Escolar Documentos
Profissional Documentos
Cultura Documentos
ndice
NDICE .......................................................................................................................................................................... 2
NDICE DE FIGURAS....................................................................................................................................................... 9
1.
INTRODUO ....................................................................................................................................................31
1.1.
1.2.
1.3.
1.4.
2.
3.
3.15.
3.16.
3.17.
4.
5.
12.
11.
10.
9.
8.
7.
6.
12.1.
12.2.
12.3.
13.
14.
19.
18.
17.
16.
15.
20.1.
20.2.
21.1.
21.2.
21.3.
21.4.
Aker Security Solutions
..................................................................................562
22.1.
22.2.
23.1.
23.2.
23.3.
23.4.
23.5.
23.6.
23.7.
23.8.
23.9.
23.10.
23.11.
23.12.
23.13.
24.1.
24.2.
25.
26.
32.
31.
30.
29.
28.
27.
32.1.
33.
34.
38.
37.
36.
35.
38.1.
38.2.
38.3.
38.4.
38.5.
39.
ARQUIVOS DO SISTEMA...................................................................................................................................957
39.1.
40.
41.
42.
43.
44.
44.2.
44.3.
44.4.
44.5.
44.6.
44.7.
44.8.
45.
45.2.
45.3.
45.4.
45.5.
45.6.
45.7.
45.8.
45.9.
45.10.
45.11.
46.
10
11
12
13
Figura 176 - Definio de Pseudo-Grupos para usurios que se autenticarem por meio de
autoridade certificadora. ....................................................................................................... 236
Figura 177 - Cadastro de agente externo tipo Agente IDS. ................................................... 237
Figura 178 - Cadastro de agente externo tipo Analisador de texto. ..................................... 238
Figura 179 - Cadastro de agente externo tipo Mdulo de Antivrus. .................................... 238
Figura 180 - Cadastro de agente externo tipo Spam Meter. ................................................. 239
Figura 181 - Cadastro de agente externo Servidor Remoto. ................................................. 239
Figura 182 - Cadastro de agente externo Autenticador LDAP. .............................................. 240
Figura 183 - Cadastro de agente externo Autenticador Radius. ........................................... 242
Figura 184 - Incluso e edio de servios............................................................................. 243
Figura 185 - Incluso e edio de interfaces. ........................................................................ 245
Figura 186 - Incluso e edio de listas de e-mails. ............................................................... 247
Figura 187 - Opo para realizar uma operao sobre um e-mail ou domnio. .................... 248
Figura 188 - Lista dos tipos de arquivos................................................................................. 248
Figura 189 - Opo para realizar uma operao (Entrada da lista). ...................................... 249
Figura 190 - Acumuladores. ................................................................................................... 250
Figura 191 - Cadastro de entidade tipo Canal. ...................................................................... 251
Figura 192 - Mensagem de entrada no Assistente de criao de entidades......................... 258
Figura 193 - Escolha do tipo de entidade. ............................................................................. 259
Figura 194 - Insero do endereo de IP da mquina. .......................................................... 260
Figura 195 - Atribuio do nome da entidade. ...................................................................... 261
Figura 196 - Escolha do cone da entidade. ........................................................................... 262
Figura 197 - Mensagem de finalizao do cadastramento de entidades. ............................. 263
Figura 198 Esquema de funcionamento de um PIM .......................................................... 268
Figura 199 - Dispositivos remotos (Acesso a janela de configurao das regras). ................ 272
Figura 200 - Janelas de regras de filtragem. .......................................................................... 273
Figura 201 - Menu com opes de entidades referente ao campo. ..................................... 274
Figura 202 - cones de verificao de regras. ........................................................................ 277
Figura 203 - Verificador de regras. ........................................................................................ 278
Figura 204 - Regras de filtragem (Exemplo de canal de 10Mb - ADSL). ................................ 278
Figura 205 - Ajustes de prioridade de canal. ......................................................................... 279
Figura 206 - Exemplo de como trabalhar com polticas de filtragem.................................... 280
Figura 207 - Exemplo de regras de filtragem. ........................................................................ 281
Figura 208 - Interface regras de filtragem. ............................................................................ 281
Figura 209 - Barra de cones (Poltica). .................................................................................. 281
Figura 210 - Exibio das regras de filtragem. ....................................................................... 282
Figura 211 - Assistente de regras filtragem (janela exibida quando um nmero pequeno de
regras for detectado. ............................................................................................................. 286
Figura 212 - Mensagem de boas vindas ao Assistente de regras filtragem. ......................... 287
Figura 213 - Escolha da rede interna e configurao inicial. ................................................. 288
Figura 214 - Tela de acesso para escolha de acesso restrito ou no internet. ................... 289
Aker Security Solutions
14
15
16
17
18
19
20
21
22
23
Figura 564 - Menu de operao para acessar o nome do filtro ou forma de concatenao.
