Manual Nettion

2
R Copyright 2002-2009 by Nettion Information Security.

Nettion
Este material1 pode ser livremente reproduzido, desde que mantidas as notas de copyright
e o seu conte
udo original. Envie crticas e sugestoes para suporte@nettion.com.br.
Revisado e atualizado por Deyvson Matos, em 5 de janeiro de 2009.

Disponvel tambem no idioma Ingles2 .
R Para baixar o Manual da S

R acesse:
Este Manual est
a baseado na Serie 4.0 do Nettion .
erie 3.0 do Nettion ,
http://www.nettion.com.br/comunication/geral/Manual-Nettion3.pdf
2
Vers
ao em Ingles do Manual disponvel em:
http://www.nettion.com.br/comunication/geral/Manual-Nettion-Eng.pdf
Sum
ario
1 Introduc
ao
1.1
11
Apresentacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2 Instalac
ao/Registro/Login
13
2.1
Instalacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.2
Registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.3
Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.4
Tela Inicial
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3 Configurac
oes
17
3.1
3.2
Basicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.1.1
Graficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.1.2
Administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.1.3
Data/Hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.2.1
Interface/Conexoes . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.2.2
Sub-Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.2.3
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.2.4
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.2.5
Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.2.6
DNS Dinamico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.2.7
Graficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4 Objetos
4.1
37
Manutencao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.1.1
Inclusao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.1.2
Edicao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.1.3
Manutencao dos Itens do Objeto . . . . . . . . . . . . . . . . . . . 38
4.1.4
Exclusao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 39

SUMARIO
4
4.1.5
4.2
Hosts e Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.2.1
4.3
4.6
4.7
4.8
Manutencao do cadastro de domnios . . . . . . . . . . . . . . . . . 41
Expressoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.4.1
4.5
Manutencao do Cadastro de Hosts e Redes . . . . . . . . . . . . . . 40
Domnios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.3.1
4.4
Consulta de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Manutencao do Cadastro de Expressoes . . . . . . . . . . . . . . . . 42
Horarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.5.1
Manutencao do cadastro de horarios . . . . . . . . . . . . . . . . . 43
4.5.2
Determinando Intervalos . . . . . . . . . . . . . . . . . . . . . . . . 43
Servicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.6.1
Predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.6.2
Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Categorias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.7.1
Predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.7.2
Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.7.3
Consulta de URLs . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Mime Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
5 Usu
arios/Grupos
5.1
5.2
Autenticacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.1.1
Base Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.1.2
Servidor NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.1.3
Servidor Windows
6.2
Manutencao do cadastro de Usuarios . . . . . . . . . . . . . . . . . 53
Perfis de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
6 Proxy
6.1
Manutencao do cadastro de Grupos . . . . . . . . . . . . . . . . . . 52
Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
5.3.1
5.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
5.2.1
5.3
47
57
Regras de Firewall Necessarias . . . . . . . . . . . . . . . . . . . . . . . . . 57

6.1.1
Intranet Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6.1.2
Nettion Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.2.1
Proxy com autenticacao . . . . . . . . . . . . . . . . . . . . . . . . 58
6.2.2
Proxy transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

SUMARIO
5
6.2.3
Configuracoes gerais . . . . . . . . . . . . . . . . . . . . . . . . . . 59
6.2.4
Limpeza do Cache do Proxy . . . . . . . . . . . . . . . . . . . . . . 60
6.2.5
Mensagens de erro . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
6.2.6
Portas Autorizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
6.2.7
Base de URLs Categorizadas . . . . . . . . . . . . . . . . . . . . . 61
6.2.8
Historico de Atualizacoes de URLs . . . . . . . . . . . . . . . . . . 62
6.3
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
6.4
Composicao de regras do Proxy . . . . . . . . . . . . . . . . . . . . . . . . 64
6.5
6.6
6.7
6.4.1
Tela 1 - Definicao da regra . . . . . . . . . . . . . . . . . . . . . . . 64
6.4.2
Tela 2 Horario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
6.4.3
Tela 3 - Filtros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.4.4
Tela 4 - Aplicar para . . . . . . . . . . . . . . . . . . . . . . . . . . 67
6.4.5
Tela 5 - Qos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.5.1
Padrao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.5.2
Por domnio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.5.3
Top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.5.4
Acessos Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.5.5
On-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Graficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
6.6.1
Selecionando um perodo . . . . . . . . . . . . . . . . . . . . . . . . 71
6.6.2
Visualizando acessos a partir do grafico . . . . . . . . . . . . . . . . 71
6.6.3
Monitoramento Realtime . . . . . . . . . . . . . . . . . . . . . . . . 72
Configurando as estacoes da rede . . . . . . . . . . . . . . . . . . . . . . . 72
7 Controle de Banda
73
7.1
Re-priorizacao de pacotes
7.2
Realocacao dinamica de banda . . . . . . . . . . . . . . . . . . . . . . . . . 74
7.3
Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
7.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . 73
7.3.1
Definicao da Interface de rede . . . . . . . . . . . . . . . . . . . . . 75
7.3.2
Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
7.3.3
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Ativando o servico de Controle de Banda . . . . . . . . . . . . . . . . . . . 78

SUMARIO
6
8 Firewall
79
8.1
Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
8.2
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
8.2.1
8.3
8.4
Regras basicas do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

8.3.1
Acesso ao Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
8.3.2
Acesso Nettion -> Internet . . . . . . . . . . . . . . . . . . . . . . . 85
8.3.3
Resolucao de nomes para a rede interna
9.2
9.3
. . . . . . . . . . . . . . . 85
Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
9 VPN
9.1
Incluindo uma nova regra . . . . . . . . . . . . . . . . . . . . . . . 80
87
VPN PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
9.1.1
Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
9.1.2
Manutencao do cadastro de clientes para VPN PPTP . . . . . . . . 89
VPN IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
9.2.1
Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
9.2.2
Conexoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
10 NIDS
99
10.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
10.1.1 Selecao de Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . 99
10.1.2 Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
10.1.3 Configuracao do PortScan . . . . . . . . . . . . . . . . . . . . . . . 100
10.1.4 Deteccao de Assinaturas . . . . . . . . . . . . . . . . . . . . . . . . 101
10.1.5 Alerta por e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
10.1.6 Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
10.1.7 Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
10.1.8 Ultimas
assinaturas . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
10.1.9 IPs Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
11 DHCP
105
11.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

11.1.1 Configuracoes Globais . . . . . . . . . . . . . . . . . . . . . . . . . 105
11.1.2 Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
11.2 Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
11.2.1 Manutencao do cadastro dos Hosts . . . . . . . . . . . . . . . . . . 106
11.3 Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
11.3.1 Manutencao do cadastro de Redes . . . . . . . . . . . . . . . . . . . 107

SUMARIO
12 E-mail
109
12.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

12.1.1 Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
12.1.2 Relay
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
12.1.3 Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

12.1.4 Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
12.1.5 Extensoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
12.2 Domnios
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
12.2.1 Incluir um domnio . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

12.3 Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
12.3.1 Buscando usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
12.3.2 Editando usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
12.3.3 Inserindo usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
12.4 Aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
12.4.1 Criando um alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
12.5 Antivrus
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
12.5.1 Atualizacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

12.5.2 Agendamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
12.5.3 Historico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
12.6 Antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
12.6.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
12.6.2 Aprendizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
12.6.3 Whitelist
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
12.7 Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

12.7.1 Fila . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
12.7.2 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
12.7.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
12.7.4 Quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
12.7.5 Top Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
12.7.6 Quota Utilizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
13 Ferramentas
127
13.1 Reverso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

13.2 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
13.3 Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
13.4 Tracar rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
13.5 Diagnostico de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

SUMARIO
8
14 Sistema
129
14.1 Servicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

14.2 Plugins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
14.3 Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
14.3.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
14.3.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
14.3.3 Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
14.4 Restore
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
14.5 Expurgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

14.5.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
14.5.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
14.6 Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
14.7 Graficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
14.7.1 CPUs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
14.7.2 Memoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
14.7.3 Discos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
14.8 Sobre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
14.9 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
14.10Desliga/Reinicia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
15 NettionPlugs
141
15.1 O que sao NettionPlugs? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

15.2 Instalando os NettionPlugs . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
15.3 Chat Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
15.3.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
15.3.2 Software Cliente (estacoes) . . . . . . . . . . . . . . . . . . . . . . . 143
15.3.3 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
15.3.4 Iniciando o servico Chat Server . . . . . . . . . . . . . . . . . . . . 144
15.3.5 Mais informacoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
15.4 Blitz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
15.4.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
15.4.2 Bloqueando o acesso direto ao MSN . . . . . . . . . . . . . . . . . . 144
15.4.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
15.4.4 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
15.4.5 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
15.4.6 Catalogacao automatica de contatos
. . . . . . . . . . . . . . . . . 148
15.4.7 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

SUMARIO
9
15.4.8 Iniciando o servico Blitz . . . . . . . . . . . . . . . . . . . . . . . . 151
15.4.9 Configurando as estacoes . . . . . . . . . . . . . . . . . . . . . . . . 151
15.5 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

15.5.1 Nettion-Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
15.5.2 Configurando o Servidor OpenVPN . . . . . . . . . . . . . . . . . . 152
15.5.3 Nettion-Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
15.5.4 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
15.5.5 Conexoes Ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
15.6 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
15.6.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
15.6.2 Domnios Masters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
15.6.3 Itens do Domnio Master . . . . . . . . . . . . . . . . . . . . . . . . 164
15.6.4 Domnios Slaves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
15.6.5 Itens do Domnio Slave . . . . . . . . . . . . . . . . . . . . . . . . . 166
15.6.6 Domnios Reversos . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
15.6.7 Iniciando o servico DNS . . . . . . . . . . . . . . . . . . . . . . . . 166
15.6.8 Firewall com DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
15.7 GetMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
15.7.1 Vantagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
15.7.2 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
15.7.3 Contas de Origem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
15.7.4 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
15.7.5 Iniciando o servico GetMail . . . . . . . . . . . . . . . . . . . . . . 170
10
SUMARIO
Captulo 1
Introdu
c
ao
1.1
Apresentac
ao
Com a necessidade de conexao direta das organizacoes à internet, o fator Seguranca da

Informacao tornou-se um investimento primordial, deixando de ser uma caracterstica
apenas de grandes instituicoes. O motivo desta mudanca e que sem a devida protecao no
ambiente de rede da empresa, ela estara sujeita, cedo ou tarde, a um significativo prejuzo
institucional, seja ele moral ou material.
Alem disso, a facilidade da conexao 24 horas com a internet leva, muitas vezes, os funcionarios a desperdicarem o tempo de trabalho acessando diversas informacoes pessoais,
provocando uma significativa queda de produtividade individual e, conseq
uentemente, da
sua propria empresa.
Muitas vezes sua internet se torna lenta, o que o obriga a adquirir um link de maior
velocidade. No entanto, voce nao sabe que e possvel implementar um controle sobre
aquilo que trafega no seu link, nao havendo necessidade de custos extras com links maiores
em grande parte dos casos.
R
Dentro desta realidade, a Nettion Information Security oferece, atraves do Nettion ,
a solucao completa para as 24 horas de conexao da sua organizacao com a internet,
propiciando a implantacao de uma poltica administrativa de seguranca e otimizacao
do uso do seu link, alem do controle detalhado das informacoes que trafegam por dele.
Tudo isso atraves de uma ferramenta de administracao interativa de gerenciamento e
monitoramento.
R
Benefcios do Nettion :
R pode fazer o balanceamento de carga e redund
o Nettion
ancia dos seus links de
Internet, onde, atraves de regras simples e intuitivas, voce estabelece por qual link
os servicos devem ser encaminhados por padrao e por onde devem sair em caso de
falha, tudo isso de forma automatica.
R possibilita um aumento da velocidade ao acessar p
o modulo proxy do Nettion
aginas na internet sem que, necessariamente, tenha que se investir em links maiores.
R de armazenar as p
Isso e possivel devido a capacidade do Nettion
aginas acessadas
em seu cache. Outra vantagem e que o software permite que voce faca um controle minucioso dos acessos dos usuarios da sua rede, estabelecendo regras, horarios
R voc
e bloqueando sites indesejados. Com o Nettion ,
e tambem implanta regras de
11
12
CAPITULO 1. INTRODUC
AO
seguranca no acesso a` sua rede por parte de usuarios da internet e evita a exposicao
total ao ataque de hackers.
atraves de relatorios e regras estabelecidas os usuarios de computadores farao uso
mais profissional da Internet, aumentando a produtividade e diminuindo os riscos associados a TI. As regras aplicadas sao flexveis podendo-se fazer limites por usuarios
e por horarios. A configuracao e bem simples e nao havera necessidade de M.O. especializada. Os relatorios sao diversificados e intuitivos, propicinado analises justas
e reais.
R possui cadastrado,
o sistema de deteccao de tentativas de invasao (NIDS) do Nettion
aproximadamente, 2.000 formas de tentativa de invasao, o que possibilita o bloqueio
de acesso de usuarios mal intencionados.
R disp
Outro recurso que o Nettion
oe e o Controle de Banda, que permite estabelecer percentuais de uso do link para acesso a`s paginas web, trafego de e-mails e
etc, otimizando e garantindo que todos estes servicos estejam disponveis simultaneamente.
R voc
atraves da VPN (Rede Virtual Privada) do Nettion ,
e passa a utilizar a internet
como meio de comunicacao de forma segura, pois seus dados sao criptografados (embaralhados) ao trafegarem atraves de t
uneis de comunicacao pela internet. Atraves
deste recurso voce pode diminuir sensivelmente os custos com interligacao de redes,
como matriz e filiais, e de usuarios fisicamente separados da rede local utilizando a
Internet como meio de comunicacao e garantindo a seguranca dos dados.
o Sistema de Autenticacao Integrada do Nettion facilita o controle dos usuarios na

rede com a integracao e sincronizacao de usuarios e grupos com Domnios Linux(NIS)
e Windows, nao havendo necessidade de recadastramento ou trabalhos adicionais de
manutencao. Permite tambem autenticacao integrada NTLMV2, evitando que o
usuario tenha que digitar a senha sempre que inicie a navegacao.
o servico de E-mail possibilita total autonomia para gerenciamento de contas de
correio com m
ultiplos domnios, permitindo auditoria de mensagens, aplicacao de
sistema de AntiSPAM (com sistema de treinamento pelos proprios usuarios da rede)
e sistema integredo de Anti-Vrus. O gerenciamento das contas e autenticacao dos
usuarios ocorre de forma integrada com o sistema de Autenticacao do Nettion, facilitando assim o gerenciamento das contas de e-mail.
os sistemas de Backup automatizado e Restore possibilitam uma rapida recuperacao
de todos os servicos e informacoes em caso de falha de hardware.
atualizacao via Internet - as constantes atualizacoes proporcionam mais seguranca
com atualizacoes de falhas de seguranca e com a inclusao de novos recursos à ferramenta
R s
Estas e outras ferramentas do Nettion
ao disponibilizadas de maneira facil e simples,
nao requerendo, portanto, conhecimentos tecnicos avancados para opera-las. Com este
documento voce aprendera como fazer as configuracoes do Nettion para adequa-lo ao seu
ambiente de rede.
Captulo 2
Instala
c
ao/Registro/Login
2.1
Instalac
ao
O Nettion funciona sobre uma distribuicao Linux (Nettion Linux) totalmente adequada e
otimizada ao funcionamento de todos os seus recursos. Por isso, sua instalacao, que exige
uma maquina dedicada, nao requer um sistema operacional pre-instalado. Seu instalador
ja integra a instlacao do Nettion Linux e a Interface de Administracao dos recursos.
O Guia de Instalacao do produto em seu hardware encontra-se em um documento sepaR ou atrav
rado, que pode ser facilmente acessado no site do Nettion
es do link Guia de
Instalacao.
2.2
Registro
Apos a instalacao, acesse o seu Nettion atraves de um browser (Mozilla Firefox ou Internet Explorer) utilizando o endereco IP que voce configurou durante a instalacao (ex:
http://192.168.254.1). Neste momento voce tera acesso à tela de Logon da Interface de
Administracao do produto, atraves da qual voce fara todas as configuracoes necessarias
para adequar o Nettion ao ambiente de rede da sua empresa.
Ao logar-se pela primeira vez, o processo de registro do software sera iniciado. O registro
do produto e um procedimento obrigatorio, pois somente apos registra-lo e que o seu uso e
liberado. No primeiro formulario de registro, o administrador deve informar CNPJ/CPF,
R que est
Denominacao Social e a edicao do Nettion
a registrando, de acordo com a figura
2.1.
Figura 2.1: Primeiro formulario de registro
13

CAPITULO 2. INSTALAC
AO/REGISTRO/LOGIN
14
CNPJ/CPF: CNPJ no caso de pessoa jurdica ou CPF, se pessoa fsica;

Denominacao social: denominacao social de pessoa fsica ou jurdica. Ex.: Fortes
Informatica LTDA;
Produto: Tipo do produto. Ex.: Nettion Professional (de acordo com a licenca
adquirida).
Informados os campos do primeiro formulario de registro, o administrador deve clicar no
botao Avancar. O segundo formulario de registro aparecera, como mostrado na figura
2.2.
Figura 2.2: Segundo formulario do registro

Codigo Operacional: Codigo para geracao do codigo de resposta;
Codigo de Resposta: Codigo para liberar o registro do produto;
Neste segundo formulario, voce deve fornecer o C
odigo de Resposta. O administrador
obtera o codigo de resposta depois de solicitar a liberacao da sua versao junto ao nosso
departamento comercial, clicando no botao Obter On-line. Uma janela se abrira com
o codigo e o administrador deve copiar o codigo, informado para o campo C
odigo de
Resposta desse formulario e, finalmente, clicar em Registrar.
R registrado. Vamos ent
Nettion
ao descobrir como configura-lo de forma a usar eficientemente todos os recursos que o software oferece.
2.3
Login
R o administrador deve logar-se,

Para acessar a interface de administracao do Nettion ,
informando nome de usuario e senha, como mostrado na figura 2.3 na pagina 15:
Usuario: nome do usuario. Ex.: nettion;

Senha: senha do usuario. Ex.: nettion;
Obs: a senha original do usuario nettion e nettion. Por medidas de seguranca e importante que voce a altere logo apos o primeiro logon.
possvel escolher entre os idiomas portugues e ingles, alem de acessar a interface do
E
R usando uma conex
Nettion
ao segura HTTPS.
Caso deseje utilizar HTTPS, marque a caixa Conex
ao Segura.
2.4. TELA INICIAL
15
Figura 2.3: Formulario de login

importante que voce
Agora e hora de iniciarmos as configuracoes propriamente ditas. E
inicie pelas Configuracoes Basicas do produto (veja captulo 3). Neste captulo voce
aprendera como alterar a senha do administrador, configurar as demais interfaces de rede
do equipamento e como ligar o seu Nettion a` Internet.
2.4
Tela Inicial
R a tela inicial (home)

Ao logar-se no Nettion ,
e exibida. Nela, estao contidas varias
informacoes gerenciais importantes a respeito do estado do sistema. Veja a figura 2.4 a
seguir:
Figura 2.4: Tela Inicial do Nettion

A tela Homedo Nettion e dividida em quadros. Cada quadro agrupa um tipo especfico
de informacao. Nela, e possvel verificar atraves de seus quadros:

CAPITULO 2. INSTALAC
AO/REGISTRO/LOGIN
16
Dados da licenca do Nettion;
Os NettionPlugs instalados e datas de instalacao e expiracao;

Estado atual dos links instalados no Nettion;
Sumario semanal do estado da CPU e Memoria;
Estado atual da particao /var;
Estatsticas dos filtros de e-mails;
Estatsticas de acesso via Proxy;
Ultimas
notcias Nettion.
Porem, tantas informacoes a serem exibidas podem fazer com que a carga inicial da
interface demore. Devido a isto, e possvel desativar alguns quadros, bastando para isso
clicar no botao localizado no canto superior-direito do quadro que se deseja desativar.
Para reativa-lo, clique novamente no mesmo botao, como mostra a figura 2.5.
Figura 2.5: Desabilitando Quadros na Tela Inicial
Captulo 3
Configura
c
oes
3.1
B
asicas
R o administrador deve acessar o menu Configura

No primeiro acesso ao Nettion ,
coes
Basicas e atualizar os seus dados, tais como senha padrao, envio de e-mails do sistema e
Data/Hora do sistema para registro nos relatorios.
R por
Para a sua seguranca, o administrador deve alterar a senha do usuario Nettion
uma senha pessoal, que so devera ser conhecida por pessoas autorizadas a administrar o
sistema. Lembre-se de alterar essa senha, caso ela se torne conhecida por terceiros.
Obs.: No captulo 5, voce podera obter informacoes sobre como criar usuarios e perfis de
acesso ao sistema. Desta forma, voce podera criar um usuario e definir os modulos do
R que poder
Nettion
ao ser acessados.
3.1.1
Gr
aficos
R s
Por padrao, todos os graficos do Nettion
ao ativados. Porem, e possvel informar ao
sistema quais graficos ficarao ativos. Para isso, acesse o menu Configuracoes Graficos.
Na tela que sera exibida, clique na caixa de verificacao dos graficos que deseja desativar
e clique no botao Salvar Configuraco
es.
Figura 3.1: Configuracao dos Graficos do Sistema
17

CAPITULO 3. CONFIGURAC
OES
18
3.1.2
Administrador
Senha
Para alterar a senha, preencha os campos senha atual, nova senha e confirmacao e clique
no botao Salvar Configuraco
es.
Figura 3.2: Alteracao de senha

E-mail do Administrador
Para configuracao do E-mail, preencha os campos E-mail do Administrador, seu Servidor SMTP e clique no botao Salvar Configurac
oes. Este e-mail sera utilizado pelo
R para enviar algumas notifica
Nettion
coes ao administrador, como por exemplo, notificacao de algum problema no sistema de backup.
Figura 3.3: Configuracoes de E-mail
Portas de Administrac
ao
R (HTTP e SSH). Por
Nesta tela e possvel redefinir as portas para acesso ao Nettion
padrao, as portas definidas sao 80/TCP para o acesso web (Interface de Administracao)
R (Console do Nettion Linux). Modifique-as
e 22/TCP para acesso ao shell do Nettion
conforme a necessidade e clique no botao Salvar Configuraco
es.

3.1. BASICAS
19
Figura 3.4: Portas de Administracao HTTP e SSH
3.1.3
Data/Hora
Para configurar data e hora do sistema, voce tem duas opcoes: configurar manualmente
(Clock Local) ou sincronizar com algum servidor NTP (Network Time Protocol).
Figura 3.5: Configuracao manual de data e hora
(a) Clock Local

Time Zone: selecione seu fuso horario;
Zona do relogio da CPU: escolha se deseja usar seu fuso horario (Horario Local)
ou o horario de Greenwich (GMT);
Data: ajuste a data no formato dia/mes/ano (DD/MM/AAAA);
Horario: ajuste a hora no formato hora:minuto (HH:MM).

OES
20
Figura 3.6: Configuracao Servidor NTP

(b) Servidor NTP
Time Zone: selecione seu fuso horario;
Zona do relogio da CPU: escolha se deseja usar seu fuso horario (Horario Local)
ou o horario de Greenwich (GMT);
Servidores NTP: os enderecos dos servidores de NTP com os quais deseja sincronizar data e hora. Lembre-se de inserir pelo menos um servidor, caso deseje
utilizar esse recurso.
Firewall
necessario que algumas regras de Firewall sejam criadas para garantir que os recursos
E
citados neste captulo funcionem corretamente. Sao elas:
Data/Hora Servidor NTP
Permite que o Nettion comunique-se com os servidores NTP configurados.
Um resumo da regra necessaria encontra-se na tabela 3.1 a seguir:
Regra: Nettion -> NTP Servers
Origem
Destino
Serv. Destino Acao
localhost Qualquer ntp
Aceitar
Tabela 3.1: Liberando Nettion para NTP servers

3.1. BASICAS
21
Acesso ao Console e `
a Interface Web do Nettion
R pelo Administrador do Sistema e pelo Suporte RePermite o acesso ao Nettion

moto Nettion. As regras a serem criadas deverao utilizar os servicos predefinidos http,
https1 e ssh, se assim estiver definido na area de configuracao Portas de Administrac
ao.
Se as portas padrao forem modificadas, objetos de servicos personalizados deverao ser

criados fazendo referencia a` cada porta modificada.
Nota: No captulo 4, voce podera obter mais informacoes sobre a utilizacao de

objetos de servicos pr
e-definidos e personalizados.
Um resumo das regras de firewall necessarias encontra-se nas tabelas 3.2 e 3.3 a seguir.
Regra: Administrador -> Nettion

Origem
Destino
Serv. Destino Acao
http
Host Administrador localhost https
Aceitar
ssh
R para o Admimistrador do Sistema
Tabela 3.2: Liberando acesso ao Nettion
Regra: Suporte Remoto -> Nettion

Origem
Destino
Serv. Destino Acao
http
Suporte Remoto localhost https
Aceitar
ssh
R para o Suporte Remoto Nettion
Tabela 3.3: Liberando acesso ao Nettion
OBS.: Todos os detalhes de como configurar o Firewall e suas regras encontram-se no

Captulo 8 na pagina 79.
R via https n
A porta 443/TCP utilizada para acesso ao Nettion
ao pode ser redefinida.

