endereço IP retornado for diferente do endereço de origem, a conexão é abortada e esta mensagem é produzida. 073 - Possível ataque de simulação de protocolo Esta mensagem indica que o firewall durante o monitoramento de uma sessão de algum protocolo com várias conexões (por exemplo, FTP e Real Áudio / Real Vídeo) detectou uma tentativa de abertura de conexão para uma porta menor que 1024 ou para um endereço diferente do esperado. Isso provavelmente é causado por um ataque ou por uma implementação defeituosa do protocolo. A mensagem complementar indica os endereços de origem e destino da conexão. 074 - Comando inválido Esta mensagem indica que um dos proxies recebeu um comando considerado inválido da máquina cliente e devido a isso não o repassou para o servidor. As mensagens complementares indicam qual o comando que tentou ser executado e quais as máquinas de origem e destino (no caso de proxy transparente) da conexão. 075 - Mensagem SMTP aceita
882
Esta mensagem indica que o proxy SMTP transparente aceitou uma mensagem e a enviou para o servidor. A mensagem complementar indica quais as máquinas de origem e destino da conexão e quem são o remetente e o destinatário, da mensagem. Formato do evento para exportação: DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> Mensagem SMTP aceita <email_origem> <email_destino> <ip_origem> <ip_destino> <tamanho_da_mensagem> <nome_regra> 076 - Mensagem SMTP rejeitada Esta mensagem indica que o proxy SMTP transparente rejeitou uma mensagem recebida. Isto foi causado por ter a mensagem, se encaixado em algum filtro que indicava que ela deveria ser rejeitada ou por ter um tamanho maior que o tamanho máximo permitido. Formato do evento para exportação:
DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> Mensagem SMTP rejeitada <email_origem> <email_destino> <ip_origem> <ip_destino> <tamanho_da_mensagem> <nome_regra> 077 - Conexão SMTP bloqueada por regra de DNS Esta mensagem indica que o proxy SMTP bloqueou uma conexão devido a uma regra do DNS. Para mais informações leia o capítulo intitulado Configurando o proxy SMTP. 078 - Conexão SMTP bloqueada por RBL Esta mensagem indica que o proxy SMTP bloqueou uma conexão devido ao servidor SMTP de origem estar inscrito em uma lista negra de spammers. 079 - Conexão SMTP recusada pelo servidor ou servidor fora do ar Esta mensagem indica que o proxy SMTP tentou uma conexão com o servidor SMTP de destino, porém o mesmo pode ter recusado ou esta fora do ar. Verifique se o servidor destino esta no ar realizando um telnet na porta 25 do mesmo. 080 - Cliente SMTP enviou linha de tamanho excessivo O cliente SMTP enviou uma linha de tamanho muito grande que não pode ser tratada pelo proxy SMTP. Verifique se o cliente segue a padronização da RFC ou ajuste o mesmo para tal. 081 - Cliente SMTP fechou conexão 883
O cliente SMTP fechou inesperadamente a conexão. Isto pode ter acontecido por intervenção do próprio usuário ou por problemas do cliente. Normalmente as conexões são restabelecidas automaticamente. 082 - Servidor SMTP enviou linha de tamanho excessivo O servidor SMTP enviou uma linha de tamanho muito grande que não pode ser tratada pelo proxy SMTP. Verifique se o servidor segue a padronização da RFC ou ajuste o mesmo para tal. 083 - Servidor SMTP fechou conexão O servidor SMTP fechou inesperadamente a conexão. Isto pode ter acontecido por problemas de trafego excessivo ou erro no próprio servidor. Normalmente as conexões são restabelecidas automaticamente. Se o problema esta ocorrendo com frequência tente aumentar os tempos de negociação do protocolo SMTP no proxy. 084 - Servidor SMTP acusou erro Esta mensagem indica que o servidor SMTP considerou uma das transações SMTP errada. 085 - Endereço de e-mail inválido enviado pelo cliente SMTP Esta mensagem indica que o cliente SMTP não forneceu um endereço de e-mail em formato válido. 086 - Tentativa de relay não permitido bloqueada Esta mensagem indica que uma tentativa de relay foi bloqueada pelo firewall. Verifique o capítulo Editando os parâmetros de um contexto SMTP para liberar domínios permitidos para relay. 087 - Falta de espaço (disco cheio) para analisar mensagem Esta mensagem indica que o disco rígido do firewall está cheio. Tente esvaziar os arquivos de logs ou aumentar a capacidade do disco para o firewall poder analisar a mensagem. 088 - Mensagem estourou tamanho máximo permitido Esta mensagem indica que a mensagem SMTP ultrapassou o tamanho máximo permitido. Verifique o capítulo Editando os parâmetros de um contexto SMTP para aumentar o tamanho de recebimento da mensagem.
089 - Mensagem com erro de sintaxe
884
Esta mensagem indica que a mensagem SMTP estava com erro de sintaxe dos comandos SMTP. Geralmente programas de spammers fazem com que este erro aconteça. 090 - Anexo com vírus removido Esta mensagem indica que um anexo da mensagem continha vírus e foi removido. O complemento da mensagem indica quem é o remetente e o destinatário da mensagem, assim como o nome do vírus encontrado. 091 - Anexo removido Esta mensagem indica que um anexo da mensagem foi removido. O complemento da mensagem indica quem são o remetente e o destinatário da mensagem. 092 - Mensagem descartada por causa de seu anexo Esta mensagem indica que uma mensagem tinha um anexo inaceitável (veja suas regras) e foi bloqueada pelo proxy SMTP do Firewall. O complemento da mensagem indica quem são o remetente e o destinatário da mensagem. 093 - Anexo continha vírus e foi desinfectado Esta mensagem indica que um anexo da mensagem continha vírus e foi desinfectado. O complemento da mensagem indica quem são o remetente e o destinatário da mensagem, assim como o nome do vírus encontrado. 094 - Anexo incorretamente codificado (mensagem defeituosa) Esta mensagem indica que um anexo de mensagem está incorretamente codificado, ou seja, apresenta erro na codificação do tipo MIME. Normalmente este arquivo pode ser descartado pelo firewall caso o administrador configure a opção desejada. Para mais informações leia o capítulo intitulado Configurando o proxy SMTP. 095 - URL aceita Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL feito por um usuário. A mensagem complementar entre parênteses indica o nome do usuário que fez a requisição. A linha de mensagem seguinte indica o endereço IP da máquina da qual a requisição se originou e a terceira linha indica qual URL foi acessada. Esta mensagem somente será produzida para URLs do protocolo HTTP quando elas resultarem em código HTML. Para os protocolos FTP e Gopher, ela será gerada para cada requisição aceita, independente do seu tipo.
Formato do evento para exportação: 885
DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> URL Aceita <usuário> <perfil> <ip_origem> <url> 096 - Download de arquivo local aceito Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL feito por um usuário. A mensagem complementar entre parênteses indica o nome do usuário que fez a requisição. A linha de mensagem seguinte indica o endereço IP da máquina da qual a requisição se originou e a terceira linha indica qual URL foi acessada. Esta mensagem se refere a um arquivo armazenado localmente no firewall, que foi requisitado utilizando-se o Filtro Web como um servidor WEB. 097 - URL rejeitada Esta mensagem indica que o Filtro Web rejeitou um pedido de uma URL feito por um usuário. A mensagem complementar entre parênteses indica o nome do usuário que fez a requisição. A linha de mensagem seguinte indica o endereço IP da máquina da qual a requisição se originou e a terceira linha indica qual URL que o usuário tentou acessar. Formato do evento para exportação: DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> URL Aceita <usuário> <perfil> <ip_origem> <url> 098 - Banner removido Esta mensagem indica que o Filtro Web substitui uma requisição por uma imagem em branco, visto que a URL se encaixou nas regras de filtragem de banners. A mensagem complementar entre parênteses indica o nome do usuário que fez a requisição. A linha de mensagem seguinte indica o endereço IP da máquina da qual a requisição se originou e a terceira linha indica qual URL que o usuário tentou acessar. 099 - Java Removido O Proxy HTTP encontrou uma linha de código Java e foi removida. 100 - Javascritp Removido O Proxy HTTP encontrou uma linha de código Javascript e foi removida. 101 - ActiveX Removido O Proxy HTTP encontrou um objeto ActiveX que foi removido. 102 - Pacote fora das regras do proxy SOCKS 886
Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de abertura de conexão TCP ou de envio de pacote UDP e a mesma não se encaixou em nenhuma regra de filtragem do perfil de acesso correspondente. Devido a isso a solicitação foi recusada. As mensagens complementares indicam o nome do usuário que enviou a requisição (se a autenticação de usuários estiver habilitada), o endereço do cliente, o endereço destino da requisição e seu protocolo. 103 - Pacote UDP aceito pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de envio de um pacote UDP e o mesmo foi enviado, devido à existência de uma regra no perfil de acesso correspondente indicando que o proxy poderia fazê-lo. As mensagens complementares indicam o nome do usuário que enviou o pacote (se a autenticação de usuários estiver habilitada), o endereço do cliente e o endereço destino. 104 - Pacote UDP recusado pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de envio de um pacote UDP e o mesmo foi recusado, devido à existência de uma regra no perfil de acesso correspondente indicando que o proxy não deveria aceitar tal requisição. As mensagens complementares indicam o nome do usuário que tentou enviar o pacote (se a autenticação de usuários estiver habilitada), o endereço do cliente e o endereço destino. 105 - Conexão TCP estabelecida através do proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de estabelecimento de uma conexão TCP e a mesmo foi estabelecida, devido à existência de uma regra no perfil de acesso correspondente indicando que o proxy poderia fazê-lo. As mensagens complementares indicam o nome do usuário que estabeleceu a conexão (se a autenticação de usuários estiver habilitada), o endereço do cliente e o endereço para o qual a conexão foi estabelecida. 106 - Conexão TCP finalizada através do proxy SOCKS Essa mensagem é gerada todas as vezes que uma conexão TCP é finalizada através do proxy SOCKS. As mensagens complementares indicam o nome do usuário que havia estabelecido à conexão (se a autenticação de usuários estiver habilitada), o endereço do cliente e o endereço para o qual a conexão foi estabelecida. 107 - Conexão TCP recusada pelo proxy SOCKS 887
Essa mensagem indica que o proxy SOCKS recebeu uma solicitação de estabelecimento de uma conexão TCP e a mesmo foi recusada, devido à existência de uma regra no perfil de acesso correspondente indicando que o proxy não deveria aceitar tal conexão. As mensagens complementares indicam o nome do usuário que solicitou a conexão (se a autenticação de usuários estiver habilitada), o endereço do cliente e o endereço de destino. 108 - Dados incorretos recebidos pelo proxy SOCKS Essa mensagem é gerada quando o proxy SOCKS recebe dados do cliente em desacordo com a especificação do protocolo SOCKS. Exemplos de dados inválidos podem ser uma versão do protocolo diferente de 4 ou 5, um endereço destino em branco, entre outros. 109 - Erro ao comunicar com servidor de autenticação Esta mensagem indica que um dos proxies não conseguiu se comunicar com o servidor de autenticação quando tentou realizar a autenticação de um usuário. Devido a isso, o usuário não foi autorizado a continuar e a sua conexão foi recusada. Solução: Verifique se o processo do servidor de autenticação está ativo no firewall. Para fazer isso, execute o comando #ps -ax | grep fwauthd | grep -v grep. Caso o processo não apareça, execute-o com o comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este problema voltar a ocorrer, contate o suporte técnico. 110 - Erro ao conectar com agente de autenticação Esta mensagem indica que o servidor de autenticação não conseguiu se conectar ao agente de autenticação que estaria rodando em uma determinada máquina. A mensagem complementar indica o nome do agente de autenticação que não pode ser conectado e o endereço IP que ele supostamente estaria rodando. Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está correto na definição do autenticador (para maiores informações, veja o capítulo intitulado Cadastrando Entidades) e que o agente está realmente sendo executado na máquina em questão.
