Escolar Documentos
Profissional Documentos
Cultura Documentos
Este material1 pode ser livremente reproduzido, desde que mantidas as notas de copyright
e o seu conte
udo original. Envie crticas e sugestoes para suporte@nettion.com.br.
Sum
ario
1 Introduc
ao
1.1
11
Apresentacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2 Instalac
ao/Registro/Login
13
2.1
Instalacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.2
Registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.3
Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.4
Tela Inicial
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3 Configurac
oes
17
3.1
3.2
Basicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.1.1
Graficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.1.2
Administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.1.3
Data/Hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.2.1
Interface/Conexoes . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.2.2
Sub-Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.2.3
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.2.4
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.2.5
Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.2.6
DNS Dinamico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.2.7
Graficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4 Objetos
4.1
37
Manutencao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.1.1
Inclusao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.1.2
Edicao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.1.3
4.1.4
Exclusao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 39
SUMARIO
4
4.1.5
4.2
Hosts e Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.2.1
4.3
4.6
4.7
4.8
Expressoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.4.1
4.5
Domnios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.3.1
4.4
Consulta de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Horarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.5.1
4.5.2
Determinando Intervalos . . . . . . . . . . . . . . . . . . . . . . . . 43
Servicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.6.1
Predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.6.2
Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Categorias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.7.1
Predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.7.2
Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.7.3
Consulta de URLs . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Mime Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
5 Usu
arios/Grupos
5.1
5.2
Autenticacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.1.1
Base Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.1.2
Servidor NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.1.3
Servidor Windows
6.2
Perfis de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
6 Proxy
6.1
Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
5.3.1
5.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
5.2.1
5.3
47
57
Intranet Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6.1.2
Nettion Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.2.1
6.2.2
Proxy transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
SUMARIO
5
6.2.3
Configuracoes gerais . . . . . . . . . . . . . . . . . . . . . . . . . . 59
6.2.4
6.2.5
Mensagens de erro . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
6.2.6
Portas Autorizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
6.2.7
6.2.8
6.3
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
6.4
6.5
6.6
6.7
6.4.1
6.4.2
Tela 2 Horario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
6.4.3
Tela 3 - Filtros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.4.4
6.4.5
Tela 5 - Qos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.5.1
Padrao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.5.2
Por domnio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.5.3
Top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.5.4
Acessos Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.5.5
On-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Graficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
6.6.1
Selecionando um perodo . . . . . . . . . . . . . . . . . . . . . . . . 71
6.6.2
6.6.3
Monitoramento Realtime . . . . . . . . . . . . . . . . . . . . . . . . 72
7 Controle de Banda
73
7.1
Re-priorizacao de pacotes
7.2
7.3
Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
7.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . 73
7.3.1
7.3.2
Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
7.3.3
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
SUMARIO
6
8 Firewall
79
8.1
Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
8.2
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
8.2.1
8.3
8.4
Acesso ao Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
8.3.2
8.3.3
9.2
9.3
. . . . . . . . . . . . . . . 85
Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
9 VPN
9.1
87
VPN PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
9.1.1
Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
9.1.2
VPN IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
9.2.1
Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
9.2.2
Conexoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
10 NIDS
99
10.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
10.1.1 Selecao de Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . 99
10.1.2 Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
10.1.3 Configuracao do PortScan . . . . . . . . . . . . . . . . . . . . . . . 100
10.1.4 Deteccao de Assinaturas . . . . . . . . . . . . . . . . . . . . . . . . 101
10.1.5 Alerta por e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
10.1.6 Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
10.1.7 Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
10.1.8 Ultimas
assinaturas . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
10.1.9 IPs Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
11 DHCP
105
SUMARIO
12 E-mail
109
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
127
SUMARIO
8
14 Sistema
129
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
141
. . . . . . . . . . . . . . . . . 148
SUMARIO
9
15.4.8 Iniciando o servico Blitz . . . . . . . . . . . . . . . . . . . . . . . . 151
15.4.9 Configurando as estacoes . . . . . . . . . . . . . . . . . . . . . . . . 151
15.4.10 Mais informacoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
10
SUMARIO
Captulo 1
Introdu
c
ao
1.1
Apresentac
ao
11
12
CAPITULO 1. INTRODUC
AO
seguranca no acesso a` sua rede por parte de usuarios da internet e evita a exposicao
total ao ataque de hackers.
atraves de relatorios e regras estabelecidas os usuarios de computadores farao uso
mais profissional da Internet, aumentando a produtividade e diminuindo os riscos associados a TI. As regras aplicadas sao flexveis podendo-se fazer limites por usuarios
e por horarios. A configuracao e bem simples e nao havera necessidade de M.O. especializada. Os relatorios sao diversificados e intuitivos, propicinado analises justas
e reais.
R possui cadastrado,
o sistema de deteccao de tentativas de invasao (NIDS) do Nettion
aproximadamente, 2.000 formas de tentativa de invasao, o que possibilita o bloqueio
de acesso de usuarios mal intencionados.
R disp
Outro recurso que o Nettion
oe e o Controle de Banda, que permite estabelecer percentuais de uso do link para acesso a`s paginas web, trafego de e-mails e
etc, otimizando e garantindo que todos estes servicos estejam disponveis simultaneamente.
R voc
atraves da VPN (Rede Virtual Privada) do Nettion
,
e passa a utilizar a internet
como meio de comunicacao de forma segura, pois seus dados sao criptografados (embaralhados) ao trafegarem atraves de t
uneis de comunicacao pela internet. Atraves
deste recurso voce pode diminuir sensivelmente os custos com interligacao de redes,
como matriz e filiais, e de usuarios fisicamente separados da rede local utilizando a
Internet como meio de comunicacao e garantindo a seguranca dos dados.
Captulo 2
Instala
c
ao/Registro/Login
2.1
Instalac
ao
O Nettion funciona sobre uma distribuicao Linux (Nettion Linux) totalmente adequada e
otimizada ao funcionamento de todos os seus recursos. Por isso, sua instalacao, que exige
uma maquina dedicada, nao requer um sistema operacional pre-instalado. Seu instalador
ja integra a instlacao do Nettion Linux e a Interface de Administracao dos recursos.
O Guia de Instalacao do produto em seu hardware encontra-se em um documento sepaR ou atrav
rado, que pode ser facilmente acessado no site do Nettion
es do link Guia de
Instalacao.
2.2
Registro
Apos a instalacao, acesse o seu Nettion atraves de um browser (Mozilla Firefox ou Internet Explorer) utilizando o endereco IP que voce configurou durante a instalacao (ex:
http://192.168.254.1). Neste momento voce tera acesso `a tela de Logon da Interface de
Administracao do produto, atraves da qual voce fara todas as configuracoes necessarias
para adequar o Nettion ao ambiente de rede da sua empresa.
Ao logar-se pela primeira vez, o processo de registro do software sera iniciado. O registro
do produto e um procedimento obrigatorio, pois somente apos registra-lo e que o seu uso e
liberado. No primeiro formulario de registro, o administrador deve informar CNPJ/CPF,
R que est
Denominacao Social e a edicao do Nettion
a registrando, de acordo com a figura
2.1.
13
CAPITULO 2. INSTALAC
AO/REGISTRO/LOGIN
14
2.3
Login
15
2.4
Tela Inicial
CAPITULO 2. INSTALAC
AO/REGISTRO/LOGIN
16
Dados da licenca do Nettion;
Ultimas
notcias Nettion.
Porem, tantas informacoes a serem exibidas podem fazer com que a carga inicial da
interface demore. Devido a isto, e possvel desativar alguns quadros, bastando para isso
clicar no botao localizado no canto superior-direito do quadro que se deseja desativar.
Para reativa-lo, clique novamente no mesmo botao, como mostra a figura 2.5.
Captulo 3
Configura
c
oes
3.1
B
asicas
Obs.: No captulo 5, voce podera obter informacoes sobre como criar usuarios e perfis de
acesso ao sistema. Desta forma, voce podera criar um usuario e definir os modulos do
R que poder
Nettion
ao ser acessados.
3.1.1
Gr
aficos
R s
Por padrao, todos os graficos do Nettion
ao ativados. Porem, e possvel informar ao
sistema quais graficos ficarao ativos. Para isso, acesse o menu Configuracoes Graficos.
Na tela que sera exibida, clique na caixa de verificacao dos graficos que deseja desativar
e clique no botao Salvar Configuraco
es.
17
CAPITULO 3. CONFIGURAC
OES
18
3.1.2
Administrador
Senha
Para alterar a senha, preencha os campos senha atual, nova senha e confirmacao e clique
no botao Salvar Configuraco
es.
Portas de Administrac
ao
R (HTTP e SSH). Por
Nesta tela e possvel redefinir as portas para acesso ao Nettion
padrao, as portas definidas sao 80/TCP para o acesso web (Interface de Administracao)
R (Console do Nettion Linux). Modifique-as
e 22/TCP para acesso ao shell do Nettion
conforme a necessidade e clique no botao Salvar Configuraco
es.
3.1. BASICAS
19
3.1.3
Data/Hora
Para configurar data e hora do sistema, voce tem duas opcoes: configurar manualmente
(Clock Local) ou sincronizar com algum servidor NTP (Network Time Protocol).
CAPITULO 3. CONFIGURAC
OES
20
Firewall
necessario que algumas regras de Firewall sejam criadas para garantir que os recursos
E
citados neste captulo funcionem corretamente. Sao elas:
Data/Hora Servidor NTP
Permite que o Nettion comunique-se com os servidores NTP configurados.
Um resumo da regra necessaria encontra-se na tabela 3.1 a seguir:
Regra: Nettion -> NTP Servers
Origem
Destino
Serv. Destino Acao
localhost Qualquer ntp
Aceitar
Tabela 3.1: Liberando Nettion para NTP servers
3.1. BASICAS
21
Acesso ao Console e `
a Interface Web do Nettion
Um resumo das regras de firewall necessarias encontra-se nas tabelas 3.2 e 3.3 a seguir.
R via https n
A porta 443/TCP utilizada para acesso ao Nettion
ao pode ser redefinida.
CAPITULO 3. CONFIGURAC
OES
22
3.2
3.2.1
Rede
Interface/Conex
oes
Nesta secao voce podera fazer a configuracao das demais interfaces e conexoes de rede do
seu equipamento (a primeira ja foi configurada durante a instalacao).
Interfaces Ethernet (LAN)
Como comentado, o Nettion ja configura a primeira interface Ethernet do equipamento
(eth0) durante a instalacao do software. Para incluir as demais Interfaces de rede, acesse
a opcao de menu Configuracoes Rede Interfaces/Conexoes. Na tela seguinte, voce
tera acesso a listagem das interfaces ja cadastradas no seu Nettion, como segue no exemplo
da figura 3.7 (pagina 22).
3.2. REDE
23
Mascara de Rede: Indique a mascara de rede utilizada;
Velocidade: indique a velocidade do dispositivo. Esta informacao sera utilizada
no servico de Controle de Banda;
Descricao: indique uma descricao sobre a interface de rede, como Interface da
Intranet;
Obter DNS do servidor: Obter automaticamente a configuracao de DNS. Isto e
possvel nos casos em que o DHCP e ativado.
Responder requisicoes DNS nesta interface: esta opcao faz com que o Nettion
anuncie seu servico de DNS nesta interface;
Ativar no boot: indique Sim para ativar a interface automaticamente no boot
R
do Nettion
.
3.2.2
Sub-Interfaces
O Nettion suporta tambem a inclusao de sub-interfaces de rede. Elas estao sempre associadas a uma Interface fsica e possuem basicamente duas finalidades:
1. IPs adicionais em uma Interface: permite que uma interface responda por outros
enderecos IPs, alem do principal.
2. Conexoes ADSL: permite que uma conexao ADSL seja atribuda a uma Interface.
Esta opcao so estara disponvel quando a Interface for do tipo DHCP, como sera
visto mais a frente.
IPs Adicionais
Para incluir um endereco adicional a uma Interface siga os passos (veja tambem figura
3.9 na pagina 24):
24
CAPITULO 3. CONFIGURAC
OES
Na tela de listagem, selecione a Interface que recebera o IP adicional e clique no
botao Itens;
Na tela seguinte, sera apresentada uma listagem de subinterfaces do dispositivo.
Clique no botao Incluir;
Na tela seguinte, selecione o tipo Sub-Interface e clique em avancar;
Agora indique: Enderecco IP, Marcara de rede, Descricao e se a interface respondera
por requisicoes DNS na subinterface.
Para finalizar, clique no botao Adicionar Interface.
3.2. REDE
25
Conex
oes ADSL (WAN)
Para incluir uma Conexao ADSL a Interface principal (fsica) deve estar configurada para
receber IP via DHCP e deve estar com a configuracao Ativar no boot como Nao, como
mostrado na figura 3.11 da pagina 25.
CAPITULO 3. CONFIGURAC
OES
26
3.2.3
Gateways
3.2. REDE
27
Edic
ao de Gateways
Geralmente um Gateway ja e configurado durante a instalacao do Nettion no equipamento. Caso voce queira editar suas informacoes siga os passos abaixo:
Acesse o menu Configuracoes Rede Gateways Configuracoes;
Na tela seguinte, da listagem de gateways cadastrados, selecione o Gateway que
deseja editar e clique no botao editar.
Na tela seguinte:
Interface: indique a interface do Nettion que esta diretamente ligada ao gateway. No caso de um Gateway para conexao ADSL, selecione a Interface ADSL
correspondente;
Gateway: indique o IP do Gateway, ou seja, o IP atraves do qual o Nettion
tera acesso a Internet - que e fornecido pelo seu provedor de acesso. No caso
de um gateway dinamico, como DHCP ou ADSL, marque a opcao Obtido
dinamicamente;
Participacao na rota padrao: indique a porcentagem de participacao deste link
na sada padrao do Nettion para a Internet. Em caso de um u
nico link o padrao
sera 100%;
Timeout: indique aqui o tempo maximo sem resposta (em segundos) em que o
Nettion ira considerar que um gateway esta fora. O Nettion mudara o estado
de um gateway para down quando este parar de responder dentro do tempo
aqui estipulado. Para nao indicar um limite de tempo, selecione a opcao ao lado
Ilimitado;
Redefenir configuracoes na mudanca de estado do gateway: marque esta opcao
caso deseje que o Nettion redefina as configuracoes dos gateways a cada mudanca
de estado, como por exemplo, as configuracoes de participacao dos gateways na
rota padrao.
Inclus
ao de novos Gateways e M
ultiplos Links Internet
Caso nao haja nenhum Gateway configurado, ou voce queira fazer a inclusao de Gateways
adicionais, para o caso de m
ultiplos Links Internet, siga os passos a seguir.
Acesse o menu Configuracoes Rede Gateways Configuracoes;
Na tela seguinte, da listagem de gateways cadastrados, clique no botao Incluir.