................................................................................................................................................ 770
Figura 565 - Operaes de filtragem. .................................................................................... 771
Figura 566 - IPS/IDS. ............................................................................................................... 773
Figura 567 - IPS/IDS Regras IDS. .......................................................................................... 774
Figura 568 - Menu para execuo de operao de regras. ................................................... 775
Figura 569 - IPS/IDS Filtros IDS............................................................................................ 776
Figura 570 - Classificaes ..................................................................................................... 777
Figura 571 - Opes de protocolos ........................................................................................ 778
Figura 572 - Opes de concatenao ................................................................................... 778
Figura 573 - Filtros IDS Configurao do filtro. ................................................................... 779
Figura 574 - Opes de protocolo.......................................................................................... 780
Figura 575 - Classe de ameaas ............................................................................................. 780
Figura 576 - Opes de direo ............................................................................................. 780
Figura 577 - IPS/IDS - Portscan. ............................................................................................. 781
Figura 578 - IPS/IDS IDS Externo. ........................................................................................ 783
Figura 579 - IPS/IDS ................................................................................................................ 785
Figura 580 - Configurao geral ............................................................................................. 786
Figura 581 - Download das bases de filtros ........................................................................... 787
Figura 582 - Estado das bases de filtros................................................................................. 788
Figura 583 -: IPs bloqueados. ................................................................................................. 789
Figura 584 - IPs bloqueados. .................................................................................................. 790
Figura 585 - Configurao IDS configurao. ...................................................................... 792
Figura 586 - Firewalls usados. ................................................................................................ 794
Figura 587 - Configurao de IDS log. ................................................................................. 795
Figura 588 - Configurao de IDS eventos. ......................................................................... 796
Figura 589 - TCP/IP. ................................................................................................................ 802
Figura 590 - DHCP. ................................................................................................................. 803
Figura 591 - Servidor DHCP. ................................................................................................... 804
Figura 592 - Relay DHCP entre redes. .................................................................................... 805
Figura 593 - Servidor DHCP interno. ...................................................................................... 806
Figura 594 - DNS..................................................................................................................... 807
Figura 595 - TCP/IP - DNS ....................................................................................................... 808
Figura 596 - Interfaces de rede. ............................................................................................. 809
Figura 597 - Interfaces de redes. ........................................................................................... 809
Figura 598 - Menu: configurao ou modificao de endereo IP. ....................................... 810
Figura 599 - Menu de criao: VLAN. .................................................................................... 811
Figura 600 - Configurao PPPoE. .......................................................................................... 812
Figura 601 - Roteamento. ...................................................................................................... 814
Figura 602 - Janela de Roteamento. ...................................................................................... 815
Figura 603 - Roteamento - Geral. .......................................................................................... 816