111 - Erro de comunicação com agente de autenticação Esta mensagem indica que o servidor de autenticação conseguiu se conectar ao agente de autenticação, porém não conseguiu estabelecer uma comunicação. A mensagem complementar indica o nome do agente de autenticação que provocou o problema. 888
Solução: Verifique se a senha de acesso na definição do autenticador está igual à senha colocada na configuração do agente de autenticação. Para maiores informações, veja o capítulo intitulado Cadastrando Entidades. 112 - Erro ao conectar com agente IDS Esta mensagem indica que o firewall não conseguiu se conectar ao agente IDS que estaria rodando em uma determinada máquina. A mensagem complementar indica o nome do agente IDS que não pode ser conectado e o endereço IP que ele supostamente estaria rodando. Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está correto na definição da entidade (para maiores informações, veja o capítulo intitulado Cadastrando Entidades) e que o agente está realmente sendo executado na máquina em questão. 113 - Erro de comunicação com agente IDS Esta mensagem indica que o firewall conseguiu se conectar ao agente IDS, porém não conseguiu estabelecer uma comunicação. A mensagem complementar indica o nome do agente IDS que provocou o problema e o endereço IP da máquina onde ele está rodando. Solução: Verifique se a senha de acesso na definição da entidade está igual à senha colocada na configuração do agente IDS. Para maiores informações, veja o capítulo intitulado Cadastrando Entidades. 114 - Regra de bloqueio temporária acrescentada Esta mensagem indica que uma regra de bloqueio temporária foi inserida no firewall. Como dados complementares são mostrados o módulo que inseriu a regra temporária (IDS, Portscan, etc) e no caso do IDS interno, a razão pela qual a máquina foi bloqueada. 115 - Erro de conexão com o servidor Spam Meter Esta mensagem indica que o firewall não conseguiu se conectar ao Spam Meter que estaria rodando em uma determinada máquina. A mensagem complementar indica o nome do servidor que não pode ser conectado e o endereço IP que ele supostamente estaria rodando. Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está correto na definição da entidade (para maiores informações, veja o capítulo intitulado Cadastrando Entidades) e que o Spam Meter está realmente sendo executado na máquina em questão. 116 - Erro de comunicação com o servidor Spam Meter Esta mensagem indica que o firewall conseguiu se conectar ao Spam Meter, porém não conseguiu estabelecer uma comunicação. A mensagem complementar indica o 889
nome de o agente Spam Meter que provocou o problema e o endereço IP da máquina onde ele está rodando. Solução: Verifique se a senha de acesso na definição da entidade está igual à senha colocada na configuração do agente Spam Meter. Para maiores informações, veja o capítulo intitulado Cadastrando Entidades. 117 - Erro ao conectar com servidor de antivírus Esta mensagem indica que o firewall não conseguiu se conectar ao servidor de antivírus que estaria rodando em uma determinada máquina. A mensagem complementar indica o nome do servidor que não pode ser conectado e o endereço IP que ele supostamente estaria rodando. Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está correto na definição da entidade (para maiores informações, veja o capítulo intitulado Cadastrando Entidades) e que o agente está realmente sendo executado na máquina em questão. 118 - Erro de comunicação com servidor de antivírus Esta mensagem indica que o firewall conseguiu se conectar ao servidor de antivírus, porém não conseguiu estabelecer uma comunicação. A mensagem complementar indica o nome do agente antivírus que provocou o problema e o endereço IP da máquina onde ele está rodando. Solução: Verifique se a senha de acesso na definição da entidade está igual à senha colocada na configuração do agente antivírus. Para maiores informações, veja o capítulo intitulado Cadastrando Entidades. 119 - Erro ao conectar com Web Content Analyzer Esta mensagem indica que o firewall não conseguiu se conectar ao Web Content Analyzer que estaria rodando em uma determinada máquina. A mensagem complementar indica o nome do analisador que não pode ser conectado e o endereço IP que ele supostamente estaria rodando. Solução: Verifique se o endereço IP da máquina onde o analisador estaria rodando está correto na definição da entidade (para maiores informações, veja o capítulo intitulado Cadastrando Entidades) e que ele está realmente sendo executado na máquina em questão. 120 - Erro de comunicação com Web Content Analyzer Esta mensagem indica que o firewall conseguiu se conectar ao Web Content Analyzer, porém não conseguiu estabelecer uma comunicação. A mensagem complementar indica o nome do analisador que provocou o problema e o endereço IP da máquina onde ele está rodando.
890
Solução: Verifique se a senha de acesso na definição da entidade está igual à senha colocada na configuração do Web Content Analyzer. Para maiores informações, veja o capítulo intitulado Cadastrando Entidades. 121 - Nova máquina detectada no cluster Esta mensagem indica que uma nova máquina foi anexada ao sistema de cluster do firewall. 122 - Máquina participante do cluster fora do ar Esta mensagem indica que uma das máquinas participantes do cluster esta fora do ar. Verifique a situação da máquina de modo a solucionar o problema da mesma. 123 - Pacote de heartbeat inválido Esta mensagem indica que um pacote de verificação do cluster foi recebido incorretamente. Verifique se o segmento de comunicação dos firewall esta funcionando corretamente. 124 - Convergência do cluster completada com sucesso Esta mensagem indica que todos os firewalls do cluster estão funcionando corretamente. 125 - Chave de ativação do firewall repetida Esta mensagem indica que dois firewalls possuem a mesma licença instalada. Para o trabalho dos firewalls cooperativos e necessário que cada um dos firewalls possua a sua própria licença 126 - Falha de autenticação para proxy Esta mensagem indica que um usuário informou uma senha inválida ao tentar autenticar-se em um determinado proxy. As mensagens complementares indicam o nome do usuário e as máquinas de origem e destino (no caso de proxy transparente) da conexão.
127 - Usuário não cadastrado para proxy Esta mensagem indica que um usuário não cadastrado tentou se autenticar em um determinado proxy. A mensagem complementar indica as máquinas de origem e destino (no caso de proxy transparente) da conexão. 128 - Usuário sem permissão para telnet Esta mensagem indica que um usuário se autenticou corretamente no proxy telnet porém não tinha permissão de efetuar a conexão desejada. As mensagens 891
complementares indicam o nome do usuário e as máquinas de origem e destino da conexão. 129 - Sessão telnet estabelecida Esta mensagem indica que um usuário se autenticou corretamente no proxy telnet e tinha permissão para efetuar a conexão desejada. Devido a isso, a conexão foi estabelecida. As mensagens complementares indicam o nome do usuário e as máquinas de origem e destino da conexão. 130 - Sessão telnet finalizada Esta mensagem indica que um usuário se desconectou de uma sessão telnet. As mensagens complementares indicam o nome do usuário e as máquinas de origem e destino da conexão. 131 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos módulos externos tentou enviar informações para os módulos do firewall que rodam dentro do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta indicará quais informações estavam sendo enviadas. Solução: No Linux o comando é lsmod. Deverá aparecer um módulo com o nome aker_firewall_mod. 132 - Erro ao salvar certificados Esta mensagem indica que o firewall não conseguiu salvar alguma lista de certificados de criptografia no disco. Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto pode ser feito através do comando "$df -k". Se este comando mostrar o diretório '/' com 100% de espaço utilizado, então é isto a causa do problema. Caso exista espaço disponível e ainda assim este erro apareça, consulte o suporte técnico.
133 - Erro ao carregar certificados Esta mensagem indica que o firewall não conseguiu carregar alguma lista de certificados de criptografia. Solução: Contate o suporte técnico 134 - Certificado inválido recebido
892
Esta mensagem indica que o servidor de certificados do firewall recebeu um certificado inválido. Isso pode ter uma das seguintes causas:
Assinatura do certificado inválida Entidade certificadora desconhecida Certificado expirado
As mensagens complementares indicam qual destes possíveis erros ocorreu e qual firewall emitiu o certificado inválido. 135 - Certificado recebido e validado corretamente Esta mensagem indica que o servidor de certificados do firewall recebeu um certificado de negociação ou revogação válido. As mensagens complementares indicam que tipo de certificado foi recebido e qual firewall o emitiu. 136 - Requisição de cliente de criptografia inválida Esta mensagem indica que o servidor de certificados recebeu uma requisição de um cliente de criptografia e esta requisição foi considerada inválida. Isso pode ter uma das seguintes causas:
O certificado do firewall foi atualizado e o cliente continua utilizando o certificado antigo. A requisição partiu de uma máquina não autorizada a estabelecer sessão de criptografia com o firewall. As mensagens complementares indicam qual a causa do problema e os endereços da máquina de origem e destino (o destino é o endereço da máquina atrás do firewall com a qual o cliente tentou se comunicar). 137 - Falha de autenticação para criptografia Esta mensagem só é mostrada quando a autenticação de usuários para clientes de criptografia está ativa e indica que um usuário cadastrado em algum autenticador tentou estabelecer uma sessão de criptografia com o firewall, porém sua senha estava incorreta. As mensagens complementares mostram o nome do usuário em questão e os endereços da máquina de origem e destino (o destino é o endereço da máquina atrás do firewall com a qual o cliente tentou se comunicar). 138 - Usuário não cadastrado para criptografia Esta mensagem só é mostrada quando a autenticação de usuários para clientes de criptografia está ativa e indica que um usuário não cadastrado em nenhum autenticador tentou estabelecer uma sessão de criptografia com o firewall. A mensagem complementar mostra os endereços da máquina de origem e destino (o destino é o endereço da máquina atrás do firewall com a qual o cliente tentou se comunicar).
893
139 - Sessão de criptografia com cliente estabelecida Esta mensagem é gerada pelo servidor de certificados quando um usuário consegue se autenticar corretamente em um cliente de criptografia e iniciar uma sessão. Nas mensagens complementares é mostrado o login do usuário que estabeleceu a sessão e os endereços da máquina de origem e destino (o destino é o endereço da máquina atrás do firewall com a qual o cliente se comunicou inicialmente). 140 - Sessão de criptografia com cliente finalizada Esta mensagem indica que um cliente finalizou uma sessão criptografada. A mensagem complementar indica a máquina de origem da conexão. 141 - Erro de comunicação com cliente de criptografia Esta mensagem, que pode ter várias causas, indica que o servidor de criptografia para clientes recebeu um pacote criptografado inválido de um Cliente de Criptografia Aker. As mensagens complementares indicam qual a causa do problema e os endereços da máquina de origem e destino (o destino é o endereço da máquina atrás do firewall com a qual o cliente tentou se comunicar). 142- Erro ao carregar algoritmo de criptografia O Aker Firewall pode trabalhar com algoritmos de criptografia desenvolvidos por terceiros, chamados de algoritmos externos. Esta mensagem indica que o servidor de criptografia para clientes não conseguiu carregar um destes algoritmos de criptografia externos. Isto é causado por uma falha de implementação do algoritmo. As mensagens complementares mostram o nome da biblioteca a partir da qual o firewall tentou carregar o algoritmo e o erro que causou o problema. Solução: Contate o desenvolvedor do algoritmo e repasse a mensagem completa para ele.
143 - Falha de autenticação para perfil de acesso Esta mensagem indica que um usuário informou uma senha inválida ao tentar se logar no firewall utilizando o Cliente de Autenticação Aker. As mensagens complementares indicam o nome do usuário e a máquina de origem da requisição. 144 - Usuário não cadastrado para perfil de acesso
894
Esta mensagem indica que um usuário não cadastrado tentou se logar no firewall utilizando o Cliente de Autenticação Aker. A mensagem complementar indica a máquina de origem da requisição. 145 - Sessão de perfil de acesso estabelecida Esta mensagem indica que um usuário se logou corretamente no firewall utilizando o Cliente de Autenticação Aker. As mensagens complementares indicam o nome do usuário que estabeleceu a sessão e a máquina a partir da qual a sessão foi estabelecida. 146 - Sessão de perfil de acesso finalizada Esta mensagem indica que um usuário finalizou uma sessão no firewall estabelecida através do Cliente de Autenticação Aker. As mensagens complementares indicam o nome do usuário que finalizou a sessão e a máquina a partir da qual a sessão foi finalizada. 147 - Requisição de perfil de acesso inválida Esta mensagem, que pode ter várias causas, indica que o servidor de login de usuários recebeu uma requisição inválida de um Cliente de Autenticação Aker. As mensagens complementares indicam qual a causa do problema e o endereço da máquina de origem da requisição. 148 - Conflito de versão de cliente de autenticação Durante a autenticação, foi encontrada uma versão de um cliente de autenticação que não permite que outros usuários se autentiquem. 149 - Erro ao carregar pseudo-grupos Esta mensagem indica que o firewall não conseguiu carregar a lista de pseudogrupos das autoridades certificadoras. Solução: Contate o suporte técnico
150 - Erro ao baixar CRL Essa mensagem indica que o firewall não conseguiu baixar a lista de certificados revogados (CRL) de uma autoridade certificadora. As mensagens complementares mostram a razão pela qual não foi possível baixar a lista e a URL da qual se tentou baixá-la.