Na tela seguinte:
Interface: indique a interface do Nettion que esta diretamente ligada ao gateway. No caso de um Gateway para conexao ADSL, selecione a Interface ADSL
correspondente;
Gateway: indique o IP do Gateway, ou seja, o IP atraves do qual o Nettion
tera acesso a Internet - que e fornecido pelo seu provedor de acesso. No caso
de um gateway dinamico, como DHCP ou ADSL, marque a opcao Obtido
dinamicamente;
28
CAPITULO 3. CONFIGURAC
OES
Participacao na rota padrao: indique a porcentagem de participacao deste link
na sada padrao do Nettion para a Internet em relacao aos outros Gateways ja
cadastrados. Em caso de um u
nico link o padrao sera 100%.
Timeout: indique aqui o tempo maximo sem resposta (em segundos) em que o
Nettion ira considerar que um gateway esta fora. O Nettion mudara o estado
de um gateway para down quando este parar de responder dentro do tempo
aqui estipulado. Para nao indicar um limite de tempo, selecione a opcao ao lado
Ilimitado;
Redefenir configuracoes na mudanca de estado do gateway: marque esta opcao
caso deseje que o Nettion redefina as configuracoes dos gateways a cada mudanca
de estado, como por exemplo, as configuracoes de participacao dos gateways na
rota padrao.
Perceba que o trafego pode ser dividido de acordo com um percentual especificado (Participac
ao na Rota Padr
ao), permitindo definir prioridades quanto ao uso de um dos links.
E possvel tambem que um gateway nao participe da rota padrao (0%). Neste caso, o link
sera utilizado atraves de duas formas: por acessos, originados externamente a servicos
disponveis na sua rede (Ex.: VPN, E-mail, Portal Web) e por trafego, previstos nas
regras de roteamento avancado como sera mostrado no topico adiante.
Monitoramento Por padrao, os links sao monitorados pelo sistema que reconfigura
automaticamente o ambiente de acordo com a disponibilidade. Cada mudanca e registrada
no estado dos seus links, permitindo sua auditoria.
Para isso acesse o menu Configuracoes Rede Gateways Historico de Status. O
relatorio de estado dos gateways sera exibido, conforme mostra a figura 3.14 abaixo:
3.2. REDE
29
3.2.4
DNS
Nesta secao, voce configura o nome da maquina e os servidores DNS que serao consultados
R para a resolu
pelo Nettion
cao de nomes Internet. O nome da maquina deve ser completo (nome do maquina + dominio). Se voce nao possuir um dominio, podera utilizar
localdomain. Pelo menos um servidor DNS deve ser configurado para o correto funcionamento do produto. Essa configuracao pode ser automatica, se voce tem uma interface
Ethernet ativa configurada via DHCP, ou uma conexao ADSL, sendo preciso, apenas,
selecionar o item Obter DNS do servidor na configuracao da respectiva conexao. O
proprio Nettion podera ser o servidor DNS, desde que ele possua acesso direto a Internet
na porta 53 TCP e UDP. Para utiliza-lo como servidor, indique o IP 127.0.0.1.
CAPITULO 3. CONFIGURAC
OES
30
3.2.5
Roteamento
Nessa secao e possivel incluir regras que controlarao o destino do seu trafego de rede.
B
asico
Roteamento basico ou pelo destino e a funcionalidade que torna alcancavel uma rede/host
por meio de um host (gateway), tambem alcancavel. Ex.: A rota a seguir faz com que o
trafego para as redes 192.168.50.0/24 e 172.16.20.0/16 possa ser entregue com o intermedio
dos hosts 192.168.1.254 e 192.168.1.253 respectivamente, atraves da interface eth0 (veja
figura 3.17).
3.2. REDE
31
Avancado
O roteamento avancado so faz sentido em um ambiente que possua mais de um link de
internet. Nele, voce tem o poder de escolher um conjunto completo de caractersticas do
trafego, que sera encaminhado especificamente por um dos gateways cadastrados. Cada
regra pode conter uma lista prioritaria de gateways por onde aquele trafego deve ser encaminhado, sendo utilizado sempre o primeiro, com estado ativo, como na figura 3.19.
32
CAPITULO 3. CONFIGURAC
OES
Passo 2 Selecione o horario em que essa regra sera valida. Os horarios disponveis
sao os definidos em Objetos>Horarios conforme a figura 3.21 a seguir.
3.2. REDE
33
Em Filtros de Destino - Hosts selecione para a caixa da esquerda o(s) Hosts(s)
ou Rede(s) de destino da conexao. Caso queira especificar qualquer destino,
deixe a caixa da esqueda vazia;
Em Filtros de Destino - Servicos selecione para a caixa da esquerda o(s)
servico(s) de destino. Caso queira especificar qualquer servico, deixe a caixa
da esquerda vazia;
Perceba que atraves destas opcoes voce tera toda flexibilidade de especificar
exatamente o trafego que deseja controlar, seja de uma determinada origem
e/ou para um determinado destino.
Configuracoes Avancadas
Por padrao o Nettion faz o mascaramento (NAT) das conexoes feitas pelos hosts
com IPs privados com destino a Internet (vindos da sua rede interna, por exemplo).
Esta secao o permite desabilitar esta funcao, para o caso onde voce queira explicitamente informar para o Nettion nao mascarar o trafego (vindo da rede DMZ com
IPs p
ublicos, por exemplo) ou permite a selecao do IP que sera utilizado para o
mascaramento de cada Gateway, conforme mostrado na figura 3.24 a seguir.
CAPITULO 3. CONFIGURAC
OES
34
3.2.6
DNS Din
amico
3.2. REDE
35
No-IP (http://www.no-ip.com)
DynDNS (http://www.dyndns.com)
ChangeIP (http://www.changeip.com)
Apos o cadastro feito no site do servico voce tera em maos as informacoes de Usuario,
senhae hostque servirao de entrada para as configuracoes do Nettion. Para incluir um
servico, clique no botao Incluire preencha as informacoes de acordo com a figura 3.26
abaixo.
3.2.7
Gr
aficos
Interfaces
Nesta secao encontram-se os graficos de consumo da banda por interface do Nettion.
Alem do recurso do monitoramento on-line, voce tem ainda a opcao de consultar todo o
historico de cada grafico. Veja o exemplo na figura 3.27 abaixo.
36
CAPITULO 3. CONFIGURAC
OES
Captulo 4
Objetos
R trabalha com
Com o intuito de simplificar o modo de configurar os servicos, o Nettion
o conceito de objetos, que consiste em um conjunto de informacoes mapeadas em objetos
que serao utilizadas pelos varios servicos disponibilizados pelo software.
Os objetos estao classificados conforme o tipo de informacao que armazenam, facilitando
sua manutencao. O ideal e que o administrador faca um levantamento previo do ambiente de rede, identificando os objetos que devem ser criados, economizando tempo na
configuracao dos servicos.
R e os respectivos
Relacionamos abaixo alguns dos servicos disponibilizados pelo Nettion
objetos por eles utilizados:
37
CAPITULO 4. OBJETOS
38
4.1
Manutenc
ao de Objetos
Apos selecionar uma classe (tipo) de objeto no menu principal, sera exibida para o administrador uma lista contendo os objetos cadastrados (caso existam). A exibicao pode
ser ordenada por qualquer uma das colunas mostradas, sendo necessario somente que
o administrador clique sobre a coluna especfica para que o sistema alterne a exibicao
e ordenacao dos itens da lista. Use a barra de rolagem para navegar entre os objetos
cadastrados. O administrador podera, entao, incluir, alterar ou excluir um objeto, por
exemplo, clicando nos respectivos botoes.1
4.1.1
Inclus
ao de Objetos
Para incluir novos objetos, o administrador deve dar um clique no botao Incluir (veja
figura 4.1 na pagina 38).
4.1.2
Edi
c
ao de Objetos
Para acessar o modulo de edicao, o administrador deve dar um clique duplo sobre o objeto
que deseja editar ou seleciona-lo e clicar no botao Editar (veja figura 4.1.2 na pagina
38). Na tela de edicao, o administrador podera alterar os dados cadastrais do objeto
4.1.3
Manuten
c
ao dos Itens do Objeto
Os objetos do tipo Domnios, Expressoes, Horarios e Servicos sao formados por grupos
de objetos, ou seja, cada objeto possui seus itens. Para ter acesso aos itens, selecione o
objeto desejado e clique no botao Itens (veja figura 4.1.3 na pagina 39). Sera exibida a
lista dos itens cadastrados para o objeto selecionado e os controles para a manutencao
1
Os bot
oes Editar, Itens e Deletar. Estar
ao habilitados apenas quando houver um objeto selecionado.
DE OBJETOS
4.1. MANUTENC
AO
39
4.1.4
Exclus
ao de Objetos
Para excluir um objeto especfico, basta seleciona-lo e clicar no botao Deletar. O ad-
4.1.5
Consulta de Objetos
CAPITULO 4. OBJETOS
40
4.2
Hosts e Redes
No cadastro de hosts e redes o administrador criara a lista dos IPs que serao utilizados
R
na configuracao do Nettion
.
Entende-se por host o IP de uma maquina especfica,
R
assim como entende-se por rede um IP que represente um intervalo de IPs. O Nettion
interpreta como host o objeto de mascara 255.255.255.255; os demais, serao interpretados
como sendo redes. Veja o exemplo de listagem de objetos de hosts e redes na figura 4.6
(pagina 40).
4.2.1
Manuten
c
ao do Cadastro de Hosts e Redes
4.3. DOMINIOS
4.3
41
Domnios
No cadastro de domnios, o administrador devera criar a lista dos grupos de domnios que
R
serao utilizados na configuracao do Nettion
.
Cada grupo podera conter um ou mais
domnios. Veja um exemplo de uma listagem de objetos de Domnio na figura 4.8 na
pagina 41.
4.3.1
Manuten
c
ao do cadastro de domnios
A manutencao do cadastro de domnios e dos itens segue o padrao estabelecido anteriormente. Para domnios, deverao ser preenchidos os seguintes campos (veja figura 4.9 na
pagina 41):
Nome: nome que voce deseja dar ao grupo Ex: Governamentais;
Descricao: descricao acerca do grupo. Ex: Domnios Governamentais.
CAPITULO 4. OBJETOS
42
Domnio: digite o domnio iniciando por ponto (.) para identificar todo o domnio
(ex:.hotmail.com) ou para identificar um host especfico do domnio utilize sem o
ponto (Ex: login.hotmail.com).
Descricao: descricao acerca do item. Ex: Domnios bloqueados.
Obs.: O Nettion valida os domnios inseridos, impedindo que domnios invalidos sejam
adicionados.
4.4
Express
oes
Nesta secao, o administrador podera cadastrar grupos de expressoes (palavras ou expressoes regulares) para serem utilizados na configuracao do proxy, e, como ocorre com
os domnios, cada grupo podera conter um ou mais itens, tornando possvel a utilizacao
do grupo inteiro em uma u
nica regra do proxy.
4.4.1
Manuten
c
ao do Cadastro de Express
oes
A manutencao do cadastro de expressoes e dos itens seguem o padrao estabelecido anteriormente. Para expressoes deverao ser preenchidos os seguintes campos:.
Nome: nome que voce deseja dar ao grupo Ex: Expressoes Proibidas;
Descricao: descricao acerca do grupo. Ex: Expressoes que devem ser bloqueadas.
Para Incluir os itens do Grupo de Expressoes, selecione o grupo desejado e clique no botao
Itens. Na tela seguinte voce encontrara uma tela com a listagem de itens do grupo de
expressoes. Clique no botao Incluire preencha as informacoes sobre o item:
Tipo: tipo do item a ser criado, se Palavra ou Express
ao regular3 .
Palavra: palavra que devera ser identificidada na URL pelo Proxy do Nettion. Ex:
sexo.
Posicao: posicao na qual a palavra deve ser identificada. Caso queira, por exemplo,
identificar URLs terminadas por .exe, escolha a opcao no final.
Palavra inteira: selecione Simpara identificar apenas na palavra inteira, ou seja,
nao sera identificada quando a palavra estiver contida em outras palavras. Para o
exemplo da palavra sexo, sexologia nao bateria com o padrao. Selecione Naopara
criticar a palavra mesmo dentro de outras palavras.
4.5
Hor
arios
No cadastro de horarios, devera ser criada a lista dos horarios que serao utilizados na
R Com base nesses hor
configuracao do Nettion
.
arios, o administrador podera criar regras
no Proxy, no Firewall, etc, para fazer o controle de acesso.
3
4.6. SERVICOS
4.5.1
Manuten
c
ao do cadastro de hor
arios
A manutencao do cadastro de horarios e dos itens segue o padrao estabelecido anteriormente. Para horarios, deverao ser preenchidos os seguintes campos:
4.5.2
Determinando Intervalos
4.6
Servicos
Nesta secao o administrador podera cadastrar servicos para serem utilizados mais adiante
na configuracao das funcionalidades do Nettion. Ha tambem a opcao de checar os servicos
R
pre-definidos pelo Nettion
.
O Nettion ja possui cadastrado uma serie de servicos, os
mais conhecidos na Internet, que sao os objetos de servicos Predefinidos.
4.6.1
Predefinidos
R Ao
Aqui, o administrador podera consultar a lista de servicos predefinidos pelo Nettion
.
selecionar um servico, clique em itens para visualizar as portas que determinado servico
utiliza.
4.6.2
Personalizados
Caso o servico desejado nao esteja cadastrado no Nettion, o administrador pode criar
servicos personalizados e para tanto, ele devera acrescentar um novo grupo de servicos,
cliando em Incluir. Na tela seguinte, identifique um nome e uma descricao para o seu
Servico.
43
CAPITULO 4. OBJETOS
44
Para incluir itens a um servico, selecione o servico desejado e clique em Itens. Cada
Servico pode conter uma ou mais combinacoes de protocolo/porta.
Para cada item de um servico os itens abaixo deverao ser configurados:
Protocolo: TCP, UDP, ICMP, GRE, ESP ou HA;
Porta: Pode ser um n
umero, uma faixa ou um servico especial P2P;
Descricao: Inclua uma descricao para o item;
Incluir tambem este servico para o protocolo UDP: Marque esta opcao caso queira
inserir esta mesma porta para o protocolo UDP (esta opcao so estara disponvel caso
voce esteja inserindo um servico TCP).
4.7
Categorias
Na secao categorias, o Administrador podera categorizar/classificar URLs para a aplicacao em regras do Proxy. O Administrador pode consultar se determinada URL esta
cadastrada no Nettion e em que grupo de categorias ela esta. Caso o Nettion ainda
nao possua determinada URL pesquisada, o Administrador podera incluir e definir a que
grupo ela ira pertencer.
4.7.1
Predefinidos
R
Aqui, o administrador podera consultar a lista de categorias predefinidas pelo Nettion
.
Existe integrada no Nettion uma lista de URLs, as quais o Administrador nao consegue
visualizar selecionando as categorias e clicando em itens, podendo apenas pesquisar se
R
determinada url ja esta cadastrada no Nettion
.
4.7.2
45
Personalizados
R
Caso a categoria desejada nao esteja cadastrada no Nettion
,
o administrador pode
criar categorias personalizadas e para tanto, ele devera acrescentar um novo grupo de
categorias, clicando em Incluir. Na tela seguinte, identifique um nome e uma descricao
para a sua Categoria. Em seguida cadastrar as URLs desejadas.