OES
22
3.2
3.2.1
Rede
Interface/Conex
oes
Nesta secao voce podera fazer a configuracao das demais interfaces e conexoes de rede do
seu equipamento (a primeira ja foi configurada durante a instalacao).
Interfaces Ethernet (LAN)
Como comentado, o Nettion ja configura a primeira interface Ethernet do equipamento
(eth0) durante a instalacao do software. Para incluir as demais Interfaces de rede, acesse
a opcao de menu Configuracoes Rede Interfaces/Conexoes. Na tela seguinte, voce
tera acesso a listagem das interfaces ja cadastradas no seu Nettion, como segue no exemplo
da figura 3.7 (pagina 22).
Figura 3.7: Listagem de Interfaces e Conexoes

Para incluir uma nova Interface Ethernet siga os seguintes passos (veja tambem a figura
3.8 na pagina 23):
Clique no botao Incluir localizado abaixo da listagem;
Na tela seguinte, selecione o tipo de interface Ethernet e clique em Avancare
aguarde;
Neste momento o Nettion fara a deteccao das demais placas de rede instaladas e
seus respectivos drivers. Cada interface detectada sera mostrada na tela seguite.
Selecione uma delas e clique em avancar.
Importante: Caso o driver do dispositivo nao tenha sido identificado automaticamente, o dispositivo sera listado marcado com um *. Nestes casos, e provavel que
o Nettion nao possua o driver apropriado para suporta-lo. Por favor, entre em contato com o fabricante atraves do endereco suporte@nettion.com.br e envie o maior
n
umero de informacoes do dispositivo possvel, tais como: modelo, fabricante e
chipset.
Na tela seguinte preencha as informacoes do seu dispositivo de rede:
Driver: Detectado automaticamente por padrao.
Endereco IP: indique o endereco IP que sera atribudo ao dispositivo, ou clique
na opcao DHCP para que o Nettion utilize um IP fornecido por um servidor
DHCP de sua rede;
3.2. REDE
23
Mascara de Rede: Indique a mascara de rede utilizada;
Velocidade: indique a velocidade do dispositivo. Esta informacao sera utilizada
no servico de Controle de Banda;
Descricao: indique uma descricao sobre a interface de rede, como Interface da
Intranet;
Obter DNS do servidor: Obter automaticamente a configuracao de DNS. Isto e
possvel nos casos em que o DHCP e ativado.
Responder requisicoes DNS nesta interface: esta opcao faz com que o Nettion
anuncie seu servico de DNS nesta interface;
Ativar no boot: indique Sim para ativar a interface automaticamente no boot
R
do Nettion .
Figura 3.8: Inclusao/Edicao de Interface Ethernet
3.2.2
Sub-Interfaces
O Nettion suporta tambem a inclusao de sub-interfaces de rede. Elas estao sempre associadas a uma Interface fsica e possuem basicamente duas finalidades:
1. IPs adicionais em uma Interface: permite que uma interface responda por outros
enderecos IPs, alem do principal.
2. Conexoes ADSL: permite que uma conexao ADSL seja atribuda a uma Interface.
Esta opcao so estara disponvel quando a Interface for do tipo DHCP, como sera
visto mais a frente.
IPs Adicionais
Para incluir um endereco adicional a uma Interface siga os passos (veja tambem figura
3.9 na pagina 24):
24
OES
Na tela de listagem, selecione a Interface que recebera o IP adicional e clique no
botao Itens;
Na tela seguinte, sera apresentada uma listagem de subinterfaces do dispositivo.
Clique no botao Incluir;
Na tela seguinte, selecione o tipo Sub-Interface e clique em avancar;
Agora indique: Enderecco IP, Marcara de rede, Descricao e se a interface respondera
por requisicoes DNS na subinterface.
Para finalizar, clique no botao Adicionar Interface.
Figura 3.9: Inclusao de Sub-interface

Apos a inclusao, a Sub-interface sera listada como mostrado na figura 3.10 (pagina 24).
Observe que o nome da subinterface tem o mesmo nome do Interface principal + n
umero
da subinterface. Caso seja necessario, inclua outras subinterfaces seguindo o mesmo
procedimento.
Figura 3.10: Listagem de Sub-interfaces de um dispositivo de rede
3.2. REDE
25
Conex
oes ADSL (WAN)
Para incluir uma Conexao ADSL a Interface principal (fsica) deve estar configurada para
receber IP via DHCP e deve estar com a configuracao Ativar no boot como Nao, como
mostrado na figura 3.11 da pagina 25.
Figura 3.11: Configuracao de Interface para conexao ADSL

Importante: Estas conexoes dependem de um modem ADSL devidamente instalado e
configurado. Os modems ADSL podem estar configurados no modo bridge, onde o
R far
Nettion
a o gerenciamento da conexao ADSL e ficara com o IP disponibilizado pelo
provedor(recomendado), ou em modo router, onde o modem sera o responsavel por
fazer esta gerencia. As configuracoes a seguir sao para o modo bridge. Caso esteja em
modo routerconfigure a interface ethernet de modo que ela se comunique com o modem
R apontando para o IP do modem.
e configure o Gateway do Nettion
O prodecimento e semelhante ao da inclusao de IPs adicionais (veja tambem figura 3.12
na pagina 26):
Na tela de listagem, selecione a Interface que recebera a conexao ADSL e clique no
botao Itens;
Na tela seguinte, sera apresentada uma listagem de subinterfaces do dispositivo.
Clique no botao Incluir;
Na tela seguinte, selecione o tipo ADSL(wan) e clique em avancar;
Na tela seguinte, preencha as infornacoes do seu provedor ADSL:
Usuario: login de acesso;

Senha: senha de acesso;
Parametros extras: somente se necessarios e fornecidos pelo provedor;
Velocidade: indique a velocidade do link;

OES
26
Obter DNS do Servidor: marque para que o Nettion receba as informacoes de

DNS do provedor;
Ativar no boot: indique Sim para que a conexao seja ativada automaticamente
no boot;
Figura 3.12: Configuracao de Conexao ADSL

Apos a inclusao sua interface ADSL sera listada como segue a na figura 3.13 (pagina 26),
com informacoes de IP e Status da conexao. Caso o Status nao esteja ok (vermelho)
verifique novamente as configuracoes da conexao.
Figura 3.13: Listagem da Conexao ADSL
3.2.3
Gateways
R possa ter acesso `

Para que o Nettion
a Internet e necessario que ele tenha pelo menos
um Gateway, ou seja, pelo menos uma sada de acesso para a Internet. Portanto, esta e
uma configuracao importante na implantacao do seu Nettion. Voce vera tambem que o
Nettion gerencia m
ultiplos Gateways, fazendo todo o tratamento de redundancia e balanceamento dos links.
3.2. REDE
27
Edic
ao de Gateways
Geralmente um Gateway ja e configurado durante a instalacao do Nettion no equipamento. Caso voce queira editar suas informacoes siga os passos abaixo:
Acesse o menu Configuracoes Rede Gateways Configuracoes;
Na tela seguinte, da listagem de gateways cadastrados, selecione o Gateway que
deseja editar e clique no botao editar.
Na tela seguinte:
Interface: indique a interface do Nettion que esta diretamente ligada ao gateway. No caso de um Gateway para conexao ADSL, selecione a Interface ADSL
correspondente;
Gateway: indique o IP do Gateway, ou seja, o IP atraves do qual o Nettion
tera acesso a Internet - que e fornecido pelo seu provedor de acesso. No caso
de um gateway dinamico, como DHCP ou ADSL, marque a opcao Obtido
dinamicamente;
Participacao na rota padrao: indique a porcentagem de participacao deste link
na sada padrao do Nettion para a Internet. Em caso de um u
nico link o padrao
sera 100%;
Timeout: indique aqui o tempo maximo sem resposta (em segundos) em que o
Nettion ira considerar que um gateway esta fora. O Nettion mudara o estado
de um gateway para down quando este parar de responder dentro do tempo
aqui estipulado. Para nao indicar um limite de tempo, selecione a opcao ao lado
Ilimitado;
Redefenir configuracoes na mudanca de estado do gateway: marque esta opcao
caso deseje que o Nettion redefina as configuracoes dos gateways a cada mudanca
de estado, como por exemplo, as configuracoes de participacao dos gateways na
rota padrao.
Inclus
ao de novos Gateways e M
ultiplos Links Internet
Caso nao haja nenhum Gateway configurado, ou voce queira fazer a inclusao de Gateways
adicionais, para o caso de m
ultiplos Links Internet, siga os passos a seguir.
Acesse o menu Configuracoes Rede Gateways Configuracoes;
Na tela seguinte, da listagem de gateways cadastrados, clique no botao Incluir.
Na tela seguinte:
Interface: indique a interface do Nettion que esta diretamente ligada ao gateway. No caso de um Gateway para conexao ADSL, selecione a Interface ADSL
correspondente;
Gateway: indique o IP do Gateway, ou seja, o IP atraves do qual o Nettion
tera acesso a Internet - que e fornecido pelo seu provedor de acesso. No caso
de um gateway dinamico, como DHCP ou ADSL, marque a opcao Obtido
dinamicamente;
28
OES
Participacao na rota padrao: indique a porcentagem de participacao deste link
na sada padrao do Nettion para a Internet em relacao aos outros Gateways ja
cadastrados. Em caso de um u
nico link o padrao sera 100%.
Timeout: indique aqui o tempo maximo sem resposta (em segundos) em que o
Nettion ira considerar que um gateway esta fora. O Nettion mudara o estado
de um gateway para down quando este parar de responder dentro do tempo
aqui estipulado. Para nao indicar um limite de tempo, selecione a opcao ao lado
Ilimitado;
Redefenir configuracoes na mudanca de estado do gateway: marque esta opcao
caso deseje que o Nettion redefina as configuracoes dos gateways a cada mudanca
de estado, como por exemplo, as configuracoes de participacao dos gateways na
rota padrao.
Perceba que o trafego pode ser dividido de acordo com um percentual especificado (Participac
ao na Rota Padr
ao), permitindo definir prioridades quanto ao uso de um dos links.
E possvel tambem que um gateway nao participe da rota padrao (0%). Neste caso, o link
sera utilizado atraves de duas formas: por acessos, originados externamente a servicos
disponveis na sua rede (Ex.: VPN, E-mail, Portal Web) e por trafego, previstos nas
regras de roteamento avancado como sera mostrado no topico adiante.
Monitoramento Por padrao, os links sao monitorados pelo sistema que reconfigura
automaticamente o ambiente de acordo com a disponibilidade. Cada mudanca e registrada
no estado dos seus links, permitindo sua auditoria.
Para isso acesse o menu Configuracoes Rede Gateways Historico de Status. O
relatorio de estado dos gateways sera exibido, conforme mostra a figura 3.14 abaixo:
Figura 3.14: Monitoramento dos Gateways

Porem, e possvel editar as opcoes de monitoramento do estado dos gateways conforme a
sua necessidade.
Para isso, selecione o gateway desejado e clique no botao Editar. As opcoes de edicao
do gateway serao exibidas, como mostra a figura 3.15 a seguir, modifique as opcoes de
configuracao conforme a secao Edicao de Gateways deste captulo.
3.2. REDE
29
Figura 3.15: Edicao de Gateways
3.2.4
DNS
Nesta secao, voce configura o nome da maquina e os servidores DNS que serao consultados
R para a resolu
pelo Nettion
cao de nomes Internet. O nome da maquina deve ser completo (nome do maquina + dominio). Se voce nao possuir um dominio, podera utilizar
localdomain. Pelo menos um servidor DNS deve ser configurado para o correto funcionamento do produto. Essa configuracao pode ser automatica, se voce tem uma interface
Ethernet ativa configurada via DHCP, ou uma conexao ADSL, sendo preciso, apenas,
selecionar o item Obter DNS do servidor na configuracao da respectiva conexao. O
proprio Nettion podera ser o servidor DNS, desde que ele possua acesso direto a Internet
na porta 53 TCP e UDP. Para utiliza-lo como servidor, indique o IP 127.0.0.1.
Figura 3.16: Nome da maquina e configuracao de DNS

OES
30
3.2.5
Roteamento
Nessa secao e possivel incluir regras que controlarao o destino do seu trafego de rede.
B
asico
Roteamento basico ou pelo destino e a funcionalidade que torna alcancavel uma rede/host
por meio de um host (gateway), tambem alcancavel. Ex.: A rota a seguir faz com que o
trafego para as redes 192.168.50.0/24 e 172.16.20.0/16 possa ser entregue com o intermedio
dos hosts 192.168.1.254 e 192.168.1.253 respectivamente, atraves da interface eth0 (veja
figura 3.17).
Figura 3.17: Listagem de rotas
Figura 3.18: Inclusao de rota basica
3.2. REDE
31
Avancado
O roteamento avancado so faz sentido em um ambiente que possua mais de um link de
internet. Nele, voce tem o poder de escolher um conjunto completo de caractersticas do
trafego, que sera encaminhado especificamente por um dos gateways cadastrados. Cada
regra pode conter uma lista prioritaria de gateways por onde aquele trafego deve ser encaminhado, sendo utilizado sempre o primeiro, com estado ativo, como na figura 3.19.
Figura 3.19: Listagem de regras do Roteamento Avancado

A criacao destas regras e bem simples. Primeiramente, seria interessante ja se ter bem
claro o que se deseja fazer. Se necessario, faca um esboco do trafego desejado antes. Apos
isso, utilizando o Wizard do Roteamento avancado, crie as regras da forma desejada. O
processo de criacao das regras e feito em quatro passos, os quais serao mostrados a seguir.
Passo 1 Informe uma descricao, a posicao que a regra vai ocupar na lista e no seu
estado (ativo ou inativo) conforme figura 3.20 a seguir.
Figura 3.20: Criando regra - Passo 1
32
OES
Passo 2 Selecione o horario em que essa regra sera valida. Os horarios disponveis
sao os definidos em Objetos>Horarios conforme a figura 3.21 a seguir.

Passo 3 Neste passo voce selecionara os servicos e/ou hosts que terao seu trafego
roteados por um link especfico.

Em Filtros de Origem - Hosts selecione para a caixa da esquerda o(s) Host(s)
ou Rede(s) de onde se originam as conexoes. Caso queira especificar qualquer
origem, deixe a caixa da esqueda vazia;
Em Filtros de Origem - Servicos selecione para a caixa da esquerda o(s)
servico(s) de origem. Caso queira especificar qualquer servico, deixe a caixa
da esquerda vazia;
3.2. REDE
33
Em Filtros de Destino - Hosts selecione para a caixa da esquerda o(s) Hosts(s)
ou Rede(s) de destino da conexao. Caso queira especificar qualquer destino,
deixe a caixa da esqueda vazia;
Em Filtros de Destino - Servicos selecione para a caixa da esquerda o(s)
servico(s) de destino. Caso queira especificar qualquer servico, deixe a caixa
da esquerda vazia;
Perceba que atraves destas opcoes voce tera toda flexibilidade de especificar
exatamente o trafego que deseja controlar, seja de uma determinada origem
e/ou para um determinado destino.
Passo 4 Os gateways podem ser selecionados em uma lista de prioridades, onde

aquele que estiver acima, sera o primeiro utilizado. Os gateways seguintes serao
utilizados de acordo com a ordem estabelecida a medida que os gateways superiores
falharem.
A marcacao da opcao Caso todos os Gateways selecionados falhem encaminhar pela rota padr
ao faz com que o gateway padrao do Nettion seja utilizado
em caso de falha de todas as sadas selecionadas. Veja figura 3.23 abaixo.
Configuracoes Avancadas
Por padrao o Nettion faz o mascaramento (NAT) das conexoes feitas pelos hosts
com IPs privados com destino a Internet (vindos da sua rede interna, por exemplo).
Esta secao o permite desabilitar esta funcao, para o caso onde voce queira explicitamente informar para o Nettion nao mascarar o trafego (vindo da rede DMZ com
IPs p
ublicos, por exemplo) ou permite a selecao do IP que sera utilizado para o
mascaramento de cada Gateway, conforme mostrado na figura 3.24 a seguir.

OES
34
Figura 3.24: Criando regra - Configuracoes Avancadas
3.2.6
DNS Din
amico
Os servicos de DNS Dinamico sao especialmente u

teis para conexoes Internet com endereco IP dinamico pois permitem que voce encontre seu Nettion a partir de um nome,
como por exemplo, nettion-minhaempresa.dyndns.org e possa fazer conexoes, como VPN.
A configuracao deste servico no Nettion garante a atualizacao do DNS quando houver
mudanca do endereco IP da sua interface dos tipos ADSL ou Ethernet com DHCP. Com
R pelo Host configurado.
isso, sempre sera possvel acessar o seu Nettion
A listagem da figura 3.26 (pagina 35) mostra o exemplo de um servico de DNS Dinamico
configurado no Nettion.
Figura 3.25: Listagem de servicos de DNS dinamico

Para configurar este sevico, voce deve estar cadastrado em um dos servicos gratuitos de
DNS Dinamico listados a seguir:
3.2. REDE
35
No-IP (http://www.no-ip.com)
DynDNS (http://www.dyndns.com)
ChangeIP (http://www.changeip.com)
Apos o cadastro feito no site do servico voce tera em maos as informacoes de Usuario,
senhae hostque servirao de entrada para as configuracoes do Nettion. Para incluir um
servico, clique no botao Incluire preencha as informacoes de acordo com a figura 3.26
abaixo.
Figura 3.26: Inclusao de servico de DNS dinamico
3.2.7
Gr
aficos
Interfaces
Nesta secao encontram-se os graficos de consumo da banda por interface do Nettion.
Alem do recurso do monitoramento on-line, voce tem ainda a opcao de consultar todo o
historico de cada grafico. Veja o exemplo na figura 3.27 abaixo.
Figura 3.27: Grafico de consumo de banda por Interface de Rede
36
OES
Captulo 4
Objetos
R trabalha com
Com o intuito de simplificar o modo de configurar os servicos, o Nettion
o conceito de objetos, que consiste em um conjunto de informacoes mapeadas em objetos
que serao utilizadas pelos varios servicos disponibilizados pelo software.
Os objetos estao classificados conforme o tipo de informacao que armazenam, facilitando
sua manutencao. O ideal e que o administrador faca um levantamento previo do ambiente de rede, identificando os objetos que devem ser criados, economizando tempo na
configuracao dos servicos.
R e os respectivos
Relacionamos abaixo alguns dos servicos disponibilizados pelo Nettion
objetos por eles utilizados:
Roteamento Avancado: hosts e redes, servicos e horarios;

Proxy: domnios, expressoes, horarios, hosts e redes;
Controle de Banda: hosts e redes;
Firewall: hosts e redes, servicos e horarios;
NIDS: hosts e redes;
OpenVPN: hosts e redes;
DHCP: hosts e redes;
Observe este exemplo:
Para referenciar o IP de uma estacao de trabalho da sua empresa, um administrador criou o objeto do tipo host com o nome Est 01, atribuindo-lhe um certo
IP 192.168.254.10 com a Mascara de Rede 255.255.255.255. Em seguida,
utilizou o objeto Est 01 nas regras do proxy, Controle de Banda, Firewall e
NIDS.
Se por algum motivo voce tiver que alterar o IP da Est 01 basta voce alterar o IP do Objeto e todas as configuracoes do Nettion que utilizam este Objeto serao automaticamente
atualizadas para o novo IP.
37
CAPITULO 4. OBJETOS
38
4.1
Manutenc
ao de Objetos
Apos selecionar uma classe (tipo) de objeto no menu principal, sera exibida para o administrador uma lista contendo os objetos cadastrados (caso existam). A exibicao pode
ser ordenada por qualquer uma das colunas mostradas, sendo necessario somente que
o administrador clique sobre a coluna especfica para que o sistema alterne a exibicao
e ordenacao dos itens da lista. Use a barra de rolagem para navegar entre os objetos
cadastrados. O administrador podera, entao, incluir, alterar ou excluir um objeto, por
exemplo, clicando nos respectivos botoes.1
4.1.1
Inclus
ao de Objetos
Para incluir novos objetos, o administrador deve dar um clique no botao Incluir (veja
figura 4.1 na pagina 38).
Figura 4.1: Botao Incluir

Ao clicar no botao Incluir, sera exibida a tela de inclusao, onde se deve preencher os
campos referentes ao objeto a ser criado. Para confirmar a inclusao, clique no botao
Salvar Configurac
oes.
4.1.2
Edi
c
ao de Objetos
Para acessar o modulo de edicao, o administrador deve dar um clique duplo sobre o objeto
que deseja editar ou seleciona-lo e clicar no botao Editar (veja figura 4.1.2 na pagina
38). Na tela de edicao, o administrador podera alterar os dados cadastrais do objeto
Figura 4.2: Botao Editar

selecionado e confirmar as alteracoes com um clique no botao Salvar Configurac
oes.
4.1.3
Manuten
c
ao dos Itens do Objeto
Os objetos do tipo Domnios, Expressoes, Horarios e Servicos sao formados por grupos
de objetos, ou seja, cada objeto possui seus itens. Para ter acesso aos itens, selecione o
objeto desejado e clique no botao Itens (veja figura 4.1.3 na pagina 39). Sera exibida a
lista dos itens cadastrados para o objeto selecionado e os controles para a manutencao
1
Os bot
oes Editar, Itens e Deletar. Estar
ao habilitados apenas quando houver um objeto selecionado.
DE OBJETOS
4.1. MANUTENC
AO
39
Figura 4.3: Botao Itens

do cadastro dos itens do objeto. A manutencao dos itens utilizados segue o padrao de
procedimentos utilizados para a manutencao do objeto (inclusao, edicao e exclusao).
4.1.4
Exclus
ao de Objetos
Para excluir um objeto especfico, basta seleciona-lo e clicar no botao Deletar. O ad-
Figura 4.4: Botao Deletar

ministrador podera selecionar mais de um objeto e apagar todos eles clicando uma u
nica
vez no botao apropriado. Para selecionar objetos consecutivos, mantenha pressionada a
tecla Shift, clique uma vez no objeto que dara incio a` selecao e clique uma segunda vez
no objeto que finalizara a selecao. Sera exibida uma tela solicitando a confirmacao da
exclusao do(s) objeto(s) selecionado(s). Isso evita que o administrador exclua um ou mais
objetos acidentalmente.
Nota: O sistema n
ao efetuara a exclusao no caso do objeto possuir itens
cadastrados ou quando estiver associado a regras de firewall, proxy ou controle de banda, etc, sem que antes seja removida a associacao. Uma tabela de
resumo sera exibida, listando todas as regras/servicos em que o objeto esteja
inserido.
4.1.5
Consulta de Objetos
Para realizar a consulta de um objeto, basta acessar a guia de consultas no cadastro do

objeto desejado. Cada objeto possui suas proprias opcoes de consulta, porem todas as
telas seguem o mesmo padrao de funcionamento. A figura 4.5 a seguir mostra, a ttulo
de ilustracao, a tela de consulta de objetos2 de Hosts e Redes.
Figura 4.5: Tela de Consulta de Objetos

2
Lembre-se que a tela de consultas segue o mesmo padr

ao de funcionamento, mudando apenas os campos de
acordo com o objeto selecionado.
CAPITULO 4. OBJETOS
40
4.2
Hosts e Redes
No cadastro de hosts e redes o administrador criara a lista dos IPs que serao utilizados
R
na configuracao do Nettion .
Entende-se por host o IP de uma maquina especfica,
R
assim como entende-se por rede um IP que represente um intervalo de IPs. O Nettion
interpreta como host o objeto de mascara 255.255.255.255; os demais, serao interpretados
como sendo redes. Veja o exemplo de listagem de objetos de hosts e redes na figura 4.6
(pagina 40).
Figura 4.6: Hosts e Redes
4.2.1
Manuten
c
ao do Cadastro de Hosts e Redes
A manutencao do cadastro de hosts e redes segue o padrao estabelecido anteriormente

(vide secao 4.1) . Para hosts e redes deverao ser preenchidos os seguintes campos (conforme figura 4.7 na pagina 40).
Objeto: nome a ser dado ao objeto. Ex: Web Server;
Endereco IP: endereco IP do host ou da rede. Ex: 192.168.1.2;
Mascara: mascara da rede onde o objeto se encontra. No caso de o objeto ser um
host, lembre de usar a mascara 255.255.255.255/32;
Descricao: texto explicativo sobre o objeto. Ex: Servidor Web da empresa.
Figura 4.7: Adicionando objeto do tipo Host/Rede
4.3. DOMINIOS
4.3
41
Domnios
No cadastro de domnios, o administrador devera criar a lista dos grupos de domnios que
R
serao utilizados na configuracao do Nettion .
Cada grupo podera conter um ou mais
domnios. Veja um exemplo de uma listagem de objetos de Domnio na figura 4.8 na
pagina 41.
Figura 4.8: Listagem de grupos de domnios
4.3.1
Manuten
c
ao do cadastro de domnios
A manutencao do cadastro de domnios e dos itens segue o padrao estabelecido anteriormente. Para domnios, deverao ser preenchidos os seguintes campos (veja figura 4.9 na
pagina 41):
Nome: nome que voce deseja dar ao grupo Ex: Governamentais;
Descricao: descricao acerca do grupo. Ex: Domnios Governamentais.
Figura 4.9: Formulario de configuracao de grupo de domnios

Para Incluir os itens do Grupo de Domnios, selecione o grupo desejado e clique no botao
Itens. Na tela seguinte voce encontrara uma tela com a listagem de itens do domnio.
Clique no botao Incluire preencha as informacoes sobre o item:
CAPITULO 4. OBJETOS
42
Domnio: digite o domnio iniciando por ponto (.) para identificar todo o domnio
(ex:.hotmail.com) ou para identificar um host especfico do domnio utilize sem o
ponto (Ex: login.hotmail.com).
Descricao: descricao acerca do item. Ex: Domnios bloqueados.
Obs.: O Nettion valida os domnios inseridos, impedindo que domnios invalidos sejam
adicionados.
4.4
Express
oes
Nesta secao, o administrador podera cadastrar grupos de expressoes (palavras ou expressoes regulares) para serem utilizados na configuracao do proxy, e, como ocorre com
os domnios, cada grupo podera conter um ou mais itens, tornando possvel a utilizacao
do grupo inteiro em uma u
nica regra do proxy.
4.4.1
Manuten
c
ao do Cadastro de Express
oes
A manutencao do cadastro de expressoes e dos itens seguem o padrao estabelecido anteriormente. Para expressoes deverao ser preenchidos os seguintes campos:.
Nome: nome que voce deseja dar ao grupo Ex: Expressoes Proibidas;
Descricao: descricao acerca do grupo. Ex: Expressoes que devem ser bloqueadas.
Para Incluir os itens do Grupo de Expressoes, selecione o grupo desejado e clique no botao
Itens. Na tela seguinte voce encontrara uma tela com a listagem de itens do grupo de
expressoes. Clique no botao Incluire preencha as informacoes sobre o item:
Tipo: tipo do item a ser criado, se Palavra ou Express
ao regular3 .
Palavra: palavra que devera ser identificidada na URL pelo Proxy do Nettion. Ex:
sexo.
Posicao: posicao na qual a palavra deve ser identificada. Caso queira, por exemplo,
identificar URLs terminadas por .exe, escolha a opcao no final.
Palavra inteira: selecione Simpara identificar apenas na palavra inteira, ou seja,
nao sera identificada quando a palavra estiver contida em outras palavras. Para o
exemplo da palavra sexo, sexologia nao bateria com o padrao. Selecione Naopara
criticar a palavra mesmo dentro de outras palavras.
4.5
Hor
arios
No cadastro de horarios, devera ser criada a lista dos horarios que serao utilizados na
R Com base nesses hor
configuracao do Nettion .
arios, o administrador podera criar regras
no Proxy, no Firewall, etc, para fazer o controle de acesso.
3
o Nettion possibilita a inclus

ao de express
oes regulares mais complexas atraves da escolha do tipo Express
ao
Regular, porem, a escolha do tipo Palavra associada as outras opcoes como Posicaoe Palavra Inteiraatendem a
grande maioria dos casos.
4.6. SERVICOS
4.5.1
Manuten
c
ao do cadastro de hor
arios
A manutencao do cadastro de horarios e dos itens segue o padrao estabelecido anteriormente. Para horarios, deverao ser preenchidos os seguintes campos:
Objeto: nome a ser dado ao horario. Ex: Expediente;

Descricao: texto para detalhamento do horario. Ex: Horario de trabalho normal.
4.5.2
Determinando Intervalos
O administrador podera definir o horario selecionando uma ou mais celulas da tabela

composta por dias e horarios. A selecao sera feita com o mouse da seguinte forma: o
administrador deve clicar na celula inicial com o botao esquerdo do mouse, mantendo-o
pressionado durante o deslocamento do cursor na tela e selecionando o intervalo desejado.
Uma vez selecionada a regiao desejada, clique no botao Marcar. Um mesmo objeto de
horario pode ter varias regioes de horarios selecionadas.
Caso deseje fazer um ajuste para fracionamento de horas, apos selecionar a regiao desejada, sera exibida uma linha com os campos para ajustes juntamente com os botoes
Marcar e Desmarcar. O usuario podera alterar o conte
udo dos campos de acordo com
sua necessidade e dar um clique em Marcar ou Desmarcar conforme o caso. Para confirmar as definicoes de intervalo, o usuario devera clicar no botao Salvar Configuraco
es.
4.6
Servicos
Nesta secao o administrador podera cadastrar servicos para serem utilizados mais adiante
na configuracao das funcionalidades do Nettion. Ha tambem a opcao de checar os servicos
R
pre-definidos pelo Nettion .
O Nettion ja possui cadastrado uma serie de servicos, os
mais conhecidos na Internet, que sao os objetos de servicos Predefinidos.
4.6.1
Predefinidos
R Ao
Aqui, o administrador podera consultar a lista de servicos predefinidos pelo Nettion .
selecionar um servico, clique em itens para visualizar as portas que determinado servico
utiliza.
4.6.2
Personalizados
Caso o servico desejado nao esteja cadastrado no Nettion, o administrador pode criar
servicos personalizados e para tanto, ele devera acrescentar um novo grupo de servicos,
cliando em Incluir. Na tela seguinte, identifique um nome e uma descricao para o seu
Servico.
43
CAPITULO 4. OBJETOS
44
Para incluir itens a um servico, selecione o servico desejado e clique em Itens. Cada
Servico pode conter uma ou mais combinacoes de protocolo/porta.
Para cada item de um servico os itens abaixo deverao ser configurados:
Protocolo: TCP, UDP, ICMP, GRE, ESP ou HA;
Porta: Pode ser um n
umero, uma faixa ou um servico especial P2P;
Descricao: Inclua uma descricao para o item;
Incluir tambem este servico para o protocolo UDP: Marque esta opcao caso queira
inserir esta mesma porta para o protocolo UDP (esta opcao so estara disponvel caso
voce esteja inserindo um servico TCP).
4.7
Categorias
Na secao categorias, o Administrador podera categorizar/classificar URLs para a aplicacao em regras do Proxy. O Administrador pode consultar se determinada URL esta
cadastrada no Nettion e em que grupo de categorias ela esta. Caso o Nettion ainda
nao possua determinada URL pesquisada, o Administrador podera incluir e definir a que
grupo ela ira pertencer.
4.7.1
Predefinidos
R
Aqui, o administrador podera consultar a lista de categorias predefinidas pelo Nettion .
Existe integrada no Nettion uma lista de URLs, as quais o Administrador nao consegue
visualizar selecionando as categorias e clicando em itens, podendo apenas pesquisar se
R
determinada url ja esta cadastrada no Nettion .
Figura 4.10: Categorias Pre-definidas
4.8. MIME TYPE
4.7.2
45
Personalizados
R
Caso a categoria desejada nao esteja cadastrada no Nettion ,
o administrador pode
criar categorias personalizadas e para tanto, ele devera acrescentar um novo grupo de
categorias, clicando em Incluir. Na tela seguinte, identifique um nome e uma descricao
para a sua Categoria. Em seguida cadastrar as URLs desejadas.
4.7.3
Consulta de URLs
O Administrador pode pesquisar se determinada url esta contida em algum grupo de

categorias, podendo muda-la de categoria se necessario. Caso nao esteja cadastrada, o
Administrador pode destinar um grupo para essa url.
Figura 4.11: Formulario de busca de URLs
4.8
Mime Type
Cadastrar mime-Types e o mesmo que especificar tipos de arquivos. Nesta secao, o

Administrador podera incluir os mime-types de seu conhecimento. Com este recurso sera
possvel o Administrador criar regras no Proxy, baseadas no tipo de arquivo e nao apenas
na sua extensao.
Figura 4.12: Formulario de inclusao de Mime-Types