895
Solução: Verifique que a URL informada na definição da entidade do tipo autoridade certificadora está correta e que o serviço está no ar. É possível fazer isso se digitando a URL em um browser e verificando se é possível se receber o arquivo. 151 - Número de processos excessivo no sistema Esta mensagem indica que algum dos módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma conexão, detectou que o número de processos executando no sistema está próximo do limite máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que deveria ser tratada pelo novo processo foi abortada. Solução: Aumente o número máximo de processos no sistema. Para maiores informações, consulte o Apêndice B - Perguntas e respostas. 152 - Máquina de conversão 1-N fora do ar Essa mensagem indica que uma das máquinas participantes de uma conversão 1-N (balanceamento de canal) se encontra fora do ar. A mensagem complementar mostra o endereço IP da máquina em questão. 153 - Máquina de conversão 1-N operacional Essa mensagem indica que uma das máquinas participantes de uma conversão 1-N (balanceamento de canal) que se encontrava fora do ar voltou a funcionar normalmente. A mensagem complementar mostra o endereço IP da máquina em questão. 154 - Pedido de conexão de administração Esta mensagem é gerada pelo módulo de administração remota do Aker Firewall todas as vezes que este recebe um pedido de abertura de conexão. Na mensagem complementar é mostrado o endereço IP da máquina que solicitou a abertura de conexão. 155 - Sessão de administração estabelecida Esta mensagem é gerada pelo módulo de administração remota do Aker Firewall quando um usuário consegue se autenticar corretamente e iniciar uma sessão de administração. Na mensagem complementar é mostrado o login do usuário que estabeleceu a sessão e os seus direitos. Os direitos do usuário são representados através de três siglas independentes. Caso o usuário possua um determinado direito será mostrada a sigla correspondente a ele, caso contrário será mostrado o valor "--". As siglas e seus significados são os seguintes:
CF - Configura Firewall CL - Configura Log GU - Gerencia usuários 896
156 - Sessão de administração finalizada Esta mensagem indica que a sessão de administração estabelecida anteriormente foi terminada a pedido do cliente. 157 - Usuário não cadastrado para administração Esta mensagem indica que um usuário não cadastrado no sistema tentou estabelecer uma sessão de administração. 158 - Erro de confirmação de sessão de administração Esta mensagem indica que um usuário cadastrado no sistema tentou estabelecer uma sessão de administração remota, porém sua senha estava incorreta. A mensagem complementar mostra o nome do usuário em questão. 159 - Firewall sendo administrado por outro usuário Esta mensagem indica que um usuário conseguiu se autenticar corretamente para estabelecer uma sessão de administração remota, porém já existia outro usuário com uma sessão aberta para a mesma máquina e por isso a conexão foi recusada. A mensagem complementar indica qual o usuário que teve sua sessão recusada. 160 - Alteração de parâmetro Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou algum parâmetro de configuração do sistema. A mensagem complementar indica o nome do parâmetro que foi alterado. 161 - Alteração das regras de filtragem Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou a tabela de regras de filtragem do firewall. 162 - Alteração da conversão Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou algum parâmetro da conversão de endereços ou a tabela de conversão de servidores. A mensagem complementar indica exatamente o que foi alterado. 163 - Alteração da tabela de criptografia Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou a tabela de criptografia do firewall. 164 - Alteração na configuração de SYN Flood
897
Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou algum parâmetro da proteção contra SYN Flood. A mensagem complementar indica exatamente o que foi alterado. 165 - Alteração de contextos Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou contextos de um dos proxies transparentes do Firewall. A mensagem complementar indica qual o proxy que teve seus contextos modificados. 166 - Alteração da configuração de SNMP Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou os parâmetros de configuração do agente SNMP. 167 - Alteração dos perfis de acesso Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou a lista de perfis de acesso. 168 - Alteração da lista de controle de acesso Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou a lista de controles de acesso. 169 - Alteração de parâmetros de autenticação Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou os parâmetros globais de autenticação. 170 - Alteração de entidades Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou a lista de entidades do sistema. 171 - Alteração de parâmetros WWW Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou os parâmetros WWW.
172 - Alteração da configuração do proxy SOCKS Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou algum dos parâmetros de configuração do proxy SOCKS. 173 - Remoção de conexão ativa 898
Esta mensagem indica que o administrador que estava com a sessão de administração aberta removeu uma das conexões ativas. A mensagem complementar indica se a conexão removida era TCP ou UDP. 174 - Remoção de sessão de usuário ativa Esta mensagem indica que o administrador que estava com a sessão de administração aberta removeu uma das sessões de usuários que estavam logados no firewall através do Cliente de Autenticação Aker. 175 - Operação sobre o arquivo de log Esta mensagem indica que o administrador que estava com a sessão de administração aberta realizou uma operação sobre o arquivo de log. As operações possíveis são Compactar e Apagar. A mensagem complementar indica qual destas operações foi executada. 176 - Operação sobre o arquivo de eventos Esta mensagem indica que o administrador que estava com a sessão de administração aberta realizou uma operação sobre o arquivo de eventos. As operações possíveis são Compactar e Apagar. A mensagem complementar indica qual destas operações foi executada. 177 - Operação sobre o arquivo de usuários Esta mensagem indica que o administrador que estava com a sessão de administração aberta realizou uma operação sobre o arquivo de usuários. As operações possíveis são Incluir, Excluir e Alterar. A mensagem complementar indica qual destas operações foi executada e sobre qual usuário. 178 - Alteração na data/hora do firewall Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou a data e/ou à hora do firewall. 179 - Carga do certificado de negociação local Esta mensagem indica que o administrador que estava com a sessão de administração aberta carregou ou alterou o certificado de negociação local do firewall. 180 - Alteração nos certificados Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou a lista de certificados das entidades certificadoras ou de revogação do firewall. 181 - Alteração da configuração de TCP/IP 899
Esta mensagem indica que o administrador que estava com a sessão de administração aberta alterou a configuração de TCP/IP do firewall (hostname, configuração de DNS, configuração de interfaces ou rotas). 182 - Alteração nas licenças de ativação Um novo arquivo de licenças foi adicionado no Firewall. 183 - Alteração na configuração do cluster Novas configurações de cluster foram adicionadas no Firewall. 184 - Queda de sessão de administração por erro Esta mensagem indica que a sessão de administração que estava ativa foi interrompida devido a um erro de protocolo de comunicação. Solução: Experimente estabelecer a conexão novamente. Se o problema voltar a ocorrer, consulte o suporte técnico. 185 - Queda de sessão de administração por inatividade Quando uma interface remota estabelece uma conexão de administração, ela passa a enviar periodicamente pacotes para o firewall indicando que ela continua ativa. Estes pacotes são enviados mesmo que usuário não execute nenhuma operação. Esta mensagem indica que a sessão de administração que estava ativa foi interrompida devido há um tempo limite ter sido atingido, sem o servidor ter recebido nenhum pacote da interface remota. A sua causa mais provável é uma queda na máquina que rodava a Interface Remota ou uma queda na rede. 186 - Erro na operação anterior Esta mensagem indica que a última operação executada pelo servidor de comunicação remota não foi executada com sucesso. Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto pode ser feito através do comando "$df -k". Se este comando mostrar o diretório '/' com 100% de espaço utilizado, então é isto a causa do problema. Caso exista espaço disponível e ainda assim este erro apareça, consulte o suporte técnico. 187 - Usuário sem direito de acesso Esta mensagem indica que o usuário tentou realizar uma operação que não lhe era permitida. Solução: Esta mensagem não deve ser mostrada em condições normais de funcionamento do Aker Firewall. Se ela aparecer, contate o suporte técnico. 188 - Pacote não reconhecido 900
Esta mensagem indica que o servidor de comunicação do firewall recebeu uma requisição de serviço desconhecida. Solução: Contate o suporte técnico. 189 - Muitas negociações pendentes Esta mensagem indica que o kernel não está conseguindo pedir que o daemon de negociações de chave estabeleça um canal. Esta situação é anômala e não deve acontecer. Contate o suporte técnico se o Firewall gerar esta mensagem. 190 - SA não tem tipo IPSEC Esta mensagem indica que foi tentada a configuração de um canal não IPSEC pelo módulo IPSEC. Esta situação é anômala e não deve acontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem. 191 - Algoritmo de criptografia especificado não implementado Esta mensagem indica que foi negociado um canal de criptografia com um algoritmo não implementado. Escolha outros algoritmos (veja seção Configurando canais Firewall-Firewall). 192 - Falhou a expansão da chave criptográfica Esta mensagem indica que o módulo IPSEC teve dificuldades em tratar a chave negociada para um canal criptográfico. Esta situação é anômala e não deve acontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem. 193 - Kernel repassou pacote inválido Esta mensagem indica que o sistema operacional passou um pacote incorreto para o Firewall. Ela ocorre apenas no sistema operacional Linux. 194 - Falhou ao inserir SA no kernel Esta mensagem indica que foi negociado um canal que já não existe mais. Para solucionar o problema, recrie o canal, ou aguarde até que todos os módulos do Firewall saibam da não existência deste canal. 195 - Estabelecendo VPN IPSEC para o tráfego Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) iniciou o estabelecimento de um canal, por necessidade imediata de seu uso. 196 - fwiked falhou ao iniciar Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) não conseguiu ler suas configurações. Recrie as configurações de criptografia para solucionar o problema (veja seção Configurando canais Firewall-Firewall). 901
197 - Erro processando configuração Esta mensagem indica que ocorreu um erro interno grave no daemon de negociação de chaves IPSEC (fwiked). Esta situação é anômala e não deve acontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem. 198 - Erro comunicando com o kernel Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) não está conseguindo se comunicar com os módulos do Firewall que executam dentro do kernel do sistema operacional. 199 - Kernel enviou requisição incorreta Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) recebeu uma solicitação para negociar um canal de criptografia que não mais existe na configuração do Firewall. Espere alguns instantes até que todos os módulos do Firewall se sincronizem. 200 - Tentou instalar uma SA não negociada Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) encontrou um erro grave de consistência interna. Esta situação é anômala e não deve acontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem. 201 - Algoritmo criptográfico não suportado Esta mensagem indica que outro Firewall (ou qualquer equipamento que suporte IPSEC) tentou estabelecer um canal criptográfico com um algoritmo de cifração não suportado pelo Aker Firewall. Escolha outros algoritmos (veja seção Configurando canais Firewall-Firewall). 202 - Erro enviando regra de ike ao filtro de pacotes Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) não está conseguindo se comunicar com os módulos do Firewall que executam dentro do kernel do sistema operacional para inserir uma regra de liberação da comunicação com seus pares. 203 - Sucesso ativando a SA negociada Esta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) estabeleceu e instalou nos demais módulos do Firewall um canal de criptografia IPSEC corretamente. 204 - Negociação de IKE falhou (olhar mensagens complementares) Esta mensagem indica que houve um problema durante a negociação de chaves IPSEC. Verifique as mensagens complementares para obter mais detalhes. 902
Geralmente uma pequena mudança de configuração resolve rapidamente o problema. 205 - Erro lendo mudança de estado do cluster Esta mensagem indica que houve um erro quando da leitura do estado do cluster dentro do trabalho cooperativo. Verifique o segmento de rede onde estão instalados os firewalls. 206 - Erro enviando mudança de estado ao cluster Esta mensagem indica que houve um erro quando enviando mudança do estado do cluster dentro do trabalho cooperativo. Verifique o segmento de rede onde estão instalados os firewalls. 207- Notificação do fwiked (olhar mensagens complementares) Esta mensagem é genérica de notificação do daemon de negociação de chaves IPSEC. Verifique as mensagens complementares para obter mais detalhes. 208 - Aviso do fwiked (olhar mensagens complementares) Esta mensagem é uma mensagem genérica de aviso do daemon de negociação de chaves IPSEC. Verifique as mensagens complementares para obter mais detalhes. 209 - Recebendo número do pipe do kernel Esta mensagem indica que um proxy não conseguiu descobrir quais eram o pipe e o acumulador para uma conexão, visto que tiveram problemas de comunicação com o Kernel.
210 - Erro lendo arquivo de configuração de estatísticas Esta mensagem indica que houve um problema ao ler o arquivo de configuração de estatísticas. A solução é restaurá-lo ou removê-lo e criar as configurações novamente. Veja a seção Arquivos do Sistema. 211 - Erro lendo tabela de entidades Esta mensagem indica que o módulo gerador de estatísticas do Firewall não conseguiu ler a tabela de entidades do sistema. 212 - Não encontrou entidade acumulador Esta mensagem indica que o módulo gerador de estatísticas do Firewall encontrou uma inconsistência em sua configuração, isto é, uma estatística que referencia um 903
acumulador inexistente. A mensagem complementar entre parênteses indica qual a entidade em questão. 213 - Daemon suspenso por configuração incorreta Esta mensagem indica que o módulo gerador de estatísticas do Firewall encontrou uma inconsistência em sua configuração e ficará com suas atividades suspensas até que ela esteja correta. 214 - Erro recebendo estatísticas do kernel Esta mensagem indica que o módulo gerador de estatísticas do Firewall teve problemas ao ler os dados necessários ao seu cálculo dos módulos que executam dentro do kernel do sistema operacional. 215 - Erro salvando estatísticas Esta mensagem indica que o módulo gerador de estatísticas do Firewall teve problemas ao armazenar os dados coletados (ou enviá-los ao servidor de log remoto). Se o log for local, verifique a possibilidade de o disco estar cheio. Se for remoto, verifique a correta conexão com o servidor de log remoto. 216 - Erro recebendo período máximo de permanência das estatísticas Esta mensagem indica que o módulo gerador de estatísticas do Firewall não conseguiu ler o período máximo pelo qual deve manter as estatísticas no Firewall (apenas para log local). 217 - Pedido de fluxo inexistente Esta mensagem indica que uma inconsistência interna ocorreu, de forma que um fluxo de dados para controle de banda (QoS), não foi encontrado.