4.7.3
Consulta de URLs
4.8
Mime Type
46
CAPITULO 4. OBJETOS
Captulo 5
Usu
arios/Grupos
5.1
Autenticac
ao
R possui tr
O Nettion
es alternativas quanto a` autenticacao de usuarios. A primeira
R
e utilizar uma base de dados de usuarios que serao cadastrados no proprio Nettion
;
a segunda e autenticar a partir de uma base de usuarios ja existente em uma maquina
UNIX/Linux, atraves de NIS (Network Information System); e a terceira e atraves de uma
base de dados de usuarios cadastrados em um servidor Windows. Esta opcao tambem
suporta o esquema de autenticacao via NTLM, que nao solicita login e senha no browser
de estacoes Windows que facam parte de um domnio Windows. Este esquema utiliza a
informacao de login do domnio Windows para se autenticar no proxy.
5.1.1
Base Nettion
Para indicar ao sistema que a base de usuarios para autenticacao sera provida pelo Nettion, selecione a opcao Utilizar o Nettion. Existem duas formas de utilizacao de uma
base nativa do Nettion:
Local;
Remota.
Para utilizar a base que se encontra no proprio Nettion (Base Local), selecione a opcao
Autenticar na base de usu
arios e grupos Local. Em seguida, crie os grupos e
usuarios conforme a necessidade. Para saber como criar usuarios/grupos no Nettion, veja
o topico Grupos e o topico Usu
arios deste captulo.
Para utilizar uma base de usuarios existente em um outro Nettion (Base Remota), selecione a opcao Autenticar numa base de usu
arios e grupos remota, preenchendo
os campos conforme descricao abaixo:
Endereco IP: Endereco IP do Nettion remoto onde encontra-se a base de usuarios;
Porta: Porta onde funciona a Interface de Administracao do Nettion Remoto. Sera
atraves desta porta que o Nettion Local acessara o Nettion Remoto para sincronizar
a base de usuarios (veja o captulo 3 para saber a porta definida). Uma regra podera
ser necessaria no firewall, liberando o trafego entre os dois Nettions nesta porta;
47
CAPITULO 5. USUARIOS/GRUPOS
48
Senha: Senha de acesso definida no Nettion Remoto (veja o topico Acesso Remoto
deste captulo).
5.1. AUTENTICAC
AO
5.1.2
49
Servidor NIS
Para indicar so sistema que a base de usuarios sera provida por um servidor NIS (Servidor
de Autenticacao UNIX/LINUX. Voce deve possuir um em sua rede), utilize a opcao
Servidor NIS (Unix) e preencha os campos conforme descrito abaixo:
Domnio NIS(Network Information System): Domnio onde se encontram os
usuarios cadastrados no Servidor. Ex.: NISGROUP
Endereco IP: Endereco IP do servidor NIS. Ex.: 192.168.0.1
5.1.3
Servidor Windows
Para indicar ao sistema que a base de usuarios sera provida por um servidor Windowstm,
utilize a opcao Domnio Windows e preencha os campos conforme descricao abaixo:
Domnio: Domnio onde se encontram os usuarios cadastrados no Servidor. Ex.:
suaempresa.local
Nome do servidor: Nome NETBIOS do servidor Windows. Ex.: Serv-corp
Endereco IP: Endereco IP do servidor Windows. Ex.: 10.0.0.2
Ative as configuracoes clicando no botao Salvar Configurac
oes.
CAPITULO 5. USUARIOS/GRUPOS
50
Servidor Windows com Sincronizac
ao e NTLM
Funcionamento do sistema NTLM Esta opcao faz com que o Nettion negocie com
o Servidor Windows a autenticacao repassada pelo browser do usuario, evitando assim
a necessidade de identificacao(janela de usuario e senha) a cada navegacao. Lembre-se
que esta opcao funcionara somente em um ambiente de rede Windows/Samba onde as
maquinas e usuarios estejam devidamente logados ao domnio.
R Security Software suporta o esNTLM no Nettion Desde a versao 2.5, o Nettion
quema de autenticacao NTLM, tornando transparente o esquema de autenticacao do
proxy para o usuario.
5.1. AUTENTICAC
AO
Para isso, crie no seu Windows os grupos contendo os usuarios que deseja importar, e
no Nettion, clique no botao Atualizar Grupos. Todos os grupos do Windows serao
exibidos na caixa Grupos, selecione os grupos desejados e clique no botao < para
inclu-los na sincronizacao.
R se conecte ao Controlador
Logo apos, basta salvar as informacoes para que o Nettion
de Domnio, sincronizando os usuarios e autenticando via NTLM.
Observacoes importantes:
1. Os usuarios tem que estar conectados ao domnio Windows para ter direito a se
autenticar e navegar na Internet;
2. Deve-se criar uma regra de firewall adicional de permissao de acesso Nettion -> Servidor
Controlador de domnio utilizando os Servicos Predefinidos smb, win2000 e winnt.
3. Para a autenticacao funcionar, e primordial que existam as regras de proxy. Veja o
captulo 6 (Proxy) para mais informacoes.
4. A cada alteracao nas informacoes dos usuarios no Controlador de domnio, deve-se
R
sincronizar novamente os usuarios no Nettion
.
R pode perder sua comunica
5. Em algumas situacoes, o Nettion
cao com o controlador de
domnio (Em caso de desligamento temporario do Controlador de Domnio, por exemplo).
R dever
Nestes casos, o Nettion
a ser reconectado, para voltar a fazer as autenticacoes
normalmente.
ATENC
AO:
Ao sincronizar os dados com o controlador de domnio, todos os grupos e
de extrema importancia fazer um
usuarios previamente cadastrados serao apagados. E
backup das configuracoes antes de realizar este procedimento.
Agendamento
Lembre-se que, sempre que uma alteracao for realizada na base de usuarios do Windows(inclusao/exclusao de usuarios, criacao/alteracao de grupos, alteracoes de senhas,
etc.), o Nettion deve ser resincronizado. Porem, e possvel criar um agendamento, perR com a base Windows seja
mitindo assim que a tarefa de resincronizacao do Nettion
automatizada.
Para isso, acesse o menu Usu
arios/Grupos Autenticac
ao Agendamento.
Existem quatro opcoes de agendamento:
A cada 6h;
A cada 12h;
Diario;
Semanal.
Selecione o tipo de agendamento desejado, marcando dia e horario (quando aplicavel), e
clique no botao Salvar Configurac
oes.
Obs.: Para as duas primeiras opcoes, o horario nao pode ser especificado. Desta forma o
agendamento seria realizado `as 06:00hs, 12:00hs, 18:00hs e 00:00hs para a opcao A cada
6h, e a`s 12:00hs e 00:00hs para a opcao A cada 12h.
51
CAPITULO 5. USUARIOS/GRUPOS
52
5.2
Grupos
5.2.1
Manuten
c
ao do cadastro de Grupos
Temos duas formas de trabalhar com grupos de usuarios, sendo divididos de acordo com
o tipo de autenticacao escolhido:
Caso 1: Autenticacao em base remota via NIS ou Windows sem sincronizacao de usuarios,
ou em base Local.
A manutencao do cadastro de grupos segue ao padrao estabelecido anteriormente. Para
grupos de usuarios deverao ser preenchidos os seguintes campos (veja figura 5.7 abaixo.)
Nome: nome que voce deseja dar ao grupo. Ex.: Financeiro
5.3. USUARIOS
53
Descricao: descricao sobre a que se refere este grupo. Ex.: Setor Financeiro
5.3
Usu
arios
Temos duas formas de trabalhar com usuarios, sendo divididas de acordo com o tipo de
autenticacao escolhido:
Caso 1: Autenticacao por NIS, Local ou Windows sem NTLM.
R permite que voc
O Nettion
e cadastre, independente da autenticacao utilizada, os usuarios
que necessitam de um tratamento diferenciado quanto ao acesso a` internet, podendo o
administrador atribuir ao usuario um ou mais grupos para facilitar a manutencao das
regras do proxy para estes.
5.3.1
Manuten
c
ao do cadastro de Usu
arios
CAPITULO 5. USUARIOS/GRUPOS
54
5.4
Perfis de acesso
55
56
CAPITULO 5. USUARIOS/GRUPOS
Captulo 6
Proxy
O servico de Proxy possui duas funcoes basicas. A primeira e o Cache, que possibilita
um aumento da velocidade ao acessar paginas na internet sem que voce precise, necessariamente, investir em links maiores, pois otimiza a navegacao fazendo um cache local dos objetos(web) acessados pelos usuarios. Isso permite que objetos ja acessados e
que ainda sejam validos sejam disponibilizados localmente aos usuarios que precisarem
daquele mesmo objeto, evitando assim a utilizacao do link para cada acesso ao mesmo
site ou arquivo, por exemplo. Alem disso, o Proxy tambem atua como um firewall em
nvel de aplicacao. Assim, e possvel que o administrador faca um controle dos acessos
dos usuarios atraves de regras relacionadas a: horarios, domnios, palavras ou expressoes
regulares, categoria de URLs, grupos de usuario ou relacionados aos proprios objetos de
Hosts/Redes.
6.1
Assim como qualquer outro servico, o Proxy precisa que liberacoes sejam feitas no Firewall
para que possa funcionar adequadamente. As regras necessarias sao:
6.1.1
Intranet Nettion
necessario criar uma regra que permita que os usuarios da rede interna (e das redes que
E
tambem forem necessarias) acessem o Nettion nos servicos squid (porta 3128) e dns(porta
53). Veja na tabela 6.1 um resumo da regra de Firewal (pagina 57).
Regra: Intranet Nettion
Origem Destino
Serv. Destino Acao
squid
Intranet localhost
Aceitar
dns
Tabela 6.1: Liberacao do Firewall Intranet -> Nettion
57
CAPITULO 6. PROXY
58
6.1.2
Nettion Internet
Tambem e necessario permitir que o Nettion acesse a Internet para buscar os sites. Para
isso o Nettion devera acessar os servicos Web padrao (http, https e tomcat) e tambem o
servico DNS (resolucao de nomes). Veja um resumo da regra necessaria na tabela 6.2 na
pagina 58.
Regra: Nettion Internet
Destino
Serv. Destino Acao
http
https
localhost Qualquer
Aceitar
tomcat
dns
Origem
6.2
Configuraco
es
6.2.1
No uso do proxy com autenticacao, trabalha-se com cache e controle de acessos, havendo
a possibilidade de restricoes quanto aos usuarios.
Para uso do proxy com autenticacao e necessario configura-lo no browser de cada estacao.
6.2.2
Proxy transparente
No uso do proxy transparente trabalha-se apenas com cache, nao havendo a possibilidade
de restricoes quanto aos usuarios.
No caso do Proxy Transparente, e necessario que uma regra adicional de Firewall seja
criada. Ela sera responsavel por redirecionar o trafego em direcao a porta 80 para a porta
do Proxy, no caso a 3128 (objeto squid) por padrao.
Regra: Proxy Transparente
Origem Destino
Serv. Destino Acao
Intranet Qualquer http
Redirecionar para localhost:3128
Tabela 6.3: Redirecionamento Proxy Transparente
6.2. CONFIGURAC
OES
6.2.3
59
Configura
c
oes gerais
CAPITULO 6. PROXY
60
6.2.4
6.2.5
Mensagens de erro
6.2. CONFIGURAC
OES
6.2.6
Portas Autorizadas
Eventualmente, pode ser necessario efetuar a liberacao de algumas portas para acesso
via Proxy. Alguns sites possuem acessos a` areas especficas atraves de portas especiais.
Tais portas devem ser liberadas para permitir a sua navegacao atraves do Proxy. Para
isso, acesse o menu Proxy Configurac
oes Portas de Autorizadas. Por padrao,
algumas porta ja vem previamente liberadas no sistema. Para incluir uma porta, clique no
botao Incluir. Na tela que sera exibida, digite a porta que deseja liberar e sua descricao,
depois clique no botao Salvar Configuraco
es como mostra a figura a serguir.
6.2.7
61
CAPITULO 6. PROXY
62
Atualizac
ao e Agendamento
Para manter a base de URLs sempre atualizada, e necessario que um agendamento seja
criado. Para isso, acesse o menu Proxy Configurac
oes Base de URLs
Atualizac
ao. Existem quatro opcoes de agendamento:
A cada 6h;
A cada 12h;
Diario;
Semanal.
6.2.8
Hist
orico de Atualizac
oes de URLs
R guarda um hist
O Nettion
orico de todas as atualizacoes realizadas, dando informacoes,
tais como: data e hora da atualizacao, versao da base de dados, quantidade de urls
adicionadas e se a operacao foi bem-sucedida ou nao. Veja figura 6.6 a seguir.
6.3. REGRAS
63
6.3
Regras
As regras do proxy podem ser interpretadas como frases (veja figura 6.7 abaixo), cabendo
ao administrador construir aquelas que devem ser aplicadas no controle de acesso. Para a
formacao das regras, sao utilizadas informacoes previamente cadastradas. Veja referencia
no Captulo 4 (Objetos) e no Captulo 5 (Usuarios e Grupos).
CAPITULO 6. PROXY
64
6.4
Composic
ao de regras do Proxy
OBSERVAC
OES:
1. Permitir os domnios sem autenticacao dentro do horario comercial para qualquer
usuario.
2. Regras de permissao que requerem autenticacao de usu
arios selecionados devem
estar posicionadas abaixo das regras que nao requerem autenticacao. Ex: Permitir
qualquer domnio em qualquer horario para os usuarios do grupo Diretoria.
3. Regras de permissao que requerem autenticacao para usu
arios v
alidos devem estar
posicionadas abaixo das regras referentes a usuarios selecionados. Ex: Permitir
qualquer domnio, sem palavras proibidas em qualquer horario, para usuarios validos.
4. A regra referente `a poltica padrao selecionada nas configuracoes do proxy estara
implcita e sera escrita apos a u
ltima regra cadastrada pelo usuario. Assim, a poltica
padrao somente sera interpretada pelo proxy caso o acesso solicitado nao se encaixe
em nenhuma das regras anteriores.
6.4.1
Tela 1 - Defini
c
ao da regra
Para criar uma regra no Proxy, acesse o menu Proxy Regras, e clique no botao
Incluir para iniciar o Wizard.
Preencha as informacoes conforme a descricao a seguir e clique no botao Avancar.
DE REGRAS DO PROXY
6.4. COMPOSIC
AO
Descricao: um breve resumo do objetivo da regra;
Acao: a acao da regra, Permitir ou Negar.
Posicao: posicao da regra na tabela. Determina qual a prioridade de interpretacao
das regras.
Status: status da regra. Indica se a regra esta Ativa ou Inativa. Opcoes: Ativa ou
Inativa
6.4.2
Tela 2 Hor
ario
Determina o horario para a acao. Define o horario no qual a regra atuara com base
em um horario previamente cadastrado (Para saber mais sobre como criar objetos de
horarios no Nettion, veja a secao Hor
arios do captulo 4). Opcoes: Qualquer, Dentro
do horarioou Fora do horario.
O padrao Qualquersera utilizado quando o administrador nao especificar uma relacao
com um horario durante a elaboracao da regra.