Aker Security Solutions
24
Figura 604 - Rip via Interface Texto (via SSH) ........................................................................ 818
Figura 605 - Rip via Interface Texto (via SSH) ........................................................................ 831
Figura 606 - Acesso ao protocolo BGP ................................................................................... 848
Figura 607 - Roteamento avanado. ...................................................................................... 870
Figura 608 - Exemplo de laboratrio de teste balanceamento de rotas. ........................... 871
Figura 609 - Teste e configuraes NAT exemplo A. ....................................................... 871
Figura 610 - Teste e configuraes Balanceamento de link exemplo B. ......................... 872
Figura 611 - Teste e configuraes NAT exemplo B. .......................................................... 872
Figura 612 - Teste e configuraes Balanceamento de link exemplo B. ......................... 872
Figura 613 - Roteamento. ...................................................................................................... 873
Figura 614 - Modo de configurao para interfaces de rede. ............................................... 875
Figura 615 - Configurao de Interfaces. ............................................................................... 876
Figura 616 - Lista da interfaces de rede. ................................................................................ 877
Figura 617 - Mdulo de configurao para interfaces de rede. ............................................ 877
Figura 618 - Cadastro de VLan. .............................................................................................. 878
Figura 619 - Configurao de interfaces. ............................................................................... 879
Figura 620 - Configurao de rotas estticas......................................................................... 880
Figura 621 - Configurao de rotas estticas entrada de dados. ....................................... 881
Figura 622 - Configurao de DNS. ........................................................................................ 882
Figura 623 - Mdulo de configurao para interfaces de rede. ............................................ 882
Figura 624 Configurando o WIDS ........................................................................................ 887
Figura 625 Desabilitando o AP ............................................................................................ 888
Figura 626 Especificando o canal da interface.................................................................... 888
Figura 627 Selecionando o nome da Interface ................................................................... 889
Figura 628 Iniciando o servidor........................................................................................... 889
Figura 629 janela de monitoramento do WIDS .................................................................. 890
Figura 630 Opes ao sair do WIDS .................................................................................... 890
Figura 631 - Interfaces de rede .............................................................................................. 894
Figura 632 - Interface de rede Internet Mvel ................................................................... 894
Figura 633 - Configurao 3G................................................................................................. 895
Figura 634 Janela de acesso (Wireless)............................................................................... 921
Figura 635 Wireless aba Configuraes........................................................................... 922
Figura 636 Wireless (Avanado).......................................................................................... 923
Figura 637 WDS no Aker Firewall........................................................................................ 924
Figura 638 Wireless opo Avancado ................................................................................. 924
Figura 639 Wireless aba WDS ............................................................................................. 925
Figura 640 Wireless aba Usurios Conectados ................................................................... 926
Figura 641 Wireless aba Filtro MAC .................................................................................... 927
Figura 642 - Wireless aba WDS .............................................................................................. 928
Figura 643 - Selecionar a opo 5 Configurar interfaces Bridge ..................................... 931
Figura 644 - Selecione a opo 2 Adicionar interface ..................................................... 931
Aker Security Solutions
25
Figura 645 - Insira o nmero o qual a interface Bridge ser referenciada ............................ 932
Figura 646 - Aperte a tecla Enter, para concluir a insero de sua nova interface Bridge.