218 - Pedido de pipe inexistente Esta mensagem indica que uma inconsistência interna ocorreu, de forma que um pipe para controle de banda (QoS), não foi encontrado. 219 - Apagando registros do sistema de log Esta mensagem indica que os registros do sistema de log foram apagados. A mensagem complementar entre parênteses informa se foram apagados logs, estatísticas ou eventos. 220 - Erro executando shell
904
Esta mensagem informa que um erro grave de configuração foi encontrado que impede o login no console do Firewall Box. Contate o suporte técnico de seu revendedor. 221 - Erro lendo licença Esta mensagem indica que as informações de licença do Firewall estão com algum problema sério que impedem sua leitura. Reinsira a chave de ativação no Firewall. 222 - Tentativa de login (console) frustrada por senha incorreta Esta mensagem indica que alguém tentou efetuar login no console do Firewall Box, mas não tinha a senha correta. 223 - Sistema com defeito irremediável. Contate o revendedor Esta mensagem informa que um erro grave de configuração foi encontrado que impede o login no console do Firewall Box. Contate o suporte técnico de seu revendedor. 224 - Login no console efetuado Esta mensagem registra o fato de algum operador ter efetuado login no console do Firewall Box. 225 - Linha de resposta muito grande Esta mensagem indica que o proxy POP3 transparente recebeu uma linha de resposta demasiado grande. Veja a RFC 1939 para maiores informações. 226 - Erro recebendo dados do servidor POP3 Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conexão ao receber dados do servidor. As mensagens complementares informam qual a conexão em questão. 227 - Erro recebendo dados do cliente POP3 Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conexão ao receber dados do cliente. As mensagens complementares informam qual a conexão em questão. 228 - Erro enviando dados ao cliente POP3 Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conexão ao enviar dados para o cliente. As mensagens complementares informam qual a conexão em questão. 229 - Erro enviando dados ao servidor POP3 905
Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conexão ao enviar dados ao servidor. As mensagens complementares informam qual a conexão em questão. 230 - Resposta inválida do servidor POP3 Esta mensagem indica que o proxy POP3 transparente recebeu uma resposta incorreta do servidor. As mensagens complementares informam que resposta foi esta 231 - Erro conectando-se ao servidor POP3 Esta mensagem indica que o proxy POP3 transparente não consegui estabelecer a conexão com o servidor. Provavelmente o endereço está errado ou o servidor está fora do ar. 232 - Servidor POP3 recusou a conexão Esta mensagem indica que o proxy POP3 transparente conectou-se ao servidor e este informou estar fora do ar. 233 - Comando POP3 inválido ou erro de sintaxe Esta mensagem indica que o proxy POP3 transparente leu um comando incorreto do cliente e fechou a conexão sem repassá-lo ao servidor. O comando em questão encontra-se nas mensagens complementares. 234 - Erro abrindo arquivo para spool Esta mensagem indica que o proxy POP3 transparente não conseguiu abrir o arquivo temporário para salvar a mensagem. 235 - Erro gravando dados no arquivo Esta mensagem indica que o proxy POP3 transparente encontrou um erro ao gravar a mensagem em espaço de armazenamento temporário. 236 - Falta de espaço gravando arquivo Esta mensagem indica que faltou espaço em disco para o proxy POP3 transparente gravar as mensagens recebidas. 237 - Erro de sintaxe no e-mail POP3 (erro de parser) Esta mensagem indica que o proxy POP3 transparente recebeu uma mensagem incorretamente formatada e a descartou por não poder analisá-la. 238 - Entrando em modo STLS - nenhuma análise possível
906
Esta mensagem indica que o firewall entrou em modo STLS. Entre em contato com o suporte técnico para a solução. 239 - Erro recebendo dados do firewall servidor Esta mensagem indica que o firewall servidor do cluster não esta recebendo os dados corretamente. Verifique o segmento de rede de troca informação dos firewalls cooperativos. 240 - Erro enviando dados do firewall servidor Esta mensagem indica que o firewall servidor do cluster não está enviando os dados corretamente. Verifique o segmento de rede de troca informação dos firewalls cooperativos. 241 - Erro de processamento no firewall servidor Esta mensagem indica que o firewall servidor do cluster não esta processando os dados corretamente. Verifique o firewall servidor quanto a espaço em disco e processador. 242 - Erro alterando a configuração do firewall Esta mensagem indica que o firewall servidor do cluster não esta conseguindo alterar as configurações dos outros firewalls. Verifique o segmento de rede de troca informação dos firewalls cooperativos. 243 - Erro ao replicar estado do cluster Esta mensagem indica que o firewall servidor do cluster não esta conseguindo replicar o estado do cluster para os outros firewalls. Verifique o segmento de rede de troca informação dos firewalls cooperativos.
244 - Erro ao enviar arquivo ao cluster Esta mensagem indica que o firewall servidor do cluster não esta conseguindo enviar arquivo ao cluster. Verifique o segmento de rede de troca informação dos firewalls cooperativos. 245 - Erro ao agrupar dados do cluster Esta mensagem indica que o firewall servidor do cluster não está conseguindo agrupar os dados do cluster. Verifique o segmento de rede de troca informação dos firewalls cooperativos. 246 - Arquivo com vírus desinfectado
907
Esta mensagem indica que um arquivo analisado pelo firewall estava com vírus mas foi desinfectado. 247 - Arquivo com vírus bloqueado Esta mensagem indica que um arquivo estava com vírus e não pode ser removido, por isso o arquivo foi bloqueado. 248 - Arquivo não pode ser analisado pois estava corrompido Esta mensagem indica que o antivírus do firewall não pode analisar o arquivo pois o mesmo estava corrompido. 249 - Arquivo não pode ser analisado pois estava cifrado Esta mensagem indica que o antivírus do firewall não pode analisar o arquivo pois o mesmo estava cifrado. 250 - Host respondeu e foi marcado como ativo Esta mensagem indica que a máquina de teste do balanceamento de link está no ar. Para maiores informações consulte o capítulo intitulado Configurando a Conversão de Endereços. 251 - Host não respondeu e foi marcado como inativo Esta mensagem indica que a máquina de teste do balanceamento de link está fora ar ou não foi possível a sua verificação. Para maiores informações consulte o capítulo intitulado Configurando a Conversão de Endereços. 252 - Link foi marcado como ativo Esta mensagem indica que o balanceamento de link esta no ar. Para maiores informações consulte o capítulo intitulado Configurando a Conversão de Endereços. 253 - Link foi marcado como inativo Esta mensagem indica que o balanceamento de link esta fora do ar. Para maiores informações consulte o capítulo intitulado Configurando a Conversão de Endereços. 254 - Mensagem de debug do Secure Roaming Esta é uma mensagem com prioridade depuração gerada pelo Secure Roaming. Verifique os complementos para maiores informações. 255 - Informação do Secure Roaming
908
Esta é uma mensagem com prioridade informação gerada pelo Secure Roaming. Verifique os complementos para maiores informações. 256 - Aviso importante do Secure Roaming Esta é uma mensagem com prioridade aviso gerada pelo Secure Roaming. Verifique os complementos para maiores informações. 257 - O Secure Roaming encontrou um erro Esta é uma mensagem com prioridade erro gerada pelo Secure Roaming. Verifique os complementos para maiores informações. 258 - O Secure Roaming encontrou um erro fatal Esta é uma mensagem com prioridade erro fatal gerada pelo Secure Roaming. Verifique os complementos para maiores informações. 259 - Usuários responsáveis do Configuration Manager Esta mensagem é gerada quando o Configuration Manager efetua uma modificação da configuração de um determinado firewall e serve para informar qual o usuário responsável por tais modificações (o usuário que estava utilizando o Configuration Manager). 260 - Mensagem do sistema operacional Esta mensagem é utilizada para reportar mensagens produzidas pelo kernel do sistema operacional, que normalmente seriam mostradas no console. 261 - Erro ao criar processo Esta mensagem indica que o firewall tentou criar um novo processo para cuidar de uma determinada tarefa e não conseguiu. Possíveis causas de erro são memória insuficiente no firewall ou número de processos ativos excessivamente alto. 262 - Processo recriado Esta mensagem indica que o processo de monitoramento do firewall recriou um processo crítico do sistema que não estava mais rodando. Se esta mensagem aparecer frequentemente, é necessário contatar o suporte técnico para determinar a causa do problema. 263 - Processo foi interrompido Esta mensagem indica que o processo de monitoramento do firewall detectou que um processo crítico do sistema não estava mais rodando. Se esta mensagem aparecer frequentemente, é necessário contatar o suporte técnico para determinar a causa do problema. 909
264 - Conexão teve canal alterado Esta mensagem indica que uma conexão teve à sua definição de canal alterada devido à aplicação de uma regra de filtragem de aplicativos. 265 - Conexão encerrada pela filtragem de aplicativos Esta mensagem indica que uma conexão foi encerrada devido à aplicação de uma regra de filtragem de aplicativos. 266 - Erro recebendo pacote do kernel Esta mensagem é gerada quando o módulo de filtragem de aplicativos não conseguir ler os pacotes enviados pelo kernel do firewall. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico. 267 - Pacotes perdidos na análise - sistema possivelmente lento Esta mensagem indica que o módulo de análise de aplicativos não conseguiu tratar em tempo hábil todos os pacotes que deveria a fim de verificar todas as regras de filtragem de aplicativos configuradas no firewall. Possíveis ações que podem ser realizadas pelo administrador são:
Verificar se algum dos filtros está com profundidade de pesquisa muito grande. Se tiver, tentar diminuir ao máximo este valor; Não usar regras do tipo: procurar MP3 em todos os serviços. Utilizar somente nos serviços nos quais este tipo de arquivo possa trafegar nos protocolos: FTP, HTTP, SMTP, etc. Não colocar regras Internet - Internet. Sempre que possível utilizar regras do tipo origem Rede Interna, destino Internet ou vice-versa. Não verificar arquivos e protocolos da Rede Interna para a DMZ.