Para especificar uma relacao com um horario, o administrador deve selecionar uma opcao
diferente de Qualquerpara que seja exibida a lista de horarios cadastrados e entre os
quais ele selecionara o horario desejado, que sera exibido em amarelo, isto e, o horario no
qual a regra ira atuar.
Veja tela de selecao de horarios na figura 6.9 a seguir.
65
CAPITULO 6. PROXY
66
6.4.3
Tela 3 - Filtros
Aqui, voce especifica os filtros que deseja aplicar `a regra. Os seguintes filtros podem ser
utilizados:
Objetos de Domnios;
Objetos de Expressoes Regulares;
Categorias de Urls1 ;
Objetos de Mime-type.
Para selecionar objetos de Domnios e/ou Expressoes, selecione os objetos desejados, e
clique no botao < para inclu-los `a regra. Para especificar como Qualquer, simplesmente deixe a caixa de selecao de objetos vazia.
No caso das Categorias de Urls e dos Objetos de Mime-type, para utiliza-los, voce deve
primeiramente marcar a(s) caixa(s) de verificacao Habilitar Categorias e/ou Habilitar Mime Type. Em seguida, selecione os objetos desejados da mesma forma dos
objetos de Domnios e de Expressoes. Veja a figura 6.10 a seguir.
1
R possui uma base de dados com milhares de Urls cadastradas. Essas urls est
O Nettion
ao organizadas segundo
a sua categoria. Isto facilita muito a criac
ao de uma regra onde se deseja, por exemplo, liberar todos os sites de
instituic
oes financeiras. Assim, ao contr
ario do que ocorre com os Objetos de Domnios, o administrador nao precisa
conhecer necessariamente todos os sites de instituicoes financeiras existentes, nem cadastra-los. O Nettion possibilita
a atualizac
ao automatizada desta base de urls. Para saber mais sobre o objeto Categoria de Urls, veja a sec
ao
Categorias do captulo 4.
DE REGRAS DO PROXY
6.4. COMPOSIC
AO
67
6.4.4
Nesta tela, determine para quem a regra deve ser aplicada. Aqui, o administrador podera
definir se a regra exigira autenticacao ou nao. Se a regra for autenticada, ele podera
aplica-la a um ou mais usuarios, bem como a grupos de usuarios. Podera tambem criar
excecoes a` regra.
Para isso, marque a caixa de verificacao Solicitar Autenticac
ao. No campo Grupos, selecione o(s) grupo(s) de usuarios aos quais a regra sera aplicada e/ou no campo
Usu
arios, selecione o(s) usuario(s) a(o) qual(is) deseja aplicar a regra. Caso algum
grupo de usuarios seja selecionado, excecoes poderao ser especificadas no campo Exceto
Usu
arios.
Obs.: Se voce nao desejar especificar usuarios ou grupos, mas deseja que a autenticacao
seja solicitada a todos os usuarios1 , especifique a opcao Qualquer. Para isso, simplesmente deixe os campos Grupos, Usu
arios e Exceto usu
arios vazios.
Tambem, e possvel aplicar a regra a` redes e/ou hosts especficos. Para isso, selecione os
objetos de Hosts/Redes desejados no campo Hosts e clique no botao <. O padrao
Qualquer sera utilizado quando o administrador nao especificar uma relacao com um
host/rede durante a elaboracao da regra.
1
CAPITULO 6. PROXY
68
6.4.5
Tela 5 - Qos
Para finalizar, clique no botao Avancado, se desejar, para especificar retricoes quanto
ao trafego. Estas opcoes devem ser utilizadas com muita cautela para garantir que o
efeito desejado seja obtido realmente.
Para restringir a velocidade de acesso aos sites que serao tratados por esta regra,
marque a caixa de verificacao Habilitar Controle Tr
afego. Em seguida, especifique a velocidade desejada (em Kbit ou Mbit) no campo Vel. Maxima Permitida.
Para restringir a quantidade de dados que sera trazido por vez (isto se aplica `a qualquer requisicao HTTP, nao somente aos donwnloads), marque a caixa de verificacao
Habilitar Controle de Requisic
ao HTTP. Em seguida, espeficique o valor
desejado (em Kbyte, Mbyte ou Gbyte) no campo Tamanho maximo da requisicao.
Tambem, e possvel direcionar o trafego a ser tratado pela regra por um link especfico (geralmente diferente do link padrao de sada do Proxy). Para isso, marque
a caixa de verificacao Habilitar Rotas para pacotes TCP, e selecione o link
desejado na caixa de listagem.
6.5. RELATORIOS
69
6.5
Relat
orios
6.5.1
Padr
ao
R gerar relat
Este relatorio possibilita ao administrador do Nettion
orios analticos dos
sites acessados, especficos em um determinado perodo. Caso os campos nao sejam
preenchidos, o relatorio sera geral.
CAPITULO 6. PROXY
70
Host: especifica de qual maquina partiu acesso a` internet. Ex.: 10.0.0.36. Trara
todos os acessos realizados a partir da maquina 10.0.0.36 no perodo especificado.
URL: endereco completo ou trecho de um endereco que se deseja saber quem o acessou no perodo especificado. Ex.: www.nettion.com.br. Trara uma lista com todos
os usuarios que acessaram a este site: www.nettion.com.br. Ex: Nettion. Trara
uma lista com todos os usuarios que acessaram a algum site (URL) que contenha a
palavra Nettion.
6.5.2
Por domnio
R gerar relat
Este relatorio possibilita ao administrador do Nettion
orios de acessos em um
6.5.3
Top
6.5.4
Acessos Bloqueados
R gere relat
Este relatorio possibilita que o administrador do Nettion
orios analticos dos
sites acessados e que estao bloqueados para o respectivo usuario em um determinado
perodo, para simples identificacao de tentativa de acesso nao permitido. Caso os campos
nao sejam preenchidos, o relatorio sera geral.
6.5.5
On-line
6.6. GRAFICOS
6.6
71
Gr
aficos
R tamb
Alem dos relatorios, o Nettion
em disponibiliza graficos em real time dos acessos
dos usuarios ou hosts da rede. Atraves deles o administrador podera analisar graficamente
os acessos de todos ou de um usuario especfico dentro do perodo escolhido. Duas opcoes
de graficos sao disponibilizadas, podendo ser por usuario ou por host.
6.6.1
Selecionando um perodo
Para selecionar um perodo especfico para visualizacao do grafico, clique na lupa que fica
na parte superior direita do grafico. Na proxima tela voce tera duas opcoes de selecao do
perodo. A primeira delas e atraves da caixa de selecao na base do grafico, que permite
a selecao dos perodos de 30 minutos a 1 ano. A segunda opcao e utilizando o mouse.
Clique com o botao esquerdo em uma posicao do grafico e arraste, fazendo uma selecao
de uma area. Ao soltar o botao, o grafico sera recarregado com o perodo selecionado.
6.6.2
CAPITULO 6. PROXY
72
6.6.3
Monitoramento Realtime
6.7
Configurando as esta
co
es da rede
R (em modo n
Para que as estacoes da rede utilizem o Proxy do Nettion
ao transparente)
e necessario que as configuracoes de Proxy de seus navegadores estejam apontando para
o IP e Porta do Nettion. Esta configuracao pode variar de acordo com o navegador
utilizado. Listamos abaixo a configuracao necessaria nos mais conhecidos e utilizados:
Captulo 7
Controle de Banda
R tem o objetivo de otimizar o uso dos links atrav
O gerenciamento de banda do Nettion
es
da re-priorizacao dos pacotes de dados. Com ele e possvel alocar uma maior quantidade
de banda do link para os servicos ou maquinas mais importantes da sua rede. Alem disso,
o controle tem a flexibilidade de fazer a alocacao de forma dinamica, o que permite que
uma banda alocada e nao utilizada possa ser consumida por um outro servico de forma
automatica.
Para que fique mais claro, o conceito do controle de banda, e necessario antes entendermos
os conceitos de Re-priorizacao de pacotes e de Realocacao dinamica de banda.
7.1
Re-priorizac
ao de pacotes
A Re-priorizacao age sobre a entrega dos pacotes, fazendo uma diminuicao da velocidade
de entrega dos pacotes ou fazendo uma liberacao maior de banda de acordo com as
regras estabelecidas. Por exemplo, imagine que voce esteja recebendo seus e-mails de um
provedor externo a` sua organizacao de acordo com o cenario da figura 7.1 a seguir.
73
74
7.2
Realocac
ao din
amica de banda
7.3
Configuraco
es
R voc
Para configurar o Controle de Banda do Nettion
,
e deve acessar o menu Controle
de Banda > Configurac
oes. Na tela que sera exibida, estarao disponveis todas as
interfaces de rede existentes no sistema, como mostra a figura 7.2 abaixo.
7.3. CONFIGURAC
OES
7.3.1
Defini
c
ao da Interface de rede
7.3.2
Classes
O primeiro passo sera criar uma classe, que significa criar uma reserva de banda do seu
link. Neste momento ainda nao iremos dizer a quem (host ou servico) se destina esta
reserva. Isso sera feito na criacao das regras.
Alem das classes criadas pelo administrador do Nettion, existe tambem o conceito da
Classe Default. A classe Default representa o restante de banda disponvel no dispositivo
de rede, ou seja, aquele que ainda nao foi alocado em nenhuma classe e que sera utilizado
por qualquer trafego que nao tenha sido classificado em qualquer regra. O total de
banda de um dispositivo e definida na configuracao da propria interface de rede, no menu
Configuracoes -> Rede -> Interfaces.
Utilizaremos o cenario apresentado, da entrega de E-mails, para que o conceito fique mais
claro. Imagine que neste ambiente, nos temos 1Mbit de banda com a internet e a nossa
necessidade e restringir a banda do download de e-mails, impedindo que este trafego
atrapalhe outros servicos.
Uma vez definida a interface de rede (veja secao 7.3.1), o proximo passo e fazer a criacao
da classe de acordo com os passos a seguir:
1. Clique no menu Controle de Banda-> Configuracoes;
2. Clique no botao Configurar da interface definida na secao 7.3.1;
3. A proxima tela mostrara uma listagem de Classes. Clique no botao Incluir;
4. Preencha os campos:
Nome: Nome da Classe. Ex: Classe 1;
Descricao: Descricao da Classe. Ex: Classe 1;
Vel. Mnima: insira a banda reservada para esta classe. Para o nosso exemplo
sera de 1 Mbit;
Vel. Maxima: insira a banda maxima permitida para a classe. Para o nosso
exemplo sera de 1 Mbit;
5. Clique no botao Salvar Configuracoes.
Para que voce tenha uma ideia de como esta ficando a sua configuracao, o Nettion oferece
um grafico que mostra a Interface e suas divisoes de Classes e Objetos. Para visualiza-lo:
1. Clique no menu Controle de Banda-> Configuracoes;
2. Clique no botao Visualizar Grafico da interface desejada;
75
76
7.3.3
Regras
As regras, que estararao sempre ligadas a uma classe, identificarao o trafego ao qual o
controle sera aplicado. Nela indicaremos a origem (de onde partem os dados), o destino
(onde os dados chegam) e as bandas mnimas e maximas. Os conceitos de banda mnima
(reserva) e banda maxima sao equivalentes aos vistos nas Classes.
Seguindo o nosso exemplo, supondo que o limite a ser estabelecido para o trafego vem da
Internet (qualquer origem) na porta 110 com destino as maquinas da rede interna seja de
100Kbits. Siga os passos a seguir para a criacao desta regra:
Clique no menu Controle de Banda-> Configuracoes;
Clique no botao Configurarda interface Eth0;
Selecione a Classe Classe 1 e clique no botao Itens;
Na tela seguinte, da listagem das regras, clique no botao Incluir;
Insira agora as informacoes da regra. Veja figura 7.4 (pagina 77).
Nome: nome da regra. Ex: POP3; Obs: Nao e permitido espaco no nome da
regra;
Descricao: insira uma descricao. Ex: Banda para POP3;
Objeto de Origem: insira o objeto de onde os dados se originam. Neste caso
selecione o objeto Qualquer, significando qualquer host de origem;
Objeto de Destino: insira o objeto de destino dos dados. Neste caso selecione o
objeto Rede Interna, previamente criado.
7.3. CONFIGURAC
OES
77
Porta de Origem: insira a porta de origem dos dados. Neste caso insira 110.
Porta de Destino: insira a porta de destino dos dados. Neste caso selecione
Qualquer clicando na caixa ao lado;
Vel. Mnima: insira a banda reservada. Neste caso insira 100 Kbits;
Vel. Maxima: insira a banda maxima permitida. Este campo define ate quando
da banda ociosa pode ser utilizada para esta regra. Neste caso, como queremos
restringir insira o valor 100 Kbits;
Prioridade: define a prioridade desta regra em relacao as demais. Neste exemplo
selecione o valor 1;
78
7.4
Apos as configuracoes, e necessario que o servico seja ativado. Para isso, clique no menu
Sistema > Servicos. Depois clique no botao Startreferente ao servico de Controle de
Banda.
Para que o servico seja ativado automaticamente durante a inicializacao do Nettion,
marque a opcao Auto do servico e clique no botao Ativar mudancas para os selecionadosconforme a figura 7.6 abaixo.
Captulo 8
Firewall
O Firewall e um recurso de seguranca que faz o controle do que e permitido ou nao passar
R como por exemplo, entre a sua rede e a internet. Funciona como um
atraves do Nettion
,
filtro, evitando que servicos indevidos sejam acessados, diminuindo os riscos da exposicao
da rede `a internet.
O simples fato de ter um Firewall na rede nao quer dizer que ele esteja sendo u
til. Para
tal, e necessario que ele esteja bem configurado e sintonizado com as necessidades da
poltica de seguranca da sua organizacao.
R utiliza as mais avan
O Nettion
cadas tecnologias de Firewall disponveis para o Sistema
Operacional Linux atraves do IPTables e do Kernel 2.6, e, aliado a isso, oferece tambem
uma interface bastante simples de inclusao e manutencao das regras, evitando que em
pouco tempo, o administrador se perca diante de tantas regras ja criadas.
8.1
Configuraco
es
Em Firewall Configurac
oes, o administrador definira a poltica de acesso padrao
R
que sera utilizada pelo firewall do Nettion
.
A poltica padrao estabelece a acao que
sera tomada sobre qualquer acesso que nao tenha sido explicitamente liberado pelo administrador atraves das regras. O ideal, e o recomendavel, e que a poltica padrao seja
configurada para Negar tudo. Mas atencao. Antes de fazer esta configuracao, algumas
regras basicas devem ser criadas, como as que liberam o acesso ao proprio Nettion.