R j
Obs.: O Nettion
a vem com varios Mime-types cadastrados.
46
CAPITULO 4. OBJETOS
Captulo 5
Usu
arios/Grupos
5.1
Autenticac
ao
R possui tr
O Nettion
es alternativas quanto a` autenticacao de usuarios. A primeira
R
e utilizar uma base de dados de usuarios que serao cadastrados no proprio Nettion ;
a segunda e autenticar a partir de uma base de usuarios ja existente em uma maquina
UNIX/Linux, atraves de NIS (Network Information System); e a terceira e atraves de uma
base de dados de usuarios cadastrados em um servidor Windows. Esta opcao tambem
suporta o esquema de autenticacao via NTLM, que nao solicita login e senha no browser
de estacoes Windows que facam parte de um domnio Windows. Este esquema utiliza a
informacao de login do domnio Windows para se autenticar no proxy.
5.1.1
Base Nettion
Para indicar ao sistema que a base de usuarios para autenticacao sera provida pelo Nettion, selecione a opcao Utilizar o Nettion. Existem duas formas de utilizacao de uma
base nativa do Nettion:
Local;
Remota.
Para utilizar a base que se encontra no proprio Nettion (Base Local), selecione a opcao
Autenticar na base de usu
arios e grupos Local. Em seguida, crie os grupos e
usuarios conforme a necessidade. Para saber como criar usuarios/grupos no Nettion, veja
o topico Grupos e o topico Usu
arios deste captulo.
Para utilizar uma base de usuarios existente em um outro Nettion (Base Remota), selecione a opcao Autenticar numa base de usu
arios e grupos remota, preenchendo
os campos conforme descricao abaixo:
Endereco IP: Endereco IP do Nettion remoto onde encontra-se a base de usuarios;
Porta: Porta onde funciona a Interface de Administracao do Nettion Remoto. Sera
atraves desta porta que o Nettion Local acessara o Nettion Remoto para sincronizar
a base de usuarios (veja o captulo 3 para saber a porta definida). Uma regra podera
ser necessaria no firewall, liberando o trafego entre os dois Nettions nesta porta;
47

CAPITULO 5. USUARIOS/GRUPOS
48
Senha: Senha de acesso definida no Nettion Remoto (veja o topico Acesso Remoto
deste captulo).
Figura 5.1: Autenticacao no Nettion

Para sincronizar a base, marque a opcao Sincronizar Usu
arios e Grupos com o
Nettion Remoto.
Obs.: Ao selecionar esta opcao, a base de usuarios existente sera sobrescrita pela base a
ser importada.
Acesso Remoto
Para permitir que outro(s) Nettion(s) sincronize(m) sua base de Usuarios e Grupos com o
Nettion local, e necessario definir uma senha para cada Nettion. Para isso, crie um objeto
de Host/Rede para cada Nettion que ira sincronizar com o Nettion Local (veja o captulo
4 para saber como criar objetos de Hosts/Redes), e acesse o menu Usu
arios/Grupos
Configurac
oes Acesso Remoto e selecione o objeto de Host/Rede criado no campo
Host e defina a senha. Para finalizar, clique no botao Salvar Configuraco
es.
Figura 5.2: Configuracao do Acesso Remoto

5.1. AUTENTICAC
AO
5.1.2
49
Servidor NIS
Para indicar so sistema que a base de usuarios sera provida por um servidor NIS (Servidor
de Autenticacao UNIX/LINUX. Voce deve possuir um em sua rede), utilize a opcao
Servidor NIS (Unix) e preencha os campos conforme descrito abaixo:
Domnio NIS(Network Information System): Domnio onde se encontram os
usuarios cadastrados no Servidor. Ex.: NISGROUP
Endereco IP: Endereco IP do servidor NIS. Ex.: 192.168.0.1
Figura 5.3: Autenticacao na base NIS

Para sincronizar a base, marque a opcao Sincronizar Usu
arios e Grupos do Nettion
com o Domnio NIS e no campo Importar usu
arios NIS a partir do UID, digite
o ID a partir do qual os usuarios serao importados.
Obs.: Ao selecionar esta opcao, a base de usuarios existente sera sobrescrita pela base a
ser importada.
5.1.3
Servidor Windows
Para indicar ao sistema que a base de usuarios sera provida por um servidor Windowstm,
utilize a opcao Domnio Windows e preencha os campos conforme descricao abaixo:
Domnio: Domnio onde se encontram os usuarios cadastrados no Servidor. Ex.:
suaempresa.local
Nome do servidor: Nome NETBIOS do servidor Windows. Ex.: Serv-corp
Endereco IP: Endereco IP do servidor Windows. Ex.: 10.0.0.2
Ative as configuracoes clicando no botao Salvar Configurac
oes.

50
Servidor Windows com Sincronizac
ao e NTLM
Funcionamento do sistema NTLM Esta opcao faz com que o Nettion negocie com
o Servidor Windows a autenticacao repassada pelo browser do usuario, evitando assim
a necessidade de identificacao(janela de usuario e senha) a cada navegacao. Lembre-se
que esta opcao funcionara somente em um ambiente de rede Windows/Samba onde as
maquinas e usuarios estejam devidamente logados ao domnio.
R Security Software suporta o esNTLM no Nettion Desde a versao 2.5, o Nettion
quema de autenticacao NTLM, tornando transparente o esquema de autenticacao do
proxy para o usuario.
Para utilizar este esquema de autenticacao, faz-se necessaria a configuracao de alguns

campos referentes ao domnio Windows. Outra caracterstica importante deste esquema
R e o
de autenticacao e a obrigatoriedade de sincronizacao dos usuarios entre o Nettion
controlador de domnio.
Habilitando autenticac
ao NTLM Para habilitar o servico NTLM, o administrador
deve habilitar a opcao Sincronizar Usu
arios e Grupos do Nettion com Usu
arios
e Grupos do Domnio Windows e adicionar o login e a senha de algum usuario com
nvel de administrador. Caso o servidor Windows seja do tipo AD (Active Directory) a
opcao O servidor Windows possui o servico Active Directory habilitado deve
ser ativada.
Figura 5.4: Autenticacao na base Windows

Caso o n
umero de usuarios existentes no seu domnio Windows seja superior a` quantidade
R
de usuarios da sua Licenca de Uso Nettion ,
e possvel importar apenas os usuarios de
grupos especficos do Windows. Desta forma, sera feita a importacao de uma quantidade
de usuarios que esteja dentro dos limites da Linceca de Uso do Nettion.

5.1. AUTENTICAC
AO
Para isso, crie no seu Windows os grupos contendo os usuarios que deseja importar, e
no Nettion, clique no botao Atualizar Grupos. Todos os grupos do Windows serao
exibidos na caixa Grupos, selecione os grupos desejados e clique no botao < para
inclu-los na sincronizacao.
R se conecte ao Controlador
Logo apos, basta salvar as informacoes para que o Nettion
de Domnio, sincronizando os usuarios e autenticando via NTLM.
Observacoes importantes:
1. Os usuarios tem que estar conectados ao domnio Windows para ter direito a se
autenticar e navegar na Internet;
2. Deve-se criar uma regra de firewall adicional de permissao de acesso Nettion -> Servidor
Controlador de domnio utilizando os Servicos Predefinidos smb, win2000 e winnt.
3. Para a autenticacao funcionar, e primordial que existam as regras de proxy. Veja o
captulo 6 (Proxy) para mais informacoes.
4. A cada alteracao nas informacoes dos usuarios no Controlador de domnio, deve-se
R
sincronizar novamente os usuarios no Nettion .
R pode perder sua comunica
5. Em algumas situacoes, o Nettion
cao com o controlador de
domnio (Em caso de desligamento temporario do Controlador de Domnio, por exemplo).
R dever
Nestes casos, o Nettion
a ser reconectado, para voltar a fazer as autenticacoes
normalmente.
ATENC
AO:
Ao sincronizar os dados com o controlador de domnio, todos os grupos e
de extrema importancia fazer um
usuarios previamente cadastrados serao apagados. E
backup das configuracoes antes de realizar este procedimento.
Agendamento
Lembre-se que, sempre que uma alteracao for realizada na base de usuarios do Windows(inclusao/exclusao de usuarios, criacao/alteracao de grupos, alteracoes de senhas,
etc.), o Nettion deve ser resincronizado. Porem, e possvel criar um agendamento, perR com a base Windows seja
mitindo assim que a tarefa de resincronizacao do Nettion
automatizada.
Para isso, acesse o menu Usu
arios/Grupos Autenticac
ao Agendamento.
Existem quatro opcoes de agendamento:
A cada 6h;
A cada 12h;
Diario;
Semanal.
Selecione o tipo de agendamento desejado, marcando dia e horario (quando aplicavel), e
clique no botao Salvar Configurac
oes.
Obs.: Para as duas primeiras opcoes, o horario nao pode ser especificado. Desta forma o
agendamento seria realizado às 06:00hs, 12:00hs, 18:00hs e 00:00hs para a opcao A cada
6h, e a`s 12:00hs e 00:00hs para a opcao A cada 12h.
51

52
Figura 5.5: Agendamento da Sincronizacao de Usuarios
5.2
Grupos
R permite que o administrador crie grupos de usu

O Nettion
arios e os utilize na formacao
das regras do proxy, o que possibilita que os usuarios de um grupo sejam submetidos a
regras especficas, controlando seu acesso a internet.
Figura 5.6: Administracao de Grupos
5.2.1
Manuten
c
ao do cadastro de Grupos
Temos duas formas de trabalhar com grupos de usuarios, sendo divididos de acordo com
o tipo de autenticacao escolhido:
Caso 1: Autenticacao em base remota via NIS ou Windows sem sincronizacao de usuarios,
ou em base Local.
A manutencao do cadastro de grupos segue ao padrao estabelecido anteriormente. Para
grupos de usuarios deverao ser preenchidos os seguintes campos (veja figura 5.7 abaixo.)
Nome: nome que voce deseja dar ao grupo. Ex.: Financeiro

5.3. USUARIOS
53
Descricao: descricao sobre a que se refere este grupo. Ex.: Setor Financeiro
Figura 5.7: Inclusao/Edicao de Grupos

Caso 2: Autenticacao com Sincronizacao de Usuarios (via Nettion Remoto, NIS ou Windows).
Neste caso, o administrador deve editar os grupos no controlador de domnio Windows,
no Nettion Remoto ou no Servidor NIS e sincronizar novamente as bases de usuarios na
opcao Autenticac
ao do menu Usu
arios e Grupos. Em caso de d
uvida, veja os itens:
Base Nettion, Servidor NIS e Servidor Windows.
5.3
Usu
arios
Temos duas formas de trabalhar com usuarios, sendo divididas de acordo com o tipo de
autenticacao escolhido:
Caso 1: Autenticacao por NIS, Local ou Windows sem NTLM.
R permite que voc
O Nettion
e cadastre, independente da autenticacao utilizada, os usuarios
que necessitam de um tratamento diferenciado quanto ao acesso a` internet, podendo o
administrador atribuir ao usuario um ou mais grupos para facilitar a manutencao das
regras do proxy para estes.
Caso 2: Autenticacao Windows com NTLM

Neste caso, o administrador deve editar os usuarios no controlador de domnio e sincronizar novamente as bases de usuarios na opcao Autenticac
ao do menu Usu
arios e
Grupos. Em caso de d
uvida, veja o item Servidor-Windows.
5.3.1
Manuten
c
ao do cadastro de Usu
arios
A manutencao do cadastro dos usuarios segue ao padrao estabelecido anteriormente. Para

cadastro de usuarios deverao ser preenchidos os seguintes campos (veja figura 5.8 a seguir):
Campo Usuario: login do usuario. Ex.: lauro
Nome: nome do usuario. Ex.: Lauro Cavalcante
Senha: senha para acesso. Ex.: ******
Confirmacao: confirmacao da senha. Ex.: ******

54
Grupo: grupo padrao do qual o usuario fara parte. Ex.: Comercial

Grupos adicionais: grupo adicionais dos quais o usuario fara parte. Ex.: Financeiro
Figura 5.8: Inclusao/Edicao de Usuarios
5.4
Perfis de acesso
R Security Software passa a conter perfis de acesso.

A partir da versao 3.98, o Nettion
Para criar perfis de acesso e atribuir um perfil a cada usuario, acesse Usu
arios/Grupos
Perfis de acesso.
Figura 5.9: Lista de perfis

Esta funcionalidade permite ao Administrador definir quais modulos da ferramenta poderao
ser visualizados no menu de acesso dos usuarios em um determinado perfil. O manuseio
e bem simples, como mostra a figura 5.10 a seguir.
5.4. PERFIS DE ACESSO
55
Figura 5.10: Selecao dos Modulos

Apos criar um perfil, o Administrador deve vincula-lo aos usuarios no qual ele se aplica.
Este vinculo e feito diretamente no cadastro do usuario. Sera atribudo automaticamente
um perfil padrao com acessos limitados aos usuarios que nao forem vinculados a um perfil
especfico.
56
Captulo 6
Proxy
O servico de Proxy possui duas funcoes basicas. A primeira e o Cache, que possibilita
um aumento da velocidade ao acessar paginas na internet sem que voce precise, necessariamente, investir em links maiores, pois otimiza a navegacao fazendo um cache local dos objetos(web) acessados pelos usuarios. Isso permite que objetos ja acessados e
que ainda sejam validos sejam disponibilizados localmente aos usuarios que precisarem
daquele mesmo objeto, evitando assim a utilizacao do link para cada acesso ao mesmo
site ou arquivo, por exemplo. Alem disso, o Proxy tambem atua como um firewall em
nvel de aplicacao. Assim, e possvel que o administrador faca um controle dos acessos
dos usuarios atraves de regras relacionadas a: horarios, domnios, palavras ou expressoes
regulares, categoria de URLs, grupos de usuario ou relacionados aos proprios objetos de
Hosts/Redes.
6.1
Regras de Firewall Necess

arias
Assim como qualquer outro servico, o Proxy precisa que liberacoes sejam feitas no Firewall
para que possa funcionar adequadamente. As regras necessarias sao:
6.1.1
Intranet Nettion
necessario criar uma regra que permita que os usuarios da rede interna (e das redes que
E
tambem forem necessarias) acessem o Nettion nos servicos squid (porta 3128) e dns(porta
53). Veja na tabela 6.1 um resumo da regra de Firewal (pagina 57).
Regra: Intranet Nettion
Origem Destino
Serv. Destino Acao
squid
Intranet localhost
Aceitar
dns
Tabela 6.1: Liberacao do Firewall Intranet -> Nettion
57
CAPITULO 6. PROXY
58
6.1.2
Nettion Internet
Tambem e necessario permitir que o Nettion acesse a Internet para buscar os sites. Para
isso o Nettion devera acessar os servicos Web padrao (http, https e tomcat) e tambem o
servico DNS (resolucao de nomes). Veja um resumo da regra necessaria na tabela 6.2 na
pagina 58.
Regra: Nettion Internet
Destino
Serv. Destino Acao
http
https
localhost Qualquer
Aceitar
tomcat
dns
Origem
Tabela 6.2: Liberacao do Firewall Nettion -> Internet
6.2
Configuraco
es
R possibilita que se trabalhe com um proxy transparente ou com autentica

O Nettion
cao.
Abordaremos os dois casos:
6.2.1
Proxy com autenticac

ao
No uso do proxy com autenticacao, trabalha-se com cache e controle de acessos, havendo
a possibilidade de restricoes quanto aos usuarios.
Para uso do proxy com autenticacao e necessario configura-lo no browser de cada estacao.
6.2.2
Proxy transparente
No uso do proxy transparente trabalha-se apenas com cache, nao havendo a possibilidade
de restricoes quanto aos usuarios.
No caso do Proxy Transparente, e necessario que uma regra adicional de Firewall seja
criada. Ela sera responsavel por redirecionar o trafego em direcao a porta 80 para a porta
do Proxy, no caso a 3128 (objeto squid) por padrao.
Regra: Proxy Transparente
Origem Destino
Serv. Destino Acao
Intranet Qualquer http
Redirecionar para localhost:3128
Tabela 6.3: Redirecionamento Proxy Transparente

6.2. CONFIGURAC
OES
6.2.3
59
Configura
c
oes gerais
Para acessar a tela de configuracoes gerais do proxy acesse: Proxy Configurac

oes
Gerais. A figura 6.1 abaixo mostra um exemplo de configuracao do Proxy.
Figura 6.1: Configuracoes do Proxy

Abaixo, segue uma descricao dos campos da tela de configuracoes:
Porta: porta na qual rodara o servico de Proxy. Ex.: 3128 (padrao);
Tamanho do cache: tamanho espaco em disco a ser alocado para o cache em MB.
Ex.: 1000
Quantidade de memoria: quantidade de memoria RAM (em MB) que sera utilizada
para armazenar objetos frequentemente acessados. Ex.: 100; Pode se fazer um
calculo de 10% da memoria RAM da maquina para esta configuracao caso o Nettion
tambem seja utilizado para outras funcoes como Firewall, VPN, E-mail, etc. Caso o
Nettion seja utilizado apenas para o fim de Proxy, pode-se chegar a valores maiores,
como 60 a 70% da RAM disponvel. O armazenamento de objetos em memoria RAM
acelera ainda mais a navegacao devido a maior velocidade de acesso comparada ao
acesso ao disco;
Tamanho maximo de um objeto em disco: tamanho maximo de um objeto (em MB)
permitido para armazenado em Cache. Ex: 64;
Poltica padrao: poltica padrao a ser utilizada Ex.: negar qualquer acesso. O ideal
e que o padrao seja negar os acessos e que voce crie regras liberando o que for
necessario;
Mensagens de erro: determina em que idioma as mensagens de erro aparecerao para
os usuarios;
Processos de Autenticacao Basica (para o caso de autenticacao na base local do
R deve manter abertos para realizar
Nettion): determina quantos processos o Nettion
CAPITULO 6. PROXY
60
a autenticacao dos usuarios. Varia de acordo com o n

umero de pessoas que vao
acessar simultaneamente a Internet;
Processos de Autenticacao NTLM (para o caso de autenticacao na base de usuarios
de um domnio Windows): determina quantos processos de autenticacao NTLM
R deve manter abertos para realizar a autentica
o Nettion
cao dos usuarios. Este
n
umero varia em funcao da quantidade de usuarios de proxy via autenticacao NTLM.
O Padrao sao 20 processos, porem, em algumas redes com muitos usuarios e muitas
autenticacoes simultaneas, pode ser necessario aumentar este n
umero;
Empresa (para as mensagens de erro): permite que seja especificado aqui o nome da
sua empresa, o qual sera exibido nas mensagens de erro do proxy.
6.2.4
Limpeza do Cache do Proxy
Agora, e possvel efetuar a limpeza do cache do Proxy do Nettion a qualquer momento,

bastando para isso clicar no botao Limpar Cache da tela de Configuracoes Gerais do
Proxy.
A limpeza do cache deve ser forcada em varias situacoes, como por exemplo: Problemas
na visualizacao de atualizacoes de paginas da web e problemas com espaco no disco rgido
do Nettion. Para este u
ltimo caso, geralmente e sinal de que chegou a hora de substituir
o disco rgido do sistema por um outro maior.
6.2.5
Mensagens de erro
R todas as mensagens de erro do Proxy podem ser editadas, permitindo assim

No Nettion ,
maior flexibilidade na configuracao.
Para editar as mensagens do Proxy acesse: Proxy Configurac

oes Mensagens
de Erro. A figura 6.2 abaixo exibe a tela de mensagens de erro do Proxy.
Figura 6.2: Listagem de mensagens de erro do Proxy

Para editar uma mensagem, selecione-a e clique no botao Editar. Na tela que sera
exibida, altere o conte
udo da mensagem conforme a necessidade, porem sem fugir do
motivo real da mensagem. Veja a figura 6.3 a seguir.

6.2. CONFIGURAC
OES
Figura 6.3: Edicao de mensagens de erro do Proxy

Note que a mensagem deve ser transcrita tambem no idioma Ingles. Para finalizar, clique
no botao Salvar Configuraco
es, como mostra a figura 6.3 a seguir.
6.2.6
Portas Autorizadas
Eventualmente, pode ser necessario efetuar a liberacao de algumas portas para acesso
via Proxy. Alguns sites possuem acessos a` areas especficas atraves de portas especiais.
Tais portas devem ser liberadas para permitir a sua navegacao atraves do Proxy. Para
isso, acesse o menu Proxy Configurac
oes Portas de Autorizadas. Por padrao,
algumas porta ja vem previamente liberadas no sistema. Para incluir uma porta, clique no
botao Incluir. Na tela que sera exibida, digite a porta que deseja liberar e sua descricao,
depois clique no botao Salvar Configuraco
es como mostra a figura a serguir.
Figura 6.4: Inclusao de uma porta autorizada - Proxy
6.2.7
Base de URLs Categorizadas
R possui uma base de dados com milhares de URLs divididas em categorias.

O Nettion
Tais categorias de urls sao utilizadas na confeccao de regras do Proxy. A Nettion Information Security mantem essa base de URLs e a distribui a seus clientes por meio de um
esquema de atualizacao automatizado.
61
CAPITULO 6. PROXY
62
Atualizac
ao e Agendamento
Para manter a base de URLs sempre atualizada, e necessario que um agendamento seja
criado. Para isso, acesse o menu Proxy Configurac
oes Base de URLs
Atualizac
ao. Existem quatro opcoes de agendamento:
A cada 6h;
A cada 12h;
Diario;
Semanal.
Selecione o tipo de agendamento desejado, marcando dia e horario (quando aplicavel), e

clique no botao Salvar Configurac
oes.
Figura 6.5: Agendamento da Atualizacao da Base de Urls

Obs.: Para as duas primeiras opcoes, o horario nao pode ser especificado. Desta forma o
agendamento seria realizado às 06:00hs, 12:00hs, 18:00hs e 00:00hs para a opcao A cada
6h, e a`s 12:00hs e 00:00hs para a opcao A cada 12h.
possvel tambem forcar a atualizacao a qualquer momento, bastando
IMPORTANTE: E
para isso clicar no botao Atualizar na tela Atualizac
ao Manual contida no mesmo
menu de acesso.
6.2.8
Hist
orico de Atualizac
oes de URLs
R guarda um hist
O Nettion
orico de todas as atualizacoes realizadas, dando informacoes,
tais como: data e hora da atualizacao, versao da base de dados, quantidade de urls
adicionadas e se a operacao foi bem-sucedida ou nao. Veja figura 6.6 a seguir.
6.3. REGRAS
63
Figura 6.6: Historico das Atualizacoes da Base de Urls
6.3
Regras
As regras do proxy podem ser interpretadas como frases (veja figura 6.7 abaixo), cabendo
ao administrador construir aquelas que devem ser aplicadas no controle de acesso. Para a
formacao das regras, sao utilizadas informacoes previamente cadastradas. Veja referencia
no Captulo 4 (Objetos) e no Captulo 5 (Usuarios e Grupos).
Figura 6.7: Listagem de regras do Proxy

Cabera ao administrador elaborar as regras para gerenciamento dos acessos.
CAPITULO 6. PROXY
64
6.4
Composic
ao de regras do Proxy
A criacao/edicao das regras do Proxy e feita atraves de um Wizard que o guiara na

composicao dos filtros de acesso. Cada regra permite aplicacao de filtros por domnio,
por expressoes regulares, por categorias de URLs, por mime-types, por horario e por IP,
que sao aplicadas a Usuarios e/ou Grupos de Usuarios.
possvel tambem, criar controles de trafego como por exemplo:
E
Velocidade Maxima permitida;
Tamanho Maximo da Requisicao HTTP;
Rotas para pacotes TCP.
Note que, as regras sao analisadas uma a uma de acordo com a sua posicao, iniciando
pela regra de n
umero 1, estabelecendo-se assim uma ordem de prioridade. Desta forma,
e importante que as regras mais especficas fiquem acima das regras mais genericas.
R
Importante: Caso voce selecione mais de um filtro em uma mesma regra, o Nettion
aplicara a regra somente se a URL acessada satisfizer às exigencias de todos os filtros selecionados (logica AND). O criterio para posicionamento das regras ira variar de acordo
com a poltica de seguranca implementada. Sugerimos, entretanto, alguns conceitos que
podem ser observados nesse sentido. Regras de permissao que nao requerem autenticacao
devem estar nas primeiras posicoes.
OBSERVAC
OES:
1. Permitir os domnios sem autenticacao dentro do horario comercial para qualquer
usuario.
2. Regras de permissao que requerem autenticacao de usu
arios selecionados devem
estar posicionadas abaixo das regras que nao requerem autenticacao. Ex: Permitir
qualquer domnio em qualquer horario para os usuarios do grupo Diretoria.
3. Regras de permissao que requerem autenticacao para usu
arios v
alidos devem estar
posicionadas abaixo das regras referentes a usuarios selecionados. Ex: Permitir
qualquer domnio, sem palavras proibidas em qualquer horario, para usuarios validos.
4. A regra referente à poltica padrao selecionada nas configuracoes do proxy estara
implcita e sera escrita apos a u
ltima regra cadastrada pelo usuario. Assim, a poltica
padrao somente sera interpretada pelo proxy caso o acesso solicitado nao se encaixe
em nenhuma das regras anteriores.
6.4.1
Tela 1 - Defini
c
ao da regra
Para criar uma regra no Proxy, acesse o menu Proxy Regras, e clique no botao
Incluir para iniciar o Wizard.
Preencha as informacoes conforme a descricao a seguir e clique no botao Avancar.
DE REGRAS DO PROXY
6.4. COMPOSIC
AO
Descricao: um breve resumo do objetivo da regra;
Acao: a acao da regra, Permitir ou Negar.
Posicao: posicao da regra na tabela. Determina qual a prioridade de interpretacao
das regras.
Status: status da regra. Indica se a regra esta Ativa ou Inativa. Opcoes: Ativa ou
Inativa
Figura 6.8: Definicao da regra
6.4.2
Tela 2 Hor
ario
Determina o horario para a acao. Define o horario no qual a regra atuara com base
em um horario previamente cadastrado (Para saber mais sobre como criar objetos de
horarios no Nettion, veja a secao Hor
arios do captulo 4). Opcoes: Qualquer, Dentro
do horarioou Fora do horario.
O padrao Qualquersera utilizado quando o administrador nao especificar uma relacao
com um horario durante a elaboracao da regra.
Para especificar uma relacao com um horario, o administrador deve selecionar uma opcao
diferente de Qualquerpara que seja exibida a lista de horarios cadastrados e entre os
quais ele selecionara o horario desejado, que sera exibido em amarelo, isto e, o horario no
qual a regra ira atuar.
Veja tela de selecao de horarios na figura 6.9 a seguir.
65
CAPITULO 6. PROXY
66
Figura 6.9: Selecao de horario para aplicacao da Regra
6.4.3
Tela 3 - Filtros
Aqui, voce especifica os filtros que deseja aplicar à regra. Os seguintes filtros podem ser
utilizados:
Objetos de Domnios;
Objetos de Expressoes Regulares;
Categorias de Urls1 ;
Objetos de Mime-type.
Para selecionar objetos de Domnios e/ou Expressoes, selecione os objetos desejados, e
clique no botao < para inclu-los à regra. Para especificar como Qualquer, simplesmente deixe a caixa de selecao de objetos vazia.
No caso das Categorias de Urls e dos Objetos de Mime-type, para utiliza-los, voce deve
primeiramente marcar a(s) caixa(s) de verificacao Habilitar Categorias e/ou Habilitar Mime Type. Em seguida, selecione os objetos desejados da mesma forma dos
objetos de Domnios e de Expressoes. Veja a figura 6.10 a seguir.
1
R possui uma base de dados com milhares de Urls cadastradas. Essas urls est
O Nettion
ao organizadas segundo
a sua categoria. Isto facilita muito a criac
ao de uma regra onde se deseja, por exemplo, liberar todos os sites de
instituic
oes financeiras. Assim, ao contr
ario do que ocorre com os Objetos de Domnios, o administrador nao precisa
conhecer necessariamente todos os sites de instituicoes financeiras existentes, nem cadastra-los. O Nettion possibilita
a atualizac
ao automatizada desta base de urls. Para saber mais sobre o objeto Categoria de Urls, veja a sec
ao
Categorias do captulo 4.
DE REGRAS DO PROXY
6.4. COMPOSIC
AO
67
Figura 6.10: Aplicacao de filtros à regra
6.4.4
Tela 4 - Aplicar para
Nesta tela, determine para quem a regra deve ser aplicada. Aqui, o administrador podera
definir se a regra exigira autenticacao ou nao. Se a regra for autenticada, ele podera
aplica-la a um ou mais usuarios, bem como a grupos de usuarios. Podera tambem criar
excecoes a` regra.
Para isso, marque a caixa de verificacao Solicitar Autenticac
ao. No campo Grupos, selecione o(s) grupo(s) de usuarios aos quais a regra sera aplicada e/ou no campo
Usu
arios, selecione o(s) usuario(s) a(o) qual(is) deseja aplicar a regra. Caso algum
grupo de usuarios seja selecionado, excecoes poderao ser especificadas no campo Exceto
Usu
arios.
Obs.: Se voce nao desejar especificar usuarios ou grupos, mas deseja que a autenticacao
seja solicitada a todos os usuarios1 , especifique a opcao Qualquer. Para isso, simplesmente deixe os campos Grupos, Usu
arios e Exceto usu
arios vazios.
Tambem, e possvel aplicar a regra a` redes e/ou hosts especficos. Para isso, selecione os
objetos de Hosts/Redes desejados no campo Hosts e clique no botao <. O padrao
Qualquer sera utilizado quando o administrador nao especificar uma relacao com um
host/rede durante a elaboracao da regra.
1
R esteja utilizando a autentica

Caso o Nettion
cao integrada NTLM a autenticacao ja foi negociada e nao aparecer
a
caixa de autenticacao solicitando-a novamente.
CAPITULO 6. PROXY
68
Figura 6.11: Selecao de Objetos (Usuarios/Hosts) da Regra

Observac
ao: Para otimizar o tempo de carga de usuarios e grupos o Nettion carrega
somente os 100 primeiros registros de cada de caixa de selecao. No final da lista possui
um item chamado mais.... Clique nele duas vezes para que carregue mais 100 registros.
Caso prefira, voce tambem podera utilizar o campo de busca que fica acima das caixas.
6.4.5
Tela 5 - Qos
Para finalizar, clique no botao Avancado, se desejar, para especificar retricoes quanto
ao trafego. Estas opcoes devem ser utilizadas com muita cautela para garantir que o
efeito desejado seja obtido realmente.
Para restringir a velocidade de acesso aos sites que serao tratados por esta regra,
marque a caixa de verificacao Habilitar Controle Tr
afego. Em seguida, especifique a velocidade desejada (em Kbit ou Mbit) no campo Vel. Maxima Permitida.
Para restringir a quantidade de dados que sera trazido por vez (isto se aplica à qualquer requisicao HTTP, nao somente aos donwnloads), marque a caixa de verificacao
Habilitar Controle de Requisic
ao HTTP. Em seguida, espeficique o valor
desejado (em Kbyte, Mbyte ou Gbyte) no campo Tamanho maximo da requisicao.
Tambem, e possvel direcionar o trafego a ser tratado pela regra por um link especfico (geralmente diferente do link padrao de sada do Proxy). Para isso, marque
a caixa de verificacao Habilitar Rotas para pacotes TCP, e selecione o link
desejado na caixa de listagem.