268 - Pacote truncado recebido do kernel Esta mensagem é gerada quando o módulo de filtragem de aplicativos leu um pacote de tamanho inválido enviado pelo kernel do firewall. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico. 269 - Erro expandindo regras de filtragem de aplicativos Esta mensagem indica que o firewall detectou um erro ao expandir as regras de filtragem de aplicativos. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico. 270 - Erro carregando regras globais de filtragem de aplicativos 910
Esta mensagem indica que o firewall detectou um erro ao carregar as regras globais de filtragem de aplicativos. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico. 271 - Erro expandindo regras de IDS/IPS Esta mensagem indica que o firewall detectou um erro ao expandir as regras de IDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico. 272 - Erro carregando regras de IDS/IPS Esta mensagem indica que o firewall detectou um erro ao carregar as regras de IDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico. 273 - Erro de rede Esta é uma mensagem genérica para erros de rede. Favor verificar os complementos para maiores informações sobre sua causa. 274 - Conexão fora das regras de perfil do proxy SSL Esta mensagem indica que um usuário tentou acessar o proxy SSL mas não havia nenhuma regra autorizando seu acesso. 275 - Conexão TCP aceita pelo proxy SSL Esta mensagem indica que o firewall recebeu uma conexão de Proxy SSL e a aceitou. 276 - Conexão TCP recusada pelo proxy SSL Esta mensagem indica que o firewall recebeu uma conexão de Proxy SSL e a recusou. 277 - Conversação do MSN Messenger iniciada Esta mensagem é gerada quando um usuário abre a janela de conversação no MSN Messenger, passando através do firewall. 278 - Conversação do MSN Messenger bloqueada Conversa entre dois usuários foi bloqueada pelas configurações no proxy MSN. 279 - Conversação do MSN Messenger finalizada Esta mensagem é gerada quando um usuário fecha a janela de conversação no MSN Messenger, passando através do firewall. 911
280 - Tempo diário de uso de MSN Messenger excedido Esta mensagem indica que o tempo diário de conversa através do MSN Messenger para o usuário em questão foi exercido. Este usuário não mais poderá acessar o Messenger no dia corrente. 281 - Notificação do Hotmail bloqueada Proxy MSN não permitiu a notificação do Hotmail. 282 - Convite para transferência de arquivo via MSN Messenger permitido Esta mensagem é gerada quando um pedido de transferência de arquivo através do Messenger foi recebido e aceito pelo firewall. 283 - Transferência de arquivo via MSN Messenger bloqueada Esta mensagem é gerada quando um pedido de transferência de arquivo através do Messenger foi recebido e rejeitado pelo firewall. 284 - Convite para uso de aplicativo via MSN Messenger permitido Esta mensagem é gerada quando um pedido de uso de aplicativo (jogos, vídeo, etc) através do Messenger foi recebido e aceito pelo firewall. 285 - Uso de aplicativo via MSN Messenger não permitido Esta mensagem é gerada quando um pedido de uso de aplicativo (jogos, vídeo, etc) através do Messenger foi recebido e rejeitado pelo firewall. 286 - Conexão encerrada por timeout Esta mensagem indica que uma conexão com um servidor do serviço MSN Messenger foi encerrada por timeout. Verifique se o acesso à Internet está funcionando corretamente. 287 - Erro analisando a mensagem Esta mensagem indica que o firewall detectou um erro de parser em uma mensagem do MSN Messenger. Caso esta mensagem apareça, favor contatar o suporte técnico. 288 - Servidor MSN Messenger não responde Esta mensagem indica que os servidores do serviço MSN Messenger não estão respondendo. Verifique se a conexão com à Internet está funcionando corretamente. 289 - Usuário entrou no MSN Messenger
912
Esta mensagem é gerada todas as vezes que um usuário se autentica no serviço MSN Messenger através do Firewall 290 - Usuário saiu do MSN Messenger Esta mensagem é gerada todas as vezes que um usuário sai do serviço MSN Messenger, passando através do Firewall 291 - Usuário sem permissão tentou entrar no MSN Messenger Esta mensagem é gerada todas as vezes que um usuário sem permissão tenta acessar o serviço MSN Messenger passando através do Firewall. 292 - Ligação Iniciada Proxy SIP detectou o inicio de uma ligação. 293 - Ligação Finalizada Proxy SIP detectou o fim de uma ligação. 294 - Erro obtendo data de expiração do IDS Não foi possível ler a data de expiração de uma base IDS em disco. Provável base corrompida. 295 - Erro fazendo download das atualizações dos filtros Esta mensagem indica que ocorreu um erro quando o firewall tentou fazer o download das novas assinaturas de IDS e/ou da Filtragem de aplicativos. Verifique o complemento para maiores informações. 296 - Download das atualizações dos filtros completo Esta mensagem indica que o firewall conseguiu baixar uma nova atualização das assinaturas de IDS ou da Filtragem de Aplicativos. 297 - Mensagem descartada por configuração de o Spam Meter Esta mensagem é gerada quando uma mensagem de e-mail é descartada pelo proxy SMTP devido a ter recebido uma nota de o Spam Meter cuja configuração do proxy indicou ao firewall para descartá-la. 298 - Mensagem rejeitada por configuração de o Spam Meter Esta mensagem é gerada quando uma mensagem de e-mail é rejeitada pelo proxy SMTP devido a ter recebido uma nota de o Spam Meter cuja configuração do proxy indicou ao firewall para rejeitá-la. 299 - Mensagem aceita pela configuração do Spam Meter 913
Esta mensagem é gerada quando uma mensagem de e-mail é aceita pelo proxy SMTP devido ter recebido uma nota de o Spam Meter cuja configuração do proxy indicou ao firewall para aceitá-la. 300 - Mensagem modificada para treinamento pelo Spam Meter Esta mensagem é gerada quando uma mensagem de e-mail é modificada pelo proxy SMTP para possibilitar seu treinamento pelo destinatário a fim de melhorar a classificação de futuras mensagens de o Spam Meter. 301 - Mensagem de debug do Antivírus Esta é uma mensagem com prioridade de depuração gerada pelo antivírus. Verifique os complementos para maiores informações. 302 - Informação do Antivírus Esta é uma mensagem com prioridade de informação gerada pelo antivírus. Verifique os complementos para maiores informações. 303 - Aviso importante do Antivírus Esta é uma mensagem com prioridade de aviso gerada pelo antivírus. Verifique os complementos para maiores informações. 304 - Mensagem de alerta do Antivírus Esta é uma mensagem com prioridade de alerta gerada pelo antivírus. Verifique os complementos para maiores informações. 305 - O Antivírus encontrou um erro Esta é uma mensagem com prioridade de erro gerada pelo antivírus. Verifique os complementos para maiores informações. 306 - Mensagem de debug de o Spam Meter Esta é uma mensagem com prioridade de depuração gerada pelo Spam Meter. Verifique os complementos para maiores informações. 307 - Informação de o Spam Meter Esta é uma mensagem com prioridade de informação gerada pelo Spam Meter. Verifique os complementos para maiores informações. 308 - Aviso importante de o Spam Meter Esta é uma mensagem com prioridade de aviso gerada pelo Spam Meter. Verifique os complementos para maiores informações. 914
309 - Mensagem de alerta de o Spam Meter Esta é uma mensagem com prioridade de alerta gerada pelo Spam Meter. Verifique os complementos para maiores informações. 310 - O Spam Meter encontrou um erro Esta é uma mensagem com prioridade de erro gerada pelo Spam Meter. Verifique os complementos para maiores informações. 311 - Mensagem de debug do Web Content Analyzer Esta é uma mensagem com prioridade de depuração gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores informações. 312 - Informação do Web Content Analyzer Esta é uma mensagem com prioridade de informação gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores informações. 313 - Aviso importante do Web Content Analyzer Esta é uma mensagem com prioridade de aviso gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores informações. 314 - Mensagem de alerta do Web Content Analyzer Esta é uma mensagem com prioridade de alerta gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores informações. 315 - O Web Content Analyzer encontrou um erro Esta é uma mensagem com prioridade de erro gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores informações. 316 - Conexão TCP em segundo endereço IP recusada pelo proxy SSL Esta mensagem indica que um mesmo usuário tentou se conectar ao mesmo tempo na Proxy SSL a partir de duas máquinas distintas e o firewall estava configurado para não permitir tal acesso. 317 - Relatório gerado e publicado com sucesso Esta mensagem indica que um relatório que estava agendado foi gerado e publicado com sucesso pelo firewall. 318 - Erro conectando ao serviço de quotas Algum proxy não conseguiu comunicar-se com o processo responsável pelas quotas. Verifique se o fwquotad está executando e/ou reinicie o seu equipamento. 915
319 - Erro de parse do corpo SDP Mensagem inválida no proxy SIP, os complementos dessa mensagem informam o erro específico. 320 - Finalização de treinamento de mensagem Treinamento de mensagem SMTP finalizada com sucesso. O complemento da mensagem mostra o tipo classificado e a nota obtida. 321 - Erro ao conectar no servidor Spam Meter Erro ao se comunicar com o processo responsável por treinar mensagens SMTP. Verifique suas configurações de Spam Meter e tente novamente. 322 - Erro ao carregar contextos SMTP Não é mais utilizado. 323 - Erro carregando listas de categorias Não foi possível carregar a lista de categorias. Verifique suas configurações de analisador de contexto e tente novamente. 324 - Erro de comunicação com o servidor de quotas Erro ao se comunicar com o servidor de quotas. O complemento da mensagem mostra detalhes sobre o erro. 325 -Quota de bytes expirada Quota de bytes foi consumida pelo usuário. 326 -Quota de bytes insuficiente para a operação Não existem bytes suficientes para finalizar uma requisição ainda não iniciada. O início da transferência não foi permitido. 327 -Quota de tempo expirada Informação sobre uma quota de tempo que foi expirada. 328 -Resposta para request nunca visto ou já expirado O proxy SIP encontrou uma resposta inesperada. 329 -Interface de rede desconectada Interface do heart beat ficou inativa. O complemento é a interface. 916
330 -Interface de rede conectada Interface do heart beat ficou ativa. O complemento é a interface. 331 -Rota adicionada O Zebrad adicionou uma rota no firewall. 332 -Rota removida O Zebrad removeu uma rota no firewall. 333 -Erro de comunicação com o servidor de rotas Ocorreu um erro de comunicação do firewall com o processo Zebrad. Verifique o status do processo e tente novamente. 334 -Erro de comunicação DCE-RPC Ocorreu uma falha irrecuperável durante a conexão do proxy DCE-RPC. Os complementos da mensagem mostram detalhes do erro de conexão. 335 -Servidor DCE-RPC aceito Conexão do proxy DCE-RPC foi aceita pelas regras do proxy, o complemento mostra os IPs conectados e o a UUID aceita. 336 -Servidor DCE-RPC bloqueado Conexão do proxy DCE-RPC foi rejeitada pelas configurações. O complemento mostra os IPs conectados e as UUID rejeitada. 337 -Erro conectando ao servidor O Proxy transparente DCE-RPC não conseguiu se conectar ao servidor. O complemento mostra o erro ocorrido. 338 -Erro na conexão SIP sobre TCP Proxy SIP encontrou um erro durante a conexão. O primeiro complemento detalha os erros que ocorreram. 339 -Consumo de quota Quota consumida por um usuário. O primeiro complemento é o usuário que consumiu, o segundo é o tempo ou bytes consumidos. 340 -Contabilidade de tráfego HTTP (WWW)
917
Evento de contabilização HTTP, utilizado normalmente para a geração de relatórios, por padrão vem desabilitado. 341 -Contabilidade de tráfego HTTP (downloads) Evento de contabilização de downloads HTTP, utilizado normalmente para a geração de relatórios, por padrão vem desabilitado. 342 -Contabilidade de tráfego FTP (downloads) Dados de download foram enviados através do proxy FTP. 343 -Contabilidade de tráfego FTP (uploads) Dados de uploads foram enviados através do proxy FTP. 344 -Versão não suportada do Web Content Analyzer Não é mais utilizado. 345 - Pacote de transferência de arquivos não consta na lista de transferência ativas Um cliente tentou transferir um arquivo, mas os dados relativos à informação de transferência de arquivos não foram enviados. Por favor, utilize um cliente Messenger válido. 346 - Erro interno no Proxy Messenger Erro grave envolvendo o proxy MSN ocorreu, por favor contate o suporte Aker.
347 - Proxy Messenger não pode salvar o arquivo em disco Não foi possível salvar o arquivo temporariamente em disco. Verifique se o firewall possui espaço em disco suficiente para operar e tente novamente. 348 - Arquivo infectado foi bloqueado Arquivo transferido através do proxy MSN foi analisado e possui vírus. Arquivo bloqueado. O complemento dessa mensagem é o nome do arquivo. 349 - Arquivo não tem vírus Arquivo transferido através do proxy MSN foi analisado, não possui vírus e o arquivo aceito. O complemento dessa mensagem descreve o nome do arquivo. 350 - Erro no Antivírus 918
O módulo de integração antivírus e proxy MSN apresentou um erro durante a comunicação com o servidor de antivírus. Verifique as configurações do servidor, regras de filtragem do firewall e tente novamente. O complemento da mensagem descreve a etapa de comunicação que falhou. 351 - Excesso de tentativas inválidas, IP bloqueado Por padrão, o firewall bloqueia durante cinco minutos todas tentativas de conexão de um determinado IP caso ele possua três tentativas consecutivas inválidas. O complemento dessa mensagem é o IP que foi bloqueado. 352 - Exportação de log realizada com sucesso Gerado ao final da exportação de log e nenhum erro foi detectado. O título do relatório e o ip da máquina/diretório estão no complemento. 353 - Exportação de evento realizada com sucesso Gerado ao final da exportação de eventos e nenhum erro foi detectado. O título do relatório e o ip da máquina/diretório estão no complemento. 354 - Falha ao conectar no servidor FTP para exportar logs ou eventos Não foi possível conectar-se no servidor FTP para exportar logs ou ventos. O título e o motivo da falha estão no complemento. 355 - Falha para copiar log ou evento para pasta local Não foi possível copiar os relatórios na máquina local. Verifique a permissão do diretório de destino e espaço em disco. O título do relatório está no complemento. 356 - Erro criando arquivo local para ser exportado Não foi possível criar arquivos para exportá-los. Verifique a permissão do diretório temporário e o espaço em disco. O título do relatório está no complemento. 357 - Limite configurado de conexões a partir do endereço IP excedido Por padrão, o firewall bloqueia durante cinco minutos todas tentativas de conexão de um determinado IP caso ele possua três tentativas consecutivas inválidas. O complemento dessa mensagem é o IP que foi bloqueado. 358 – Versão do MSN Bloqueada para utilização Evento informa que uma versão não permitida do cliente MSN foi bloqueada. 359 – Logando a conversação do MSN Messenger Evento loga dados do chat entre os usuários do Proxy MSN. 919
360 – Autenticação para conexão PPTP Aceita Evento gerado quando uma conexão PPTP foi realizada com sucesso. 361 - Autenticação para conexão PPTP rejeitada Evento gerado quando uma conexão PPTP foi rejeitada por falha no logon. 362 – Conexão PPTP estabelecida. Evento gerado quando uma conexão PPTP foi realizada com sucesso. 363 - Conexão PPTP encerrada Evento gerado quando uma conexão PPTP foi finalizada. 364 – Excesso de tentativas de logon incorreto Evento é gerado quando um usuário através do Aker Client ou Cliente Java erra o usuário ou a senha 5 vezes. Seu Ip é bloqueado por 49 minutos.
43.3.
Formato de exportação de logs e eventos
O formato dos dados exportados segue esta sequência:
<TAG> <MSG1> <MSG2> <DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM, MSG1, MSG2> Exemplo de um evento gerado pelo Filtro Web:
URL_ACEITA Usuário/Autenticado, Perfil ip Origem, host 19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD ,Suporte Técnico,10.2.0.243,http://189.22.237.40/
43.3.1.