A poltica padrao de acesso pode ser:
Negar tudo, barrando qualquer acesso nao liberado nas regras;
Permitir tudo, barrando somente o que foi definido nas regras. Originalmente a
poltica esta definida como Permitir tudo, a fim de que o usuario tenha acesso ao
R e possa cadastrar as regras necess
Nettion
arias aos seus acessos. Somente apos
efetuar esse processo, e que se deve alterar a poltica padrao para Negar tudo:
79
CAPITULO 8. FIREWALL
80
8.2
Regras
R
Cada pacote1 que trafega atraves do Nettion
e analisado pelo filtro de pacotes, que o
abre e extrai informacoes como IP de origem, destino do pacote, portas, etc., verificando
se estas informacoes batem com alguma regra cadastrada no firewall. Caso sim, o firewall
toma a acao que a regra diz (bloqueia, aceita ou audita). Caso nao haja uma regra
especfica no firewall que trate este pacote, sera utilizada a poltica padrao definida no
R para este fluxo, que pode ser Permitir tudo ou Negar tudo.
firewall do Nettion
8.2.1
R faz-se necess
Para que o usuario possa incluir as regras do firewall do Nettion
,
ario que
aconselhavel que se
os objetos a serem utilizados tenham sido previamente cadastrados. E
R j
tenha tracado um esboco das regras que serao cadastradas. O Nettion
a disponibiliza
a grande maioria dos servicos que voce precisara na configuracao do firewall, mas voce
tambem tem liberdade para adicionar novos, caso seja necessario. Para efetuar a inclusao
de uma regra, clique no botao Incluir, no menu Firewall > Regras, e preencha os
campos solicitados:
Definico
es B
asicas da Regra
Descricao: uma descricao da regra, como por exemplo: Acesso VNC ao Micro01;
Acao: indica a acao que o firewall tomara sobre os pacotes tratados por esta regra,
que podem ser:
Permitir Libera o trafego;
Negar Bloqueia o trafego;
especialmente
Auditar Gera registros sobre as conexoes tratadas pela regra. E
u
til quando se deseja descobrir as portas utilizadas por um determinado servico.
Todo o trafego auditado pode ser visto atraves do Relatorio do Firewall.
Pos: a posicao na lista de regras. As regras sao processadas sequencialmente e a
ordem, nesse caso, e importante, pois uma vez que um pacote e abrangido por uma
regra, a acao desta e tomada e ele nao e mais processado pelas regras seguintes2 ;
1
8.2. REGRAS
81
Hor
arios
Se voce deseja que a regra sempre atue, escolha Qualquer (opcao padrao). Voce tambem pode usar os objetos do tipo Horario para determinar quando a regra deve atuar.
Definido quando a regra deve atuar, clique em Avancar e vamos configurar a regra propriamente dita.
CAPITULO 8. FIREWALL
82
Selec
ao de objetos para aplicac
ao da Regra
Em Filtros de Origem > Hosts, voce definira a partir de qual ou quais hosts ou
redes a conexao sera iniciada. Para fazer a selecao, selecione os objetos desejados da caixa
de selecao a` direita (lista de objetos de Hosts e Redes precadastrados), transferindo-os
para a caixa a` esquerda. A transferencia pode ser feita clicando-se duas vezes no objeto
desejado ou utilizando os controles entre as caixas.
Para especificar que nao importa a origem dos pacotes, ou seja, de qualquer Host/Rede
de origem, deixe a caixa de selecao da esquerda vazia.
Para especificar que e o Nettion, utilize o objeto especial chamado localhost.
Dica: Caso voce esteja utilizando o Browser Mozilla Firefox ou Internet Explorer a partir da versao 7.0, e possvel obter maiores informacoes sobre os
objetos durante a criacao da regra. Para isso, basta posicionar o mouse sobre
o objeto desejado, como mostrado na figura 8.4 abaixo.
8.2. REGRAS
83
CAPITULO 8. FIREWALL
84
Maximiza Throughput
Minimiza Delay
Redirecionar este tr
afego para outro host: utilize esta opcao quando voce
estiver criando uma regra de redirecionamento de pacotes, por exemplo, redirecionando as conexoes de VNC que chegarem ao Nettion para um host especfico da sua
rede. Observacao importante: Caso a sua intencao seja fazer o redirecionamento do
servico que chegar ao Nettion para outro host, sem alterar as portas de desntino,
deixe o campo Porta vazio. Caso nao, indique um n
umero de porta diferente.
Auditar este tr
afego: permite que o trafego tratado por esta regra seja auditato.
Isso vai fazer com que o Nettion gere registros das conexoes que poderao ser acessados
atraves dos Relatorios do Firewall.
Mascarar dinamicamente este tr
afego quando necess
ario: esta opcao faz com
que o Nettion aplique o NAT (Network Address Translation) nos pacotes tratados
por esta regra, quando necessario. Isso ocorre, por exemplo, quando um host da rede
interna, com um IP privado, precisa acessar um servico diretamente na Internet.
Estado estabelecido e/ou relacionado no retorno da conex
ao: Esta opcao
permite tratar o estado da conexao (Stateful Firewall ). Quando marcada, vai permitir que somente os hosts de origem iniciem a conexao em direcao aos hosts de destino
da regra. Quando houver a necessidade de deixar que ambos os lados (Origem e
Destino) originem a conexao, como entre duas redes de uma VPN, desmarque esta
opcao.
Dica: durante a inclusao das regras, e importante que voce avalie se a nova
regra se encaixa com alguma ja criada. Caso sim, basta voce editar a regra
existente e incluir os objetos desejados. Isso vai fazer com que seu Firewall
fique mais organizado, facilitando sua manutencao.
8.3
Regras b
asicas do Firewall
8.3.1
Acesso ao Nettion
necessario que voce crie uma regra que o permita acessar a interface de administracao
E
do Nettion. A liberacao desta regra pode ser feita apenas para um IP fixo na rede, o da
maquina do administrador, ou para toda a rede interna, com destino ao Nettion. Segue
um resumo da regra a ser criada na tabela 8.1 (pagina 85).
Obs: como comentado anteriormente, o objeto especial localhost referencia o proprio
Nettion.
8.3. REGRAS BASICAS
DO FIREWALL
Regra: Administrac
ao do Nettion
Origem
Destino
Serv. Destino Acao
http
Host Administrador localhost
Aceitar
https
ssh
Tabela 8.1: Liberacao do acesso ao Nettion
8.3.2
Na maioria dos casos, o Nettion e utilizado com a funcao de Proxy da rede. Isso requer
que o Nettion acesse alguns servicos na Internet, como DNS, HTTP e HTTPS. Veja um
resumo da regra a ser criada na tabela 8.2 abaixo.
Regra: Nettion -> Internet
Origem
Destino
Serv. Destino Acao
http
localhost Qualquer
Aceitar
https
dns
Tabela 8.2: Liberacao Nettion -> Internet
8.3.3
Resolu
c
ao de nomes para a rede interna
Na maioria das vezes, o Nettion e responsavel pela resolucao de nomes na Internet para
as maquinas da rede interna. Para isso, segue o resumo da regra a ser criada na tabela
8.3 a seguir.
Regra: DNS para Intranet
Origem
Destino
Serv. Destino Acao
Rede Interna localhost dns
Aceitar
Tabela 8.3: Liberacao do DNS para Rede Interna
OBS.: Lembramos que estas sao dicas de regras basicas do firewall, que podem
e devem ser complementadas, porem, existem ainda muitas outras regras que
devem ser criadas para tornar o seu firewall realmente eficiente. Tais regras
dependem de alguns fatores como:
Exemplos de outras regras poderao ser encontradas neste documento nas configuracoes de outros modulos do Nettion, como Proxy e VPN.
85
CAPITULO 8. FIREWALL
86
8.4
Relat
orios
Atraves do relatorio do Firewall voce tera acesso aos registros gerados pelas regras de
Auditoria do seu Firewall. Os filtros de pesquisa permitem que voce faca o filtro tanto por
uma regra especfica de auditoria, quanto por uma selecao avancada de hosts e servicos.
Captulo 9
VPN
A VPN (Virtual Private Network ou Rede Privada Virtual) envolve a utilizacao da internet como meio seguro de comunicacao entre dois pontos. Para garantir a seguranca no
R atrav
trafego das informacoes pelo meio p
ublico que a internet representa, o Nettion
,
es
de sua funcionalidade de VPN, cria um t
unel de comunicacao entre os dois pontos pelo
qual os dados trafegados sao criptografados. Isso quer dizer que somente os dois pontos
terao a chave de descriptografia e de interpretacao dos dados recebidos.
R possui quatro tipos de VPN:
O Nettion
PPTP
IPSec Chave P
ublica RSA
IPSec Chave Compartilhada PSK
OpenVPN (Plugin)
9.1
VPN PPTP
87
CAPITULO 9. VPN
88
9.1.1
Configura
c
oes
Para configurar o servidor de VPN - PPTP, acesse VPN > PPTP > Configurac
oes.
A tela de configuracoes sera exibida, como mostra a figura 9.1 abaixo.
89
Regra: Liberac
ao da VPN PPTP
Origem
Destino
Serv. Destino Acao
Rede Interna Rede Interna Qualquer
Aceitar
Tabela 9.2: Liberando trafego rede interna rede VPN
9.1.2
Manuten
c
ao do cadastro de clientes para VPN PPTP
Relat
orios
Nesta secao, o administrador podera visualizar relatorios sobre as conexoes PPTP realizadas.
CAPITULO 9. VPN
90
Conex
oes O administrador podera efetuar o acompanhamento dos acessos feitos via
possvel ainda que o administrador desPPTP, facilitando o gerenciamento da rede. E
conecte manualmente um usuario conectado clicando no botao Stop, conforme mostrado
na figura 9.4 a seguir.
9.2
VPN IPSec
O IPSec e um dos protocolos mais seguros que existem para o estabelecimento VPNs
atraves de redes p
ublicas de comunicacao. Este fato da-se pelo uso dos mais fortes algoritmos p
ublicos de criptografia, com nveis de seguranca configuraveis pelo administrador.
Atencao: para a utilizacao da VPN-IPSec e necessario que o administrador inclua no
firewall regras para prever seu acesso. Segue um resumo da regra a ser criada na tabela
9.3 (pagina 91).
91
Regra: Liberando IPSec
Origem
Destino
Serv. Destino Acao
Localhost Qualquer ipsec
Aceitar
Tabela 9.3: Liberando IPsec
Alem desta regra, e necessario fazer uma regra que libere o trafego entre as redes conectadas via IPSEC. Segue um resumo da regra a ser criada para este fim na tabela 9.4
abaixo, considerando que:
Rede Local: Objeto de Host/Rede previamente configurado com o IP da sua rede
local;
Rede Remota: Objeto de Host/Rede previamente configurado com o IP da rede
remota;
Qualquer Serv: considerando que qualquer servico estara disponvel entre as redes.
Escolha os servicos especficos caso necessario.
Obs: Para permitir que a conexao possa ser iniciada a partir de ambos os lados (rede
local e rede remota), desmarque a opcao Estado estabelecido e/ou relacionado no
retorno da conex
ao nas configuracoes avancadas desta regra.
Regra: Liberando tr
afego dentro da VPN
Origem
Destino
Serv. Destino Acao
Rede Local Rede Remota Qualquer
Aceitar
Tabela 9.4: Liberando Trafego dentro da VPN
9.2.1
Configura
c
oes
Chaves de Autenticac
ao e Criptografia
Existem 2 tipos possveis de chave:
R para estabelecer a VPN, abra uma janela
DICA: caso voce esteja utilizando 2 Nettions
do browser atraves de conexao segura com cada um dos lados. Desta forma, fica mais
simples configurar sua VPN.
CAPITULO 9. VPN
92
R da
Compatibilidade total com outros sistemas de VPN PSK, como o Raptor
R
Symantec
.
Desvantagens:
Nao suporta NAT;
Menos seguro que o sistema RSA.
Precaucoes:
Nao utilize chaves humanamente compreensveis;
Nao forneca sua chave para o outro lado da VPN por e-mail, mensagens instantaneas
ou outros meios p
ublicos de comunicacao. Utilize ssh, https ou outro meio seguro
de transferencia de mensagens. Caso voce utilize um disquete ou CDROM para o
transporte da chave, destrua-o;
Nao revele sua chave para ninguem;
Gere chaves seguras, com mais de 128bits.
Chave RSA O sistema de autenticacao sob chaves RSA consiste em 2 chaves, uma
p
ublica e uma privada, que promovem o sistema de criptografia, descriptografia e autenR
ticacao. Esta configuracao requer a geracao da chave secreta, que o proprio Nettion
tem capacidade para fornecer. A chave secreta possui um altssimo nvel de criptografia
(ex.: 2048bits ou 4096bits), configuravel pelo administrador, que garante um altssimo
nvel de seguranca nas transacoes .
Vantagens:
Por utilizar o protocolo IPSec, projetado especificamente para o trafego seguro de
informacoes atraves do protocolo TCP/IP, a VPN IPSec se torna uma das mais
seguras escolhas para o trafego de informacoes;
O sistema RSA e extremamente seguro;
Sistema utilizado ha muitos anos, com uma base solida de teste de seguranca e
usabilidade.
Desvantagens:
Nao suporta NAT;
Precaucoes:
Nao forneca sua chave para o outro lado da VPN por e-mail, mensagens instantaneas
ou outros meios p
ublicos de comunicacao. Utilize ssh, https ou outro meio seguro
de transferencia de mensagens. Caso voce use um disquete ou CDROM para o
transporte da chave, destrua-o;
Nao revele sua chave para ninguem;
93
Configurac
oes Gerais
Para configurar o servidor de VPN - IPSec, acesse VPN > IPSEC > Configurac
oes.
A tela de configuracoes sera exibida, como mostra a figura 9.5 a seguir.
Interface de Funcionamento: Interface pela qual o servidor ira se conectar. Normalmente sera a interface de rede que se conecta a Internet (com IP p
ublico). Utilize a
opcao Rota Padrao caso o seu Link com a Internet possua um IP p
ublico dinamico
(variavel).
Tipo de Encriptacao: tipo de chave que sera utilizada para encriptacao: 3des, 3desmd5-96 ou 3des-sha1-96 Ex.: 3des-md5-96
Regerar chave secreta (somente RSA): marcando o campo SIM sera regerada a
chave de encriptacao demonstrada no campo Chave P
ublica.. Sera ativado o
campo Tamanho, em que o administrador podera especificar o tamanho da chave
que deseja utilizar em bits (512, 1024, 2048, etc.).
Chave P
ublica(somente RSA): chave gerada pelo Nettion para este servidor.
9.2.2
Conex
oes
CAPITULO 9. VPN
94
em cada conexao: seu nome, a rede A e seu Gateway, a rede B e seu Gateway, o Status
da conexao e o botao Ac
ao (Start ou Stop) .
Atenc
ao: Antes de iniciar a sua conexao, certifique-se que o servico VPN IPSec no menu
Sistema->Servicos. Lembre-se tambem de ter marcado como Auto para que o Nettion
inicie o servico no boot da maquina.
95
CAPITULO 9. VPN
96
9.3. OPENVPN
9.3
OpenVPN
97
98
CAPITULO 9. VPN
Captulo 10
NIDS
O sistema de deteccao de tentativa de invasao (Network Intrusion Detection System) do
R trabalha investigando se existe algu
Nettion
em tentando aplicar algum dos mais de
1.600 tipos de tentativas de invasao, catalogados no Nettion, atraves de sua conexao.