................................................................................................................................................ 932
Figura 647 - Configurao do cluster. .................................................................................... 936
Figura 648 - Criar cluster. ....................................................................................................... 937
Figura 649 - Configurao do cluster configuraes gerais. ............................................... 938
Figura 650 - Configurao do cluster: Adicionar membro..................................................... 940
Figura 651 - Estatsticas do cluster. ....................................................................................... 941
Figura 652 - Estatsticas do cluster: Firewall 1. ...................................................................... 942
Figura 653 - Estatsticas do cluster: Grfico. .......................................................................... 943
Figura 654 - configurao do Cluster. .................................................................................... 944
Figura 655 - Criar Cluster. ...................................................................................................... 944
Figura 656 - Preenchimento dos campos para criar cluster. ................................................. 945
Figura 657 Exemplo: criar cluster. ...................................................................................... 946
Figura 658 - Mensagem de configurao realizada com sucesso. ........................................ 946
Figura 659 Mensagem que o usurio ser desconectado para as configuraes serem
recarregadas. ......................................................................................................................... 947
Figura 660 - Escolha do cluster corporativo. ......................................................................... 947
Figura 661 - Pop-up informando que ao mudar o tipo de cluster ser realizado um reincio
do servidor. ............................................................................................................................ 948
Figura 662 - Configurao do Cluster. ................................................................................... 949
Figura 663 - Escolha Multicast. .............................................................................................. 949
Figura 664 - Adicionar entidades. .......................................................................................... 950
Figura 665 - Acesso ao servidor SSH. ..................................................................................... 951
Figura 666 - Cadastro de MAC. .............................................................................................. 951
Figura 667 - Cluster cooperativo montado. ........................................................................... 952
Figura 668 - Interface Texto (via SSH) exemplo 1: mostrando a configurao da interface.
................................................................................................................................................ 954
Figura 669 - Esquema de funcionamento do Aker Client ...................................................... 966
Figura 670 Esquema de funcionamento do Secure Roaming no Aker Client. .................... 969
Figura 671 - Dados encriptados passando pelo tnel virtual atravs de uma rede pblica . 971
Figura 672 - Encapsulamento GRE ......................................................................................... 973
Figura 673 - Formato do datagrama da mensagem de controle PPTP .................................. 974
Figura 674 - Encapsulamento de uma mensagem de dados usando PPTP. .......................... 974
Figura 675 - Arquitetura de funcionamento do protocolo L2TP. .......................................... 975
Figura 676 - Exemplo de encapsulamento de um pacote para trfego pelo tnel
(tunelamento IP). ................................................................................................................... 976
Figura 677 - Encapsulamento realizado pelo protocolo IPSec. ............................................. 976
Figura 678 - Certificado .......................................................................................................... 983
Figura 679 - Instalando o Aker Client ..................................................................................... 986
Figura 680 Contrato de licena do programa ..................................................................... 987
Aker Security Solutions
26
27
28
29
30
O Aker Firewall possui duas interfaces distintas para sua configurao: uma Interface
Remota e uma Interface Texto (via SSH) Local.
Aker Security Solutions
31
A Interface Remota: chamada de remota porque por meio dela possvel administrar
remotamente, via Internet, um Aker Firewall localizado em qualquer parte do mundo.
Esta administrao feita por meio de um canal seguro entre a interface e o firewall,
com um forte esquema de autenticao e criptografia, de modo a torn-la totalmente
segura.
A Interface Remota: de uso intuitivo e est disponvel para plataformas Windows e
Linux.
A Interface Texto (via SSH): totalmente orientada linha de comando que roda na
mquina onde o firewall est instalado. O seu objetivo bsico possibilitar a automao
de tarefas da administrao do Aker Firewall (por meio da criao de scripts) e
possibilitar uma interao de qualquer script escrito pelo administrador com o Firewall.
Praticamente todas as variveis que podem ser configuradas pela Interface Remota
podero ser configuradas tambm pela Interface Texto (via SSH).
Como as duas interfaces tratam das mesmas variveis, a funcionalidade, os valores e os
comentrios destas tm validade tanto para Interface Remota quanto para a Interface
Texto (via SSH). Devido a isso, os tpicos referentes Interface Texto (via SSH)
normalmente sero curtos e se limitaro a mostrar seu funcionamento. Caso tenha
dvida sobre algum parmetro, deve-se recorrer explicao do mesmo no tpico
relativo Interface Remota.
No possvel o uso simultneo de vrias interfaces grficas para um mesmo Firewall, nem o
uso da Interface Texto (via SSH) enquanto existir uma Interface Remota aberta.