6.5. RELATORIOS
69
Ao final, clique no botao Concluir. A regra sera criada na posicao especificada e

ja entrara em funcionamento instantaneamente, sem a necessidade de reiniciar qualquer
servico ou recurso. Veja a figura 6.12 a seguir.
Figura 6.12: Aplicacao de Restricoes de Trafego à Regra

Obs.: As opcoes Habilitar Controle Tr
afego e Habilitar Rotas para pacotes
TCP nao funcionam para objetos de Categorias de Urls e Objetos de Mime-types
aplicados a` regra.
6.5
Relat
orios
R disponibiliza ao administrador relat

O Nettion
orios gerenciais referentes aos acessos via
Proxy. Quando utilizada a autenticacao, sera possvel ao administrador filtrar os acessos
referentes a cada usuario.
6.5.1
Padr
ao
R gerar relat
Este relatorio possibilita ao administrador do Nettion
orios analticos dos
sites acessados, especficos em um determinado perodo. Caso os campos nao sejam
preenchidos, o relatorio sera geral.
Os campos para composicao de relatorios sao:

Usuario: seleciona sobre qual usuario o relatorio sera demonstrado. Ex.: Fernanda.
Trara todos os acessos realizados pelo usuario Fernanda no perodo especificado nos
(DATA).
campos DE (DATA) e ATE
CAPITULO 6. PROXY
70
Host: especifica de qual maquina partiu acesso a` internet. Ex.: 10.0.0.36. Trara
todos os acessos realizados a partir da maquina 10.0.0.36 no perodo especificado.
URL: endereco completo ou trecho de um endereco que se deseja saber quem o acessou no perodo especificado. Ex.: www.nettion.com.br. Trara uma lista com todos
os usuarios que acessaram a este site: www.nettion.com.br. Ex: Nettion. Trara
uma lista com todos os usuarios que acessaram a algum site (URL) que contenha a
palavra Nettion.
6.5.2
Por domnio
R gerar relat
orios de acessos em um
determinado perodo agrupados por domnios, conforme os campos DE (DATA) e ATE

(DATA). O administrador pode selecionar um grupo especfico para qual o relatorio sera
exibido ou especificar apenas um usuario.
Clicando na coluna hits, o administrador visualizara o relatorio detalhado referente

ao domnio.
Grupo: especificar sobre qual grupo o relatorio sera demonstrado. Ex.: Desenvolvimento. Exibira todos os acessos realizados pelo desenvolvimento no perodo
(DATA).
especificado nos campos DE (DATA) e ATE
Usuario: Especificar sobre qual usuario o relatorio sera demonstrado. Ex.: Fernanda.
Exibira todos os acesso realizados pela Fernanda no perodo especificado nos campos
(DATA).
DE (DATA) e ATE
6.5.3
Top
R identificar quais foram os Top

acessos atraves de tres relatorios diferentes. Por Usuario, por Domnio ou por Host.
O Top Usuarios permite ainda a selecao de tres unidades de medida, podendo ser por
Trafego (quantidade de bytes transferidos), por Hits (quantidade de acessos feitos - cada
item de um site representa um hit) ou por tempo de acesso (considera o tempo de carga
dos sites/arquivos da web, ou seja, o tempo em que o usuario realmente utilizou o Proxy).
6.5.4
Acessos Bloqueados
R gere relat
Este relatorio possibilita que o administrador do Nettion
orios analticos dos
sites acessados e que estao bloqueados para o respectivo usuario em um determinado
perodo, para simples identificacao de tentativa de acesso nao permitido. Caso os campos
nao sejam preenchidos, o relatorio sera geral.
6.5.5
On-line
R efetue o acompanhamento onEste relatorio possibilita que o administrador do Nettion

line dos sites que estao sendo acessados. Para iniciar o acompanhamento, o administrador
deve clicar no botao Iniciare para interromper, deve clicar o botao Parar.

6.6. GRAFICOS
6.6
71
Gr
aficos
R tamb
Alem dos relatorios, o Nettion
em disponibiliza graficos em real time dos acessos
dos usuarios ou hosts da rede. Atraves deles o administrador podera analisar graficamente
os acessos de todos ou de um usuario especfico dentro do perodo escolhido. Duas opcoes
de graficos sao disponibilizadas, podendo ser por usuario ou por host.
Para ter acesso aos Graficos, acesse o menu Proxy Gr

aficos Usu
arios ou Hosts.
Os graficos sao inicialmente carregados com os dados de todos os usuarios ou hosts,
conforme exemplo na figura 6.13 abaixo.
Utilize a selecao na parte superior do grafico, para visualizar o grafico de um usuario ou
host especfico.
Figura 6.13: Grafico de Usuarios
6.6.1
Selecionando um perodo
Para selecionar um perodo especfico para visualizacao do grafico, clique na lupa que fica
na parte superior direita do grafico. Na proxima tela voce tera duas opcoes de selecao do
perodo. A primeira delas e atraves da caixa de selecao na base do grafico, que permite
a selecao dos perodos de 30 minutos a 1 ano. A segunda opcao e utilizando o mouse.
Clique com o botao esquerdo em uma posicao do grafico e arraste, fazendo uma selecao
de uma area. Ao soltar o botao, o grafico sera recarregado com o perodo selecionado.
6.6.2
Visualizando acessos a partir do gr

afico
possvel tambem visualizar os acessos do usuario a partir de uma area selecionada do

E
grafico. Para isso, apos selecionar um perodo, clique no icone que fica na parte superior
direita do grafico.
CAPITULO 6. PROXY
72
6.6.3
Monitoramento Realtime
Uma vez selecionado o usuario desejado, clique no botao Monitorarpara acompanhar a

formacao do grafico a` medida que o usuario faz seus acessos. Para parar o monitoramento,
clique no botao Parar.
6.7
Configurando as esta
co
es da rede
R (em modo n
Para que as estacoes da rede utilizem o Proxy do Nettion
ao transparente)
e necessario que as configuracoes de Proxy de seus navegadores estejam apontando para
o IP e Porta do Nettion. Esta configuracao pode variar de acordo com o navegador
utilizado. Listamos abaixo a configuracao necessaria nos mais conhecidos e utilizados:
Firefox (versao 3.0)

Com o navegador aberto, clique no menu Ferramentas Opcoes. . . ;
Na tela seguinte, clique na opcao Avancado;
Agora clique na aba Rede e depois no botao Configurar. . . ;
Na tela seguinte, selecione a opcao Configuracao manual de proxy e preencha
as informacoes de HTTP com o IP de acesso ao Nettion e a porta do Proxy, que
por padrao e a porta 3128.
Nesta mesma tela, na opcao Sem proxy para: indique tambem o IP do Nettion
- isso vai evitar que os acessos ao proprio Nettion sejam feitos via Proxy.
Depois clique em OK e o navegador estara configurado.
Internet Explorer (versao 7.0)

Com o navegador aberto, clique no menu Ferramentas Opcoes de Internet. . . ;
Clique na aba Conexoes e depois no botao Configuracoes da LAN;
Na tela seguinte, selecione a opcao Utilizar um servidor Proxy. . . e indique o
IP e porta de acesso ao Nettion. A porta padrao do Proxy do Nettion e a 3128;
Nas opcoes avancadas, digite o IP do Nettion nas execoes para evitar que o
acesso ao proprio Nettion seja feito via proxy;
Clique em OK e o navegador estara configurado.
Captulo 7
Controle de Banda
R tem o objetivo de otimizar o uso dos links atrav
O gerenciamento de banda do Nettion
es
da re-priorizacao dos pacotes de dados. Com ele e possvel alocar uma maior quantidade
de banda do link para os servicos ou maquinas mais importantes da sua rede. Alem disso,
o controle tem a flexibilidade de fazer a alocacao de forma dinamica, o que permite que
uma banda alocada e nao utilizada possa ser consumida por um outro servico de forma
automatica.
Para que fique mais claro, o conceito do controle de banda, e necessario antes entendermos
os conceitos de Re-priorizacao de pacotes e de Realocacao dinamica de banda.
7.1
Re-priorizac
ao de pacotes
A Re-priorizacao age sobre a entrega dos pacotes, fazendo uma diminuicao da velocidade
de entrega dos pacotes ou fazendo uma liberacao maior de banda de acordo com as
regras estabelecidas. Por exemplo, imagine que voce esteja recebendo seus e-mails de um
provedor externo a` sua organizacao de acordo com o cenario da figura 7.1 a seguir.
Figura 7.1: Cenario Controle Banda
73
CAPITULO 7. CONTROLE DE BANDA
74
A linha 1 (verde) da imagem indica o sentido da sua solicitacao ao provedor na porta

110 (conta POP3) e a linha 2 (azul) indica os pacotes de dados (seus e-mails) saindo do
servidor de E-mails e indo em direcao a sua maquina. Ao chegarem ao Nettion, que faz a
intermediacao da conexao, entrarao pela interface de rede Eth1, e sairao em direcao a sua
maquina, indicada pela linha 3 (amarela), atraves da interface Eth0. E e neste momento,
da entrega, que o Nettion fara a repriorizacao dos pacotes, restringindo ou liberando mais
banda para a conexao.
Se para este cenario quisessemos, por exemplo, restringir a banda para a obtencao de
e-mails, aplicaramos uma regra na interface Eth0(interface de entrega dos dados), restringindo o trafeto originado na porta 110 com destino à rede interna ou a` alguma
maquina em especfico. Veremos mais a frente a criacao de regras.
7.2
Realocac
ao din
amica de banda
O segundo conceito, porem nao menos importante, e o de realocacao dinamica de banda.

Ele vai permitir que uma banda alocada para um determinado servico ou host/rede seja
consumido por outro servico, quando ociosa.
Para ficar claro, imagine a situacao onde voce alocou uma parte da sua banda (300Kbits)
para um determinado host da sua rede, porem, voce deseja que, quando ociosa, esta
banda seja distribuida para as demais maquinas da rede. Para isso, utilizamos o conceito
de velocidade mnima e velocidade maxima, onde a velocidade mnima sera o que ficara
reservado, ou seja, nao sera compartilhado, e velocidade maxima, sera a banda que podera
ser utilizada caso exista banda ociosa.
Todo este controle e feito atraves de Classes, que representam reservas de banda, e suas
Regras. Na proxima secao voce aprendera como as configuracoes de classes e regras sao
feitas.
7.3
Configuraco
es
R voc
Para configurar o Controle de Banda do Nettion ,
e deve acessar o menu Controle
de Banda > Configurac
oes. Na tela que sera exibida, estarao disponveis todas as
interfaces de rede existentes no sistema, como mostra a figura 7.2 abaixo.
Figura 7.2: Lista de interfaces de rede disponveis

7.3. CONFIGURAC
OES
7.3.1
Defini
c
ao da Interface de rede
Antes de iniciar a configuracao de um controle de banda, e necessario que voce faca a

avaliacao do cenario e identifique a origem e o destino dos dados que devem ser controlados. Apos identificar de onde os dados partem e para onde vao, voce identificara em
qual interface o controle sera feito, que e aquela que faz a entrega dos dados diretamente
a quem os solicitou.
7.3.2
Classes
O primeiro passo sera criar uma classe, que significa criar uma reserva de banda do seu
link. Neste momento ainda nao iremos dizer a quem (host ou servico) se destina esta
reserva. Isso sera feito na criacao das regras.
Alem das classes criadas pelo administrador do Nettion, existe tambem o conceito da
Classe Default. A classe Default representa o restante de banda disponvel no dispositivo
de rede, ou seja, aquele que ainda nao foi alocado em nenhuma classe e que sera utilizado
por qualquer trafego que nao tenha sido classificado em qualquer regra. O total de
banda de um dispositivo e definida na configuracao da propria interface de rede, no menu
Configuracoes -> Rede -> Interfaces.
Utilizaremos o cenario apresentado, da entrega de E-mails, para que o conceito fique mais
claro. Imagine que neste ambiente, nos temos 1Mbit de banda com a internet e a nossa
necessidade e restringir a banda do download de e-mails, impedindo que este trafego
atrapalhe outros servicos.
Uma vez definida a interface de rede (veja secao 7.3.1), o proximo passo e fazer a criacao
da classe de acordo com os passos a seguir:
1. Clique no menu Controle de Banda-> Configuracoes;
2. Clique no botao Configurar da interface definida na secao 7.3.1;
3. A proxima tela mostrara uma listagem de Classes. Clique no botao Incluir;
4. Preencha os campos:
Nome: Nome da Classe. Ex: Classe 1;
Descricao: Descricao da Classe. Ex: Classe 1;
Vel. Mnima: insira a banda reservada para esta classe. Para o nosso exemplo
sera de 1 Mbit;
Vel. Maxima: insira a banda maxima permitida para a classe. Para o nosso
exemplo sera de 1 Mbit;
5. Clique no botao Salvar Configuracoes.
Para que voce tenha uma ideia de como esta ficando a sua configuracao, o Nettion oferece
um grafico que mostra a Interface e suas divisoes de Classes e Objetos. Para visualiza-lo:
1. Clique no menu Controle de Banda-> Configuracoes;
2. Clique no botao Visualizar Grafico da interface desejada;
75
76
Observando a imagem, o crculo laranja representa a Interface de rede, os crculos azuis

representam as classes. Posicionando o mouse sobre os crculos voce tera maiores informacoes sobre suas configuracoes de banda, conforme mostrado na figura 7.3 a seguir.
Figura 7.3: Grafico da Interface Eth0

Uma vez criada a Classe, o proximo passo sera criar as regras, conforme veremos na
proxima secao.
7.3.3
Regras
As regras, que estararao sempre ligadas a uma classe, identificarao o trafego ao qual o
controle sera aplicado. Nela indicaremos a origem (de onde partem os dados), o destino
(onde os dados chegam) e as bandas mnimas e maximas. Os conceitos de banda mnima
(reserva) e banda maxima sao equivalentes aos vistos nas Classes.
Seguindo o nosso exemplo, supondo que o limite a ser estabelecido para o trafego vem da
Internet (qualquer origem) na porta 110 com destino as maquinas da rede interna seja de
100Kbits. Siga os passos a seguir para a criacao desta regra:
Clique no menu Controle de Banda-> Configuracoes;
Clique no botao Configurarda interface Eth0;
Selecione a Classe Classe 1 e clique no botao Itens;
Na tela seguinte, da listagem das regras, clique no botao Incluir;
Insira agora as informacoes da regra. Veja figura 7.4 (pagina 77).
Nome: nome da regra. Ex: POP3; Obs: Nao e permitido espaco no nome da
regra;
Descricao: insira uma descricao. Ex: Banda para POP3;
Objeto de Origem: insira o objeto de onde os dados se originam. Neste caso
selecione o objeto Qualquer, significando qualquer host de origem;
Objeto de Destino: insira o objeto de destino dos dados. Neste caso selecione o
objeto Rede Interna, previamente criado.

7.3. CONFIGURAC
OES
77
Porta de Origem: insira a porta de origem dos dados. Neste caso insira 110.
Porta de Destino: insira a porta de destino dos dados. Neste caso selecione
Qualquer clicando na caixa ao lado;
Vel. Mnima: insira a banda reservada. Neste caso insira 100 Kbits;
Vel. Maxima: insira a banda maxima permitida. Este campo define ate quando
da banda ociosa pode ser utilizada para esta regra. Neste caso, como queremos
restringir insira o valor 100 Kbits;
Prioridade: define a prioridade desta regra em relacao as demais. Neste exemplo
selecione o valor 1;
Figura 7.4: Regra POP3

Novamente, acesse o grafico da Interface Eth0 para visualizar como esta aplicado seu
controle de banda. Observe que agora surgiu um crculo branco representando a regra
criada. Veja na figura 7.5 (pagina 77).
Figura 7.5: Novo Grafico da Interface Eth0
78
7.4
Ativando o servico de Controle de Banda
Apos as configuracoes, e necessario que o servico seja ativado. Para isso, clique no menu
Sistema > Servicos. Depois clique no botao Startreferente ao servico de Controle de
Banda.
Para que o servico seja ativado automaticamente durante a inicializacao do Nettion,
marque a opcao Auto do servico e clique no botao Ativar mudancas para os selecionadosconforme a figura 7.6 abaixo.
Figura 7.6: Ativacao do Servico do Controle de Banda
Captulo 8
Firewall
O Firewall e um recurso de seguranca que faz o controle do que e permitido ou nao passar
R como por exemplo, entre a sua rede e a internet. Funciona como um
atraves do Nettion ,
filtro, evitando que servicos indevidos sejam acessados, diminuindo os riscos da exposicao
da rede à internet.
O simples fato de ter um Firewall na rede nao quer dizer que ele esteja sendo u
til. Para
tal, e necessario que ele esteja bem configurado e sintonizado com as necessidades da
poltica de seguranca da sua organizacao.
R utiliza as mais avan
O Nettion
cadas tecnologias de Firewall disponveis para o Sistema
Operacional Linux atraves do IPTables e do Kernel 2.6, e, aliado a isso, oferece tambem
uma interface bastante simples de inclusao e manutencao das regras, evitando que em
pouco tempo, o administrador se perca diante de tantas regras ja criadas.
8.1
Configuraco
es
Em Firewall Configurac
oes, o administrador definira a poltica de acesso padrao
R
que sera utilizada pelo firewall do Nettion .
A poltica padrao estabelece a acao que
sera tomada sobre qualquer acesso que nao tenha sido explicitamente liberado pelo administrador atraves das regras. O ideal, e o recomendavel, e que a poltica padrao seja
configurada para Negar tudo. Mas atencao. Antes de fazer esta configuracao, algumas
regras basicas devem ser criadas, como as que liberam o acesso ao proprio Nettion.
A poltica padrao de acesso pode ser:
Negar tudo, barrando qualquer acesso nao liberado nas regras;
Permitir tudo, barrando somente o que foi definido nas regras. Originalmente a
poltica esta definida como Permitir tudo, a fim de que o usuario tenha acesso ao
R e possa cadastrar as regras necess
Nettion
arias aos seus acessos. Somente apos
efetuar esse processo, e que se deve alterar a poltica padrao para Negar tudo:
79
CAPITULO 8. FIREWALL
80
Figura 8.1: Configuracao da poltica padrao do Firewall
8.2
Regras
R
Cada pacote1 que trafega atraves do Nettion
e analisado pelo filtro de pacotes, que o
abre e extrai informacoes como IP de origem, destino do pacote, portas, etc., verificando
se estas informacoes batem com alguma regra cadastrada no firewall. Caso sim, o firewall
toma a acao que a regra diz (bloqueia, aceita ou audita). Caso nao haja uma regra
especfica no firewall que trate este pacote, sera utilizada a poltica padrao definida no
R para este fluxo, que pode ser Permitir tudo ou Negar tudo.
firewall do Nettion
8.2.1
Incluindo uma nova regra
R faz-se necess
Para que o usuario possa incluir as regras do firewall do Nettion ,
ario que
aconselhavel que se
os objetos a serem utilizados tenham sido previamente cadastrados. E
R j
tenha tracado um esboco das regras que serao cadastradas. O Nettion
a disponibiliza
a grande maioria dos servicos que voce precisara na configuracao do firewall, mas voce
tambem tem liberdade para adicionar novos, caso seja necessario. Para efetuar a inclusao
de uma regra, clique no botao Incluir, no menu Firewall > Regras, e preencha os
campos solicitados:
Definico
es B
asicas da Regra
Descricao: uma descricao da regra, como por exemplo: Acesso VNC ao Micro01;
Acao: indica a acao que o firewall tomara sobre os pacotes tratados por esta regra,
que podem ser:
Permitir Libera o trafego;
Negar Bloqueia o trafego;
especialmente
Auditar Gera registros sobre as conexoes tratadas pela regra. E
u
til quando se deseja descobrir as portas utilizadas por um determinado servico.
Todo o trafego auditado pode ser visto atraves do Relatorio do Firewall.
Pos: a posicao na lista de regras. As regras sao processadas sequencialmente e a
ordem, nesse caso, e importante, pois uma vez que um pacote e abrangido por uma
regra, a acao desta e tomada e ele nao e mais processado pelas regras seguintes2 ;
1
Os dados numa rede IP s

ao enviados em blocos referidos como pacotes ou datagramas (os termos sao basicamente
sin
onimos no IP, sendo utilizados para os dados, em diferentes locais nas camadas de IPs)
2
Caso algum pacote seja tratado por uma regra cuja acao seja Auditar, ele continua ate que seja tratado por alguma
outra regra de Permitir ou Negar ou pela poltica padrao
8.2. REGRAS
81
Status: define status da regra como ativa ou inativa.
Figura 8.2: Definicoes basicas da regra de Firewall

Apos preencher esse formulario, clique em Avancar e escolha os horarios nos quais esta
regra deve atuar, como mostrado na figura 8.2 acima:
Hor
arios
Se voce deseja que a regra sempre atue, escolha Qualquer (opcao padrao). Voce tambem pode usar os objetos do tipo Horario para determinar quando a regra deve atuar.
Definido quando a regra deve atuar, clique em Avancar e vamos configurar a regra propriamente dita.
Figura 8.3: Definicao do horario de aplicacao da regra
82
Selec
ao de objetos para aplicac
ao da Regra
Em Filtros de Origem > Hosts, voce definira a partir de qual ou quais hosts ou
redes a conexao sera iniciada. Para fazer a selecao, selecione os objetos desejados da caixa
de selecao a` direita (lista de objetos de Hosts e Redes precadastrados), transferindo-os
para a caixa a` esquerda. A transferencia pode ser feita clicando-se duas vezes no objeto
desejado ou utilizando os controles entre as caixas.
Para especificar que nao importa a origem dos pacotes, ou seja, de qualquer Host/Rede
de origem, deixe a caixa de selecao da esquerda vazia.
Para especificar que e o Nettion, utilize o objeto especial chamado localhost.
Dica: Caso voce esteja utilizando o Browser Mozilla Firefox ou Internet Explorer a partir da versao 7.0, e possvel obter maiores informacoes sobre os
objetos durante a criacao da regra. Para isso, basta posicionar o mouse sobre
o objeto desejado, como mostrado na figura 8.4 abaixo.
Figura 8.4: Informacoes sobre os objetos
Em Filtros de Destino > Hosts voce selecionara os hosts ou redes de destino da

conexao, ou seja, aqueles que receberao a conexao.
Para especificar que nao importa o destino dos pacotes, ou seja, deixe a caixa de selecao
da esquerda vazia.
Para especificar que e o Nettion, utilize o objeto especial chamado localhost.
Em Filtros de Destino > Servicos voce selecionara qual ou quais servicos serao
acessados no destino da conexao. Por padrao o Nettion oferece uma lista de servicos Predefinidos com os principais servicos, mas voce pode criar seus proprios no menu Objetos
> Servicos > Personalizados.
8.2. REGRAS
83
Figura 8.5: Selecao de objetos para aplicacao da regra

Configurac
oes Avancadas
Caso voce esteja fazendo uma regra de redirecionamento de pacotes, ou queira aplicar
outras configuracoes a` sua regra, antes de Concluir clique no botao Configuracoes
Avancadas.
Figura 8.6: Configuracoes avancadas da regra

Nesta secao, voce podera:
Otimizar o tr
afego: Esta opcao permite que o trafego tratado por esta regra seja
otimizado. A otimizacao e feita atraves da configuracao de um cabecalho especial dos
pacotes (TOS - Type Of Service) que tem a funcao de especificar uma das seguintes
configuracoes:
Minimiza Custo
Maximiza a confiabilidade
84
Maximiza Throughput
Minimiza Delay
Redirecionar este tr
afego para outro host: utilize esta opcao quando voce
estiver criando uma regra de redirecionamento de pacotes, por exemplo, redirecionando as conexoes de VNC que chegarem ao Nettion para um host especfico da sua
rede. Observacao importante: Caso a sua intencao seja fazer o redirecionamento do
servico que chegar ao Nettion para outro host, sem alterar as portas de desntino,
deixe o campo Porta vazio. Caso nao, indique um n
umero de porta diferente.
Auditar este tr
afego: permite que o trafego tratado por esta regra seja auditato.
Isso vai fazer com que o Nettion gere registros das conexoes que poderao ser acessados
atraves dos Relatorios do Firewall.
Mascarar dinamicamente este tr
afego quando necess
ario: esta opcao faz com
que o Nettion aplique o NAT (Network Address Translation) nos pacotes tratados
por esta regra, quando necessario. Isso ocorre, por exemplo, quando um host da rede
interna, com um IP privado, precisa acessar um servico diretamente na Internet.
Estado estabelecido e/ou relacionado no retorno da conex
ao: Esta opcao
permite tratar o estado da conexao (Stateful Firewall ). Quando marcada, vai permitir que somente os hosts de origem iniciem a conexao em direcao aos hosts de destino
da regra. Quando houver a necessidade de deixar que ambos os lados (Origem e
Destino) originem a conexao, como entre duas redes de uma VPN, desmarque esta
opcao.
Dica: durante a inclusao das regras, e importante que voce avalie se a nova
regra se encaixa com alguma ja criada. Caso sim, basta voce editar a regra
existente e incluir os objetos desejados. Isso vai fazer com que seu Firewall
fique mais organizado, facilitando sua manutencao.
8.3
Regras b
asicas do Firewall
A configuracao do Firewall requer a analise detalhada do ambiente para que todo o

trafego necessario seja contemplado atraves de suas regras. Seguem abaixo algumas regras
basicas, que sao u
teis na maioria dos ambientes.
8.3.1
Acesso ao Nettion
necessario que voce crie uma regra que o permita acessar a interface de administracao
E
do Nettion. A liberacao desta regra pode ser feita apenas para um IP fixo na rede, o da
maquina do administrador, ou para toda a rede interna, com destino ao Nettion. Segue
um resumo da regra a ser criada na tabela 8.1 (pagina 85).
Obs: como comentado anteriormente, o objeto especial localhost referencia o proprio
Nettion.