R enviar
Uma vez detectada a tentativa, o Nettion
a um e-mail para o administrador
notificando o acontecimento e registrara o fato em um log referente ao NIDS.
10.1
Configurac
oes
10.1.1
Sele
c
ao de Interfaces
99
100
10.1.2
Objetos
10.1.3
Configura
c
ao do PortScan
10.1. CONFIGURAC
OES
101
10.1.4
Detec
c
ao de Assinaturas
10.1.5
Especifique a freq
uencia caso queira receber notificacoes de alertas por e-mail. Para
desabilitar essa opcao, especifique a freq
uencia de envio para Nenhumae salve a configuracao.
102
10.1.6
Relat
orios
Exibe relatorios dos alertas e tentativas de invasao com detalhes sobre os pacotes capturados: IPs de origem e destino, protocolo, portas e etc.
10.1.7
Alertas
10.1.8
Ultimas
assinaturas
10.1. CONFIGURAC
OES
Protocolo: tipo do protocolo utilizado para acesso. Ex.: TCP
Hora e Data: hora e data na qual o NIDS registrou o alerta. Ex.: 16:20:47 07-04-2003
Ultimos
PortScans
Este relatorio mostra especificacoes sobre os portscans realizados: IP de origem, quantidade de conexoes por host, protocolos utilizados e hora e data do portscan. Clicando em
um dos itens da lista, sera solicitada ao administrador a confirmacao de inclusao do IP
de origem do portscan na lista de IPs bloqueados, como mostra a figura 10.7 abaixo.
103
104
10.1.9
IPs Bloqueados
Exibe uma lista com os IPs bloqueados atraves da interface web do NIDS. Os IPs conR seja ele em qualquer dire
tidos nesta lista nao terao acesso nenhum ao Nettion
,
cao,
passando por qualquer interface. Atraves desta lista, tambem e possvel a remocao de
IPs bloqueados.
Obs.: os IPs serao bloqueados somente se o Firewall estiver ativo.
Lista de IP bloqueados por data de inclusao (Figura 10.8 abaixo):
Captulo 11
DHCP
R pode ser configurado para distribuir os endere
O servidor DHCP do Nettion
cos de IPs
das estacoes de uma ou mais redes ligadas a solucao, permitindo tratar de forma diferente
cada uma delas.
11.1
Configurac
oes
11.1.1
Configura
co
es Globais
105
106
11.1.2
Interface
Ainda na tela de configuracoes globais, selecione as interfaces que respoderao por requisicoes DHCP na sua rede, conforme mostra a figura 11.2 abaixo.
11.2
Hosts
Esta secao permite que o administrador associe enderecos IP a mac addresses da rede,
especialmente
fazendo com que determinadas maquinas recebam sempre o ip indicado. E
u
til quando se deseja fazer regras especficas para alguns IPs da rede.
A exibicao da lista de hosts cadastrados pode ser ordenada pela coluna: hostouendereco
IP. Para que o sistema alterne a exibicao e a ordenacao dos itens da tabela, e necessario,
somente, que o usuario clique sobre a coluna especfica. O usuario podera utilizar a barra
de rolagem para navegar entre os itens da tabela.
11.2.1
Manuten
c
ao do cadastro dos Hosts
11.3. REDES
107
Ex.:
11.3
Redes
O servidor DHCP atribuira IPs dentro das redes especificadas para a interface a qual
estiver direcionada.
A exibicao da lista de redes cadastradas pode ser ordenada pela coluna: redeou mascara. Para isso, o administrador deve clicar sobre a coluna especfica. Isso fara com que
o sistema alterne a exibicao e a ordenacao dos itens da tabela. O administrador podera
utilizar a barra de rolagem para navegar entre os itens da tabela.
11.3.1
Manuten
c
ao do cadastro de Redes
108
IP da rede: IP da rede. Ex.: 128.0.0.0
Captulo 12
E-mail
12.1
Configurac
oes
R pode tamb
O Nettion
em ser utilizado como o seu servidor de e-mails, fazendo todo
o trabalho de gerenciamento de m
ultiplos domnios e usuarios, integrado com um sistema bastante robusto de antivrus (atualizado diariamente) e anti-spam com sistema de
aprendizado e quarentena.
Como base para este recurso, o Nettion utiliza um servidor de e-mails do Linux chamado
Qmail, bastante conhecido por sua seguranca e estabilidade no gerenciamento de um
grande n
umero de contas.
Alem disso, este recurso do Nettion oferece: autenticacao integrada, sistema de quota
por usuario, sistema de bloqueio de anexos de e-mails de acordo com o tamanho e a sua
extensao, sistema de auditoria, controle da fila (possibilita ao administrador acompanhar
se uma mensagem ainda nao foi enviada, o motivo e ate mesmo sua exclusao), sistema de
logs e quarentena, que possibilita o acompanhamento dos e-mails que foram bloqueados
por conter vrus, e varias outras funcoes que sao decisivas no monitoramento do seu
servidor de e-mail.
Para o recebimento dos e-mails, os usuarios tem a possibilidade de utilizar contas POP3,
R
POP3s, IMAP ou IMAPs ou ate mesmo um webmail que e disponibilizado pelo Nettion
.
12.1.1
Gerais
Autenticaco
es simult
aneas permitidas:
Esta opcao nao se refere ao modo de autenticacao, ja que foi previamente definido no
captulo referente a Usuarios e Grupos, mas sim ao n
umero maximo de autenticacoes
simultaneas permitidas. Isto dependera do n
umero de usuarios para o sistema. Quanto
maior o n
umero de usuarios, maior sera o n
umero de autenticacoes simultaneas. Vinte
e, comprovadamente, um valor ideal. Entretanto, o administrador podera incrementa-lo,
ao perceber que seus usuarios estao necessitando fazer varias tentativas de autenticacao
no cliente de e-mail ate conseguir concluir a operacao, ou diminu-lo, para que nao seja
utilizada memoria sem necessidade no servidor.
Tamanho m
aximo permitido de anexos:
109
110
12.1.2
Relay
12.1. CONFIGURAC
OES
111
Temos aqui uma lista de hosts/redes com permissao para usar o servidor para envio de
mensagens. O cadastro para liberacao se da de forma simples, levando em consideracao
os objetos pre-cadastrados e preenchendo um formulario como o seguinte:
` esquerda estao os hosts/redes que tem permissao e a` direita estao todos os objetos
A
R Fazendo-se uso dos bot
inseridos no Nettion
.
oes entre as duas janelas, de caractersticas
intuitivas, pode-se incluir ou excluir aqueles que terao direito de envio de mensagens
atraves deste servidor. Bastando, ao final de todas as alteracoes, clicar sobre Salvar
Configuracoes para efetiva-las.
12.1.3
Webmail
112
12.1.4
Mensagens
12.1.5
Extens
oes
Inicialmente, o antivrus devera manter afastados os arquivos que facilmente sao infectados e que podem carregar vrus para os clientes de e-mail. Algumas extensoes, ja classicas,
podem carregar vrus. Em termos gerais, os arquivos chamados auto-executaveis como
os de extensao .exe e .com sao os infectados com maior freq
uencia. Devido a maior
incidencia de vrus e maior probabilidade de infeccao em arquivos com determinadas exR impede a entrega ou sa
tensoes, o Nettion
da de e-mails que contenham anexos com
tais extensoes.
12.2. DOMINIOS
113
12.2
Domnios
12.2.1
Incluir um domnio
Caso deseje adicionar um domnio, clique no botao Incluir e preencha os campos conforme
as descricoes abaixo:
Domnio: nome do domnio a ser incluso. Ex.: nettion.com.br;
Quota: espaco maximo em disco que cada conta pode ocupar;
114
12.3
Usu
arios
Nesta secao o administrador pode pesquisar e editar usuarios, alem de poder cria-los
tambem.
12.3.1
Buscando usu
arios
Para visualizar os usuarios (contas de e-mails) existentes no sistema, acesse E-mail >
Usu
arios. Na tela que sera exibida, serao mostrados todos os usuarios, de todos os
12.3. USUARIOS
115
12.3.2
Editando usu
arios
Ao efetuar a busca, voce pode editar a conta clicando no botao Editar. A seguinte tela
aparecera:
116
12.3.3
Inserindo usu
arios
Login: Login, a primeira parte do endereco de email, a que aparece antes da arroba
(@). Ex.: sergio;
Domnio: Os domnios existentes serao listados em um combo box. Voce deve escolher o domnio para o qual esta criando a nova conta;
Nome: Nome do usuario. Ex. Sergio Luis;
Quota: Espaco maximo em disco que a conta pode ocupar;
No maximo de mensagens: quota por n
umero de mensagens;
Senha: senha do usuario;
- Caso deseje encaminhar uma copia das mensagens recebidas para outro email, marque a opcao Encaminhar uma c
opia para outros emails e preencha o seguinte
12.4. ALIASES
117
campo com a(s) conta(s) para onde deverao ser encaminhadas as novas mensagens.
Lembre-se de separa-las com ponto e vrgula (;).
12.4
Aliases
Nesta secao o administrador pode definir Aliases, uma especie de apelido, um outro
nome pelo qual determinada(s) conta(s) sera(ao) conhecida(s).
12.4.1
Criando um alias
12.5
Antivrus
A cada instante, pessoas mal intencionadas criam vrus para prejudicar e infectar sistemas
e computadores. Seria de pouca utilidade um antivrus que barrasse todos os arquivos
suspeitos, mas nao contivesse uma lista atualizada de vrus em sua base de dados. Sendo
assim, uma boa ferramenta deve fornecer um sistema de atualizacao instantaneo e configuravel.
118
12.5.1
Atualiza
c
ao
12.5.2
Agendamento
12.5.3
Hist
orico
12.6. ANTISPAM
119
R consegue conectar-se a
Bem sucedida sem atualizacoes - quando o Nettion
`s bases
remotas, mas a base local ja esta atualizada;
R n
Mal sucedida - quando o Nettion
ao consegue se conectar `as bases remotas.
12.6
Antispam
R
O antispam do Nettion
e uma funcionalidade que controla mensagens indesejaveis.
R esteja fechado, em alguns lugares,
Mesmo que o relay do servidor de e-mails do Nettion
ha administradores incautos que nao tem a devida preocupacao com o fechamento do
relay. Os spammers, aqueles que enviam centenas ou ate milhares de mensagens nao
solicitadas, aproveitam-se desta fragilidade. Isso significa que um bom administrador
deve se preocupar, inclusive, com o mau trabalho feito por outros e assegurar que seus
usuarios sejam menos afetados por esse mal.
Um antispam e um software que se baseia em algumas caractersticas de e-mails, notoriamente classificadas como spam, como algumas palavras-chaves e formato HTML1
12.6.1
Configura
co
es
A cada caracterstica de spam encontrada em um e-mail, a mensagem recebe uma pontuacao, que depende do que foi localizado. Quando esta pontuacao alcanca o limite estimado
nas configuracoes de sensibilidade, o e-mail sofre uma alteracao. O ttulo da mensagem
identificada como spam sera precedido pela expressao **POSSIVEL SPAM**. A mensagem sera entregue normalmente ao cliente. Ela nao e excluda automaticamente, pois
pode existir uma mensagem que possua palavras-chaves e formatos que a identifiquem
a linguagem utilizada para se
HTML - Hypertext Markup Language, Linguagem de Marcacao de Hipertexto. E
fazer p
aginas na internet e e-mails com formatac
ao mais rica, como negrito, cores das fontes e insercao de imagens.
1
120
como uma mensagem indesejada, mas que realmente nao seja. Sendo assim, cabe a cada
usuario definir filtros, nos seus leitores de e-mail, para separar as mensagens legtimas
daquelas indesejadas.
O n
umero indicativo da sensibilidade representa o limite de pontos que uma mensagem
pode alcancar ate ser considerada spam. Quanto MENOR o n
umero, mais facilmente
uma mensagem sera assim classificada.
12.6. ANTISPAM
121
e treina como spam as mensagens da conta spam e como nao spam as mensagens da conta nao-spam. Este treinamento continuado melhora a eficacia do
antispam e permite que ele atinja ndices melhores, quando classificar futuros
emails.
Caso deseje que o sistema antispam execute o treinamento das mensagems nas caixas
comum que o administrador agende o
spam e antispam clique no botao Aprender. E
treinamento do antispam na proxima secao, Aprendizado.
Obs1.: Lembre-se que, ao encaminhar e-mails para as contas spam@padrao.com.br
e nospam@padrao.com.br, isso deve ser feito encaminhado o e-mail desejado como
anexo e nao no corpo do e-mail. Exemplo: Voce recebeu um e-mail marcado como
***POSSIVEL SPAM***, e verificou que este e-mail realmente e um SPAM e deseja
R aprenda este e-mail como um SPAM. Ent
envia-lo para que o Nettion
ao, clique no
e-mail com o botao direito (no caso do Outlook Express), e selecione a opcao Encaminhar
como anexo. Em seguida prossiga com os procedimentos normais de envio de um e-mail;
Obs2.: Veja no seu cliente de email como encaminhar um e-mail como anexo.
12.6.2
Aprendizado
122
Hist
orico
Nesta secao, o adminstrador obtera um historico dos treinamentos realizados pelo sistema
de antispam, com informacoes tais como:
12.6.3
Whitelist
Ha, tambem, uma possibilidade de se definir uma lista de usuarios chamados confiaveis,
que poderao enviar mensagens que superem o limite da sensibilidade e mesmo assim nao
sejam classificadas como spam. Esta e a whitelist do sistema.
12.7. RELATORIOS
123
Para incluir um e-mail na WhiteList, clique no botao Incluir. Na tela que sera exibida,
digite o endereco de e-mail completo e sem erros e uma descricao que defina a que se refere
este e-mail. Ao final, clique no botao Salvar Configurac
oes como mostra a figura 12.21
a seguir.
12.7
Relat
orios
12.7.1
Fila
R passam por
Todas as mensagens que foram enviadas pelos usuarios de e-mail do Nettion
uma fila para serem processadas e, definitivamente, transmitidas aos seus destinatarios.
Enquanto aguardam o processamento, estas mensagens ficam em uma fila a qual o ad possvel aplicar filtros `a consulta da fila,
ministrador pode verificar, conforme a figura. E
e com isso obter a origem e o destino do e-mail, o n
umero de tentativas de entrega e o
tamanho e o horario que o e-mail entrou na fila.
124
12.7.2
Logs
Apos o processamento de uma mensagem na fila, e feito um registro do que ocorreu com
ela. Na tela acima, e visto o status da mensagem, se foi entregue com sucesso ou se houve
algum problema na entrega.
12.7.3
Auditoria
Na auditoria, ha uma lista de todas as mensagens que passaram pelo servidor. A auditoria
possibilita que o administrador visualize a copia de cada mensagem processada.
12.7.4
Quarentena
12.7. RELATORIOS
125
Abaixo, como mostra a figura 12.26, o corpo do e-mail retido. Nesta tela, e possvel ver
o e-mail retido e decidir por deleta-lo ou libera-lo para ser entregue ao seu destinatario
atraves dos botoes Deletar ou Liberar.