Eventos gerados pelo Filtro Web
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MÓDULO, TEXTO DA MENSAGEM, MSG1, MSG2 920
ERRO_AUTH_PROXY Usuário/Autenticado ip Origem 16/01/2010,15:28:51,Info,340, Proxy HTTP, Falha de autenticação para proxy ,rodrigo.aranha/AD,source: 10.4.0.186
NÃO_CADASTRADO_PROXY NULL ORIGEM 16/01/2010,15:28:51,Info,340, Proxy HTTP, Usuário não cadastrado para proxy, source: 10.4.0.186
HTTP_VIRUS_CLEANED NOME DO VIRUS URL do vírus 20/01/2010,10:43:17,Warning,246,Proxy HTTP, Arquivo com vírus desinfectado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_BLOCKED NOME DO VIRUS URL do vírus 20/01/2010,10:43:17,Warning,247,Proxy HTTP,Arquivo com vírus bloqueado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_NS_CORRUPT NULL URL do Virus 20/01/2010,10:43:17,Warning,248,Proxy HTTP, Arquivo não pode ser analisado pois estava corrompido, http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_NS_CRYPT NULL URL do Virus 20/01/2010,10:43:17,Warning,249,Proxy HTTP, Arquivo não pode ser analisado pois estava cifrado, http://www.eicar.org/download/eicarcom2.zip
HTTP_DOWNLOAD_ACCOUNTING Usuário/Autenticado - Perfil Origem IP Destino IP e URL 19/01/2010,08:41:05,Info,341, Proxy HTTP,Contabilidade de tráfego HTTP (downloads), recepção/AD - 0.102 s,Up 175 B - Dw 285 B URL: http://www.google.com/
HTTP_WWW_ACCOUNTING Usuário/Autenticado - Perfil Origem IP Destino IP e URL 16/01/2010,15:28:51,Info,340, Proxy HTTP, Contabilidade de trafego HTTP (WWW), rodrigo.aranha/AD - 0.933 s,Up 424 B - Dw 562 B URL: http://www.google.com/
921
QUOTA_EXPIRED_BYTES Usuário/Autenticado - Perfil Origem IP Destino IP e URL 19/01/2010,13:45:31, Notice,326,Proxy HTTP,Quota de bytes expirado,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
QUOTA_EXPIRED_TIME Usuário/Autenticado - Perfil Origem IP - Destino IP e URL 19/01/2010,13:45:31,Notice,326, Proxy HTTP,Quota de tempo expirada,lidia.silva/AD - Adminsitrativo, Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
QUOTA_INSUFFICIENT_BYTES Usuário/Autenticado - Perfil Origem IP Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes insuficiente para a operação,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
URL_ACEITA Usuário/Autenticado, Perfil ip Origem,host 19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD ,Suporte Técnico,10.2.0.243,http://189.22.237.40/
URL_REJEITADA Usuário/Autenticado, Perfil ip Origem,host 19/01/2010,13:43:34,Notice,097 Proxy HTTP,URL rejeitada,lidia.silva/AD ,Adminsitrativo,10.0.0.229,http://www.google.com
URL_BANNER Usuário/Autenticação - Perfil Origem: IP Destino: IP URL: URL 19/01/2010,08:49:19,Notice,098, Proxy HTTP,Banner removido,apoio.administrativo/AD - Adminsitrativo,Origem: 10.0.0.234 Destino: 64.233.163.149 URL: http://ad.doubleclick.net/adi/gna.br/homepage;tile=4;sz=234x100;ord=196681?area
ERRO_CON_ANALISADOR IP do analizador NULL 27/01/2010,19:38:24,Error,119, Proxy HTTP,Erro ao conectar com Web Content Analyzer,127.0.0.1,
922
QUOTA_COMM_ERR quota read: retorno e erro NULL 19/01/2010,18:42:01,Warning,324,Proxy HTTP,Erro de comunicação com o servico de quotas,quota read: -3 25,
NÃO_LEU_ACL NULL carregar perfis de acesso,
19/01/2010,18:42:01,Error,64,Proxy HTTP,Erro ao
NÃO_LEU_CATLIST Retorno da função e errno NULL 19/01/2010,18:16:01,Error,323,Erro carregando lista de categorias, -2 34
QUOTA_INIT_ERR socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN Messenger,Erro conectando ao servico de quotas, 7 13,
ERRO_SERV_AUTH connect (errno) NULL 20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao comunicar com servidor de autenticação, connect (10), v_auth NULL 20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao comunicar com servidor de autenticação,v_auth, 43.3.2.
Eventos gerados pelo Proxy MSN
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM, MSG1, MSG2
IP – Profissão Passaportes Usuário->com quem [Tempo de conversa] \nNome do Usuário\Autenticação 27/01/2010,19:03:34,Info,279, Proxy MSN Messenger, Conversação do MSN Messenger finalizada,IP: 192.168.222.254 - Prof: Suporte Técnico,Passports: diogo.falcomer@gmail.com -> pablo_viana@hotmail.com [00:01:15] Username: diogo.falcomer/AD
IP – Profissão Passaporte [Tempo de conversa] \nNome do Usuário\Autenticação 27/01/2010,19:23:24,Info,290, Proxy MSN Messenger, Usuário saiu do MSN Messenger, IP: 10.3.0.6 - Prof: Suporte Técnico, Passport: edilson.moura@aker.com.br [00:07:53] Username: edilson.moura/AD
923
Cannot connect Server : IP 27/01/2010,19:23:30,Warning,350,Proxy Messenger, Erro no antivírus, Cant Connect, Server:xxx.xxx.xxx.xxx
MSN
av_auth Unable to auth 27/01/2010,19:23:30,Warning,350,Proxy Messenger,Erro no antivírus,av_auth,Unable to auth
MSN
av_greeting_h Can't receive server greeting header 27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivírus,av_greeting_h,Can't receive server greeting headert av_greeting_b Can't receive server 27/01/2010,19:23:30,Warning,350,Proxy MSN antivírus,av_greeting_b,Can't receive server greeting body
greeting Messenger,Erro
body no
av_send_file Can't send file to AV 27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivírus,av_send_file,Can't send file to AV av_get_answer Can't get answer 27/01/2010,19:23:30,Warning,350,Proxy MSN antivírus,av_get_answer, Can't get answer from AV
from Messenger,Erro
AV no
av_get_answer Error on answer received 27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivírus, Error on answer received IP: - TimeOut: Passaporte: \nNome do Usuário\Autenticação 27/01/2010,18:18:30,Notice,286, Proxy MSN Messenger, Conexão encerrada por timeout,IP: 10.2.0.217 - Timeout: 600 s,Passport: edilson.moura@aker.com.br Username: edilson.moura/AD
sendto Error: inteiro Errno: inteiro 20/01/2010,12:38:49,Warning,109, Proxy MSN Messenger,Erro ao comunicar com servidor de autenticação,sendto,error: -3 errno: 11 find Prof: nome da profissão 20/01/2010,12:38:49,Warning,109, Proxy MSN Messenger,Erro ao comunicar com servidor de autenticação,find,Suporte Técnico
IP – Profissão Passaporte: \nNome do Usuário\Autenticação 20/01/2010,12:36:44,Info,289,Proxy MSN Messenger, Usuário entrou no MSN Messenger, IP: 10.0.0.232 Prof: Adminsitrativo, Passport: diego.fernandes@aker.com.br Username: recepção/AD
924
From Cliente ou Servidor , Ret: erro Mensagem 15/01/2010,17:39:57,Error,287,Proxy MSN Messenger,Erro analisando a mensagem,from server, ret = -43,MSG madanovavida2009@hotmail.com [i] [b] Mada..."HOJE%20tudo%20SERÃ<83>Â<81>%20para%20SEMPRE...” [/b] [/i] 248^M
File infected FILENAME 20/01/2010,12:36:44,Warning,348,Proxy Messenger,Arquivo infectado foi bloqueado, File Infected,trojan.exe
MSN
File clean FILENAME 20/01/2010,16:16:58,Info,349,Proxy Messenger,Arquivo não tem virus,File clean,chines.TXT
MSN
session id: SESSION ID 25/01/2010,19:34:35,Warning,345,Proxy MSN Messenger, Pacote de transferência de arquivo não consta na lista de transferências ativas, session id:,2628610983
nome da função Empty File! Sess_d: ID 20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Empty file! Sess_id: 26192345 nome da função Out of order packet! Current: pkg, Expected: pkg 20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Out of order packet! Current:current_pkg Expected: Expected_ nome da função "Error on fork! Numero da Linha 20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Error on fork! Line: 2736
unable to write on disk! errno: INTEIRO 20/01/2010,16:16:59,Error,347,Proxy MSN Messenger,Proxy messenger não pode salvar o arquivo em disco,unable to write on disk, errno: 34
Nome do arquivo (tamanho) – Prof: profissão. Passaportes Usuário->com quem \nNome do Usuário\Autenticação 20/01/2010,11:43:39,Info,282,Proxy MSN Messenger, Convite para transferência de arquivo via MSN Messenger 925
permitido,'messages_20jan10.RAR' (87976 bytes) - Prof: Suporte Té,Passports: victor.aker@hotmail.com -> thiago.divino@gmail.com Username: victor.rossi/AD
Nome do arquivo (tamanho) – Prof: profissão. Passaportes Usuário->com quem \nNome do Usuário\Autenticação 20/01/2010,15:45:42,Notice,283,Proxy MSN Messenger, Transferência de arquivo via MSN Messenger bloqueada,'VPNs.DOC' (569856 bytes) - Prof: Suporte Técnico,Passports: edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username: edilson.moura/AD
id de um serviço do msn – Prof: Profissão Passaportes Usuário->com quem \nNome do Usuário\Autenticação 20/01/2010,15:45:42,Info,283,Convite para uso de aplicativo via MSN Messenger permitido, transferência de arquivo - Prof: Suporte Técnico,Passports: edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username: edilson.moura/AD
id de um serviço do msn – Prof: Profissão Passaportes Usuário->com quem \nNome do Usuário\Autenticação 20/01/2010,15:45:42,Notice,284,Uso de aplicativo via MSN Messenger não permitido, jogo - Prof: Suporte Técnico,Passports: edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username: edilson.moura/ADse
IP – Profissão Passaportes Usuário->com quem \nNome do Usuário\Autenticação 20/01/2010,11:28:56,Notice,278,Proxy MSN Messenger, Conversação do MSN Messenger bloqueada,IP: 10.0.0.234 - Prof: Adminsitrativo,Passports: josimar_hip@yahoo.com -> recepcao@aker.com.br Username: apoio.administrativo/AD
IP – Profissão Passaportes Usuário->com quem \nNome do Usuário\Autenticação 20/01/2010,11:27:44,Info,277,Proxy MSN Messenger, Conversação do MSN Messenger iniciada, IP: 10.2.0.204 - Prof: Suporte Técnico,Passports: victor.aker@hotmail.com -> vlandemir@msn.com Username: victor.rossi/AD
IP – Profissão Passaporte do Usuário \nNome do Usuário\Autenticação 20/01/2010,11:27:44,Notice,291,Proxy MSN Messenger, Usuário sem
926
permissão tentou entrar no MSN Messenger,10.4.0.19 – Prof: Estagiário, bruno.lobo@aker.com.br bruno.lobo/AD
IP – Profissão Passaporte do Usuário \nNome do Usuário\Autenticação 20/01/2010,11:27:44,Notice,281,Proxy MSN Messenger, Notificação do Hotmail bloqueada,10.4.0.19 – Prof: Estagiário, bruno.lobo@aker.com.br bruno.lobo/AD
NULL IP do servidor : porta do servidor 19/01/2010,18:42:01,Warning,288,Proxy MSN Messenger, Servidor MSN Messenger não responde,65.54.52.254:1863
clfwquota_test_and_consume(): retorno e erro NULL 19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro comunicação com o servico de quotas,clfwquota_test_and_consume(): -3 25,
de
clfwquota_read(): NULL 19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro de comunicação com o servico de quotas,clfwquota_read(): -3 25,
NULL NULL 20/01/2010,11:28:56,Notice,314,Proxy bytes expirada,
MSN
Messenger,Quota
de
NULL NULL 20/01/2010,11:28:56,Notice,316,Proxy tempo expirada,
MSN
Messenger,Quota
de
socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy conectando ao servico de quotas, 7 13,
43.3.3.
MSN
Messenger,Erro
Eventos gerados pelo Proxy POP3
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM, MSG1, MSG2
927
POP3_SRV_RCV Source (IP) -> Destino(IP:Porta) CMD: recv 27/01/2010,19:23:30,Warning,226,Proxy POP3,Erro recebendo dados do servidor POP3,10.4.0.19 -> 10.4.0.186:1080,CMD: recv CMD: fcntl
POP3_LINE_TOO_LONG Sourec (IP) -> Destino(IP:Porta) Texto cliente de POP3
POP3_CLI_RCV
digitado
pelo
Sourec (IP) -> Destino(IP:Porta) CMD: fcntl
CMD: recv
POP3_CLI_SND
Sourec (IP) -> Destino(IP:Porta) NULL
POP3_SRV_SND Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo cliente de POP3
POP3_SRV_INVALID_ANSWER Sourec (IP) -> Destino(IP:Porta) Texto pelo cliente de POP3
digitado
POP3_SRV_CONNECT Sourec (IP) -> Destino(IP:Porta) NULL
POP3_SRV_NOT_AVAIL Sourec (IP) -> Destino(IP:Porta) Texto cliente de POP3
digitado
pelo
POP3_INVALID_CMD cliente de POP3
digitado
pelo
Sourec (IP) -> Destino(IP:Porta) Texto
POP3_OPEN_FILE Sourec (IP) -> Destino(IP:Porta) (erro) nome do arquivo
POP3_WRITE_FILE
Sourec (IP) -> Destino(IP:Porta) nome do arquivo 928
POP3_OUT_OF_SPACE Sourec (IP) -> Destino(IP:Porta) nome do arquivo
POP3_MIME_ERROR
Sourec (IP) -> Destino(IP:Porta) errno
POP3_STLS_MODE
Sourec (IP) -> Destino(IP:Porta) NULL
43.3.4.