8.3. REGRAS BASICAS
DO FIREWALL
Regra: Administrac
ao do Nettion
Origem
Destino
Serv. Destino Acao
http
Host Administrador localhost
Aceitar
https
ssh
Tabela 8.1: Liberacao do acesso ao Nettion
8.3.2
Acesso Nettion -> Internet
Na maioria dos casos, o Nettion e utilizado com a funcao de Proxy da rede. Isso requer
que o Nettion acesse alguns servicos na Internet, como DNS, HTTP e HTTPS. Veja um
resumo da regra a ser criada na tabela 8.2 abaixo.
Regra: Nettion -> Internet
Origem
Destino
Serv. Destino Acao
http
localhost Qualquer
Aceitar
https
dns
Tabela 8.2: Liberacao Nettion -> Internet
8.3.3
Resolu
c
ao de nomes para a rede interna
Na maioria das vezes, o Nettion e responsavel pela resolucao de nomes na Internet para
as maquinas da rede interna. Para isso, segue o resumo da regra a ser criada na tabela
8.3 a seguir.
Regra: DNS para Intranet
Origem
Destino
Serv. Destino Acao
Rede Interna localhost dns
Aceitar
Tabela 8.3: Liberacao do DNS para Rede Interna
OBS.: Lembramos que estas sao dicas de regras basicas do firewall, que podem
e devem ser complementadas, porem, existem ainda muitas outras regras que
devem ser criadas para tornar o seu firewall realmente eficiente. Tais regras
dependem de alguns fatores como:
Poltica de Seguranca da Empresa;

Servicos e Aplicativos externos utilizados;
Servicos e Aplicativos internos a serem acessados externamente;
Etc.
Exemplos de outras regras poderao ser encontradas neste documento nas configuracoes de outros modulos do Nettion, como Proxy e VPN.
85
86
8.4
Relat
orios
Atraves do relatorio do Firewall voce tera acesso aos registros gerados pelas regras de
Auditoria do seu Firewall. Os filtros de pesquisa permitem que voce faca o filtro tanto por
uma regra especfica de auditoria, quanto por uma selecao avancada de hosts e servicos.
Figura 8.7: Relatorios do Firewall
Captulo 9
VPN
A VPN (Virtual Private Network ou Rede Privada Virtual) envolve a utilizacao da internet como meio seguro de comunicacao entre dois pontos. Para garantir a seguranca no
R atrav
trafego das informacoes pelo meio p
ublico que a internet representa, o Nettion ,
es
de sua funcionalidade de VPN, cria um t
unel de comunicacao entre os dois pontos pelo
qual os dados trafegados sao criptografados. Isso quer dizer que somente os dois pontos
terao a chave de descriptografia e de interpretacao dos dados recebidos.
R possui quatro tipos de VPN:
O Nettion
PPTP
IPSec Chave P
ublica RSA
IPSec Chave Compartilhada PSK
OpenVPN (Plugin)
9.1
VPN PPTP
O protocolo PPTP permite estabelecer a conexao de 1 host pertencente a internet a`

R Sua criptografia
rede local controlada pelo Nettion .
e media ou baixa, dependendo do
cliente utilizado. Em sistemas operacionais Windows, com a versao igual ou posterior a
2000, estabelecem-se conexoes de criptografia media de 128 bits. Em clientes Windows
98, estabelecem-se conexoes com 40 bits de criptografia.
Um caso de uso comum se apresenta quando o usuario quer ter acesso a` rede da empresa,
R a partir de uma conex
controlada pelo Nettion ,
ao discada (DialUP) ou ADSL.
Atencao: para utilizacao da VPN-PPTP, e necessario que o administrador inclua no
firewall as regras para prever o acesso. Faca uso do objeto pre-definido pptp. Segue um
resumo da regra necessaria na tabela 9.1.
Regra: Liberac
ao da VPN PPTP
Origem
Destino
Serv. Destino Acao
Qualquer localhost pptp
Aceitar
Tabela 9.1: Liberando VPN PPTP
87
CAPITULO 9. VPN
88
9.1.1
Configura
c
oes
Para configurar o servidor de VPN - PPTP, acesse VPN > PPTP > Configurac
oes.
A tela de configuracoes sera exibida, como mostra a figura 9.1 abaixo.
Figura 9.1: Configuracoes da VPN PPTP

Interface de Funcionamento: Indique a interface de rede pela qual o servidor ira responder por requisicoes PPTP. Normalmente sera a interface de rede que se conecta a
Internet (com IP p
ublico) ou Todas, para qualquer interface. Ex.: eth0(200.200.200.200);
IP do Servidor: IP que sera o Gateway do cliente PPTP apos a conexao. Ex.:
128.0.0.1
Intervalo de IPs dos clientes: range (faixa) de IPs que sera fornecido aos clientes
da VPN. Ex.: 128.0.0.11-20. O administrador devera cadastrar os usuarios que
utilizarao a VPN PPTP, que chamaremos de clientes, podendo atribuir ao cliente
um IP, que sera selecionado para os que necessitem de um tratamento diferenciado
quanto ao firewall a cada conexao. Ou, pode permitir que o servidor PPTP atribua
um dos IPs dentro do range, informado na configuracao do servidor disponvel no
momento da conexao.
Importante: Para que os clientes PPTP possam acessar a sua rede e para que tambem
possam ser acessados, e necessario que se faca uma regra liberando este trafego. Veja o
resumo de uma regra para o exemplo onde a rede VPN e a rede interna estao na rede
128.0.0.0/24 na tabela 9.2 (pagina 89), considerando que:
Rede Interna: Objeto de Host/Rede configurado para 128.0.0.0/24;
Qualquer: Qualquer servico possa ser acessado entre as redes. Escolha os servicos
especficos caso necessario.
Obs: Para permitir que a conexao possa ser iniciada a partir de ambos os lados, desmarque a opcao Estado estabelecido e/ou relacionado no retorno da conex
ao nas
configuracoes avancadas desta regra.
A exibicao da lista de clientes cadastrados pode ser ordenada pela coluna: Login ou
Nome ou Descric
ao. O cliente deve clicar sobre a coluna especfica para que o sistema
alterne a exibicao e a ordenacao dos itens da tabela. Sera possvel utilizar a barra de
rolagem para navegar entre os itens da tabela.
9.1. VPN PPTP
89
Regra: Liberac
ao da VPN PPTP
Origem
Destino
Serv. Destino Acao
Rede Interna Rede Interna Qualquer
Aceitar
Tabela 9.2: Liberando trafego rede interna rede VPN
9.1.2
Manuten
c
ao do cadastro de clientes para VPN PPTP
A manutencao do cadastro de clientes PPTP segue ao padrao estabelecido anteriormente.

Para clientes PPTP deverao ser preenchidos os seguintes campos:
Figura 9.2: Adicionando/Editando usuarios PPTP

Usuario: login do usuario. Ex.: Joao
Senha: senha de autenticacao. Ex.: senhapptp
Confirmacao: confirmacao da senha. Ex.: senhapptp
IP: IP que a maquina externa deste cliente ira receber ao fechar VPN com o Nettion.
Caso seja preenchido este campo com um asterisco (*), o cliente recebera um dos IP
existentes dentro do Range (faixa) de IP disponibilizado pelo Servidor. Caso seja
especificado um IP, este cliente sempre recebera este IP ao conectar-se. Para uma
maior seguranca indicamos que o IP seja fixo. Ex. 1: * Ex. 2: 128.0.0.11
Conex
oes Ativas
R possibilita que o administrador tenha conhecimento sobre quais conex
O Nettion
oes estao ativas no momento da consulta. Estas informacoes estarao disponveis nos relatorios
posteriores.
Relat
orios
Nesta secao, o administrador podera visualizar relatorios sobre as conexoes PPTP realizadas.
CAPITULO 9. VPN
90
Figura 9.3: Relatorio de conexoes realizadas.
Conex
oes O administrador podera efetuar o acompanhamento dos acessos feitos via
possvel ainda que o administrador desPPTP, facilitando o gerenciamento da rede. E
conecte manualmente um usuario conectado clicando no botao Stop, conforme mostrado
na figura 9.4 a seguir.
Figura 9.4: Listagem de conexoes ativas
9.2
VPN IPSec
O IPSec e um dos protocolos mais seguros que existem para o estabelecimento VPNs
atraves de redes p
ublicas de comunicacao. Este fato da-se pelo uso dos mais fortes algoritmos p
ublicos de criptografia, com nveis de seguranca configuraveis pelo administrador.
Atencao: para a utilizacao da VPN-IPSec e necessario que o administrador inclua no
firewall regras para prever seu acesso. Segue um resumo da regra a ser criada na tabela
9.3 (pagina 91).
9.2. VPN IPSEC
91
Regra: Liberando IPSec
Origem
Destino
Serv. Destino Acao
Localhost Qualquer ipsec
Aceitar
Tabela 9.3: Liberando IPsec
Alem desta regra, e necessario fazer uma regra que libere o trafego entre as redes conectadas via IPSEC. Segue um resumo da regra a ser criada para este fim na tabela 9.4
abaixo, considerando que:
Rede Local: Objeto de Host/Rede previamente configurado com o IP da sua rede
local;
Rede Remota: Objeto de Host/Rede previamente configurado com o IP da rede
remota;
Qualquer Serv: considerando que qualquer servico estara disponvel entre as redes.
Escolha os servicos especficos caso necessario.
Obs: Para permitir que a conexao possa ser iniciada a partir de ambos os lados (rede
local e rede remota), desmarque a opcao Estado estabelecido e/ou relacionado no
retorno da conex
ao nas configuracoes avancadas desta regra.
Regra: Liberando tr
afego dentro da VPN
Origem
Destino
Serv. Destino Acao
Rede Local Rede Remota Qualquer
Aceitar
Tabela 9.4: Liberando Trafego dentro da VPN
9.2.1
Configura
c
oes
Chaves de Autenticac
ao e Criptografia
Existem 2 tipos possveis de chave:
R para estabelecer a VPN, abra uma janela
DICA: caso voce esteja utilizando 2 Nettions
do browser atraves de conexao segura com cada um dos lados. Desta forma, fica mais
simples configurar sua VPN.
Chave PSK O sistema de autenticacao sob chave PSK consiste em uma u

nica chave,
compartilhada entre os 2 lados da VPN, que promove o sistema de criptografia, descriptografia e autenticacao.
Vantagens:
Por utilizar o protocolo IPSec, projetado especificamente para o trafego seguro de
R se torna uma
informacoes atraves do protocolo TCP/IP, a VPN IPSec do Nettion
das mais seguras escolhas para o trafego de informacoes;
O sistema PSK e mais simples de ser configurado que o de dupla chave RSA. Porem,
o nvel de criptografia e seguranca e mais baixo;
CAPITULO 9. VPN
92
R da
Compatibilidade total com outros sistemas de VPN PSK, como o Raptor
R
Symantec .
Desvantagens:
Nao suporta NAT;
Menos seguro que o sistema RSA.
Precaucoes:
Nao utilize chaves humanamente compreensveis;
Nao forneca sua chave para o outro lado da VPN por e-mail, mensagens instantaneas
ou outros meios p
ublicos de comunicacao. Utilize ssh, https ou outro meio seguro
de transferencia de mensagens. Caso voce utilize um disquete ou CDROM para o
transporte da chave, destrua-o;
Nao revele sua chave para ninguem;
Gere chaves seguras, com mais de 128bits.
Chave RSA O sistema de autenticacao sob chaves RSA consiste em 2 chaves, uma
p
ublica e uma privada, que promovem o sistema de criptografia, descriptografia e autenR
ticacao. Esta configuracao requer a geracao da chave secreta, que o proprio Nettion
tem capacidade para fornecer. A chave secreta possui um altssimo nvel de criptografia
(ex.: 2048bits ou 4096bits), configuravel pelo administrador, que garante um altssimo
nvel de seguranca nas transacoes .
Vantagens:
Por utilizar o protocolo IPSec, projetado especificamente para o trafego seguro de
informacoes atraves do protocolo TCP/IP, a VPN IPSec se torna uma das mais
seguras escolhas para o trafego de informacoes;
O sistema RSA e extremamente seguro;
Sistema utilizado ha muitos anos, com uma base solida de teste de seguranca e
usabilidade.
Desvantagens:
Nao suporta NAT;
Precaucoes:
Nao forneca sua chave para o outro lado da VPN por e-mail, mensagens instantaneas
ou outros meios p
ublicos de comunicacao. Utilize ssh, https ou outro meio seguro
de transferencia de mensagens. Caso voce use um disquete ou CDROM para o
transporte da chave, destrua-o;
Nao revele sua chave para ninguem;
9.2. VPN IPSEC
93
Configurac
oes Gerais
Para configurar o servidor de VPN - IPSec, acesse VPN > IPSEC > Configurac
oes.
A tela de configuracoes sera exibida, como mostra a figura 9.5 a seguir.
Interface de Funcionamento: Interface pela qual o servidor ira se conectar. Normalmente sera a interface de rede que se conecta a Internet (com IP p
ublico). Utilize a
opcao Rota Padrao caso o seu Link com a Internet possua um IP p
ublico dinamico
(variavel).
Tipo de Encriptacao: tipo de chave que sera utilizada para encriptacao: 3des, 3desmd5-96 ou 3des-sha1-96 Ex.: 3des-md5-96
Regerar chave secreta (somente RSA): marcando o campo SIM sera regerada a
chave de encriptacao demonstrada no campo Chave P
ublica.. Sera ativado o
campo Tamanho, em que o administrador podera especificar o tamanho da chave
que deseja utilizar em bits (512, 1024, 2048, etc.).
Chave P
ublica(somente RSA): chave gerada pelo Nettion para este servidor.
Figura 9.5: Configuracoes do servidor IPSEC
9.2.2
Conex
oes
Neste modulo, o administrador ira cadastrar e controlar as conexoes de VPN - IPSec. E

apresentada ao administrador uma lista de conexoes ja cadastradas. Para cada conexao
listada, ha um indicador de Status que podera estar verde (ativo) ou vermelho (inativo),
de acordo com o estado da conexao, e um botao Start ou Stop, que deve ser acionado
com um clique para iniciar ou parar a conexao de acordo com o seu estado. Sao listados
CAPITULO 9. VPN
94
em cada conexao: seu nome, a rede A e seu Gateway, a rede B e seu Gateway, o Status
da conexao e o botao Ac
ao (Start ou Stop) .
Atenc
ao: Antes de iniciar a sua conexao, certifique-se que o servico VPN IPSec no menu
Sistema->Servicos. Lembre-se tambem de ter marcado como Auto para que o Nettion
inicie o servico no boot da maquina.
Figura 9.6: Listagem de conexoes IPSEC

A exibicao da lista de conexoes cadastradas pode ser ordenada por qualquer uma das
colunas exibidas. Para que o sistema alterne a exibicao e a ordenacao dos itens da tabela
o usuario deve clicar sobre a coluna especfica. A barra de rolagem podera ser utilizada
para navegar entre estes itens.
Manutenc
ao do cadastro de conex
oes
A manutencao do cadastro de conexoes segue ao padrao estabelecido anteriormente. Para
novas conexoes, deverao ser preenchidos os campos a seguir. Para facilitar o entendimento,
identificamos como A e B os dois lados que fecharao a VPN.
Nome: indique um nome com o qual voce deseja identificar a conexao. Ex.: Filial 1
Gateway A: Endereco IP da maquina que servira de gateway, ou seja, a maquina que
R
se interligara com a outra rede. Ex.: 200.253.5.10 (Geralmente o proprio Nettion ).
O administrador possui 3 opcoes neste item: IP, Qualquer, Default Route. IP:
R possui um IP V
quando o Nettion
alido e Fixo de sada. Ex: Link IP Telemar, Link Embratel; Qualquer: quando no lado (A) da VPN, nesta mesma posicao,
for cadastrada a opcao Rota Padrao, no lado (B) da VPN sera cadastrado Qualquer. Ex.: conexao entre um Nettion com IP Fixo aceitando uma conexao com um
R com IP din
Nettion
amico. Rota Padrao: quando o administrador for realizar a
configuracao de uma VPN utilizando um link com IP Dinamico, e impossvel deterR e, conseq
minar qual sera o IP do Nettion
uentemente, seu Gateway. Neste caso,
sera marcada a opcao Rota Padrao. Ex: configuracao de VPN utilizando ADSL,
Cable.
Rede A: rede que ira fazer parte da conexao e que, portanto, estara acessvel pela
outra ponta (Rede B). Ex.: 128.0.0.0/16
R que atua como Gateway A. Ex.: 200.253.5.9
NextHop A: sada padrao do Nettion
(gateway do Nettion). Caso esteja cadastrando dados de uma VPN que utilize IP
Dinamico, esta opcao sera desabilitada, pois seria impossvel determinar o Gateway
R de forma est
do Nettion
atica.
9.2. VPN IPSEC

Chave gateway A: chave de comunicacao do Gateway A
Exemplo:
0sAQO7tMehTP69r+Pr4PSTUmiYMDLQ4Lf70kWBgbhf+hhBKuh7Dk4XRNZcn8AYL15Pmig
hjuUoAhJEQWW1VzsdzmQosWAh6URQpQmYQ+bwymJpFAVTBFEgaJo6r+vP0Irn7/FhI41I
tnioJ7rCpEKtq4lfDEe0K5MDeNK6za+Rx4WEO8Dr8kjR0ePK9uPzb1xEwEizrIBUZfm4h
BXVI/7LKXZG1Hf9Ouc6RKhPXlN/HkhIC2s0m61TIwTzqHwx+Qd48B7oITZslcmsOkK2Wl
JjZgq+5dPZQnHjoXsAuNJaNVXkQZFMNQziwznFJ7D2D1qfuVIzeVYgLso6yBJgW+QG7ush
Gateway B: endereco IP da maquina que servira de gateway, isto e, interligacao com
outra rede. Ex.: 200.195.152.2
Rede B: rede que ira fazer parte da conexao e que, portanto, estara acessvel pela
outra ponta (Rede A). Ex.: 192.168.1.0/24.
NextHop B: sada padrao do Nettion que atua como Gateway B. Ex.: 200.195.152.1
. Veja o item NextHop A.
Chave gateway B: Chave de comunicacao do Gateway B
Exemplo:
0sAQPZfUID9sYTuasmkJYfU8JmpKwphyfxT0NtUmzTT6S58FXla6qEFJrv9JgIHFtp8Dl
h6wHa6a9069bHg+MZX3GLtb4ynGaFtVsqvuNx9aVgnuliunxaXwsq2zShTBBgrCTed5o9
YBMms1ItdxI6Pu5oeD1JrzQkI5J0b0qo3ukx07nqwUmDJRVHfL1zgbVeeTmn86LmhuMYp
zwcBdBB5RZae8xnL0roUN7XUnjOg2VeHWVUk9giwS628KKLbclWIBcl8hIn1xc30qzrjl
vqPAZggNGNt3w85925oxPRn+UvXNkadxfOxKeoF8DyLsrbvl61RAq7erQWyNVUvCz
Conexao: se a conexao sera ativada manualmente ou automaticamente. Configure
esta opcao para Auto para que a VPN seja sempre reiniciada automaticamente. Ex.:
Auto.
Status da conexao: se a conexao esta ativa ou nao.
Obs: o Administrador podera importar a chave do Nettion que estiver sendo configurado
dando um clique no botao IMPORTAR MINHA CHAVE PUBLICA

Dicas de Configuracao:
R abra uma janela do browser para
1. Ao configurar uma VPN entre 2 Nettions ,
cada um deles;
2. As configuracoes dos 2 lados serao totalmente IDENTICAS,

salvo em casos de
utilizacao de IPs dinamicos. Isto quer dizer que, se o administrador cadastrar os
R 1 como sendo o Nettion
R (A) da configura
dados do Nettion
cao, quando ele for
R 2, as informa
realizar a configuracao do Nettion
coes serao identicas, inclusive no
R 1 como sendo o lado (A);
posicionamento, tendo o Nettion
3. Em configuracoes tendo Nettion 1, lado (A) , IP Fixo e o Nettion 2, lado

(B), IP Din
amico, obrigatoriamente o lado (B) tera como gateway a marcacao do
item Rota Default. Seguindo a dica do item anterior, o administrador e levado a
R Por
configurar o mesmo item, na mesma posicao, em cada um dos Nettion .
em, esta
R 2, nos itens de configura
e a u
nica excecao a` regra. Observando o Nettion
cao do
lado (B), o administrador ira configurar o item Rota Default. Ao olhar esta mesma
configuracao, na mesma posicao, no lado (A), o administrador tera que configurar
o item Qualquer. Obs: sempre que houver uma configuracao de VPN entre um
95
CAPITULO 9. VPN
96
IP Fixo e um IP Dinamico, os campos correspondentes ao IP fixo serao identicos

R
em ambos os Nettions .
Porem, os campos de configuracao correspondentes ao
R com IP din
lado do IP Dinamico irao ser diferentes: no Nettion
amico, veremos
R com IP Fixo, veremos marcado o
marcado o item Rota Default, e no Nettion
item Qualquer;
4. O Nettion possibilita que ambas as conexoes (Nettion A e Nettion B) possuam IPs
Dinamicos, do tipo ADSL, por exemplo. Para isso e necessario fazer as configuracoes
utilizando o nome do host e nao o IP. Como o IP e variavel, utilize o servico de DNS
Dinamico do Nettion e para cada Nettion associe um nome DNS. Uma vez feita
as configuracoes, o Nettion tratara de manter a conexao ativa mesmo que os IPs
variem.
Figura 9.7: Incluir/Editar de Conexao IPSEC
9.3. OPENVPN
9.3
OpenVPN
A documentacao do NettionPlug OpenVPN encontra-se no item 15.5 do Captulo 15 sobre

NettionPlugs, na pagina 152. Leia tambem sobre o que sao NettionPlugs no Captulo
15 na pagina 141.
97
98
CAPITULO 9. VPN
Captulo 10
NIDS
O sistema de deteccao de tentativa de invasao (Network Intrusion Detection System) do
R trabalha investigando se existe algu
Nettion
em tentando aplicar algum dos mais de
1.600 tipos de tentativas de invasao, catalogados no Nettion, atraves de sua conexao.
R enviar
Uma vez detectada a tentativa, o Nettion
a um e-mail para o administrador
notificando o acontecimento e registrara o fato em um log referente ao NIDS.
10.1
Configurac
oes
Define as informacoes referentes ao sistema de deteccao, que podem ser:

Interface, utilizada para monitorar o trafego;
IPs e redes que sao monitorados por ataques;
Filtros por assinaturas etc.
A atualizacao das assinaturas e feita atraves do sistema de atualizacao (Update) do
R Verifique as novas vers
Nettion .
oes do software no modulo do sistema.
10.1.1
Sele
c
ao de Interfaces
O administrador pode selecionar qual interface deseja monitorar referente a deteccao de

tentativas de invasao. Caso deseje monitorar todas, nao sera necessario clicar individualmente em cada uma delas. Basta clicar na opcao Todas, como mostra a figura abaixo.
Figura 10.1: Selecao de Interfaces do NIDS
99
CAPITULO 10. NIDS
100
10.1.2
Objetos
apresentada uma lista de objetos cadastrados no Nettion

R para que o administrador
E
classifique quais sao confiaveis e quais serao monitorados. Ao selecionar um objeto para
ser monitorado, todo o trafego referente ao item escolhido sera analisado. Apos realizar as
alteracoes desejadas, e necessario clicar no botao Salvar alteracoespara que estas surtam
efeito.
Figura 10.2: Selecao de Objetos a serem Monitorados
10.1.3
Configura
c
ao do PortScan
O administrador deve especificar aqui o n

umero de portas e o intervalo de tempo necessarios
para considerar um portscan vindo de uma mesma maquina. Esta configuracao e valida
tanto para pacotes UDP como TCP.
O valor padrao e a deteccao de quatro portas, num intervalo de tres segundos, para
a caracterizacao de um portscan. Aqui, o administrador pode aumentar ou diminuir
a sensibilidade do NIDS para a deteccao das tentativas de invasao. Para aumentar a
sensibilidade, basta diminuir o n
umero de portas por intervalo de tempo. Para diminuir,
aumente o n
umero de portas por intervalo de tempo, como mostra a figura 10.3 abaixo.
Em seguida, clique no botao Salvar Configuraco
es.

10.1. CONFIGURAC
OES
101
Figura 10.3: Configuracao do PortScan do NIDS
10.1.4
Detec
c
ao de Assinaturas
R possui cadastradas mais de 1.600 tipos de tentativas de invas

O Nettion
ao, que estao
separadas por tipos e sao exibidas quando o administrador clica no campo Tipos de
Assinaturas. Como alguns exemplos de tipo de assinaturas, podemos citar: Backdoors,
Dos, Exploit, WEB IIS etc.
Ao clicar em um destes tipos de assinaturas, sera ativado o botao Ativar/Desativar

Assinaturas. Ao clicar neste botao, sera apresentada uma lista das assinaturas, referentes
ao item selecionado (Ex.: WEB IIS), ao administrador. Este, por sua vez, selecionara
as assinaturas que considerar importantes para que o NIDS monitore. Como mostra a
figura 10.4 abaixo.
Figura 10.4: Selecao de Assinaturas do NIDS

Ao final das listas, ha um botao que seleciona todas as assinaturas referentes ao item
(Ex.: WEB IIS). Portanto, caso deseje marcar todas, nao e necessario selecionar uma a
uma.
Esta configuracao influencia diretamente a performance por isso, deve ser feita com muito
cuidado e consciencia.
10.1.5
Alerta por e-mail
Especifique a freq
uencia caso queira receber notificacoes de alertas por e-mail. Para
desabilitar essa opcao, especifique a freq
uencia de envio para Nenhumae salve a configuracao.
CAPITULO 10. NIDS
102
Figura 10.5: Configuracao de Alertas via E-mail
10.1.6
Relat
orios
Exibe relatorios dos alertas e tentativas de invasao com detalhes sobre os pacotes capturados: IPs de origem e destino, protocolo, portas e etc.
10.1.7
Alertas
O administrador pode visualizar as u

ltimas assinaturas detectadas e tambem os portscans
realizados.
Lista de informacoes gerais a respeito da configuracao do NIDS:
Assinaturas ativas: informa a quantidade de regras ativas e o total de regras existentes. Ex.: 721 de 1601
Assinaturas detectadas: exibe a quantidade de assinaturas ativas que foram detectadas pelo NIDS em sua conexao Ex.: 101
PortScan detectados: n
umero de portscan que foram detectados pelo NIDS. Ex.:
247
Data do u
ltimo alerta: data e hora no qual foi gerado o u
ltimo alerta. Ex.: 21/12/2002
- 14:27:13
10.1.8
Ultimas
assinaturas
Aqui o administrador visualiza, pagina por pagina, os u

ltimos alertas por assinaturas,
especificando os seguintes campos:
Assinatura: assinatura a qual o alerta faz referencia. Ex.: WEB-PHP contentdisposition
IP Origem: IP que originou o alerta. Ex.: 10.0.3.30
PO: porta de origem da maquina de onde partiu a tentativa de acesso. Ex.: 6040 IP
Destino: IP que se destina a` conexao. Ex.: 10.0.3.12
PD: porta de destino para onde se direcionava o acesso. Ex.: 80

10.1. CONFIGURAC
OES
Protocolo: tipo do protocolo utilizado para acesso. Ex.: TCP
Hora e Data: hora e data na qual o NIDS registrou o alerta. Ex.: 16:20:47 07-04-2003
Figura 10.6: Relatorio de Assinaturas Detectadas

O administrador pode selecionar a quantidade de alertas que deseja visualizar por pagina
atraves da alteracao do campo Lista com intervalo de 15 alertas, que por padrao apresenta 15 alertas. Caso o administrador deseje incluir um dos IPs apresentados na lista
aos IP bloqueados, ele deve clicar sobre o IP desejado e confirmar o bloqueio no quadro
que solicitara confirmacao.
Ultimos
PortScans
Este relatorio mostra especificacoes sobre os portscans realizados: IP de origem, quantidade de conexoes por host, protocolos utilizados e hora e data do portscan. Clicando em
um dos itens da lista, sera solicitada ao administrador a confirmacao de inclusao do IP
de origem do portscan na lista de IPs bloqueados, como mostra a figura 10.7 abaixo.
Figura 10.7: Relatorio de PortScans Detectados
103
CAPITULO 10. NIDS
104
10.1.9
IPs Bloqueados
Exibe uma lista com os IPs bloqueados atraves da interface web do NIDS. Os IPs conR seja ele em qualquer dire
tidos nesta lista nao terao acesso nenhum ao Nettion ,
cao,
passando por qualquer interface. Atraves desta lista, tambem e possvel a remocao de
IPs bloqueados.
Obs.: os IPs serao bloqueados somente se o Firewall estiver ativo.
Lista de IP bloqueados por data de inclusao (Figura 10.8 abaixo):
Figura 10.8: Relatorio de IPs Bloqueados
Captulo 11
DHCP
R pode ser configurado para distribuir os endere
O servidor DHCP do Nettion
cos de IPs
das estacoes de uma ou mais redes ligadas a solucao, permitindo tratar de forma diferente
cada uma delas.
11.1
Configurac
oes
11.1.1
Configura
co
es Globais
Para configurar o servidor DHCP do Nettion, acesse DHCP > Configurac

oes. Na tela
que sera exibida os campos devem ser preenchidos conforme a descricao abaixo:
Figura 11.1: Configuracoes Globais do Servidor DHCP