1.3. O Firewall
32
33
34
Este captulo mostra como se instala o Aker Firewall, seus requisitos de hardware, software e
instalao.
Para o firewall
O Aker Firewall roda sobre o sistema operacional proprietrio, em plataformas Intel ou
compatveis.
Para que o Aker Firewall execute todos os componentes de hardware de maneira
satisfatria, necessrio possuir as seguintes configuraes:
Para utilizar um link com alta taxa de transferncia ou aplicar criptografia em um link com
velocidade relativamente alta, recomenda-se o uso de um computador mais potente.
Para fazer um melhor uso dos servios de proxy e de criptografia, ser necessrio utilizar
memria maior ou igual a 512 Mbytes.
Para armazenar os logs do sistema por um grande espao de tempo recomenda-se o uso de
discos maiores.
Isso s necessrio durante a instalao ou caso se pretenda utilizar a Interface Texto (via
SSH) a partir do console, entretanto altamente recomendado em todos os casos.
Placa(s) de rede.
No existe um nmero mximo de placas de rede que podem ser colocadas no Firewall. A
nica limitao existente a limitao do prprio hardware. Caso necessite de um grande
nmero de interfaces de rede, pode-se optar por placas com mais de uma sada na mesma
interface.
35
Todos os componentes do hardware devem ser suportados pelo sistema operacional na qual a
interface ser instalada, em alguma das verses aceitas pelo produto.
36
37
Logo em seguida, surgir a tela com o Contrato de Licena do Programa. Leia todas as
informaes com ateno.
Selecionar a opo Aceito o contrato de licena e clique no boto Avanar.
38
Abaixo aparece um texto, dizendo que as configuraes do aplicativo podem ser instaladas
para o usurio atual ou para todos os que partilham o computador (para isso necessrio
ter direitos de administrador). Escolher uma das opes: Qualquer pessoa que usa este
computador ou Somente para mim.
Ao trmino, clique no boto Avanar.
39
A tela Pasta de destino permite ao usurio selecionar uma pasta aonde deseja instalar o
aplicativo.
40
41
42
Ao concluir a instalao ser apresentada a mensagem que o Aker Control Center 2 foi instalado
com xito.
O Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box. Sendo
comprado desta forma, o produto j vem instalado e pr-configurado. Caso tenha optado
por comprar apenas o software (verso IS), a instalao dever ser feita na mquina
escolhida, o que ser explicado neste tpico.
Para instal-lo deve-se iniciar a mquina com o CD-ROM de instalao ou com o PEN DRIVE
cujos downloads podem ser efetuados no site da Aker.
Para gravar o PEN DRIVE, siga os passos abaixo:
1. Efetue o download do arquivo no site da Aker (www.aker.com.br);
43
2. Verifique se o pen drive no Linux est com sdb, digite o comando como root.
#dmesg | grep sd ou #fdisk l sero mostradas as informaes de disco da
mquina e encontre o pen drive.
3. Aps identificar em qual device o Linux montou o pen drive, digite o comando
dd if=<nome do arquivo que fez o download> | gunzip | dd of=/dev/<device que se
encontra o pen drive>.
Exemplo: dd if=<aker-box-2.0-pt-installer.img.gz | gunzip | dd of=/dev/sdb
4. Pronto. Seu pen drive um instalado dos produtos da Aker.
2.4. Instalao do Aker Firewall box (IS/VM)
O Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box.
A seguir a instalao do Aker Firewall IS/VM.
Pr-requisitos
Instalao
Ao iniciar o sistema, selecione a opo 1. Instalar Aker Firewall 6.7.
44
Na prxima tela, digite sda para definir o disco aonde a instalao ser feita, e pressione a
tecla <enter>
45
Nesta tela entre com a senha padro para configurar o Aker Firewall.
Caso o usurio perca sua senha de acesso, o mesmo deve entrar em contato com o suporte.
Em seguida o as informaes do contrato de licena entre o usurio e a Aker sero exibidas.