126
12.7.5
Top Usu
arios
Os graficos de acessos no modulo de E-mail podem ser visualizados. Com isso, o administrador acompanha qual usuario envia mais e-mails e qual gera mais trafego no servidor
de e-mail. Veja na figura 12.27 a seguir:
12.7.6
Quota Utilizada
Neste relatorio, o administrador pode visualizar a porcentagem de uso das contas de email. A visualizacao pode ser efetuada por domnio, ou mesmo por contas especficas.
Para isso, utilize as opcoes de filtros disponveis. Veja a figura 12.28 a seguir.
Captulo 13
Ferramentas
Todas as ferramentas possuem uma mesma interface, mas cada um dos servicos se aplicam
a`s funcoes definidas, como descritas abaixo:
13.1
Reverso
Esta opcao existe para identificar a qual domnio se refere um IP ou qual IP se refere a
um domnio especfico.
Caso o administrador preencha o campo IP/HOSTcom um IP, o resultado sera o seu
domnio equivalente.
Ex.1: IP/HOST: 200.253.251.31. Retorno: 200.253.251.31 www.pronix.com.br
Ex.2: IP/HOST: www.pronix.com.br. Retorno: www.pronix.com.br 200.253.251.31
13.2
Whois
13.3
Ping
O ping e utilizado para checar se uma determinada maquina esta conectada e ligada.
O processo, assim como os demais desta secao, e bastante simples: preencha o campo
IP/HOST com o IP a ser testado.
127
128
13.4
Tracar rota
Para saber qual o caminho para uma determinada maquina (IP), preencha o campo
IP/HOST e aguarde a apresentacao do relatorio da rota percorrida para alcanca-lo.
13.5
Diagn
ostico de DNS
Nesta secao, o administrador pode executar um diagnostico de DNS, que vai apresentar
informacoes a respeito dos servidores SMTP, lista de nomes e IPS, lista dos nameservers
e autoridade do host. A consulta pode ser feita utilizando-se o endereco IP do host ou o
seu nome.
Captulo 14
Sistema
14.1
Servicos
Atraves desta opcao e possvel visualizar de forma centralizada o estado atual (status)
de todos os servicos fornecidos pelo Nettion, tambem e possvel iniciar ou parar qualquer
servico. Para isso, clique na opcao Sistema Servicos para ter acesso `a lista dos
R
servicos do Nettion
.
Serao exibidos o status atual de cada servico (se iniciado ou
nao), e a opcao de alteracao deste status. Tambem existe a possibilidade de faze-lo
R atrav
iniciar juntamente com o Nettion
,
es da selecao da opcao Auto. Veja figura 14.1
abaixo.
129
130
Restart para reinicializa-lo. Caso esteja parado, somente o botao Start para inicializa-lo
aparecea ativo. Lembre-se de clicar no botao Ativar mudancas para os selecionado(s)
se a coluna Auto for alterada.
14.2
Plugins
14.3
Backup
R
O Nettion
e um sistema que prove muitos servicos, dos quais alguns sao bastante crticos. Tais servicos compreendem uma grande quantidade de informacoes e configuracoes.
Os prejuzos causados pela possvel perda de tais informacoes podem ser, dependendo do
caso, incalculaveis.
14.3.1
Configura
co
es
M
odulos
Para acessar o servico de Backup do Nettion, acesse o menu Sistema > Backup >
Configurac
oes > M
odulos. Na tela que sera exibida, e possvel selecionar os modulos
desejados os quais irao compor o arquivo de backup. Para concluir, clique no botao
Salvar Configurac
oes.
Lembre-se que, quanto mais modulos voce selecionar, mais espaco em disco sera necessario,
principalmente ao selecionar os modulos de e-mail e de alguns tipos de logs do sistema.
A figura 14.2 a seguir, exibe a tela de selecao de modulos do Backup do Nettion.
14.3. BACKUP
131
132
14.3.2
Manual
Vamos imaginar o caso em que, apos terem sido adicionadas configuracoes ao produto, o
administrador deseja realizar uma copia de backup imediatamente, ao inves de aguardar
pela copia a ser realizada pelo agendamento.
1
Caso o Nettion esteja sincronizado com um domnio Windows, indique um usuario/senha validas para o domnio
e certifique-se que este usu
ario tenha poder de escrita no compartilhamento selecionado.
14.3. BACKUP
133
Neste caso, selecione os modulos e inicie o backup clicando no botao Iniciar backup.
14.3.3
Relat
orios
Hist
orico
O historico dos backups sera exibido com as seguintes informacoes: data, hora, arquivo
e status. O status podera ter um sinal verde ou vermelho. O primeiro, sinalizando que
o backup foi realizado com sucesso e este u
ltimo, sinalizando que a gravacao do arquivo
nao foi executada com sucesso.
134
Caso ocorra algum problema com o bakcup, o Nettion enviara automaticamente um e-mail
ao Administrador definido nas Configuracoes Basicas do produto.
14.4
Restore
O processo de restauracao de um backup e extremamente simples. Primeiramente, sele possvel selecionar o arquivo,
cione o arquivo de backup e clique no botao Upload. E
atraves do botao Procurar... que abrira uma janela de navegacao no diretorio, ou clicar
no botao Selecionar Arquivo, que apresentara uma lista dos arquivos de copia de seguranca disponveis para restauracao.
14.5. EXPURGO
14.5
135
Expurgo
14.5.1
Configura
co
es
136
14.5.2
Manual
14.6
Update
R est
Por ser uma solucao baseada em software, o Nettion
a em constante evolucao. Conseq
uentemente, novas versoes do sistema sao lancadas, disponibilizando ao administrador
novas ferramentas que agregam uma maior funcionalidade a` solucao. A notificacao de novas versoes sao enviadas por e-mail ao clientes Nettion e tambem sao notificadas atraves
da barra superior do proprio software, que exibe uma mensagem em destaque indicando
a existencia de uma nova versao disponivel para atualizacao.
14.7. GRAFICOS
137
no momento! sera exibida. Do contrario, as versoes mais recentes que serao listadas,
incluindo as informacoes detalhadas de cada uma delas.
14.7
Gr
aficos
O Nettion oferece graficos de consumo dos recursos do seu equipemaneto que sao u
teis
para avaliacao de uma possvel sobrecarga da maquina. Veja a seguir os graficos de
consumo de CPU, Memoria e Discos.
138
14.7.1
CPUs
14.7.2
Mem
oria
14.8. SOBRE
14.7.3
139
Discos
No grafico de utilizacao dos Discos, voce pode obter um historico de todos os dados lidos e
escritos dentro de um perodo de tempo, para ver em tempo real, clique no botao Start.
14.8
Sobre
O administrador tera acesso, nesta secao, aos dados referentes `a licenca e `a versao do
R
Nettion
.
14.9
Auditoria
140
R voc
e acompanhar todas as acoes realizadas no Nettion
,
e pode utilizar o servico de
auditoria. Ela informa a data de alteracao, o modulo e o sub-modulo que foi alterado,
qual acao foi realizada, o usuario e o IP. Acesse o menu Auditoria atraves de Sistema
> Auditoria, conforme a figura 14.17 a seguir.
14.10
Desliga/Reinicia
R
Caso haja necessidade, o administrador podera reiniciar ou mesmo desligar o Nettion
,
selecionando um dos botoes desse topico.
Captulo 15
NettionPlugs
15.1
O que s
ao NettionPlugs?
R s
Os NettionPlugs
ao funcionalidades adicionais (plugins) que a Nettion Information
Security desenvolveu pensando nas necessidades especficas de cada cliente. Cada NettionPlug tem uma aplicacao diferente. Assim, voce decide qual plugin e o mais indicado
para o seu negocio. Cada plugin pode ser instalado para avaliacao por 15 dias. Apos este
perodo entre em contato com a sua revenda Nettion para fazer a aquisicao.
R
A aquisicao dos NettionPlugs e muito facil. Se a sua empresa ja possui o Nettion
,
basta acessar o menu Sistemas, selecionar a opcao Plugins e instalar a funcionalidade
desejada. Voce ainda ganha quinze dias totalmente gratuitos para testar a eficiencia
dos aplicativos.
15.2
Instalando os NettionPlugs
Para fazer a instalacao de NettionPlugs no seu Nettion, acesse o menu Sistema > Plugins, conforme mostra a figura 15.1 abaixo e siga os seguintes passos:
141
142
Clique no botao Instalar do plugin desejado. Observe que caso a sua versao seja
anterior a requerida pelo plugin, esta opcao estara desabilitada. Neste caso atualize
sera necessario atualizar o seu Nettion antes;
Apos a instalacao, o sinalizador de status assumira a cor verde caso a sua empresa
ja tenha adquirido a licenca do plugin, ou assumira a cor laranja no caso de uma
instalacao para avaliacao.
Uma vez instalado, o plugin funcionara de forma totalmente integrada ao Nettion e estara
disponvel na arvore de menu, assim como as outras funcionalidades.
15.3
Chat Server
O Chat Server e um NettionPlug desenvolvido pela NIS para ser o comunicador instantaneo da sua empresa. O programa tem como base o Jabber, conhecido como o melhor
sistema de mensagens instantaneas para Linux.
Criado seguindo os padroes de qualidade da NIS, o Chat Server possui um servidor proprio
para a troca de mensagens internas. Com isso, voce evita a adicao de usuarios externos
e assegura a produtividade dentro da empresa.
O NettionPlug tambem permite a comunicacao com outras unidades de uma mesma
rede. Alem de economizar tarifas telefonicas voce ainda garante o sigilo e a seguranca das
mensagens trocadas, pois o aplicativo nao esta sujeito a vrus e demais ameacas comuns
a internet.
15.3.1
Configura
co
es
A configuracao do Chat Server e bastante simples uma vez que seus usuarios e sua autenticacao sao totalmente integradas ao Nettion. Com isso, a integracao do Chat a` sua
organizacao torna-se ainda mais simples e rapida.
Para configura-lo, acesse o menu Chat Server > Configurac
oes do seu Nettion. Na
tela seguinte informe os dados a seguir, conforme mostrado na figura 15.2 abaixo.
143
15.3.2
Para que os usuarios acessem o Chat, e necessario a utilizacao de algum software compatvel com o protocolo Jabber instalado em suas estacoes. Os softwares a seguir sao
bastante conhecidos e utilizados para este fim:
Windows
Pandion
Exodus
Linux
Kopete
Gaim
Configurac
ao do software cliente
Nas configuracoes do software cliente, insira o IP interno do Nettion como sendo o servidor, e, para autenticar o usuario utilize nomedousuario+@suaempresa.com.br, onde
suaempresa.com.br e o domnio utilizado nas configuracoes do servidor (veja secao 15.3.1).
Ex: joao@suaemprsa.com.br. A senha sera de acordo com a autenticacao integrada do
Nettion, podendo ser no proprio Nettion, em um Windows Active Directory ou um servidor NIS (Linux).
15.3.3
Firewall
Para que as estacoes de rede tenham acesso ao servidor, e necessario que voce faca uma
liberacao no Firewall do Nettion. A porta a ser liberada, por padrao, e a 5222 do
protocolo TCP. Segue um resumo da regra de Firewall a ser criada na tabela 15.1 abaixo.
Regra: Intranet Nettion
Origem Destino
Serv. Destino Acao
Intranet localhost Chat Server1 Aceitar
Tabela 15.1: Liberacao do Chat Server
Observe que esta regra esta contemplando o acesso do objeto Rede Interna ao Chat Server
do Nettion. Inclua outras redes caso necessario.
1
Crie um objeto de servico para esta porta chamado Chat Server com a porta TCP 5222 - veja Captulo 4 Objetos.
144
15.3.4
Iniciando o servi
co Chat Server
Para iniciar o servico, clique no menu Sistema > Servicos. Depois clique no botao
Start referente ao servico Chat Server. Para manter o servico sempre ativo no boot
do Nettion, marque a caixa Auto e clique em Ativar mudancas para os servicos selecionados.
15.3.5
Mais informa
co
es
15.4
Blitz
15.4.1
Como funciona?
O Blitz funciona como uma especie de servidor Proxy (Socks5) que tem a funcao de
possvel
intermediar o acesso MSN da sua rede, fazendo toda a filtragem do acesso. E
estabelecer, atraves de suas regras, quais usuarios terao acesso ao MSN e ate com quais
contatos eles poderao se comunicar, alem da auditoria das conversas.
Para isso, e necessario bloquear qualquer outra forma de acesso do MSN e configurar nas
estacoes (configuracoes do MSN) o Nettion como servidor Socks e Proxy obrigatoriamente.
Veja agora como evitar o acesso direto ao MSN.
15.4.2
Por padrao o software MSN procura varias alternativas de comunicacao com seu servidor
na Internet, e para forcarmos a sua saida somente via Blitz, e necessario bloquear tais
alternativas de acesso direto.
Caso as estacoes da sua rede estejam utilizando o Proxy do Nettion, algumas configuracoes
devem ser feitas:
15.4. BLITZ
145
nexus.passport.com:443
login.live.com:443
loginnet.passport.com:443
omega.contacts.msn.com:443
storage.msn.com:443
Install Messenger.exe
4. Criar outra regra no Proxy liberando este grupo de expressoes. Voce pode liberar
para qualquer usuario uma vez que o controle vai ficar no proprio Blitz. Crie esta regra
na posicao 2, apos a regra de bloqueio do MSN. Qualquer d
uvida sobre regras de Proxy,
acesse o Captulo 6 - Proxy.
Tambem e necessario criar regras no firewall que impecam qualquer tentativa de acesso
ao MSN atraves de um possvel mascaramento. Para isso, deve-se criar no firewall uma
regra bloqueando o acesso de toda a intranet (ou pelo menos dos IPs dos usuarios que
deverao acessar via Blitz) `as redes da Microsoft (65.52.0.0/14 e 207.46.0.0/16) nas portas
1863/TCP, 80/TCP e 443/TCP. Esta regra deve ficar nas primeiras posicoes, assegurando
assim que ela fique acima de qualquer mascaramento existente (salvo os mascaramentos
de usuarios que, porventura, nao acessem o MSN via Blitz) como mostra a tabela 15.2.
Regra: Intranet -> Microsoft
Origem
Destino
Serv. Destino
Rede Interna Range MS1/Range MS2 msn/http/https
Acao
Bloquear
146
15.4.3
Auditoria
Todas as conversas realizadas via Blitz sao auditadas. Para acompanhar as conversas,
clique no menu Blitz > Auditoria, todas as conversas serao exibidas por data. Para
visualizar o conte
udo de uma conversa, selecione-a e clique no botao itens, como mostra
a figura 15.3 abaixo.
15.4.4
Firewall
Agora e necessario liberar que o proprio Nettion faca conexoes a partir do servico Blitz.
Para isso e preciso criar uma regra liberando o trafego partindo do Nettion com destino
a porta 1863/TCP, como segue na regra de resumo a seguir na tabela 15.3.