Domnio: especificar o domnio o qual ao DHCP respondera. Ex.: ficticia.com.br
DNS Primario: servidor de nomes primario. Ex.: 128.0.0.1
DNS Secundario: servidor de nomes secundario. Ex.: 128.0.0.2
Gateway padrao: maquina de sada da rede. Ex.: 128.0.0.1
Mascara da Rede: mascara da rede a qual o IP do servidor DHCP pertence. Ex.:
Classe B padrao /16.
105
CAPITULO 11. DHCP
106
11.1.2
Interface
Ainda na tela de configuracoes globais, selecione as interfaces que respoderao por requisicoes DHCP na sua rede, conforme mostra a figura 11.2 abaixo.
Figura 11.2: Selecao da Interface de funcionamento do DHCP
11.2
Hosts
Esta secao permite que o administrador associe enderecos IP a mac addresses da rede,
especialmente
fazendo com que determinadas maquinas recebam sempre o ip indicado. E
u
til quando se deseja fazer regras especficas para alguns IPs da rede.
A exibicao da lista de hosts cadastrados pode ser ordenada pela coluna: hostouendereco
IP. Para que o sistema alterne a exibicao e a ordenacao dos itens da tabela, e necessario,
somente, que o usuario clique sobre a coluna especfica. O usuario podera utilizar a barra
de rolagem para navegar entre os itens da tabela.
11.2.1
Manuten
c
ao do cadastro dos Hosts
A manutencao do cadastro dos hosts segue ao padrao estabelecido anteriormente. Para

hosts, deverao ser preenchidos os seguintes campos:
Figura 11.3: Inclusao de Novo Host
11.3. REDES
107
Nome do host: descricao do host. Ex.: Maquina do Joao;

Endereco MAC: especificacao do endereco fsico da placa (Mac-Address).
00:E0:7D:00:E3:23;
Ex.:
Endereco IP: Endereco IP a ser fornecido;

Rede: rede da qual o host fara parte. Ex.: 128.0.0.0.
11.3
Redes
O servidor DHCP atribuira IPs dentro das redes especificadas para a interface a qual
estiver direcionada.
A exibicao da lista de redes cadastradas pode ser ordenada pela coluna: redeou mascara. Para isso, o administrador deve clicar sobre a coluna especfica. Isso fara com que
o sistema alterne a exibicao e a ordenacao dos itens da tabela. O administrador podera
utilizar a barra de rolagem para navegar entre os itens da tabela.
11.3.1
Manuten
c
ao do cadastro de Redes
A manutencao do cadastro de redes segue o padrao estabelecido anteriormente. Para

redes, deverao ser preenchidos os seguintes campos:
Figura 11.4: Especificacao da Rede do DHCP
CAPITULO 11. DHCP
108
IP da rede: IP da rede. Ex.: 128.0.0.0
Mascara da Rede: mascara da nova rede. Ex.: Classe B padrao /16

Faixa de IPs que serao distribudos: faixa de IPs que sera fornecida pelo Nettion.
Incio: IP inicial da faixa de IP. Ex.: 128.0.0.21
Fim: u
ltimo IP da faixa. Ex.: 128.0.0.50
Interface: interface que respondera pelas requisicoes desta rede.
Caso se deseje trabalhar com os registros nas Configuracoes Globais do DHCP, os demais
campos nao sao necessarios. Caso contrario, deverao ser preenchidos.
Captulo 12
E-mail
12.1
Configurac
oes
R pode tamb
O Nettion
em ser utilizado como o seu servidor de e-mails, fazendo todo
o trabalho de gerenciamento de m
ultiplos domnios e usuarios, integrado com um sistema bastante robusto de antivrus (atualizado diariamente) e anti-spam com sistema de
aprendizado e quarentena.
Como base para este recurso, o Nettion utiliza um servidor de e-mails do Linux chamado
Qmail, bastante conhecido por sua seguranca e estabilidade no gerenciamento de um
grande n
umero de contas.
Alem disso, este recurso do Nettion oferece: autenticacao integrada, sistema de quota
por usuario, sistema de bloqueio de anexos de e-mails de acordo com o tamanho e a sua
extensao, sistema de auditoria, controle da fila (possibilita ao administrador acompanhar
se uma mensagem ainda nao foi enviada, o motivo e ate mesmo sua exclusao), sistema de
logs e quarentena, que possibilita o acompanhamento dos e-mails que foram bloqueados
por conter vrus, e varias outras funcoes que sao decisivas no monitoramento do seu
servidor de e-mail.
Para o recebimento dos e-mails, os usuarios tem a possibilidade de utilizar contas POP3,
R
POP3s, IMAP ou IMAPs ou ate mesmo um webmail que e disponibilizado pelo Nettion .
12.1.1
Gerais
Autenticaco
es simult
aneas permitidas:
Esta opcao nao se refere ao modo de autenticacao, ja que foi previamente definido no
captulo referente a Usuarios e Grupos, mas sim ao n
umero maximo de autenticacoes
simultaneas permitidas. Isto dependera do n
umero de usuarios para o sistema. Quanto
maior o n
umero de usuarios, maior sera o n
umero de autenticacoes simultaneas. Vinte
e, comprovadamente, um valor ideal. Entretanto, o administrador podera incrementa-lo,
ao perceber que seus usuarios estao necessitando fazer varias tentativas de autenticacao
no cliente de e-mail ate conseguir concluir a operacao, ou diminu-lo, para que nao seja
utilizada memoria sem necessidade no servidor.
Tamanho m
aximo permitido de anexos:
109
CAPITULO 12. E-MAIL
110
Figura 12.1: Email - autenticacao
12.1.2
Relay
Uma das principais preocupacoes que um administrador de um servidor de e-mail deve

ter e nao deixar que ele seja utilizado indevidamente para enviar mensagens in
uteis, desagradaveis e quase sempre indesejaveis - os spams, o que geralmente e feito por algum
R permite que o administrador defina
usuario que nao faz parte de sua rede. O Nettion
quais redes ou hosts terao liberdade de enviar e-mail atraves do seu servidor. Tecnicamente, essa permissao chama-se relay. Abrir o relay para alguem significa permitir que
determinado host ou rede envie e-mails atraves do seu servidor. Um sistema bem administrado, certamente, so permitira acesso àqueles que sao de direito faze-lo. Portanto, e
necessario manter o relay fechado contra intrusos.
Figura 12.2: Relay do servidor de E-mails

12.1. CONFIGURAC
OES
111
Temos aqui uma lista de hosts/redes com permissao para usar o servidor para envio de
mensagens. O cadastro para liberacao se da de forma simples, levando em consideracao
os objetos pre-cadastrados e preenchendo um formulario como o seguinte:
` esquerda estao os hosts/redes que tem permissao e a` direita estao todos os objetos
A
R Fazendo-se uso dos bot
inseridos no Nettion .
oes entre as duas janelas, de caractersticas
intuitivas, pode-se incluir ou excluir aqueles que terao direito de envio de mensagens
atraves deste servidor. Bastando, ao final de todas as alteracoes, clicar sobre Salvar
Configuracoes para efetiva-las.
Figura 12.3: Administracao de Relays
12.1.3
Webmail
O Nettion oferece um sistema de Webmail como opcao para envio/recebimento de e-mails

via Web sendo necessario para isto apenas a identificacao, com uma combinacao de e-mail
completo e senha do usuario. O Webmail do Nettion pode ser acessado atraves do seu
IP seguido de webmail, por exemplo: http://200.200.200.200/webmail.
R como
Algumas caractersticas sao configuraveis para personalizar o webmail do Nettion
o idioma padrao do webmail, o cone que aparece na tela de login (o qual precisa conter um
endereco absoluto como o exemplificado no padrao) e o nome das pastas que guardarao
as mensagens apagadas, enviadas e os rascunhos de e-mail.
Figura 12.4: Configuracoes do Webmail
CAPITULO 12. E-MAIL
112
12.1.4
Mensagens
Nesta secao o administrador pode editar as tres seguintes mensagens:

mensagem de retorno para o remetente que tentar enviar email para usuario invalido;
mensagem informando que o limite da quota esta prestes a ser atingido
mensagem retornada para o rementente quando o destinatario de seu email excedeu
a quota limite
Figura 12.5: Configuracao de mensagens do servidor de E-mails
12.1.5
Extens
oes
Inicialmente, o antivrus devera manter afastados os arquivos que facilmente sao infectados e que podem carregar vrus para os clientes de e-mail. Algumas extensoes, ja classicas,
podem carregar vrus. Em termos gerais, os arquivos chamados auto-executaveis como
os de extensao .exe e .com sao os infectados com maior freq
uencia. Devido a maior
incidencia de vrus e maior probabilidade de infeccao em arquivos com determinadas exR impede a entrega ou sa
tensoes, o Nettion
da de e-mails que contenham anexos com
tais extensoes.
Figura 12.6: Lista de extensoes bloqueadas
12.2. DOMINIOS
113
A tela de inclusao ou edicao e simples e intuitiva, onde e necessario, apenas, cadastrar a

extensao propriamente dita e uma pequena descricao, como mostrado na figura a seguir:
Figura 12.7: Inclusao/Edicao de extensoes bloqueadas
12.2
Domnios
possvel criar e remover

Nesta secao o admnistrador controlara os domnios de emails. E
domnios, bem como adicionar ou remover usuarios de tais domnios. Observe que para
Figura 12.8: Listagem de domnios de E-mail

que seu domnio de e-mail funcione perfeitamente na Internet, e necessario que o DNS
do domnio esteja devidamente configurado e apontando que o Nettion sera o responsavel
pelos e-mails.
12.2.1
Incluir um domnio
Caso deseje adicionar um domnio, clique no botao Incluir e preencha os campos conforme
as descricoes abaixo:
Domnio: nome do domnio a ser incluso. Ex.: nettion.com.br;
Quota: espaco maximo em disco que cada conta pode ocupar;
CAPITULO 12. E-MAIL
114
No maximo de mensagens: quota por mensagem. N

umero de mensagens por conta;
Senha do administrador (postmaster): senha do administrador do domnio;
- Caso deseje redirecionar as mensagens invalidas (enviadas para destinatarios inexistentes) para outra conta de email, marque o checkbox Redirecionar mensagens
destinadas a usu
arios inv
alidos e digite a conta no campo abaixo. O procedimento padrao seria enviar uma mensagem ao remetente informando que a conta
destino nao existe.
- Caso deseje Usar a autenticac
ao configurada no Nettion, marque esse checkbox
possvel importar os usuarios de
e escolha os grupos para importar os usuarios. E
todos os grupos, ou de algum grupo especfico.
Veja a figura 12.9 a seguir.
Figura 12.9: Inclusao/Edicao de Domnios
12.3
Usu
arios
Nesta secao o administrador pode pesquisar e editar usuarios, alem de poder cria-los
tambem.
12.3.1
Buscando usu
arios
Para visualizar os usuarios (contas de e-mails) existentes no sistema, acesse E-mail >
Usu
arios. Na tela que sera exibida, serao mostrados todos os usuarios, de todos os

12.3. USUARIOS
115
domnios existentes no servidor de e-mail e em ordem alfabetica. Porem, a ordem de

exibicao pode ser alterada, bastando para isso clicar no cabecalho correspondente a` ordem
desejada. Para facilitar a busca, a barra de filtros de pesquisa localizada acima da tela
de usuarios pode ser utilizada.
Figura 12.10: Gerenciamento de Usuarios
12.3.2
Editando usu
arios
Ao efetuar a busca, voce pode editar a conta clicando no botao Editar. A seguinte tela
aparecera:
Figura 12.11: Edicao de Usuario
CAPITULO 12. E-MAIL
116
Os campos Nome, Quota e No de mensagens sao editaveis. Altere-os de acordo com

a sua necessidade.
Caso queira utilizar o recurso de enviar copias dos emails recebidos para outra conta,
marque a opcao Encaminhar uma c
opia para outros emails e preencha o seguinte
campo com a conta para a qual sera enviada a copia. Se deseja encaminhar para mais de
uma conta, separe-as com ponto e vrgula (;).
Nao esqueca de Salvar as Alteraco
es, caso faca alguma.
12.3.3
Inserindo usu
arios
Ao clicar no botao Incluir, a seguinte tela aparecera e permitira a adicao de um novo

usuario de email:
Figura 12.12: Inclusao/Edicao de Usuarios de E-mail
Login: Login, a primeira parte do endereco de email, a que aparece antes da arroba
(@). Ex.: sergio;
Domnio: Os domnios existentes serao listados em um combo box. Voce deve escolher o domnio para o qual esta criando a nova conta;
Nome: Nome do usuario. Ex. Sergio Luis;
Quota: Espaco maximo em disco que a conta pode ocupar;
No maximo de mensagens: quota por n
umero de mensagens;
Senha: senha do usuario;
- Caso deseje encaminhar uma copia das mensagens recebidas para outro email, marque a opcao Encaminhar uma c
opia para outros emails e preencha o seguinte
12.4. ALIASES
117
campo com a(s) conta(s) para onde deverao ser encaminhadas as novas mensagens.
Lembre-se de separa-las com ponto e vrgula (;).
12.4
Aliases
Nesta secao o administrador pode definir Aliases, uma especie de apelido, um outro
nome pelo qual determinada(s) conta(s) sera(ao) conhecida(s).
12.4.1
Criando um alias
Na secao Aliases, clique em Incluir e a seguinte tela aparecera:
Figura 12.13: Inclusao de Alias de E-mail

Neste exemplo, foi criado um alias sergioluis@padrao.com.br. Este endereco apontara
para sergio@padrao.com.br. Logo, enviar uma mensagem para sergioluis@padrao.com.br
e o mesmo que enviar uma mensagem para sergio@padrao.com.br.
Alias: nome do alias. Neste exemplo, sergioluis;
Domnio: selecione na lista o domnio para o qual voce esta criando o alias. no
exemplo, padrao.com.br ;
Defina os usuarios para os quais o alias ira se referir; No exemplo, sergio@padrao.com.br.
12.5
Antivrus
A cada instante, pessoas mal intencionadas criam vrus para prejudicar e infectar sistemas
e computadores. Seria de pouca utilidade um antivrus que barrasse todos os arquivos
suspeitos, mas nao contivesse uma lista atualizada de vrus em sua base de dados. Sendo
assim, uma boa ferramenta deve fornecer um sistema de atualizacao instantaneo e configuravel.
CAPITULO 12. E-MAIL
118
12.5.1
Atualiza
c
ao
R feita de modo imediato, no momento

Essa e a primeira forma de atualizacao do Nettion ,
R faz uma busca por uma base
em que for mais apropriado ao administrador. O Nettion
mais atualizada e sincroniza-a com a base local, mantendo o sistema ainda mais prevenido.
Figura 12.14: Atualizacao do Anti-Vrus
12.5.2
Agendamento
Tambem e possvel definir um momento ideal a criterio do administrador para que o

R fa
Nettion
ca as atualizacoes na base de vrus. Para isso, defina os dias/horarios para
que as atualizacoes acontecam, preenchendo o formulario abaixo e depois, salve as configuracoes.
Figura 12.15: Agendamento da atualizacao do Antivrus
12.5.3
Hist
orico
R permite um acompanhamento direto sobre o hist

O Nettion
orico de atualizacoes da
base de dados.
Tres sao os estados possveis para cada atualizacao:

R investiga atualiza
Bem sucedida com atualizacoes - quando o Nettion
coes na base
de dados e torna-se necessario atualizar a base local;
12.6. ANTISPAM
119
R consegue conectar-se a
Bem sucedida sem atualizacoes - quando o Nettion
`s bases
remotas, mas a base local ja esta atualizada;
R n
Mal sucedida - quando o Nettion
ao consegue se conectar às bases remotas.
Figura 12.16: Historico das atualizacoes
12.6
Antispam
R
O antispam do Nettion
e uma funcionalidade que controla mensagens indesejaveis.
R esteja fechado, em alguns lugares,
Mesmo que o relay do servidor de e-mails do Nettion
ha administradores incautos que nao tem a devida preocupacao com o fechamento do
relay. Os spammers, aqueles que enviam centenas ou ate milhares de mensagens nao
solicitadas, aproveitam-se desta fragilidade. Isso significa que um bom administrador
deve se preocupar, inclusive, com o mau trabalho feito por outros e assegurar que seus
usuarios sejam menos afetados por esse mal.
Um antispam e um software que se baseia em algumas caractersticas de e-mails, notoriamente classificadas como spam, como algumas palavras-chaves e formato HTML1
12.6.1
Configura
co
es
A cada caracterstica de spam encontrada em um e-mail, a mensagem recebe uma pontuacao, que depende do que foi localizado. Quando esta pontuacao alcanca o limite estimado
nas configuracoes de sensibilidade, o e-mail sofre uma alteracao. O ttulo da mensagem
identificada como spam sera precedido pela expressao **POSSIVEL SPAM**. A mensagem sera entregue normalmente ao cliente. Ela nao e excluda automaticamente, pois
pode existir uma mensagem que possua palavras-chaves e formatos que a identifiquem
a linguagem utilizada para se
HTML - Hypertext Markup Language, Linguagem de Marcacao de Hipertexto. E
fazer p
aginas na internet e e-mails com formatac
ao mais rica, como negrito, cores das fontes e insercao de imagens.
1
CAPITULO 12. E-MAIL
120
como uma mensagem indesejada, mas que realmente nao seja. Sendo assim, cabe a cada
usuario definir filtros, nos seus leitores de e-mail, para separar as mensagens legtimas
daquelas indesejadas.
O n
umero indicativo da sensibilidade representa o limite de pontos que uma mensagem
pode alcancar ate ser considerada spam. Quanto MENOR o n
umero, mais facilmente
uma mensagem sera assim classificada.
Figura 12.17: Configuracoes do Antispam

R inclui suporte ao treinamento de mensagens em
A nova versao do antispam do Nettion
spam e n
ao-spam pelos usuarios. Marque a opcao Aprender mensagens classificadas pelos usu
arios caso deseje ativar tal suporte.
Caso decida utilizar este recurso, voce devera configurar duas contas de email, uma para
mensagens classificadas como spam e a outra para as mensagens classificadas como n
aospam.
Nesse exemplo, as contas serao, respectivamente, spam@padrao.com.br e nospam@padrao.com.br. Lembrando, novamente, que estas contas deverao ser criadas no domnio
escolhido, como as demais contas de usuarios. O funcionamento do sistema de aprenR
dizado do antispam do Nettion
e descrito a seguir:
O antispam funcionara como sempre, marcando como *** POSSIVEL SPAM

*** os emails que ele considere como tal. No caso de os usuarios receberem
SPAMs que nao foram marcados pelo antispam, eles poderao encaminhar essa
mensagem como anexo para o email selecionado para receber spam, no caso,
spam@padrao.com.br. Funciona da mesma forma com as mensagens que
nao sao spams, mas foram classificadas assim. Os usuarios tem a opcao de
encaminha-las para o email que foi selecionado para receber as mensagens que
nao sao spams. No nosso caso nospam@padrao.com.br. Periodicamente
(mediante agendamento pelo administrador), o antispam checa as duas contas
12.6. ANTISPAM
121
e treina como spam as mensagens da conta spam e como nao spam as mensagens da conta nao-spam. Este treinamento continuado melhora a eficacia do
antispam e permite que ele atinja ndices melhores, quando classificar futuros
emails.
Caso deseje que o sistema antispam execute o treinamento das mensagems nas caixas
comum que o administrador agende o
spam e antispam clique no botao Aprender. E
treinamento do antispam na proxima secao, Aprendizado.
Obs1.: Lembre-se que, ao encaminhar e-mails para as contas spam@padrao.com.br
e nospam@padrao.com.br, isso deve ser feito encaminhado o e-mail desejado como
anexo e nao no corpo do e-mail. Exemplo: Voce recebeu um e-mail marcado como
***POSSIVEL SPAM***, e verificou que este e-mail realmente e um SPAM e deseja
R aprenda este e-mail como um SPAM. Ent
envia-lo para que o Nettion
ao, clique no
e-mail com o botao direito (no caso do Outlook Express), e selecione a opcao Encaminhar
como anexo. Em seguida prossiga com os procedimentos normais de envio de um e-mail;
Obs2.: Veja no seu cliente de email como encaminhar um e-mail como anexo.
12.6.2
Aprendizado
Nesta secao, o administrador configurara o agendamento do sistema de treinamento do

R bem como ter
antispam do Nettion ,
a informacoes a respeito de tais treinamentos.
Agendamento
Aqui, o administrador vai agendar o treinamento do sistema de antispam, definindo em
que periodicidade ele sera executado. As opcoes disponveis sao:
Figura 12.18: Agendamento do aprendizado

Diario: treinamento diario, o administrador define o horario do treinamento;
Semanal: treinamento semanal, o administrador define o dia da semana em que o
treinamento sera realizado, alem do horario;
Mensal: treinamento mensal, o administrador define o dia do mes em que o treinamento sera realizado, alem do horario.
CAPITULO 12. E-MAIL
122
Hist
orico
Nesta secao, o adminstrador obtera um historico dos treinamentos realizados pelo sistema
de antispam, com informacoes tais como:
Figura 12.19: Historico dos treinamentos realizados

n
umero de spams e nao-spams treinados;
quantidade de novos spams e antispams;
status do treinamento, se bem ou mal sucedido.
12.6.3
Whitelist
Ha, tambem, uma possibilidade de se definir uma lista de usuarios chamados confiaveis,
que poderao enviar mensagens que superem o limite da sensibilidade e mesmo assim nao
sejam classificadas como spam. Esta e a whitelist do sistema.
Figura 12.20: Whitelist do Antispam

12.7. RELATORIOS
123
Para incluir um e-mail na WhiteList, clique no botao Incluir. Na tela que sera exibida,
digite o endereco de e-mail completo e sem erros e uma descricao que defina a que se refere
este e-mail. Ao final, clique no botao Salvar Configurac
oes como mostra a figura 12.21
a seguir.
Figura 12.21: Inclusao de e-mail na Whitelist do Antispam
12.7
Relat
orios
12.7.1
Fila
R passam por
Todas as mensagens que foram enviadas pelos usuarios de e-mail do Nettion
uma fila para serem processadas e, definitivamente, transmitidas aos seus destinatarios.
Enquanto aguardam o processamento, estas mensagens ficam em uma fila a qual o ad possvel aplicar filtros à consulta da fila,
ministrador pode verificar, conforme a figura. E
e com isso obter a origem e o destino do e-mail, o n
umero de tentativas de entrega e o
tamanho e o horario que o e-mail entrou na fila.
Figura 12.22: Registros de logs do E-mail
CAPITULO 12. E-MAIL
124
12.7.2
Logs
Apos o processamento de uma mensagem na fila, e feito um registro do que ocorreu com
ela. Na tela acima, e visto o status da mensagem, se foi entregue com sucesso ou se houve
algum problema na entrega.
Figura 12.23: Consulta de Mensagens
12.7.3
Auditoria
Na auditoria, ha uma lista de todas as mensagens que passaram pelo servidor. A auditoria
possibilita que o administrador visualize a copia de cada mensagem processada.
Figura 12.24: Auditoria de mensagens
12.7.4
Quarentena
A quarentena funciona de forma semelhante a` auditoria, guardando todos os e-mails que

estiverem contaminados com vrus. Tambem e permitido que o administrador visualize
uma copia de cada mensagem da quarentena.
Tambem e possvel gerenciar a quarentena, excluindo ou liberando os e-mails por ela
capturados. Para isso, no relatorio exibido da figura 12.25, selecione o e-mail o qual
deseja excluir ou liberar e clique no botao Editar. O e-mail retido sera exibido.

12.7. RELATORIOS
125
Figura 12.25: Quarentena de mensagens com vrus
Abaixo, como mostra a figura 12.26, o corpo do e-mail retido. Nesta tela, e possvel ver
o e-mail retido e decidir por deleta-lo ou libera-lo para ser entregue ao seu destinatario
atraves dos botoes Deletar ou Liberar.
Figura 12.26: Liberacao/Exclusao de e-mail retido na quarentena
Clique no botao Deletar para excluir definitivamente a mensagem da quarentena ou no

botao Liberar para retirar a mensagem da quarentena e entrega-la ao seu destinatario.
Obs1.: Para simplesmente excluir a mensagem da quarentena, nao e necessario edita-la,
pois o botao Deletar tambem esta disponvel na tela da quarentena como mostra a
figura 12.25.
CAPITULO 12. E-MAIL
126
12.7.5
Top Usu
arios
Os graficos de acessos no modulo de E-mail podem ser visualizados. Com isso, o administrador acompanha qual usuario envia mais e-mails e qual gera mais trafego no servidor
de e-mail. Veja na figura 12.27 a seguir:
Figura 12.27: Grafico do Top Mail
12.7.6
Quota Utilizada
Neste relatorio, o administrador pode visualizar a porcentagem de uso das contas de email. A visualizacao pode ser efetuada por domnio, ou mesmo por contas especficas.
Para isso, utilize as opcoes de filtros disponveis. Veja a figura 12.28 a seguir.
Figura 12.28: Relatorio de Uso da Quota de E-mail.
Captulo 13
Ferramentas
Todas as ferramentas possuem uma mesma interface, mas cada um dos servicos se aplicam
a`s funcoes definidas, como descritas abaixo:
13.1
Reverso
Esta opcao existe para identificar a qual domnio se refere um IP ou qual IP se refere a
um domnio especfico.
Caso o administrador preencha o campo IP/HOSTcom um IP, o resultado sera o seu
domnio equivalente.
Ex.1: IP/HOST: 200.253.251.31. Retorno: 200.253.251.31 www.pronix.com.br
Ex.2: IP/HOST: www.pronix.com.br. Retorno: www.pronix.com.br 200.253.251.31
Figura 13.1: Resolucao de nomes
13.2
Whois
O Whois ira retornar o relatorio de cadastro do respectivo IP ou domnio na FAPESP. O

relatorio tambem podera ser impresso.
13.3
Ping
O ping e utilizado para checar se uma determinada maquina esta conectada e ligada.
O processo, assim como os demais desta secao, e bastante simples: preencha o campo
IP/HOST com o IP a ser testado.
127
CAPITULO 13. FERRAMENTAS
128
13.4
Tracar rota
Para saber qual o caminho para uma determinada maquina (IP), preencha o campo
IP/HOST e aguarde a apresentacao do relatorio da rota percorrida para alcanca-lo.
13.5
Diagn
ostico de DNS
Nesta secao, o administrador pode executar um diagnostico de DNS, que vai apresentar
informacoes a respeito dos servidores SMTP, lista de nomes e IPS, lista dos nameservers
e autoridade do host. A consulta pode ser feita utilizando-se o endereco IP do host ou o
seu nome.
Figura 13.2: Diagnostico de DNS
Captulo 14
Sistema
14.1
Servicos
Atraves desta opcao e possvel visualizar de forma centralizada o estado atual (status)
de todos os servicos fornecidos pelo Nettion, tambem e possvel iniciar ou parar qualquer
servico. Para isso, clique na opcao Sistema Servicos para ter acesso à lista dos
R
servicos do Nettion .
Serao exibidos o status atual de cada servico (se iniciado ou
nao), e a opcao de alteracao deste status. Tambem existe a possibilidade de faze-lo
R atrav
iniciar juntamente com o Nettion ,
es da selecao da opcao Auto. Veja figura 14.1
abaixo.
Figura 14.1: Lista de servicos

A coluna Ac
ao apresentara para cada servico tres botoes: Start, Stop e Restart, com os
quais o administrador podera inicializar, parar ou reinicializar o respectivo servico. Caso
o servico esteja em funcionamento, aparecerao ativados os botoes Stop para para-lo e
129
CAPITULO 14. SISTEMA
130
Restart para reinicializa-lo. Caso esteja parado, somente o botao Start para inicializa-lo
aparecea ativo. Lembre-se de clicar no botao Ativar mudancas para os selecionado(s)
se a coluna Auto for alterada.
14.2
Plugins
Para informacoes mais detalhadas sobre os NettionPlugs, veja o Captulo 15 - NettionPlugs.
14.3
Backup
R
O Nettion
e um sistema que prove muitos servicos, dos quais alguns sao bastante crticos. Tais servicos compreendem uma grande quantidade de informacoes e configuracoes.
Os prejuzos causados pela possvel perda de tais informacoes podem ser, dependendo do
caso, incalculaveis.
Neste cenario, reinstalar e reconfigurar tudo, no momento de uma emergencia, seria

um processo bastante desgastante. Considerando-se este fator, foi criada uma forma de
backup do sistema que possibilita a restauracao imediata de todas as informacoes e conR e, conseq
figuracoes existentes no Nettion
uentemente, o retorno ao seu funcionamento
normal.
O processo consiste na geracao de um arquivo compactado contendo os dados do sistema,
bem como o envio de uma copia deste arquivo para uma maquina da sua rede atraves
R
de um compartilhamento Windows .
O administrador pode configurar o conte
udo do
arquivo de backup, o qual podera conter logs do Nettion, e-mails, alem de suas configuracoes.
O backup se da automaticamente de acordo com a periodicidade determinada pelo Administrador. Sera possvel ainda efetuar o acionamento manual do backup.
14.3.1
Configura
co
es
M
odulos
Para acessar o servico de Backup do Nettion, acesse o menu Sistema > Backup >
Configurac
oes > M
odulos. Na tela que sera exibida, e possvel selecionar os modulos
desejados os quais irao compor o arquivo de backup. Para concluir, clique no botao
Salvar Configurac
oes.
Lembre-se que, quanto mais modulos voce selecionar, mais espaco em disco sera necessario,
principalmente ao selecionar os modulos de e-mail e de alguns tipos de logs do sistema.
A figura 14.2 a seguir, exibe a tela de selecao de modulos do Backup do Nettion.
14.3. BACKUP
131
Figura 14.2: Modulos para backup