Eventos gerados pelo Proxy SMTP
MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM, MSG1, MSG2
Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL 27/01/2010,19:23:30,Warning,226,Proxy SMTP,Mensagem SMTP aceita,Mensagem enviada,Source 10.4.0.19 – Destination: 10.4.0.18\nFrom bruno.l bruno.lobo2@aker.com.brobo@aker.com.br - To:
Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL Source: IP – Destination:IP Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL
Source: IP – Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
929
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Regra: Nome da regra
Regra: Nome da regra
,3Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL
Source: IP – Destination:IP- Size: Tamanho\nFrom: EMAIL – To: EMAIL
Source: IP – Destination:IP- Size: Tamanho\nFrom: EMAIL – To: EMAIL
930
43.3.5.
Eventos gerados pelo Módulo de IDS/IPS e filtro de aplicativos
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM, MSG1, MSG2
op = INT, errno = INT NULL 27/01/2010,19:23:30,Warning,Analise profunda e IDS interno,Erro ao enviar dados para o kernel do Firewall, op = 1, errno = 34, “IDS rule”
NULL
“Commit”
st: INT num: INT errno: INT
origem: IP ORIGEM, temp: EM HORA “Modulo de IDS/IPS”\nRaso(STRING) origem: IP ORIGEM, temp: EM HORA “Modulo aplicativos”\nRaso(STRING)
de
filtragem
de
Pipe Name(STRING), PESO(STRING) (IP:PORTA) -> (IP:PORTA)
(IP:PORTA) -> (IP:PORTA)
NULL
Retorno da função(INT), ERRNO(INT) NULL
NULL (INT) Pacotes perdidos em (INT) segundos
NULL (INT)TAMANHO DO PACOTE < (INT) TAMANHO DO PACOTE IP
NULL NULL Err: Retorno(INT) Errno(INT)
NULL
931
Aonde ocorreu o erro(STRING) Motivo (STRING)
Aonde ocorreu o erro(STRING) Motivo (STRING)
“Filters applied successfully” "avisando"
NULL
NULL
“not start slave”
NULL
“Download started (master)”
NULL
"Filters applied successfully (slave)"
Nome do arquivo (STRING)
“updates"
NULL
“updates"
sk: (INT), st: (INT), err: (INT), errno: (INT)"
“errno: ” (INT)
NULL
"expiration" sk: (INT), st: (INT), err: (INT), errno: (INT)"
Err: Retorno(INT) Errno(INT)
Regras do perfil: Nome(STRING)
Err: Retorno(INT)
NULL Motivo (STRING)
Err: Retorno(INT) Errno(INT)
43.3.6.
Eventos gerados pelo Aker Antivírus Module
932
Tipo de mensagem
Complemento 1
Complemento 2
Information License expiration date updated successfully NULL 02/04/2010,17:24:03,Informação do Antivírus, License updated successfully,
expiration
date
Engine successfully loaded Engine(PANDA) 02/04/2010,17:24:03,Informação do Antivírus, Engine successfully loaded. Update installed successfully Nome do arquivo 02/04/2010,17:24:03,Informação do Antivírus, successfully,update.tar
Update
installed
License applied successfully NULL 02/04/2010,17:24:03,Informação do Antivírus, License applied successfully, Configuration applied Antivírus,Configuration,applied
NULL
02/04/2010,17:24:03,Informação
Patch/hotfix applied successfully Hora de aplicação 02/04/2010,17:24:03,Informação do Antivírus,Patch/hotfix successfully,Wed Feb 3 14:24:04 2010
do
applied
Patch/hotfix rollback applied successfully Hora de aplicação 02/04/2010,17:24:03,Informação do Antivírus,Patch/hotfix rollback applied successfully,Wed Feb 3 14:24:04 2010 User authenticated PID do processo que esta logando 02/04/2010,17:24:03,Informação do Antivírus,User authenticated,1964 Signatures database backup loaded NULL 02/04/2010,17:24:03,Informação do Antivírus, Signatures database backup loaded, Manual update started Hora de aplicação 02/04/2010,17:24:03,Informação do Antivírus, Manual update started,Wed Feb 3 14:24:04 2010 Signatures database already updated Hora de aplicação 02/04/2010,17:24:03,Informação do Antivírus, Signatures database already updated,Wed Feb 3 14:24:04 2010 Automatic update started Hora de aplicação 02/04/2010,17:24:03,Informação do Antivírus, Automatic update started,Wed Feb 3 14:24:04 2010 933
Update file downloaded successfully 02/04/2010,17:24:03,Informação do successfully,Download.tar.bz2
Download file Name(STRING) Antivírus, Update file downloaded
Notice License not found NULL Antivírus, License not found,
02/03/2010,15:34:19,Aviso
importante
do
File is corrupted PID do processo que esta logando 02/03/2010,15:34:19,Aviso importante do Antivírus,File is corrupted,123456 File is encrypted PID do processo que esta logando 02/03/2010,15:34:19,Aviso importante do Antivírus,File is encrypted,123456 Virus found Nome do vírus(STRING) PID do processo que esta logando 02/03/2010,15:34:19,Aviso importante do Antivírus, Virus found,virus.txt 123465 Configuration file not found, default loaded NULL 02/03/2010,15:34:19,Aviso importante do Antivírus, Configuration file not found, default loaded, Update already in progress NULL 02/03/2010,15:34:19,Aviso importante do Antivírus, Update already in progress, Update canceled NULL Antivírus, Update canceled,
02/03/2010,15:34:19,Aviso
importante
do
Error Scan error PID do processo que esta logando 02/03/2010,15:34:19,O Antivírus encontrou um erro,Scan error,123465 Error changing license expiration date NULL 02/03/2010,15:34:19,O Antivírus encontrou um erro,Error changing license expiration date, No engine loaded NULL um erro,No engine loaded,
02/03/2010,15:34:19,O Antivírus encontrou
Error applying license NULL encontrou um erro,Error applying license,
02/03/2010,15:34:19,O
Antivírus
934
Connection lost with daemon “Engined” 02/03/2010,15:34:19,O Antivírus encontrou um erro,Connection lost with daemon,Engined Connection lost with daemon “Service” 02/03/2010,15:34:19,O Antivírus encontrou um erro,Connection lost with daemon, Service
Warning Error loading engine Engine(PANDA) 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Error loading engine, Panda Error installing update Nome do arquivo 02/02/2010,09:24:04,Mensagem de alerta update,update.db
do
Antivírus,Error
installing
Error applying configuration NULL 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Error applying configuration, Error applying patch/hotfix Hora de aplicação 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Error applying patch/hotfix, Wed Feb 3 14:24:04 2010 Error trying patch/hotfix rollback Hora de aplicação 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, patch/hotfix rollback, Wed Feb 3 14:24:04 2010
Error
trying
Error getting system information NULL 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Error getting system information, Error getting patch/hotfix history NULL 02/02/2010,09:24:04,Mensagem de alerta patch/hotfix history,
do
Antivírus,
Error
getting
Error authenticating user PID do processo que esta logando 02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error authenticating user,123456 Signatures database corrupted NULL 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Signatures database corrupted,
935
Error loading signatures database backup NULL 02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error signatures database backup,
loading
Error communicating with client IP 02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error communicating with client,10.4.0.19 Error loading signatures database backup NULL 02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error signatures database backup,
loading
Update not allowed: Invalid license NULL 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Update not allowed: Invalid license, Update error: error writing to disk NULL 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Update error: error writing to disk, Update error: memory allocation error NULL 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Update error: memory allocation error, Update file download failed Host does download 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Update file Update error: no file downloaded NULL 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Update error: no file downloaded, Update error: corrupted file Download file Name(STRING) 02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Update error: corrupted file,FileCorrupt.tar
43.3.7.
Eventos gerados pelo Aker Web Content Analizer
Mensagem Complemento Complement
Date,
Time,
Tipo
do
evento,
Message,
nome da categoria URLs database replacement failed 02/05/2010,20:03:49,Informação do Web Content Analyzer, Informática URL Category found, http://www1.aker.com.br/sites/icones/sis-pixel1.gif
936
upload: errno be sent
Error when mapping the compressed file containing the urls to
upload: errno
Error when mapping the undefined urls files
upload: errno
Error when opening the undefined urls files
upload: errno sent
Error when opening the compressed file containing the urls to be
NULL Error when opening the undefined urls files NULL Error when saving the file containing the urls to be uploaded NULL Error when compressing file to upload NULL There is no urls to be sent Urls: NUMERO DE URLS URLs successfully uploaded to Aker Upload : errno
Socket creation error
NULL Server returned error message after uploading Communication error: Error when sending message to daemon (INT) Socket creation error erro(INT)
Error when reopening the undefined urls files
CF: erro
Error when reopening the undefined urls files
Upload: (URL do servidor de download) NULL URL do servidor de Proxy NULL IP
NULL
Upload: (URL do servidor de download) Invalid URL URL do servidor de download FileName
Invalid URL
File not available for download
AKER header: Size File not available for download no 'Content-length' nor 'chunked' nor 'close' cat_list.xml - no 'Last-Modified'
File not available for download
File not available for download 937
Header do arquivo(STRING)
File not available for download
FileName
Error while opening update file
makeindex
Error while opening update file
recv==0 header FileName
Error while downloading URLs update file
Error while downloading URLs update file
AKER header chuncked: ChunckedData file
Error while downloading URLs update
comp_regs_len chuncked ChunckedData file
Error while downloading URLs update
uncompress buffer Error while downloading URLs update file Md5 buffer
Error while downloading URLs update file
regs num: numero de regras
Error while downloading URLs update file
No modified file of categories signature found! NULL Error code retuned from web server is not 200(OK)! NULL Nome do arquivo
Error while writing URLs update file"
Erro de comunicação com processo pai Data send error decompress_file: erro
URLs database replacement failed
Erro de comunicação com processo pai URLs database replacement failed mmap: erro URLs database replacement failed “decompress_buffer: NULL”
URLs database replacement failed
DATA CORRENTE Updating daily URLs databasepdating daily URLs database CreateFile: erro
Error when reopening the undefined urls files
Erro de comunicação com processo pai NULL FileName
Invalid URL update file
“Replication of undefined URL failed erro = errno” /usr/local/akerurl/db/base.udx
NULL
URLs database corrupt
"cluster_read_st = AKERURL_REPL_URL_BASE" NULL Erro ao replicar URL indefinida
NULL 938
cluster_read_st = AKERURL_REPL_UNDEFS_URLS
NULL
URLs file replication failed URLs file replication failed (time index snd=erro)
NULL
URLs file replication failed (commit_st index = erro) NULL URLs file replication failed (send_file index = erro)
NULL
NULL URLs database replacement failed Fazendo o merge ou replace da base nome do arquivo
NULL
Error while opening update file
/usr/local/akerurl/db/base.udx
Error while creating URLs update file
/usr/local/akerurl/db/base.udx
Error while writing URLs update file
NULL URls database replacement successfull x URLs Inseridas, x URLs, removidas, x URLs modificadas URls replacement successfull FileName
database
Error while reading URLs update file
Erro de parser no arquivo xml de configuração /usr/local/akerurl/aker_users.cfg Erro de parser no arquivo xml de configuração nome do arquivo Erro de parser no arquivo xml de configuração file = Nome do arquivo - lang = Idioma
empacota_user_cat_list fail xmlNewDoc fail
NULL
NULL
Categories list was successfully updated! Erro ao replicar o time index da base
NULL
NULL
Upload: (URL do servidor de download) NULL (URL do servidor de Proxy) connect: errno
NULL
(URL do servidor de Proxy) send: errno NULL
939
Upload: (URL do servidor de download) NULL (URL do servidor de Proxy) connect: errno
NULL
(URL do servidor de Proxy) send: errno
NULL
Upload
NULL
NULL NULL Header len: NULL Ip
NULL
Upload
Data receive error
Header len: Data receive error select: erro Data receive error pkt: errno Ip
Data receive error
Firewall closed the connection
NULL Error while opening categories list envia_pacote: errno
Data send error
sendto client: erro Data send error
NULL NULL
FileMapping: erro(INT)
NULL
MappingView: erro(INT)
NULL
decompress_buffer: NULL NULL
Ip
NULL
940
NULL URL
NULL Activation key not found NULL Activation key expired. It will be no longer possible to update database. NULL Update license expired. It will be no longer possible to update database. lic_resp.erro = errno
NULL
Activation key will expire in few days
X remaining days
Update key will expire in few days
X remaining days
Ip
NULL
NULL NULL
43.3.8.