46
47
48
Nesta janela o usurio pode configurar a data e hora do sistema caso esteja incorreta.
Pressione a tecla S para configurar a data e hora, ou N para prosseguir com a instalao.
A prxima tela permite que o usurio configure a Interface de rede, pressione a tecla S
para configurar a interface de rede ou N para prosseguir com a instalao.
Aker Security Solutions
49
Na prxima tela selecione a interface de rede que a configurao ser efetuada, no exemplo
abaixo ETH0.
50
A janela a seguir ser exibida, perguntando se o usurio deseja configura uma Vlan Filha
para sua Interface, pressione a tecla S para configurar, ou N para prosseguir com a
instalao da interface de rede.
A janela a seguir ser exibida, perguntando se o usurio deseja configura uma interface
PPPoE, pressione a tecla S para configurar, ou N para prosseguir com a instalao da
interface de rede.
51
A janela a seguir ser exibida, perguntando se o usurio deseja usar DHCP nesta interface,
pressione a tecla S para configurar, ou N para prosseguir com a instalao da interface
de rede.
Nesta tela a seguir o usurio deve inserir o endereo IP e a mascara para sua rede, uma alias
ser configurada para esta interface.
52
Aps definir as configuraes para a interface de rede, o usurio retornara para a tela inicial
da configurao de interfaces de rede, pressione a tecla <enter> para retornar ao menu
principal do modulo de configurao para interfaces de rede.
53
54
55
Insira o/os servidores e selecione a opo 5 Sair para retornar ao menu principal do
modulo de configurao para interfaces de rede.
56
Na tela de configura de rota padro, entre com o endereo IP para sua rota, e pressione a
tecla <enter>.
57
Na prxima tela o usurio deve definir qual interface de rede que originar os endereos IP
do firewall em questo.
Endereos IPs originados por est interface no sero contabilizados.
58
Na prxima tela o usurio poder definir uma conta de administrador para seu firewall.
Pressione a tecla S para configurar uma conta de administrador ou N para prosseguir
com a configurao.
59
Pressione S para confirmar a criao usurio administrador. Logo aps pressione a tecla
<enter> para prosseguir com a instalao.
Na prxima tela necessrio que o usurio cadastre um endereo de IP que ter permisso
de administrar o firewall remotamente por meio de outra. Aps inserir o endereo IP
pressione a tecla <enter> para prosseguir com a configurao.
Na prxima tela o usurio pode criar um segredo que ser usado para gerenciar seu firewall
por meio do Aker Configuration Manager.
60
A configurao do LCD deve ser feita logo aps o termino da instalao do Aker firewall.
Para configurar o LCD do hardware siga os passos a seguir:
Na tela exibida a seguir selecione o modelo do seu hardware (em caso de dvidas consulte o
datasheet do Aker Firewall: http://www.aker.com.br/sites/default/files/datasheets/dtakerFirewallUTM_hardwareEnterprise67.pdf)
61
Este programa realiza a Instalao do Firewall Aker e da Interface Texto (via SSH) de
configurao local. Surgir a seguinte pergunta:
Aps responder Sim, o programa de instalao mostra a licena de uso do Aker Firewall.
Para prosseguir, necessrio aceitar todos os termos e condies contidas na licena.
Quando aceitos, o programa prosseguir com a instalao mostrando seu progresso por
meio de uma srie de mensagens autoexplicativas.
Aps terminar de copiar os arquivos, o programa de instalao far algumas perguntas de
modo a realizar a configurao especfica para cada sistema.
A tela a seguir ser exibida:
62
Aps responder Sim, sero instaladas todas as dependncias necessrias para que o Aker
Firewall funcione.
Configurao do sistema completada. E necessrio agora ativar a cpia instalada por meio
da digitao da chave de ativao que foi entregue ao se adquirir o produto.