Armazenamento
R
Alem do arquivo de backup criado no Nettion ,
e importante tambem criar uma copia
deste arquivo em uma outra maquina da sua rede, pois assim o backup pode ser facilmente
armazenado em mdias proprias, criando assim jogos de backup. Para isso, clique na opcao
Armazenamento e preencha os campos conforme a descricao apresentada abaixo:
Figura 14.3: Compartilhamento Windows

Maquina: nome da maquina da rede onde serao realizadas as copias do arquivo. Ex.:
backup
IP: IP correspondente à maquina acima. Ex.: 128.0.021
132
Compartilhamento: nome do compartilhamento da maquina. Ex.: bkpnettion

Usuario1 : login do usuario com direito a gravar nestes diretorios. Ex.: Backup.
Senha: senha para poder realizar o acesso ao compartilhamento. Ex.: senha. Obs.:
A senha aparece sob mascara.
Ao fim, clique no botao Salvar Configuraco
es, como mostra a figura 14.3 acima.
Agendamento
Na figura 14.4 a seguir, e exibida e tela onde definimos a periodicidade com que serao
realizados os backups, especificando:
Figura 14.4: Configurando a freq

uencia com que o backup sera feito
Freq
uencia: periodicidade de realizacao do backup: diaria, semanal ou mensal. Ex.:
semanal
Dia: dia da semana ou do mes em que sera realizado o backup. Caso a freq
uencia
escolhida tenha sido semanal, serao listados os dias da semana (domingo, segunda,
terca, [...], sabado) nesta opcao. Caso seja mensal, apresentara os dias do mes (1,
2, 3, [...], 31). E, caso a freq
uencia escolhida tenha sido diario, esta opcao estara
inativa. Ex.: segunda.
Horario: horario em que sera realizada a copia de seguranca. Ex.: 01 : 00
Ao concluir, clique em Salvar Configurac
oes.
14.3.2
Manual
Vamos imaginar o caso em que, apos terem sido adicionadas configuracoes ao produto, o
administrador deseja realizar uma copia de backup imediatamente, ao inves de aguardar
pela copia a ser realizada pelo agendamento.
1
Caso o Nettion esteja sincronizado com um domnio Windows, indique um usuario/senha validas para o domnio
e certifique-se que este usu
ario tenha poder de escrita no compartilhamento selecionado.
14.3. BACKUP
133
Neste caso, selecione os modulos e inicie o backup clicando no botao Iniciar backup.
Figura 14.5: Backup manual
14.3.3
Relat
orios
Hist
orico
O historico dos backups sera exibido com as seguintes informacoes: data, hora, arquivo
e status. O status podera ter um sinal verde ou vermelho. O primeiro, sinalizando que
o backup foi realizado com sucesso e este u
ltimo, sinalizando que a gravacao do arquivo
nao foi executada com sucesso.
Figura 14.6: Historico de backups
134
Caso ocorra algum problema com o bakcup, o Nettion enviara automaticamente um e-mail
ao Administrador definido nas Configuracoes Basicas do produto.
14.4
Restore
O processo de restauracao de um backup e extremamente simples. Primeiramente, sele possvel selecionar o arquivo,
cione o arquivo de backup e clique no botao Upload. E
atraves do botao Procurar... que abrira uma janela de navegacao no diretorio, ou clicar
no botao Selecionar Arquivo, que apresentara uma lista dos arquivos de copia de seguranca disponveis para restauracao.
Figura 14.7: Restore

O administrador deve selecionar o arquivo de backup desejado e clicar no botao Selecionar.
Observac
ao: o arquivo de backup deve estar na mesma versao do Nettion instalado.
Apos a selecao do arquivo, por um dos meios citados, selecione dentre os modulos contidos
no backup quais serao restaurados e, em seguida, clique em Selecionar m
odulos . Nao
esqueca que o(s) modulo(s) selecionado(s) sera(ao) descompactado(s) e gravado(s) na
maquina sobrescrevendo os atuais dados, existentes para o modulo correspondente.
Este e um processo muito simples, entretanto, extremamente delicado, pois,
ATENC
AO:
ao se recuperar um backup, dependendo do caso, estaremos sobrescrevendo as configuracoes atuais do sistema.
14.5. EXPURGO
14.5
135
Expurgo
R realizam constantemente o registro de suas

Os diversos servicos que rodam no Nettion
atividades, chamados logs. O tamanho do(s) arquivo(s) de logs varia dependendo da
quantidade de usuarios, da liberdade de acesso que estes tenham e da quantidade de
servicos ativos. Com o intuito de liberar espaco em disco, os logs mais antigos devem ser
gradualmente apagados. Este processo recebe o nome de expurgo.
14.5.1
Configura
co
es
Status do disco por partic

ao
Figura 14.8: Status do disco por particao

O quadro mostra por particao um grafico em formato de pizza, que apresenta:
1. Em vermelho, o espaco do disco consumido;
2. Em amarelo, o espaco livre para a utilizacao com os seus respectivos percentuais.
Figura 14.9: Configuracao da freq

uencia de expurgo
Para configurar o expurgo automatico, deve-se informar e preencher o intervalo mnimo
para os logs que serao mantidos e os modulos cujos logs deseja-se apagar. Apos isso,
136
deve-se dar um clique no botao Iniciar Expurgoe clicar em Salvar Configuraco

es.
O processo de expurgo sera iniciado. A escolha da periodicidade depende da quantidade
de acessos que a empresa realiza e do espaco em disco ocupado.
14.5.2
Manual
O administrador pode efetuar, a qualquer tempo, um expurgo diferenciado do expurgo

automatico configurado, bastando informar qual o intervalo mnimo para os logs que serao
mantidos e os modulos cujos logs deseja-se apagar. Em seguida, clique no botao Iniciar
Expurgo, para iniciar o processo de expurgo.
Figura 14.10: Formulario de configuracao de expurgo manual
14.6
Update
R est
Por ser uma solucao baseada em software, o Nettion
a em constante evolucao. Conseq
uentemente, novas versoes do sistema sao lancadas, disponibilizando ao administrador
novas ferramentas que agregam uma maior funcionalidade a` solucao. A notificacao de novas versoes sao enviadas por e-mail ao clientes Nettion e tambem sao notificadas atraves
da barra superior do proprio software, que exibe uma mensagem em destaque indicando
a existencia de uma nova versao disponivel para atualizacao.
Atraves do update (menu Sistema Update), o administrador confere as novidades da

versao lancada em relacao a versao instalada. Veja a seguir como fazer o Update do seu
Nettion.
Na tela de update, temos dois quadros com os ttulos Passo 1 - Verificac
ao das atualizac
oes e download e Passo 2 - Selecionar arquivo para update. Clicando no
R checar
botao Verificar Atualizac
oes, no quadro 1, o Nettion
a a possvel existencia
de uma versao mais recente. Caso nao haja atualizacoes, a mensagem Sem atualizac
oes

14.7. GRAFICOS
137
no momento! sera exibida. Do contrario, as versoes mais recentes que serao listadas,
incluindo as informacoes detalhadas de cada uma delas.
Figura 14.11: Verificacao de Atualizacoes

O proximo passo e fazer o download do arquivo de Update. Para isso, clique no botao
Downloadno final da pagina. Neste momento, de acordo com as condicoes do seu contrato, o arquivo de atualizacao sera fornecido.
Figura 14.12: Upload do arquivo de update

Feito o download, volte a` pagina anterior e inicie a atualizacao selecionando o arquivo
correspondente a` nova versao, atraves do botao Procurar.... Apos seleciona-lo, clique
em Upload! e, na tela seguinte em Update para iniciar efetivamente a atualizacao do
R
seu Nettion .
As configuracoes existentes no sistema serao mantidas, ou seja, todos os
objetos, grupos, regras e demais informacoes permanecerao como anteriormente. Caso
exista alguma conseq
uencia para o update, esta sera avisada junto com o update.
14.7
Gr
aficos
O Nettion oferece graficos de consumo dos recursos do seu equipemaneto que sao u
teis
para avaliacao de uma possvel sobrecarga da maquina. Veja a seguir os graficos de
consumo de CPU, Memoria e Discos.
138
14.7.1
CPUs
No grafico de utilizacao da CPU, voce pode obter um historico de uso do processador

pelo usuario e pelo sistema dentro de um perodo de tempo, sendo possvel tambem o
acompanhamento em tempo real clicando no botao Start.
Figura 14.13: Grafico de consumo de CPU
14.7.2
Mem
oria
No grafico de utilizacao da Memoria, voce pode obter um historico de uso tanto da

memoria principal quanto do SWAP dentro de um perodo de tempo, sendo possvel
tambem o acompanhamento em tempo real, para isso clique no botao Start.
Figura 14.14: Grafico de consumo de Memoria
14.8. SOBRE
14.7.3
139
Discos
No grafico de utilizacao dos Discos, voce pode obter um historico de todos os dados lidos e
escritos dentro de um perodo de tempo, para ver em tempo real, clique no botao Start.
Figura 14.15: Grafico de utilizacao de Discos
14.8
Sobre
O administrador tera acesso, nesta secao, aos dados referentes à licenca e à versao do
R
Nettion .
Figura 14.16: Dados de licenca do Nettion
14.9
Auditoria
R Security Software tais

Diariamente, diversas operacoes sao realizadas no Nettion
como mudancas de objetos, regras de firewall e de proxy, dentre outras. Para visualizar
140
R voc
e acompanhar todas as acoes realizadas no Nettion ,
e pode utilizar o servico de
auditoria. Ela informa a data de alteracao, o modulo e o sub-modulo que foi alterado,
qual acao foi realizada, o usuario e o IP. Acesse o menu Auditoria atraves de Sistema
> Auditoria, conforme a figura 14.17 a seguir.
Figura 14.17: Auditoria de intervencoes realizadas no Nettion

Dica! Configure os perfis de usuario para que o administrador do sistema tenha um
usuario proprio para a administracao do produto. Assim, o usuario padrao nettion
sera utilizado exclusivamente pela equipe de suporte.
14.10
Desliga/Reinicia
R
Caso haja necessidade, o administrador podera reiniciar ou mesmo desligar o Nettion ,
selecionando um dos botoes desse topico.
Figura 14.18: Reiniciar ou Desligar o Nettion
Captulo 15
NettionPlugs
15.1
O que s
ao NettionPlugs?
R s
Os NettionPlugs
ao funcionalidades adicionais (plugins) que a Nettion Information
Security desenvolveu pensando nas necessidades especficas de cada cliente. Cada NettionPlug tem uma aplicacao diferente. Assim, voce decide qual plugin e o mais indicado
para o seu negocio. Cada plugin pode ser instalado para avaliacao por 15 dias. Apos este
perodo entre em contato com a sua revenda Nettion para fazer a aquisicao.
R
A aquisicao dos NettionPlugs e muito facil. Se a sua empresa ja possui o Nettion ,
basta acessar o menu Sistemas, selecionar a opcao Plugins e instalar a funcionalidade
desejada. Voce ainda ganha quinze dias totalmente gratuitos para testar a eficiencia
dos aplicativos.
15.2
Instalando os NettionPlugs
Para fazer a instalacao de NettionPlugs no seu Nettion, acesse o menu Sistema > Plugins, conforme mostra a figura 15.1 abaixo e siga os seguintes passos:
Figura 15.1: Instalacao dos NettionPlugs

Na listagem que sera exibida, o Nettion mostrara todos os NettionPlugs disponibilizados pela NIS;
141
CAPITULO 15. NETTIONPLUGS
142
Clique no botao Instalar do plugin desejado. Observe que caso a sua versao seja
anterior a requerida pelo plugin, esta opcao estara desabilitada. Neste caso atualize
sera necessario atualizar o seu Nettion antes;
Apos a instalacao, o sinalizador de status assumira a cor verde caso a sua empresa
ja tenha adquirido a licenca do plugin, ou assumira a cor laranja no caso de uma
instalacao para avaliacao.
Uma vez instalado, o plugin funcionara de forma totalmente integrada ao Nettion e estara
disponvel na arvore de menu, assim como as outras funcionalidades.
15.3
Chat Server
O Chat Server e um NettionPlug desenvolvido pela NIS para ser o comunicador instantaneo da sua empresa. O programa tem como base o Jabber, conhecido como o melhor
sistema de mensagens instantaneas para Linux.
Criado seguindo os padroes de qualidade da NIS, o Chat Server possui um servidor proprio
para a troca de mensagens internas. Com isso, voce evita a adicao de usuarios externos
e assegura a produtividade dentro da empresa.
O NettionPlug tambem permite a comunicacao com outras unidades de uma mesma
rede. Alem de economizar tarifas telefonicas voce ainda garante o sigilo e a seguranca das
mensagens trocadas, pois o aplicativo nao esta sujeito a vrus e demais ameacas comuns
a internet.
15.3.1
Configura
co
es
A configuracao do Chat Server e bastante simples uma vez que seus usuarios e sua autenticacao sao totalmente integradas ao Nettion. Com isso, a integracao do Chat a` sua
organizacao torna-se ainda mais simples e rapida.
Para configura-lo, acesse o menu Chat Server > Configurac
oes do seu Nettion. Na
tela seguinte informe os dados a seguir, conforme mostrado na figura 15.2 abaixo.
Figura 15.2: Configuracoes do Chat Server

Domnio: domnio internet da sua empresa. Este domnio fara parte da indentificacao do usuario para o servidor Chat;
15.3. CHAT SERVER
143
E-mail do administrador: indique o e-mail do administrador do servidor Chat;

Interface de funcionamento: Indique a interface de rede do Nettion que recebera
importante ressaltar que, se voce selecionar somente a sua interface
as conexoes. E
local, apenas as maquinas da sua rede local conseguirao conectar-se ao Chat server.
Logo, se voce selecionar somente a sua interface externa (interface ligada a internet),
apenas as maquinas na internet conseguirao ter acesso ao Chat Server. Selecionando
TODAS, tanto as suas maquinas da sua rede local, como as maquinas da internet
conseguirao se conectar.
15.3.2
Software Cliente (estac

oes)
Para que os usuarios acessem o Chat, e necessario a utilizacao de algum software compatvel com o protocolo Jabber instalado em suas estacoes. Os softwares a seguir sao
bastante conhecidos e utilizados para este fim:
Windows
Pandion
Exodus
Linux
Kopete
Gaim
Configurac
ao do software cliente
Nas configuracoes do software cliente, insira o IP interno do Nettion como sendo o servidor, e, para autenticar o usuario utilize nomedousuario+@suaempresa.com.br, onde
suaempresa.com.br e o domnio utilizado nas configuracoes do servidor (veja secao 15.3.1).
Ex: joao@suaemprsa.com.br. A senha sera de acordo com a autenticacao integrada do
Nettion, podendo ser no proprio Nettion, em um Windows Active Directory ou um servidor NIS (Linux).
15.3.3
Firewall
Para que as estacoes de rede tenham acesso ao servidor, e necessario que voce faca uma
liberacao no Firewall do Nettion. A porta a ser liberada, por padrao, e a 5222 do
protocolo TCP. Segue um resumo da regra de Firewall a ser criada na tabela 15.1 abaixo.
Regra: Intranet Nettion
Origem Destino
Serv. Destino Acao
Intranet localhost Chat Server1 Aceitar
Tabela 15.1: Liberacao do Chat Server
Observe que esta regra esta contemplando o acesso do objeto Rede Interna ao Chat Server
do Nettion. Inclua outras redes caso necessario.
1
Crie um objeto de servico para esta porta chamado Chat Server com a porta TCP 5222 - veja Captulo 4 Objetos.
144
15.3.4
Iniciando o servi
co Chat Server
Para iniciar o servico, clique no menu Sistema > Servicos. Depois clique no botao
Start referente ao servico Chat Server. Para manter o servico sempre ativo no boot
do Nettion, marque a caixa Auto e clique em Ativar mudancas para os servicos selecionados.
15.3.5
Mais informa
co
es
Acesse tambem o Passo a Passo disponvel no site do Nettion (www.nettion.com.br) para

mais informacoes de como configurar o servidor e os clientes deste plugin.
15.4
Blitz
Blitz e o NettionPlug responsavel pelo controle e gerenciamento do uso de MSN nas

empresas. Foi desenvolvido para organizacoes que necessitam usar comunicadores instantaneos para contatos comerciais.
Alem de controlar os nveis de permissao de MSN por usuario ou grupo de usuarios, o
Blitz possibilita a administracao de listas de contatos. Assim, se a sua empresa precisa
utilizar IM para se relacionar com contatos externos, com o NettionPlug voce garante
que a comunicacao seja estabelecida para fins apropriados.
O Blitz e um plugin totalmente web (integrado ao Nettion), ou seja, nao e necessario a
aquisicao de um novo hardware para a sua instalacao. Facilmente adquirido, o aplicativo
possui interface intuitiva e de simples administracao atraves de um wizard.
A funcionalidade foi desenvolvida pela NIS, visando o aumento da produtividade do seu
negocio, bem como a reducao do consumo de banda e tarifas telefonicas.
15.4.1
Como funciona?
O Blitz funciona como uma especie de servidor Proxy (Socks5) que tem a funcao de
possvel
intermediar o acesso MSN da sua rede, fazendo toda a filtragem do acesso. E
estabelecer, atraves de suas regras, quais usuarios terao acesso ao MSN e ate com quais
contatos eles poderao se comunicar, alem da auditoria das conversas.
Para isso, e necessario bloquear qualquer outra forma de acesso do MSN e configurar nas
estacoes (configuracoes do MSN) o Nettion como servidor Socks e Proxy obrigatoriamente.
Veja agora como evitar o acesso direto ao MSN.
15.4.2
Bloqueando o acesso direto ao MSN
Por padrao o software MSN procura varias alternativas de comunicacao com seu servidor
na Internet, e para forcarmos a sua saida somente via Blitz, e necessario bloquear tais
alternativas de acesso direto.
Caso as estacoes da sua rede estejam utilizando o Proxy do Nettion, algumas configuracoes
devem ser feitas:
15.4. BLITZ
145
1. Bloquear a expressao gateway.dll, e para isso siga os seguintes passos:

Crie um grupo de objetos de expressoes chamado Bloquear MSN. Qualquer d
uvida
a respeito de como configurar os objetos de expressoes, veja o Captulo 4 - Objetos.
Inclua neste grupo o termo gateway.dll como sendo do tipo palavra, nao-inteira,
qualquer posicao.
2. Criar uma regra no seu Proxy bloqueando o grupo de expressoes criado acima. Aplique
esta regra a todos os usuarios ou aos usuarios que voce deseja bloquear o acesso direto
ao MSN. Crie esta regra na primeira posicao para evitar que outra regra mais generica
libere o acesso. Qualquer d
uvida sobre regras de Proxy, acesse o Captulo 6 - Proxy.
3. Liberar algumas URLS que o MSN utiliza para fazer a autenticacao do usuario em seu
servidor. Da mesma forma, crie um grupo de expressoes chamado Liberar logon MSN
e nele inclua os seguintes termos como sendo do tipo expressao regular:
nexus.passport.com:443
login.live.com:443
loginnet.passport.com:443
omega.contacts.msn.com:443
storage.msn.com:443
Install Messenger.exe
4. Criar outra regra no Proxy liberando este grupo de expressoes. Voce pode liberar
para qualquer usuario uma vez que o controle vai ficar no proprio Blitz. Crie esta regra
na posicao 2, apos a regra de bloqueio do MSN. Qualquer d
uvida sobre regras de Proxy,
acesse o Captulo 6 - Proxy.
Tambem e necessario criar regras no firewall que impecam qualquer tentativa de acesso
ao MSN atraves de um possvel mascaramento. Para isso, deve-se criar no firewall uma
regra bloqueando o acesso de toda a intranet (ou pelo menos dos IPs dos usuarios que
deverao acessar via Blitz) às redes da Microsoft (65.52.0.0/14 e 207.46.0.0/16) nas portas
1863/TCP, 80/TCP e 443/TCP. Esta regra deve ficar nas primeiras posicoes, assegurando
assim que ela fique acima de qualquer mascaramento existente (salvo os mascaramentos
de usuarios que, porventura, nao acessem o MSN via Blitz) como mostra a tabela 15.2.
Regra: Intranet -> Microsoft
Origem
Destino
Serv. Destino
Rede Interna Range MS1/Range MS2 msn/http/https
Acao
Bloquear
Tabela 15.2: Bloqueando o acesso ao MSN via mascaramento

Obs1: Antes de criar a regra, crie objetos de Hosts e Redes contendo as
ranges da Microsoft aqui citadas (por exemplo RangeMS1 e RangeMS2).
Para maiores informacoes sobre como criar objetos de Hosts e Redes, veja o
Captulo 4 Objetos.
146
Obs2: Crie tambem um objeto de servico com a porta 1863/TCP chamado

msn. Para maiores informacoes sobre como criar objetos de servicos, veja o
Captulo 4 Objetos.
Obs3: Os servicos http e https tambem devem ser inclusos na regra de bloqueio. Veja a regra de resumo a seguir na tabela 15.2.
15.4.3
Auditoria
Todas as conversas realizadas via Blitz sao auditadas. Para acompanhar as conversas,
clique no menu Blitz > Auditoria, todas as conversas serao exibidas por data. Para
visualizar o conte
udo de uma conversa, selecione-a e clique no botao itens, como mostra
a figura 15.3 abaixo.
Figura 15.3: Auditoria de Conversas do Blitz
15.4.4
Firewall
Agora e necessario liberar que o proprio Nettion faca conexoes a partir do servico Blitz.
Para isso e preciso criar uma regra liberando o trafego partindo do Nettion com destino
a porta 1863/TCP, como segue na regra de resumo a seguir na tabela 15.3.
Regra: Blitz -> Internet
Origem
Destino
Serv. Destino Acao
localhost Qualquer msn
Aceitar
Tabela 15.3: Liberando o servico Blitz
15.4. BLITZ
147
Obs: antes de criar a regra, verifique a existencia de alguma regra que ja

contemple esta liberacao, caso contrario, crie antes de criar a regra sugerida
um objeto de servico com a porta 1863/TCP chamado msn. Para maiores
informacoes sobre como criar objetos de servicos, veja o Captulo 4 - Objetos.
Alem desta regra, e necessario tambem liberar o acesso da rede interna ao servico Blitz,
que funciona por padrao na porta TCP 1080. Veja a regra de resumo a seguir na tabela
15.4.
Regra: Intranet -> Blitz
Origem
Destino
Serv. Destino Acao
Rede Interna localhost blitz
Aceitar
Tabela 15.4: Liberando acesso ao Blitz
Obs: antes de criar a regra, verifique a existencia de alguma regra que ja
contemple esta liberacao, caso contrario, crie antes de criar a regra sugerida
um objeto de servico com a porta 1080/TCP chamado blitz. Para maiores
informacoes sobre como criar objetos de servicos, veja o Captulo 4 - Objetos.
15.4.5
Configura
co
es
Assim como o Proxy e o Firewall do Nettion, o Blitz tambem possui uma poltica de
padrao de acesso. Ela vai definir o que sera feito caso o usuario nao se encaixe em alguma
regra de acesso, que serao vistas mais à frente.
A poltica padrao e configurada atraves do menu Blitz > Configurac
oes. Neste
menu, tambem e possvel definir se os usuarios serao avisados que as suas conversas
estarao sendo auditadas e gravadas. Para isso, marque a opcao Habilitar notificac
ao
de auditoria no incio da sess
ao como mostra a figura 15.4 abaixo.
Figura 15.4: Configuracoes Basicas do Blitz
148
Normalmente a poltica padrao e definida como Negar qualquer acesso e atraves das
regras sao liberados somente os usuarios que realmente tenham que acessar o MSN, bem
como os contatos com os quais podem se comunicar.
15.4.6
Cataloga
c
ao autom
atica de contatos
Atraves dos menus Contatos e Grupos do Blitz voce pode inserir manualmente os
contatos com quem seus usuarios poderao se comunicar com mostra a figura 15.5 abaixo.
Figura 15.5: Inclusao Manual de um Contato

Porem, o Blitz oferece uma maneira automatica de catalogacao destes contatos, que ocorre
no momento em que o usuario faz a sua primeira1 conexao atraves do Blitz.
Este processo facilita bastante a manutencao das regras, como sera visto mais à frente.
Na guia Passports de Usuarios, e possvel ver os contatos organizados por cada passport.
Para ver os contatos de um passport, selecione-o e clique no botao Itens como mostra a
figura 15.6 a seguir.
Figura 15.6: Visualizacao de Contatos por Passaporte
15.4.7
Regras
O Wizard de criacao das regras do Blitz e muito semelhante ao dos outros servicos do
Nettion, como o Firewall e o Proxy.
1
Nas conex
oes seguintes o Blitz s
o faz a manutencao destes contatos, incluindo ou excluindo, conforme necess
ario.
15.4. BLITZ
149
Para criar regras no Blitz, clique no menu Blitz > Regras e siga os passos a seguir:
Passo 1:
Na tela de listagem de regras, clique no botao Incluir, conforme exibido na figura 15.7
a seguir.
Figura 15.7: Listagem/Inclusao de Regras do Blitz
Passo 2:
Na primeira tela do Wizard, defina uma descricao para a regra, uma acao, a posicao
(define a ordem de priodidade da regra) e, por fim, selecione o status da regra, como
exibido na figura 15.8 a seguir.
Figura 15.8: Descricao da Regra no Blitz
Passo 3:
150
Na tela seguinte, selecione o horario em que a regra sera aplicada, de acordo com os
objetos de horarios previamente definidos, veja a figura 15.9.
Figura 15.9: Selecao de Horario para Regra no Blitz

Passo 4:
Nesta tela voce definira com quais contatos os usuarios poderao se comunicar. Em Filtros
de Origem selecione o(s) usuario(s), e em Filtros de Destino selecione o(s) contato(s)
permitidos para este(s) usuario(s). Veja figura 15.10.
Figura 15.10: Selecao de Usuarios e Passaportes da Regra

Passo 5:
Na u
ltima tela do Wizard, voce define se sera permitido para o(s) usuario(s) da regra
bate-papo e/ou transferencia de arquivos com o(s) contato(s) selecionados. Para finalizar
a criacao da regra, clique no botao Concluir. Veja figura 15.11 a seguir.
15.4. BLITZ
151
Figura 15.11: Definicao das Atividades Permitidas via Blitz
15.4.8
Iniciando o servi
co Blitz
Para iniciar o servico, clique no menu Sistema > Servicos. Depois clique no botao
Start referente ao servico Blitz. Para manter o servico sempre ativo no boot do Nettion, marque a caixa Auto e clique em Ativar mudancas para os servicos selecionados.
15.4.9
Configurando as estac
oes
Agora e necessario fazer a configuracao das estacoes, apontando no MSN o IP do Nettion

Blitz. Dependendo da versao do MSN, o local da configuracao pode variar. Porem, de
um modo geral, voce deve indicar o servidor socks e http do seu MSN. Geralmente o
caminho e Ferramentas > Opc
oes > Conex
ao. Aponte para o IP do Nettion o
servico socks e http proxy. E necessario que voce tambem indique as informacoes de
autenticacao do usuario (usuario e senha).
Figura 15.12: Configuracoes de Conexao do MSN via Blitz
152
15.4.10
Mais informa
c
oes

mais informacoes de como configurar o servidor e os clientes deste plugin.
15.5
OpenVPN
O OpenVPN e mais uma forma de VPN oferecida pelo Nettion. Atraves deste recurso
voce pode interligar redes entre matriz e filiais, ou permitir que um usuario externo
acesse a sua rede de forma simples e segura. Um grande diferencial do OpenVPN e sua
possibilidade de operar mesmo em ambientes de internet com mascaramento(NAT), como
em redes de hoteis, cyber-cafes ou aeroportos.
Apos a instalacao (ver topico 15.2 deste captulo), voce acessa este plugin atraves do menu
VPN > OpenVPN do seu Nettion. Ele oferece dois tipos de conexoes, coforme sera
mostrado a seguir:
15.5.1
Nettion-Nettion
Esta opcao permite interligar duas ou mais redes atraves da VPN (como interligar filiais
a` Matriz). Cada uma com um Nettion e com o Plugin OpenVPN instalado. Neste caso,
um dos Nettions vai ser o servidor da VPN e o outro sera o Cliente.
15.5.2
Configurando o Servidor OpenVPN
Para configurar uma conexao OpenVPN Nettion-Nettion, acesse o menuVPN > OpenVPN > Nettion-Nettion > Conex
oes. A seguinte tela sera exibida:
Figura 15.13: Listagem das Conexoes OpenVPN

Para criar uma nova conexao, clique no botao Incluir. Os seguintes passos devem ser
seguidos:
Passo 1:
Na primeira pagina do Wizard defina os seguintes campos:
15.5. OPENVPN
153
Tipo: Servidor;
Nome: identifique o nome da conexao;
Status: Ativo;
Porta: o Nettion ja oferece uma sugestao de porta automaticamente. Cada t
unel
OpenVPN funcionara em uma porta diferente - lembre-se de criar a regra de Firewall
correspondente a esta porta para liberar a conexao VPN;
Protocolo: UDP (padrao);
Compressao LZO: aplique para otimizar o trafego dentro da VPN com a compressao
dos dados.
Veja a figura a seguir:
Figura 15.14: Criacao da Regra OpenVPN