Regra: Blitz -> Internet
Origem
Destino
Serv. Destino Acao
localhost Qualquer msn
Aceitar
Tabela 15.3: Liberando o servico Blitz
15.4. BLITZ
147
15.4.5
Configura
co
es
Assim como o Proxy e o Firewall do Nettion, o Blitz tambem possui uma poltica de
padrao de acesso. Ela vai definir o que sera feito caso o usuario nao se encaixe em alguma
regra de acesso, que serao vistas mais `a frente.
A poltica padrao e configurada atraves do menu Blitz > Configurac
oes. Neste
menu, tambem e possvel definir se os usuarios serao avisados que as suas conversas
estarao sendo auditadas e gravadas. Para isso, marque a opcao Habilitar notificac
ao
de auditoria no incio da sess
ao como mostra a figura 15.4 abaixo.
148
Normalmente a poltica padrao e definida como Negar qualquer acesso e atraves das
regras sao liberados somente os usuarios que realmente tenham que acessar o MSN, bem
como os contatos com os quais podem se comunicar.
15.4.6
Cataloga
c
ao autom
atica de contatos
Atraves dos menus Contatos e Grupos do Blitz voce pode inserir manualmente os
contatos com quem seus usuarios poderao se comunicar com mostra a figura 15.5 abaixo.
15.4.7
Regras
O Wizard de criacao das regras do Blitz e muito semelhante ao dos outros servicos do
Nettion, como o Firewall e o Proxy.
1
Nas conex
oes seguintes o Blitz s
o faz a manutencao destes contatos, incluindo ou excluindo, conforme necess
ario.
15.4. BLITZ
149
Para criar regras no Blitz, clique no menu Blitz > Regras e siga os passos a seguir:
Passo 1:
Na tela de listagem de regras, clique no botao Incluir, conforme exibido na figura 15.7
a seguir.
Passo 2:
Na primeira tela do Wizard, defina uma descricao para a regra, uma acao, a posicao
(define a ordem de priodidade da regra) e, por fim, selecione o status da regra, como
exibido na figura 15.8 a seguir.
Passo 3:
150
Na tela seguinte, selecione o horario em que a regra sera aplicada, de acordo com os
objetos de horarios previamente definidos, veja a figura 15.9.
15.4. BLITZ
151
15.4.8
Iniciando o servi
co Blitz
Para iniciar o servico, clique no menu Sistema > Servicos. Depois clique no botao
Start referente ao servico Blitz. Para manter o servico sempre ativo no boot do Nettion, marque a caixa Auto e clique em Ativar mudancas para os servicos selecionados.
15.4.9
Configurando as estac
oes
servico socks e http proxy. E necessario que voce tambem indique as informacoes de
autenticacao do usuario (usuario e senha).
152
15.4.10
Mais informa
c
oes
15.5
OpenVPN
O OpenVPN e mais uma forma de VPN oferecida pelo Nettion. Atraves deste recurso
voce pode interligar redes entre matriz e filiais, ou permitir que um usuario externo
acesse a sua rede de forma simples e segura. Um grande diferencial do OpenVPN e sua
possibilidade de operar mesmo em ambientes de internet com mascaramento(NAT), como
em redes de hoteis, cyber-cafes ou aeroportos.
Apos a instalacao (ver topico 15.2 deste captulo), voce acessa este plugin atraves do menu
VPN > OpenVPN do seu Nettion. Ele oferece dois tipos de conexoes, coforme sera
mostrado a seguir:
15.5.1
Nettion-Nettion
Esta opcao permite interligar duas ou mais redes atraves da VPN (como interligar filiais
a` Matriz). Cada uma com um Nettion e com o Plugin OpenVPN instalado. Neste caso,
um dos Nettions vai ser o servidor da VPN e o outro sera o Cliente.
15.5.2
Para configurar uma conexao OpenVPN Nettion-Nettion, acesse o menuVPN > OpenVPN > Nettion-Nettion > Conex
oes. A seguinte tela sera exibida:
15.5. OPENVPN
153
Tipo: Servidor;
Nome: identifique o nome da conexao;
Status: Ativo;
Porta: o Nettion ja oferece uma sugestao de porta automaticamente. Cada t
unel
OpenVPN funcionara em uma porta diferente - lembre-se de criar a regra de Firewall
correspondente a esta porta para liberar a conexao VPN;
Protocolo: UDP (padrao);
Compressao LZO: aplique para otimizar o trafego dentro da VPN com a compressao
dos dados.
Veja a figura a seguir:
154
15.5. OPENVPN
155
Firewall
Como comentado anteriormente, cada t
unel OpenVPN funciona em uma porta diferente,
de acordo com a sua configuracao no momento de criar o t
unel servidor. Para que as
conexoes possam ser estabelecidas, libere no seu Firewall a conexao entre os servidores
nas portas utilizadas.
Supondo que o servidor esteja configurado para a porta 1184/UDP, crie um objeto de
servico com esta porta e crie uma regra de Firewall conforme mostrado na tabela 15.5:
Regra: Liberando servidor OpenVPN
Origem
Destino
Serv. Destino Acao
ClienteOpenVPN localhost openvpn1
Aceitar
Tabela 15.5: Acesso ao servidor OpenVPN
Neste caso, estamos liberando apenas para o objeto ClienteOpenVPn conectar ao servidor. Caso nao seja possvel identificar a origem da conexao, deixe a origem em branco
(Qualquer).
Alem da regra para permitir a interligacao entre os Nettions, e necessario tambem liberar
o trafego entre as redes da VPN de acordo com as suas necessidades. Veja resumo da
regra necessaria na tabela 15.6.
156
Regra: Liberando tr
afego dentro da VPN
Origem
Destino
Serv. Destino Acao
Rede Local Rede Remota Qualquer
Aceitar
Tabela 15.6: Liberando Trafego dentro da VPN
Iniciando o servico OpenVPN
Agora que o servidor e o cliente estao devidamente configurados, inicie o servico OpenVPN
em cada Nettion (servidor e cliente) no menu Sistema > Servicos.
Por u
ltimo, inicie o t
unel. Atraves da tela de listagem das conexoes clique no botao
Start correspodente a` conexao criada para iniciar o t
unel entre os Nettions (Veja o
topico 15.5.2). Neste momento o status indicativo da conexao deve ficar verde e as
estacoes das redes ja podem se comunicar entre si. Caso nao, verifique se nao esqueceu
algum passo acima.
15.5.3
Nettion-Usu
arios
15.5.4
Configura
co
es
15.5. OPENVPN
157
Redes acessadas pelos usuarios - Redes que o nettion fornece acesso para usuarios
conectados;
Selecione para a coluna da esquerda as redes locais que serao oferecidas aos
usuarios da VPN;
Veja a tela a seguir:
158
Veja a figura a seguir:
15.5. OPENVPN
15.5.5
159
Conex
oes Ativas
Relat
orios
EmVPN > OpenVPN > Nettion-Usu
arios > Relat
orios > Conex
oesvoce tem
acesso ao historico de conexoes feitas ao servidor OpenVPN. Atraves do filtro, e possvel
fazer buscas detalhadas sobre os acessos feitos, como mostra a figura 15.22 abaixo.
Firewall
Para que os usuarios externos possam conectar-se ao Nettion e necessario fazer uma liberacao no Firewall do Nettion. Para isso crie uma regra permitindo o acesso de Qualquer
host (Internet) em direcao ao Nettion na porta estabelecida para o servidor.
Supondo que o servidor esteja configurado para a porta padrao, 1183/UDP, crie um
objeto de servico com esta porta chamado openvpn-clientes, e crie uma regra de Firewall
conforme mostrado na tabela 15.7:
160
15.6. DNS
161
Para exportar este arquivo, entre novamente nas configuracoes do OpenVPN NettionUsuarios e clique no botao Download. Caso esta opcao ainda nao esteja disponvel e
porque a configuracao do servidor ainda nao foi efetuada.
Agora, na estacao Windows, com o OpenVPN Client instaldo, clique com o botao direito
no cone do OpenVPN Client e escolha a opcao Nova Conexao (Nettion). Na janela
seguinte, selecione o arquivo exportado pelo Nettion. Com isso a configuracao estara
finalizada.
Obs.: Apos a instalacao, note que um novo cone aparecera ao lado do relogio
do Windows, na barra do menu Iniciar.
15.5.6
Mais informa
co
es
15.6
DNS
162
Existem 13 servidores DNS raiz no mundo todo e sem eles a Internet nao funcionaria.
15.6.1
Como funciona?
A Arquitetura do servico DNS e distribuida em Masters e Slaves. O primeiro e o re ele quem notifica os outros servidores, onde
sponsavel e deve ser alterado inicialmente. E
estao as replicas das informacoes. Esses sao chamados de Slaves, pois apenas recebem as
informacoes do Master.
Existem dois tipos de resolucoes: uma direta, quando queremos encontrar um IP de
um nome, e outra quando temos um IP e queremos saber o seu nome. Esta segunda
forma tem uma organizacao diferenciada e garante que um determinado IP e de uma rede
conhecida. Por exemplo, um servidor de E-Mail (SMTP) recebe uma conexao do host
de origem reconhecido por 192.168.5.4. Para este IP poder enviar e-mails tem que ter o
reverso configurado. Isto, para prevenir uma possvel fraude. Os domnios reversos estao
na arvore in-addr.arpa. Esta arvore nao esta aberta ao p
ublico. Por isso, e confiavel.
No exemplo acima o reverso do IP seria 4.5.168.192.in-addr.arpa.
Apos a instalacao, voce acessa este plugin atraves do menu DNS > Domnios.
15.6.2
Domnios Masters
Esta modalidade permite que voce crie e gerencie seus domnios Masters. Existem dois
campos que aparecem somente na criacao do domnio: SOA e NS, itens necessarios ao
funcionamento de qualquer DNS. O SOA (Start Of Autority) e o servidor de consulta
ele quem determinara os outros nomes do domnio. O NS e a autoridade do
inicial. E
domnio ele pode ser usado para resolver os nomes do domnio, mas geralmente e utilizado
para desafogar o SOA.
15.6. DNS
163
Para configurar um domnio, acesse no menu DNS > Domnios e clique no botao
Incluir. Na primeira tela do wizard de inclusao, configure:
Nome: Nome do domnio que voce ira criar;
Descricao: Descricao do domnio a qual voce ira gerenciar;
Tipo: O tipo de domnio que voce ira criar. Neste caso Master;
Status: Ativo;
SOA: Incio da autoriade do domnio (Somente na criacao do master);
NS: NS do domnio master.
Como mostra a figura abaixo.
164
15.6.3
Para acessar esta modalidade, selecione o domnio ao qual se deseja incluir os itens e
clique no botao Itens, no lado direito e inferior da tela. Na janela seguinte, clique no
botao Incluir. Na tela que sera exibida, informe:
No campo Tipo: Definir o tipo do item. Existem 6 tipos de de itens:
SOA: Start of Authority, marca o comeco dos dados de uma zona e define
parametros que afetam a zona inteira.
NS: Identifica o servidor de nomes de um domnio.
MX: Mail eXchange, Lista de servidores de e-mail para entrega (SMTP).
A: Resolucao direta de um nome para um IP.
CNAME: Define um alias para um hostname.
PTR: Mapeia o endereco para um hostname.
TXT: Permite a criacao de registros SPF, DKIM (DomainKeys) e fornecimento
de informacoes adicionais.
Exemplo:
SPF: example.net. IN TXT v=spf1 a mx ip4:192.0.2.32/27 -all
DKIM: mail. domainkey.example.net. IN TXT g=\; k=rsa\; t=y\;p=MF...XYZ
INFO: example.net. IN TXT em caso de problema ligue (85)4005-1188
15.6. DNS
165
15.6.4
Domnios Slaves
Esta modalidade permite que voce crie e gerencie seus domnios Slaves. Para isso, acesse
no menu DNS > Domnios e clique no botao Incluir. Na primeira tela do wizard
de inclusao, configure:
Nome: Nome do domnio que voce ira criar;
Descricao: Descricao do domnio a qual voce ira gerenciar;
Tipo: O tipo de domnio que voce ira criar. Neste caso Slave;
Status: Ativo;
166
Na segunda tela do wizard, selecione os servidores Masters que ele deve sincronizar. Deve
ser selecionado obrigatoriamente um servidor1 , como mostra a figura abaixo.
15.6.5
15.6.6
Domnios Reversos
Os domnios reversos sao tipos especiais. Sua sintax e in-addr.arpa. Eles seguem Ao
lado do campo NOME, existe um botao chamado GERAR O REVERSO, no wizard de
criacao, que facilitara o trabalho. Ao ser clicado, ele solicitara o ip/mascra no formato
xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy. Assim, o nome sera mudado para o formato correto.
15.6.7
Iniciando o servi
co DNS
Inicie o servidor DNS atraves do menu Sistema > Servicos > Servidor de Nomes.
Para obter mais informacoes sobre como iniciar servicos no Nettion, consulte o topico 14.1.
15.6.8
Para que os usuarios externos possam conectar-se ao Nettion e necessario fazer uma
liberacao no Firewall do Nettion. Para isso, crie uma regra permitindo o acesso de
qualquer host (Internet) em direcao ao Nettion, na porta estabelecida para o servidor.
Supondo que o servidor esteja configurado para a porta padrao, 53/UDP 53/TCP, utilize
o servico predefinido DNS e crie uma regra de Firewall, conforme mostrado na tabela
15.9:
1
Crie um objeto com o nome do servidor e seu IP associado. Veja o captulo 4 - Objetos
15.7. GETMAIL
167
Regra: Liberando servidor DNS
Origem
Destino Serv. Destino Acao
Qualquer localhost
DNS
Aceitar
Tabela 15.9: Acesso ao servidor DNS
15.6.9
Mais informa
co
es
Para maiores informacoes sobre a configuracao deste plugin, acesse tambem o Passo a
Passo, disponvel no site do (www.nettion.com.br).
15.7
GetMail
15.7.1
Vantagens
15.7.2
Configura
co
es
168
15.7.3
Contas de Origem
15.7. GETMAIL
169
15.7.4
Regras
170
Passo 2:
Na tela seguinte, especifique em Contas de Origem as contas das quais voce deseja obter
os e-mails (Lembre-se que elas devem ser criadas previamente). Em Conta de Destino,
especifique se a conta de destino e Local ou Remota. Para Local, selecione a conta de
e-mail local para a qual os e-mails serao encaminhados. Para Remota, digite o endereco
eletronico da conta de e-mail do servidor remoto. Selecione tambem uma das tres opcoes
abaixo:
Obter tambem os e-mails ja lidos: Especifica que o GetMail tambem deve trazer
e-mails que ja tenham sido lidos;
Manter mensagens no servidor: Especifica se sera deixada no servidor de origem
copias das mensagens que estao sendo obtidas;
Conectar de forma segura (TLS): Marque esta opcao se o servidor de origem exigir
autenticacao segura.
Veja a figura 15.36 abaixo.
15.7.5
Iniciando o servi
co GetMail
Inicie o GetMail atraves do menu Sistema > Servicos > Getmail. Para obter mais
informacoes sobre como iniciar servicos no Nettion, consulte o topico 14.1.
15.7.6
Mais informa
co
es
Para maiores informacoes sobre este plugin, acesse tambem o site em (www.nettion.com.br).