A chave de ativao, o nome da empresa e o endereo IP da interface externa devem ser
digitados exatamente como constam no documento entregue pela Aker Consultoria e
Informtica ou seu representante.
Pressione Enter para continuar.
Aps digitar enter, o programa mostra uma tela solicitando o caminho onde o arquivo da
chave de ativao est salvo.
Caso a chave seja vlida, o programa prosseguir com a instalao.
necessrio definir se o nome da interface de rede externa do firewall e os endereos IP
que se originarem desta interface no sero contabilizados no nmero mximo de licenas
do produto.
A interface externa deve assumir um dos seguintes valores:
Aker Security Solutions
63
eth0;
eth1;
eth2.
Insira a interface externa: a configurao da interface externa usada apenas para o controle
de licenas do firewall. Deve-se informar o nome da interface que estar conectada Internet.
A especificao da interface externa no possui nenhuma implicao de segurana. Nenhum
controle de acesso feito levando-se em conta esta interface.
Ativao do sistema completada. Agora se configura alguns parmetros do Firewall Aker: Voc
pode cadastrar agora um endereo IP para possibilitar que o firewall seja administrado
remotamente a partir de outra mquina. Deseja cadastrar este IP (S/N).
Aps responder Sim, digite o endereo IP da mquina onde est instalado o Aker Control
Center.
Pode-se cadastrar automaticamente um administrador capaz de gerenciar remotamente o
firewall. Este administrador tem plenos poderes em relao ao firewall e a partir dele novos
usurios podero ser cadastrados.
Em caso de NO cadastramento de administrador, no ser possvel administrar o firewall a
partir da Interface Remota, apenas por meio da Interface Texto (via SSH) local.
Voc deseja criar este administrador (S/N)?
Para que seja possvel administrar o firewall a partir da Interface Remota necessrio cadastrar
um administrador, devendo-se responder S a esta pergunta. De qualquer forma possvel
cadastrar posteriormente outros administradores por meio das interfaces locais de
administrao. A explicao de como fazer isso, se encontra no captulo intitulado
Administrando usurios do firewall.
Caso tenha optado por incluir um novo administrador, uma tela abre pedindo os dados do
administrador a ser cadastrado. Um exemplo desta tela se encontra abaixo (cabe mencionar
que a senha do administrador a ser cadastrado no mostrada na tela).
64
2.6. Como alterar o tipo de interface de rede no VMware para uso no Aker Firewall 6.7
Por padro ao adicionar uma interface na VmWare ele configura como E1000 ou E1000e,
mas em alguns casos este tipo de configurao no compatvel com o sistema operacional
a ser utilizado.
No firewall, por exemplo, depois de alguns testes foi constatado que por estar com a
configurao E1000 a navegao e a rede apresentam certa lentido. Aps realizar a troca
para VMxNet3 a rede e a navegao voltam ao normal.
Configurando novas interfaces no VmWare
Ao conectar na VmWare clique com o boto direito do mouse na mquina virtual a ser
alterada e entre nas configuraes, conforme apresenta a imagem abaixo:
65
Para criar uma nova interface com as configuraes sugeridas neste documento, clique no
boto Add:
66
Escolha o item que ir adicionar, neste caso, a interface de rede clique em Next:
67
68
69
70
Flexible: O adaptador de rede Flexible se identifica com um adaptador Vlance quando uma
mquina virtual faz o boot, mas ele se inicia juntamente com suas funes como uma
Vlance ou como um adaptador VMXNET, dependendo do driver o qual o inicializou. Com o
VMware Tools instalado, o driver do VMXNET altera o adaptador Vlance para o adaptador
VMXNET de maior performance.
E1000: uma verso emulado do Intel 82545EM Gigabit Ethernet NIC. Um driver para este
NIC no incluso com todos os sistemas operacionais convidados. Tipicamente as verses
Linux 2.4.19 e verses posteriores, Windows XP Professional x64 ou verses posteriores,
Windows Server 2003 (32-bit) e verses superiores incluem o driver E1000.