Eventos gerados pelo Aker Spam Meter
Mensagem Texto da Mensagem Complemento COMPLEMENTO, TEXTO DA MENSAGEM
DATA,
HORA,
TIPO,
LOG_BAYES_RECALC_START Iniciando recalculo de base NOME DA BASE 02/06/2010,02:12:12 AM, Informação do Spam Mete, Base do sistema, Iniciando recálculo da base (Inactive Node)
LOG_BAYES_AUTH_ERR
Erro de autenticação
Header Data
LOG_BAYES_SEND_ERR
Erro ao enviar dados
NULL
LOG_BAYES_RECV_ERR
Erro ao receber dados
NULL
941
LOG_BAYES_NEW_CONNECTION
Nova cornea recebida
LOG_BAYES_TIMEOUT Timeout na conexão
LOG_BAYES_INVALID_DATA
NULL
NULL
Dados inválidos recebidos
Packet Size Invalid Greeting Operation OP Greeting Size Context Number New classification data length New classification base name Message end length New training data length New training base name ID training data length ID training base name Database recalculation data length Database recalculation base name Database deletion base name
LOG_BAYES_CONNECTION_OK
Conexão autenticada OK
Connection at port PORTA Connection protocl PROTOCOLO
LOG_BAYES_MEM_ERR Erro de alocação de memoria New context NULL 942
Message list Adding recalculation - Base NOME_DA_BASE
LOG_BAYES_ENGINE_ERR
Erro retornado pelo engine
Erasing system database – ERRO Changing database cache timeout – ERRO Erasing system database – ERRO Erasing database DATABASE NAME – ERRO New context - ERRO Classification new – training into the system database is not allowed
Classification new - ERRO: NOME DA BASE" Op: OPERAÇÂO – ERRO Classification end – ERRO Training new – ERRO Training end – ERRO ID training – ERRO Base delete – ERRO Erasing system database – ERRO Getting system update time – ERRO Database merging – ERRO Getting system update time – ERRO
LOG_BAYES_CONN_REFUSED OPERATION - State ESTADO
Conexus recusada ao cliente
LOG_BAYES_INVALID_STATE Estado invalido ESTADO
Op
OPERATION
Op
-
State
943
LOG_BAYES_INVALID_OP unrecognized
Operação invalida Operation
LOG_BAYES_CREATE_FILE_ERR ERRNO
code
OP_CODE
HAM and SPAM info file - Error
HAM index file – Error ERRNO SPAM index file - Error ERRNO User’s trainings file – Error ERRNO Temporary download file - Error ERRNO
LOG_BAYES_DOWNLOAD_ERR proxy data to base64
Erro ao baixar nova base Error
converting
Error receiving header Bad header error Write file error Invalid data size error Uncompress error – ERRNO Bad hash error ERRNO Server replied HTTP status code ERRNO
LOG_BAYES_PROXY_AUTH_ERR converting proxy data to base64
Erro ao autenticar no proxy
Error
Iniciando download da base
Base of
NOME DO PROXY
LOG_BAYES_DOWNLOAD_START DATA Complete base
944
LOG_BAYES_DOWNLOAD_SUCCESSFULL Download completado OK NULL
LOG_BAYES_RECALC_OK
Recalculo completo OK
NOME DA BASE
Base: NOME DA BASE - %ERRNO
LOG_BAYES_RECALC_ERR %ERRNO
Erro ao recalcular base
Base: NOME DA BASE -
LOG_BAYES_UPLOAD_START iniciando upload da base NULL
LOG_BAYES_UPLOAD_SUCCESSFULL
LOG_BAYES_UPLOAD_ERR END_PROXY
upload completado OK
Erro ao enviar base
Error
NULL
resolving
host
Error creating connection socket Error ERRNO when opening update file FILENAME Erro converting string containing an Ipv4 into a proper address Error converting proxy data to base64 Error %1 while connecting to proxy Error while sending HTTP request to proxy Error while sending HTTP request to server Error when reading header from file FILENAME Error while sending header to proxy Error while sending header to server 945
Disk error when reading training file FILENAME Compress error – ERRNO Error sending compressed registers to proxy Error sending compressed registers to server Error sending trailer to proxy Error sending trailer to server Error receiving response header Transference was cancelled Proxy authentication required Server replied an error message Error opening Index Database Error opening Index Database User’s trainings file - Error ERRNO Empty Index Database Corrupted Index Database
LOG_BAYES_LICENSE_EXPIRED
Licença expirou
License expired DATA
LOG_BAYES_ACCUMULATE_ERR
erro ao acumular base
LOG_BAYES_PATCH_ERR
Error validating the patch: ERRNO
NULL
Error getting id in patch:- ERRNO Error getting history dir:- ERRNO Error applying the patch:- ERRNO Error getting history dir for get patch history:- ERRNO Error getting patch history:- ERRNO 946
Error getting id for System info:- ERRNO Error getting history dir for System info:- ERRNO Error packing Cluster info:- ERRNO
LOG_BAYES_PATCH_SUCCESSFULL
aplicação do patch ok
NULL
LOG_BAYES_BASE_BACKUP_ERR erro ao tentar fazer backup de bases de treinamentos de usuários receiving database list generating backup file Opening File Reading File error mapping file
LOG_BAYES_BASE_BACKUP_SUCCESSFULL usuário completado com sucesso NULL
backup de treinamentos de
LOG_BAYES_BASE_RESTORE_ERR erro ao tentar restaurar backup das bases de treinamentos dos usuários opening file temporary file is closed writing restore data error mapping file transfer error local user ID is different from the restore file ID transfer error unpacking data
LOG_BAYES_BASE_RESTORE_SUCCESSFULL restauração do backup das bases de treinamentos dos usuários completado com sucesso NULL
947
LOG_BAYES_MSG_CLASSIFY_SUCCESSFUL sucesso na classificação de uma mensagem da interface Score: SCORE Id: ID Score: SCORE Base: NOME DA BASE Delta: (DELTA, DELTA_INTERNO) Cache rate: RATE
LOG_BAYES_LOG_CONFIG_ERROR erro no processo de configuração do servidor de log Error starting communication with Aker Log Server Error relesinha log configurai-o
LOG_BAYES_SMALL_CACHE performance degradada por cache ser muito pequeno Erasing system database Database listing Erasing database DATABASE NAME Classification new Training new ID training Base delete Erasing system database Recalc base – BASENAME Getting system update time Merging system base Getting system update time Gerenate probability base – BASENAME
LOG_BAYES_MSG_TRAIN_SUCCESSFULL sucesso na classificação de uma mensagem da interface Trained as TIPO - Base: BASENAME
948
LOG_BAYES_CONNECTION_CLOSED
LOG_BAYES_HOST_DL_ERR
conexão fechada MOTIVO
erro no download do arquivo de hosts
ERRO Error creating file Error requesting data: ERRO Host list is empty Error packing data download already in progress
LOG_BAYES_WRITE_FILE_ERR FILENAME – Error ERRNO
Erro ao escrever em arquivo
File
LOG_BAYES_HOST_DL_START iniciando download do arquivo de hosts NULL 02/02/2010,11:24:14,Informação de o Spam Meter, Iniciando download da lista de hosts (Active Node)
LOG_BAYES_HOST_DL_SUCCESSFULL download do arquivo de hosts finalizado NULL 02/02/2010,11:24:14,Informação de o Spam Meter, Download da lista de hosts realizado com sucesso (Active Node)
LOG_BAYES_BASE_DELETED base apagada
LOG_BAYES_DOWNLOAD_INFO License
BayesLog
System
informação sobre download
database
Invalid
Download already in progress Database already updated
949
LOG_BAYES_ROLLBACK_ERR erro ao aplicar o rollback de um patch Error getting rollback info – ERRNO Error getting history dir for rollback – ERRNO Error rollbacking patch – ERRNO LOG_BAYES_ROLLBACK_SUCCESSFULL NULL
aplicação do rollback de um patch ok
950
Apêndice B - Copyrights e Disclaimers
951
44.
Apêndice B - Copyrights e Disclaimers Neste apêndice estão listados os disclaimers das bibliotecas e códigos fontes de terceiro utilizados no Aker Firewall. Estes disclaimers se aplicam apenas às partes explicitamente citadas e não ao Aker Firewall como um todo. Eles estão citados aqui devido a exigências das entidades desenvolvedoras: Biblioteca DES Copyright (C) 1995 Eric Young (eay@mincom.oz.au) All rights reserved. This library and applications are FREE FOR COMMERCIAL AND NON-COMMERCIAL USE as long as the following conditions are aheared to. Copyright remains Eric Young's, and as such any Copyright notices in the code are not to be removed. If this code is used in a product, Eric Young should be given attribution as the author of the parts used. This can be in the form of a textual message at program startup or in documentation (online or textual) provided with the package. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: This product includes software developed by Eric Young (eay@mincom.oz.au) THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY 952
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. The licence and distribution terms for any publically available version or derivative of this code cannot be changed. i.e. this code cannot simply be copied and put under another distribution licence [including the GNU Public Licence.] Biblioteca de criptografia libcrypto Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com) All rights reserved. This package is an SSL implementation written by Eric Young (eay@cryptsoft.com). The implementation was written so as to conform with Netscapes SSL. This library is free for commercial and non-commercial use as long as the following conditions are aheared to. The following conditions apply to all code found in this distribution, be it the RC4, RSA, lhash, DES, etc., code; not just the SSL code. The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson (tjh@cryptsoft.com). Copyright remains Eric Young's, and as such any Copyright notices in the code are not to be removed. If this package is used in a product, Eric Young should be given attribution as the author of the parts of the library used. This can be in the form of a textual message at program startup or in documentation (online or textual) provided with the package. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: "This product includes cryptographic software written by Eric Young (eay@cryptsoft.com)" The word 'cryptographic' can be left out if the rouines from the library being used are not cryptographic related :-). 4. If you include any Windows specific code (or a derivative thereof) from the apps directory (application code) you must include an acknowledgement: 953
"This product includes software written by Tim Hudson (tjh@cryptsoft.com)" THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. The licence and distribution terms for any publically available version or derivative of this code cannot be changed. i.e. this code cannot simply be copied and put under another distribution licence [including the GNU Public Licence.] Biblioteca SNMP Copyright 1997 by Carnegie Mellon University All Rights Reserved Permission to use, copy, modify, and distribute this software and its documentation for any purpose and without fee is hereby granted, provided that the above copyright notice appear in all copies and that both that copyright notice and this permission notice appear in supporting documentation, and that the name of CMU not be used in advertising or publicity pertaining to distribution of the software without specific, written prior permission. CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE, INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
954
Códigos do FreeBSD Copyright (c) 1982, 1986, 1993 The Regents of the University of California. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: This product includes software developed by the University of California, Berkeley and its contributors. 4. Neither the name of the University nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Algoritmo MD5 Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved. License to copy and use this software is granted provided that it is identified as the "RSA Data 955
Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing this software or this function. License is also granted to make and use derivative works provided that such works are identified as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing the derived work. RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is" without express or implied warranty of any kind. These notices must be retained in any copies of any part of this documentation and/or software. Agente SNMP Copyright (c) 1996,1997 Wes Hardaker and the University of California at Davis COPYRIGHT Many portions of the code in this package were distributed by Carnegie Mellon University. All other code and changes to the original code written by Wes Hardaker at the University of California at Davis is copyrighted under the following copyright: Permission is granted to use, copy, modify, and distribute this software and documentation. This software is distributed freely and usage of it is not subject to fees of any kind. It may be included in a software compact disk set provided that the author is contacted and made aware of its distribution. Biblioteca de números extendidos LInteger LInteger Version 0.2 Source Code and Documentation Copyright (C) 1996 by Leonard Janke This source code and documentation may be used without charge for both commercial and non-commercial use. Modification of the source code or documentation is allowed provided any derivate work is clearly indentified as such and all copyright notices are retained unmodified. Redistribution of the source code 956
or documentation is unlimited, except by the limits already mentioned, provided that the redistribution is not for profit. Those wishing to redistribute this source code or documentation or any work derived from either for profit must contact Leonard Janke (janke@unixg.ubc.ca) to work out an acceptable arrangement. Anyone who wishes to distribute a program statically linked against the functions provided may do so providing that he or she include a copy of this note with the program. Distribution of libraries compiled from this source code is unlimited if the distribution is not for profit and this copyright notice is included. Those wishing to distribute libraries compiled from this source code or any work derived from it for profit must contact Leonard Janke (janke@unixg.ubc.ca) to work out an acceptable arrangement. Anyone using this source code or documentation or any work derived from it, including, but not limited to, libraries and statically linked executable, must do so at his or her own risk, and with understanding that Leonard Janke will not be held responsible for any damages or losses that may result.
957