Passo 2:
Na pagina seguinte defina:
Local
IP: indique o IP/Hostname pelo qual o(s) Nettion(s) cliente(s) encontrarao este
Nettion;
IP Virtual: indique um IP virtual para conexao entre os Nettions apos o estabelecimento da VPN. Ex: 192.168.200.1;
Redes: indique a(s) rede(s) locais que farao comunicacao com a(s) rede(s) remota(s);
Remoto
IP: indique o IP do Nettion cliente. Caso ele nao possua um IP fixo, deixe este
campo em branco.
IP Virtual: este campo sera preenchido automaticamente.
Redes: indique a(s) rede(s) remotas que farao comunicacao com a(s) rede(s)
locais(s);
Clique no botao Concluir para criar a conexao.
154
Figura 15.15: Definicao das Redes da Conexao OpenVPN

Configurando o Cliente OpenVPN
Agora que o servidor esta criado, e hora de configurar o(s) Nettion(s) cliente(s). Para
facilitar esta tarefa, o Nettion servidor da VPN oferece a exportacao do arquivo que faz
toda a configuracao do cliente.
Para exportar o arquivo, acesse o Nettion Servidor da OpenVPN, va ate a listagem de
conexoes e clique duas vezes na conexao servidor que voce acabou de criar. Na tela
seguinte, em Exportar configuracoes para clientes Nettion, defina uma senha de seguranca para o arquivo e clique em no botao Exportar. Em seguida, salve o arquivo
para que seja utilizado na configuracao do Nettion cliente. Veja a imagem a seguir:
Figura 15.16: Exportacao do arquivos de Configuracao do Cliente Nettion OpenVPN

Agora, acesse o Nettion cliente da VPN e siga os passos a seguir:
Acesse o menu VPN > OpenVPN > Nettion-Nettion > Conex
oes;
15.5. OPENVPN
155
Na tela seguinte, da listagem de conexoes, clique no botao Incluir;

Na primeira pagina do Wizard defina os seguintes campos:
Tipo: Selecione agora o tipo Cliente;
Nome: indique um nome para a conexao;
Em Importar configuracoes, selecione o arquivo exportado pelo servidor, insira
a senha de seguranca do arquivo e clique em Importar. Neste momento o
Nettion importara toda a configuracao necessaria da conexao.
Clique no botao Concluir conforme a figura a seguir.
Figura 15.17: Importacao do arquivo de Configuracao do OpenVPN
Firewall
Como comentado anteriormente, cada t
unel OpenVPN funciona em uma porta diferente,
de acordo com a sua configuracao no momento de criar o t
unel servidor. Para que as
conexoes possam ser estabelecidas, libere no seu Firewall a conexao entre os servidores
nas portas utilizadas.
Supondo que o servidor esteja configurado para a porta 1184/UDP, crie um objeto de
servico com esta porta e crie uma regra de Firewall conforme mostrado na tabela 15.5:
Regra: Liberando servidor OpenVPN
Origem
Destino
Serv. Destino Acao
ClienteOpenVPN localhost openvpn1
Aceitar
Tabela 15.5: Acesso ao servidor OpenVPN
Neste caso, estamos liberando apenas para o objeto ClienteOpenVPn conectar ao servidor. Caso nao seja possvel identificar a origem da conexao, deixe a origem em branco
(Qualquer).
Alem da regra para permitir a interligacao entre os Nettions, e necessario tambem liberar
o trafego entre as redes da VPN de acordo com as suas necessidades. Veja resumo da
regra necessaria na tabela 15.6.
156
Regra: Liberando tr
afego dentro da VPN
Origem
Destino
Serv. Destino Acao
Rede Local Rede Remota Qualquer
Aceitar
Iniciando o servico OpenVPN
Agora que o servidor e o cliente estao devidamente configurados, inicie o servico OpenVPN
em cada Nettion (servidor e cliente) no menu Sistema > Servicos.
Por u
ltimo, inicie o t
unel. Atraves da tela de listagem das conexoes clique no botao
Start correspodente a` conexao criada para iniciar o t
unel entre os Nettions (Veja o
topico 15.5.2). Neste momento o status indicativo da conexao deve ficar verde e as
estacoes das redes ja podem se comunicar entre si. Caso nao, verifique se nao esqueceu
algum passo acima.
15.5.3
Nettion-Usu
arios
Esta modalidade de OpenVPN permite a conexao segura de usuarios externos a` sua

organizacao. Atraves do t
unel estabelecido, os usuarios podem ter acesso aos recursos
da rede como compartilhamentos, sistemas e impressoras de acordo com a poltica de
seguranca adotada, como se estivessem conectados localmente à rede.
Como comentado anteriormente, um dos grandes diferenciais deste plugin e sua possibilidade de operar mesmo em ambientes de internet com mascaramento(NAT), como em
redes de hoteis, cyber-cafes ou aeroportos. Outras caractersticas importantes sao a sua
facilidade de configuracao (tanto servidor quanto clientes) e a sua flexibilizacao quanto
a` autenticacao dos usuarios, que opera juntamente com a autenticacao centralizada do
Nettion.
15.5.4
Configura
co
es
Para configurar o servidor OpenVPN, acesseVPN > OpenVPN > Nettion-Usu

arios
> Configurac
oes e siga os passos a seguir:
Passo 1: Na primeira pagina da tela de configuracao informe os seguintes itens:
Status: indique o status do servidor - Ativo;
Nome da conexao: indique um nome para a conexao - o Nettion ja fara uma sugestao;
Interface de funcionamento: aqui voce pode escolher uma interface especfica (a que
possui IP p
ublico) ou Todas para esperar conexoes em qualquer interface;
IP do Servidor: indique o IP atraves do qual seu Nettion sera encontrado pelos
clientes. Geralmente sera o IP p
ublico do seu Nettion, mas em situacoes onde o
Nettion esta sendo mascarado (NAT) por um roteador, por exemplo, indique o IP
p
ublico do roteador;
Rede virtual - Rede que sera criada entre o Nettion e os usuarios conectados
15.5. OPENVPN
157
Rede: sera a rede virtual - o Nettion ja fara a indicacao automatica;

Marcara da rede: indique a mascara da rede - o Nettion tambem indicara;
IP do servidor: sera o IP do Nettion dentro da rede virtual;
IPs dos clientes: sera o intervalo de IPs que sera fornecido aos clientes da VPN;
Redes acessadas pelos usuarios - Redes que o nettion fornece acesso para usuarios
conectados;
Selecione para a coluna da esquerda as redes locais que serao oferecidas aos
usuarios da VPN;
Veja a tela a seguir:
Figura 15.18: Configuracao da Conexao Nettion-Usuarios

Passo 2: Na pagina de Controle de Acesso indique:
Por padrao os usuarios validos (autenticados) da rede terao acesso. Mas e possvel
especificar quais usuarios terao acesso. Para isso, selecione a opcao Permitir apenas
os usuarios selecionados;
Em Grupos e Usuario, especifique quais grupos e/ou usuarios terao permissao de
acesso. Como dito anteriormente, os usuarios serao autenticados, no momento da
conexao, na base indicada no sistema de Autenticacao centralizada do Nettion.
Obs 1.: Para criar um usuario e conceder-lhe o acesso via OpenVPN ele deve
ser criado antes da criacao da regra do OPenVPN. Para isso veja como proceder
para a criacao de Usuarios no captulo 5 deste manual;
recomendavel que sejam selecionados SOMENTE os usuarios que
Obs 2.: E
devem ter acesso a` VPN para evitar a acao de usuarios mal-intencionados;
recomendavel o uso de senhas fortes, ou seja, senhas que contenham
Obs 3.: E
letras (mai
usculas e min
usculas), n
umeros e caracteres especiais.
158
Figura 15.19: Selecao de Usuarios para Acesso via OpenVPN

Passo 3: Na pagina de configuracoes Avancadas indique:
Porta: o Nettion ja sugere a porta de conexao;
Procoloco: o protocolo padrao e o UDP;
Compressao LZO: utilize compressao para otimizar o trafego dentro do t
unel;
Tipo do servidor: utilize a opcao Tunel para ponto a ponto (padrao) ou Ethernet
para conexao semelhante a uma rede Ethernet;
Permitir conexao entre clientes: Por padrao a conexao entre clientes e permitida.
Veja a seguinte figura:
Figura 15.20: Especificacoes Avancadas da Conexao OpenVPN
15.5. OPENVPN
15.5.5
159
Conex
oes Ativas
Em Conexoes Ativas serao listadas as conexoes VPN atualmente estabelecidas ao Nettion.

Na listagem e possvel identificar o nome do Usuario, data e hora em que a conexao foi
etabelecida e e possvel tambem desconectar o usuario atraves do botao Stop. Veja
figura 15.21.
Figura 15.21: Lista de Usuarios Ativos
Relat
orios
EmVPN > OpenVPN > Nettion-Usu
arios > Relat
orios > Conex
oesvoce tem
acesso ao historico de conexoes feitas ao servidor OpenVPN. Atraves do filtro, e possvel
fazer buscas detalhadas sobre os acessos feitos, como mostra a figura 15.22 abaixo.
Figura 15.22: Relatorio de Acessos do OpenVPN
Firewall
Para que os usuarios externos possam conectar-se ao Nettion e necessario fazer uma liberacao no Firewall do Nettion. Para isso crie uma regra permitindo o acesso de Qualquer
host (Internet) em direcao ao Nettion na porta estabelecida para o servidor.
Supondo que o servidor esteja configurado para a porta padrao, 1183/UDP, crie um
objeto de servico com esta porta chamado openvpn-clientes, e crie uma regra de Firewall
conforme mostrado na tabela 15.7:
160
Regra: Liberando servidor OpenVPN

Origem
Destino
Serv. Destino
Acao
Qualquer localhost openvpn-Clientes Aceitar
Tabela 15.7: Acesso ao servidor OpenVPN
Alem da regra para permitir a interligacao dos clientes ao Nettions, e necessario tambem
liberar o trafego entre as redes locais permitidas e a rede virtual configurada. Veja resumo
da regra necessaria na tabela 15.8.
Regra: Liberando tr
afego dentro da VPN
Origem
Destino
Serv. Destino Acao
Rede Local Rede Virtual Qualquer
Aceitar
Observac
ao: o objeto Rede Virtual corresponde ao IP estabelecido na configuracao do
servidor OpenVPN - veja secao 15.5.4.
Iniciando o servico OpenVPN
Inicie o servidor OpenVPN atraves do menu Sistema > Servicos. Para obter mais
informacoes sobre como iniciar servicos no Nettion, consulte o topico 14.1.
Configurac
ao dos clientes
Nas estacoes clientes Windows, baixe e instale o software OpenVPN Client. A instalacao
nas estacoes e bastante simples e segue o padrao de instaladores de software para esta
plataforma.
Figura 15.23: Exportacao das Configuracoes para o OpenVPN Client

Uma vez instalado, e hora de fazer a configuracao. Para facilitar esta tarefa, o Nettion
servidor da VPN oferece a exportacao do arquivo que faz toda a configuracao do cliente.
Veja a figura acima.
15.6. DNS
161
Para exportar este arquivo, entre novamente nas configuracoes do OpenVPN NettionUsuarios e clique no botao Download. Caso esta opcao ainda nao esteja disponvel e
porque a configuracao do servidor ainda nao foi efetuada.
Agora, na estacao Windows, com o OpenVPN Client instaldo, clique com o botao direito
no cone do OpenVPN Client e escolha a opcao Nova Conexao (Nettion). Na janela
seguinte, selecione o arquivo exportado pelo Nettion. Com isso a configuracao estara
finalizada.
Obs.: Apos a instalacao, note que um novo cone aparecera ao lado do relogio
do Windows, na barra do menu Iniciar.
Figura 15.24: Importacao do Arquivo de Configuracao no OpenVPN Client

Agora e hora de conectar. para isso, clique novamente com o botao direito no cone
do OpenVPN Client e escolha a opcao Conectar. Neste momento aparecera uma tela
solicitando seu nome de usuario e senha para autenticacao no Nettion. Lembrando que
esta autenticacao e feita de acordo com a autenticacao centralizada configurada no seu
Nettion.
Apos a conexao acesse a sua rede normalmente.
15.5.6
Mais informa
co
es

mais informacoes sobre a configuracao deste plugin.
15.6
DNS
DNS e o NettionPlug responsavel pelas resolucoes de nomes diretos e reversos.

O DNS e um sistema hierarquico. O mais alto nvel e representado por . e denominado
raiz. Sob . ha diversos Domnios de Alto Nvel (TLDs), sendo ORG, COM, EDU e
NET os mais conhecidos.
162
Existem 13 servidores DNS raiz no mundo todo e sem eles a Internet nao funcionaria.
Destes, dez estao localizados nos Estados Unidos da America, um na Asia

e dois na
Europa.
Para Aumentar a base instalada destes servidores, foram criadas Replicas localizadas por
todo o mundo, inclusive no Brasil desde 2003. Ou seja, os servidores de diretorios responsaveis por prover informacoes como nomes e enderecos das maquinas sao normalmente
chamados servidores de nomes. Na Internet, o servico de nomes usado e o DNS, que apresenta uma arquitetura cliente/servidor, podendo envolver varios servidores DNS durante
a resposta a uma consulta.
15.6.1
Como funciona?
A Arquitetura do servico DNS e distribuida em Masters e Slaves. O primeiro e o re ele quem notifica os outros servidores, onde
sponsavel e deve ser alterado inicialmente. E
estao as replicas das informacoes. Esses sao chamados de Slaves, pois apenas recebem as
informacoes do Master.
Existem dois tipos de resolucoes: uma direta, quando queremos encontrar um IP de
um nome, e outra quando temos um IP e queremos saber o seu nome. Esta segunda
forma tem uma organizacao diferenciada e garante que um determinado IP e de uma rede
conhecida. Por exemplo, um servidor de E-Mail (SMTP) recebe uma conexao do host
de origem reconhecido por 192.168.5.4. Para este IP poder enviar e-mails tem que ter o
reverso configurado. Isto, para prevenir uma possvel fraude. Os domnios reversos estao
na arvore in-addr.arpa. Esta arvore nao esta aberta ao p
ublico. Por isso, e confiavel.
No exemplo acima o reverso do IP seria 4.5.168.192.in-addr.arpa.
Apos a instalacao, voce acessa este plugin atraves do menu DNS > Domnios.
Figura 15.25: Demonstracao de um esquema de DNS
15.6.2
Domnios Masters
Esta modalidade permite que voce crie e gerencie seus domnios Masters. Existem dois
campos que aparecem somente na criacao do domnio: SOA e NS, itens necessarios ao
funcionamento de qualquer DNS. O SOA (Start Of Autority) e o servidor de consulta
ele quem determinara os outros nomes do domnio. O NS e a autoridade do
inicial. E
domnio ele pode ser usado para resolver os nomes do domnio, mas geralmente e utilizado
para desafogar o SOA.
15.6. DNS
163
Para configurar um domnio, acesse no menu DNS > Domnios e clique no botao
Incluir. Na primeira tela do wizard de inclusao, configure:
Nome: Nome do domnio que voce ira criar;
Descricao: Descricao do domnio a qual voce ira gerenciar;
Tipo: O tipo de domnio que voce ira criar. Neste caso Master;
Status: Ativo;
SOA: Incio da autoriade do domnio (Somente na criacao do master);
NS: NS do domnio master.
Como mostra a figura abaixo.
Figura 15.26: Configuracao de um Domnio DNS

Na segunda tela do wizard, selecione os servidores slaves que serao notificados pelo master,
lembrando que a toda a lista de Itens do tipo NS serao notificados tambem.
Figura 15.27: Selecao de Slavers DNS

Na terceira tela do wizard (Botao de configuracoes avancadas), que e opcional, configure:
164
TTL: Tempo de validade das informacoes de cache em outros servidores;

Expira em: Tempo total de tentativas de atualizacao;
Atualiza em: Tempo requerido para a atualizacao;
Retenta em: Tempo de retentativas em caso de falhas nas atualizacoes;
Postmaster: E-mail do administrador do domnio;
Veja a figura.
Figura 15.28: Configuracoes Avancadas de um Domnio DNS
15.6.3
Itens do Domnio Master
Para acessar esta modalidade, selecione o domnio ao qual se deseja incluir os itens e
clique no botao Itens, no lado direito e inferior da tela. Na janela seguinte, clique no
botao Incluir. Na tela que sera exibida, informe:
No campo Tipo: Definir o tipo do item. Existem 6 tipos de de itens:
SOA: Start of Authority, marca o comeco dos dados de uma zona e define
parametros que afetam a zona inteira.
NS: Identifica o servidor de nomes de um domnio.
MX: Mail eXchange, Lista de servidores de e-mail para entrega (SMTP).
A: Resolucao direta de um nome para um IP.
CNAME: Define um alias para um hostname.
PTR: Mapeia o endereco para um hostname.
TXT: Permite a criacao de registros SPF, DKIM (DomainKeys) e fornecimento
de informacoes adicionais.
Exemplo:
SPF: example.net. IN TXT v=spf1 a mx ip4:192.0.2.32/27 -all
DKIM: mail. domainkey.example.net. IN TXT g=\; k=rsa\; t=y\;p=MF...XYZ
INFO: example.net. IN TXT em caso de problema ligue (85)4005-1188
15.6. DNS
165
Campo descricao: Descricao para o gerenciamento dos itens;

Campo Prioridade: Definir a prioridade do servidor MX;
Campo IP/Host: Para definir hosts de resolucoes aos tipos PTR, A e CNAME;
Campo Resolve em: Usado para determinar a resolucao do nome ou tipo;
Campo Status: Definir o status do item;
Figura 15.29: Inclusao de Itens no Domnio DNS
15.6.4
Domnios Slaves
Esta modalidade permite que voce crie e gerencie seus domnios Slaves. Para isso, acesse
no menu DNS > Domnios e clique no botao Incluir. Na primeira tela do wizard
de inclusao, configure:
Nome: Nome do domnio que voce ira criar;
Descricao: Descricao do domnio a qual voce ira gerenciar;
Tipo: O tipo de domnio que voce ira criar. Neste caso Slave;
Status: Ativo;
Figura 15.30: Inclusao de Domnio Slave no DNS
166
Na segunda tela do wizard, selecione os servidores Masters que ele deve sincronizar. Deve
ser selecionado obrigatoriamente um servidor1 , como mostra a figura abaixo.
Figura 15.31: Selecao de Masters DNS
15.6.5
Itens do Domnio Slave
Os itens do domnio Slave serao todos os itens importados do domnio Master.
15.6.6
Domnios Reversos
Os domnios reversos sao tipos especiais. Sua sintax e in-addr.arpa. Eles seguem Ao
lado do campo NOME, existe um botao chamado GERAR O REVERSO, no wizard de
criacao, que facilitara o trabalho. Ao ser clicado, ele solicitara o ip/mascra no formato
xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy. Assim, o nome sera mudado para o formato correto.
15.6.7
Iniciando o servi
co DNS
Inicie o servidor DNS atraves do menu Sistema > Servicos > Servidor de Nomes.
Para obter mais informacoes sobre como iniciar servicos no Nettion, consulte o topico 14.1.
15.6.8
Firewall com DNS
Para que os usuarios externos possam conectar-se ao Nettion e necessario fazer uma
liberacao no Firewall do Nettion. Para isso, crie uma regra permitindo o acesso de
qualquer host (Internet) em direcao ao Nettion, na porta estabelecida para o servidor.
Supondo que o servidor esteja configurado para a porta padrao, 53/UDP 53/TCP, utilize
o servico predefinido DNS e crie uma regra de Firewall, conforme mostrado na tabela
15.9:
1
Crie um objeto com o nome do servidor e seu IP associado. Veja o captulo 4 - Objetos
15.7. GETMAIL
167
Regra: Liberando servidor DNS
Origem
Destino Serv. Destino Acao
Qualquer localhost
DNS
Aceitar
Tabela 15.9: Acesso ao servidor DNS
15.6.9
Mais informa
co
es
Para maiores informacoes sobre a configuracao deste plugin, acesse tambem o Passo a
Passo, disponvel no site do (www.nettion.com.br).
15.7
GetMail
O NettionPlug GetMail funciona como um captador de mensagens de e-mail de servidores

remotos (POP ou IMAP) e direciona-os a um u
nico servidor de e-mail (geralmente o
servidor de e-mails padrao da empresa), facilitando a gerencia de mensagens que dizem
respeito ao negocio da empresa. Com o GetMail os usuarios nao precisam acessar contas
de e-mails de terceiros, nem webmails, e contam ainda com a seguranca de um anti-vrus
e um anti-spam para filtrar as mensagens baixadas, caso o servidor de e-mails da empresa
seja o proprio Nettion (contas locais). Dessa forma, voce diminui significativamente os
riscos de adquirir vrus e garante uma maior produtividade dos seus colaboradores.
15.7.1
Vantagens
O NettionPlug GetMail proporciona as seguintes vantagens:

Velocidade e seguranca no acesso aos e-mails;
Controle de vrus e spam no acesso às mensagens de provedores externos;
Melhor gerencia de recursos;
Compatibilidade com a solucao de mensagens utilizada na sua empresa, estando apto
para qualquer ambiente de rede;
Busca de mensagens em diversos servidores de -mail, independente do provedor;
Criacao de permissao de acesso, determinando quais contas externas podem ser
acessadas.
15.7.2
Configura
co
es
Para configurar o GetMail, acesse o menu GetMail > Configurac

oes. Na tela que
sera exibida, informe:
Intervalo de verificacao: Intervalo de tempo (em segundos) dentro do qual as verificacoes por novos e-mails serao efetuadas;
Servidor de Destino (SMTP): Servidor que sera utilizado para o envio das mensagens
(Geralmente o proprio Nettion).
168
Depois, clique no botao Salvar Configuraco

es, como mostra a figura 15.32 abaixo.
Figura 15.32: Configuracao Basica do GetMail
15.7.3
Contas de Origem
Para iniciarmos a criacao das regras do GetMail, precisamos primeiramente cadastrar as

contas de origem, ou seja, as contas das quais desejamos obter os e-mails. Para incluir as
contas, cliqe no botao Incluirconforme mostrado na figura 15.33 apresentada a seguir.
Figura 15.33: Lista de Contas de Origem Criadas

Na tela que sera exibida, informe:
Servidor de Origem: o nome/IP do servidor POP/POP3 da conta de origem. Exemplo: pop3.bol.com.br;
Usuario: o usuario de acesso da conta;
Senha: a senha utilizada para login;
Confirmacao: redigite a senha para login.
As informacoes acima devem ser digitadas corretamente para que o acesso do GetMail a`
conta possa ser realizado com sucesso. Tais informacoes devem ser obtidas diretamente
com os usuarios de cada conta de origem cadastrada. Veja a figura 15.34 a seguir.
15.7. GETMAIL
169
Figura 15.34: Criacao da Conta de Origem
15.7.4
Regras
O processo de criacao de uma regra no GetMail e bastante simples. Basicamente, consiste

em especificar uma ou mais contas de origem e especificar uma conta de destino, que pode
ser local(Contas no proprio Nettion) ou remota (Contas em outros servidores). Para isso,
siga os seguintes passos:
Passo 1:
Para criar uma regra no GetMail, acesse Getmail > Regras. Na tela que sera exibida,
informe:
Descricao: Descricao resumida da regra;
Protocolo: Selecione aqui o protocolo a ser utilizado POP ou IMAP;
Status: Ativo, para fazer com que a regra entre em efeito imediatamente.
Veja a figura 15.35 a seguir.
Figura 15.35: Criacao da Regra no GetMail
170
Passo 2:
Na tela seguinte, especifique em Contas de Origem as contas das quais voce deseja obter
os e-mails (Lembre-se que elas devem ser criadas previamente). Em Conta de Destino,
especifique se a conta de destino e Local ou Remota. Para Local, selecione a conta de
e-mail local para a qual os e-mails serao encaminhados. Para Remota, digite o endereco
eletronico da conta de e-mail do servidor remoto. Selecione tambem uma das tres opcoes
abaixo:
Obter tambem os e-mails ja lidos: Especifica que o GetMail tambem deve trazer
e-mails que ja tenham sido lidos;
Manter mensagens no servidor: Especifica se sera deixada no servidor de origem
copias das mensagens que estao sendo obtidas;
Conectar de forma segura (TLS): Marque esta opcao se o servidor de origem exigir
autenticacao segura.
Veja a figura 15.36 abaixo.
Figura 15.36: Selecao das Contas de Origem/Destino

Ao final, clique no botao Concluir para finalizar a criacao da regra.
15.7.5
Iniciando o servi
co GetMail
Inicie o GetMail atraves do menu Sistema > Servicos > Getmail. Para obter mais
informacoes sobre como iniciar servicos no Nettion, consulte o topico 14.1.
15.7.6
Mais informa
co
es
Para maiores informacoes sobre este plugin, acesse tambem o site em (www.nettion.com.br).

Manual Nettion

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual Nettion

Enviado por

Direitos autorais:

Formatos disponíveis

2

R Copyright 2002-2009 by Nettion Information Security.

Revisado e atualizado por Deyvson Matos, em 5 de janeiro de 2009.

R Para baixar o Manual da S

Manutencao dos Itens do Objeto . . . . . . . . . . . . . . . . . . . 38

Manutencao do cadastro de domnios . . . . . . . . . . . . . . . . . 41

Manutencao do Cadastro de Hosts e Redes . . . . . . . . . . . . . . 40

Manutencao do Cadastro de Expressoes . . . . . . . . . . . . . . . . 42

Manutencao do cadastro de horarios . . . . . . . . . . . . . . . . . 43

Manutencao do cadastro de Usuarios . . . . . . . . . . . . . . . . . 53

Manutencao do cadastro de Grupos . . . . . . . . . . . . . . . . . . 52

Regras de Firewall Necessarias . . . . . . . . . . . . . . . . . . . . . . . . . 57

Proxy com autenticacao . . . . . . . . . . . . . . . . . . . . . . . . 58

Limpeza do Cache do Proxy . . . . . . . . . . . . . . . . . . . . . . 60

Base de URLs Categorizadas . . . . . . . . . . . . . . . . . . . . . 61

Historico de Atualizacoes de URLs . . . . . . . . . . . . . . . . . . 62

Composicao de regras do Proxy . . . . . . . . . . . . . . . . . . . . . . . . 64

Tela 1 - Definicao da regra . . . . . . . . . . . . . . . . . . . . . . . 64

Tela 4 - Aplicar para . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Visualizando acessos a partir do grafico . . . . . . . . . . . . . . . . 71

Configurando as estacoes da rede . . . . . . . . . . . . . . . . . . . . . . . 72

Realocacao dinamica de banda . . . . . . . . . . . . . . . . . . . . . . . . . 74

Definicao da Interface de rede . . . . . . . . . . . . . . . . . . . . . 75

Ativando o servico de Controle de Banda . . . . . . . . . . . . . . . . . . . 78

Regras basicas do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Acesso Nettion -> Internet . . . . . . . . . . . . . . . . . . . . . . . 85

Resolucao de nomes para a rede interna

Incluindo uma nova regra . . . . . . . . . . . . . . . . . . . . . . . 80

Manutencao do cadastro de clientes para VPN PPTP . . . . . . . . 89

11.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

12.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

12.1.3 Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

12.2.1 Incluir um domnio . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

12.5.1 Atualizacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

12.7 Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

13.1 Reverso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

14.1 Servicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

14.5 Expurgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

15.1 O que sao NettionPlugs? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

15.4.7 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

15.5 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

Com a necessidade de conexao direta das organizacoes `a internet, o fator Seguranca da

o Sistema de Autenticacao Integrada do Nettion facilita o controle dos usuarios na

Figura 2.1: Primeiro formulario de registro

CNPJ/CPF: CNPJ no caso de pessoa jurdica ou CPF, se pessoa fsica;

Figura 2.2: Segundo formulario do registro

R o administrador deve logar-se,

Usuario: nome do usuario. Ex.: nettion;

2.4. TELA INICIAL

Figura 2.3: Formulario de login

R a tela inicial (home)

Figura 2.4: Tela Inicial do Nettion

Os NettionPlugs instalados e datas de instalacao e expiracao;

Figura 2.5: Desabilitando Quadros na Tela Inicial

R o administrador deve acessar o menu Configura

Figura 3.1: Configuracao dos Graficos do Sistema

Figura 3.2: Alteracao de senha

Figura 3.3: Configuracoes de E-mail

Figura 3.4: Portas de Administracao HTTP e SSH

Figura 3.5: Configuracao manual de data e hora

(a) Clock Local

Figura 3.6: Configuracao Servidor NTP

R pelo Administrador do Sistema e pelo Suporte RePermite o acesso ao Nettion

Se as portas padrao forem modificadas, objetos de servicos personalizados deverao ser