Obs: O E1000 no suporta Jumbo Frames antecessores ao ESXi/ESX 4.1.
E1000e: Este recurso emula um novo modelo do Intel Gigabit NIC (nmero 82574) no
hardware virtual (Este e conhecido como vNIC E1000e). O E1000e esta disponvel apenas
em mquinas virtuais com Hardware verso 8 ( e verses mais novas) no vSphere 5. Ele o
vNIC padro para Windows 8 e verses mais novas do Windows.
Para Linux o E1000e no esta disponvel na Interface do usurio (O E1000, VMXNET
Flexible, VMXNET Enhanced, e VMXNET3 esto disponveis para Linux).
VMXNET 2 Enhanced (verso aprimorada): O adaptador VMXNET 2 baseado no adaptador
VMXNET, mas ele oferece alguns recursos de alta-performance comumente usados em
redes modernas, como o Jumbo Frames e o Hardware offloads. Este adaptador de rede
virtual esta disponvel para alguns sistemas operacionais convidados no ESXi/ESX 3.5 ou
verses posteriores.
O VMXNET 2 suportado apenas para os sistemas operacionais convidados abaixo:
Verses 32- e 64-bit Microsoft Windows 2003 (Enterprise, Datacenter, e Standard Editions)
Obs: Voc pode usar o adaptador VMXNET 2 Enhanced com outra verso do sistema
operacional Microsoft Windows 2003, mais um workaround ( Maneira paliativa de resolver
um problema ou corrigir um sistema de forma inefiente) necessrio para habilitar a opo
no VMware Infrastructure (VI) Client or vSphere Client. Se o VMXNET Enhanced no for
oferecido com uma opo, veja o tpico Habilitando adaptadores VMXNET enhanced para
Microsoft Windows Server 2003 (1007195).
32-bit version of Microsoft Windows XP Professional
32- and 64-bit versions of Red Hat Enterprise Linux 5.0
32- and 64-bit versions of SUSE Linux Enterprise Server 10
64-bit versions of Red Hat Enterprise Linux 4.0
Aker Security Solutions
71
72
Para mais informaes veja o tpico Habilitando Jumbo Frames no sistema operacional
Solaris (2012445) - Enabling Jumbo Frames on the Solaris guest operating system (2012445).
Toleranca a Falhas no suportado em uma mquina virtual configurada com um vNIC
VMXNET3 no vSphere 4.0, mas tem suporte completo no vSphere 4.1.
O Windows Server 2012 e suportado com o VMXNET 3 na atualizao ESXi 5.0 verso 1 ou
superior.
Adaptador Caveats
Migrando mquinas virtuais que usam o VNXNET2 enhanced.
O VMXNET 2 foi apresentado com o ESX 3.5. Mquinas Virtuais configuradas para ter o
adaptador VMXNET 2 no podem migra para Hosts ESX de verses anteriores, at mesmo
por meio de uma mquina virtual pode-se migrar livremente entre o ESX 3.0 e o ESX 3.0 x.
Caso voc tenha que migrar uma mquina virtual entre um host de verso posterior ou
anterior, no escolha VMXNET 2.
73
Firewall Aker
Entre o login: administrador
Entre o nome completo: Administrador do Firewall Aker
Entre a senha (6-14): digitar uma senha de 6 a 14 caracteres;
Confirme a senha: confirmar a senha digitada acima;
Confirma incluso do usurio? (S/N).
Aps ter ou no includo o administrador, mostrada uma mensagem perguntando sobre o
cadastro de um segredo compartilhado para administrao do Firewall por meio do Aker
Configuration Manager. Se voc no possui este produto, responda No, caso contrrio
consulte o manual do mesmo.
Finalmente, aparece uma mensagem indicando o trmino da instalao que solicita que a
mquina seja reinicializada para ativar o Aker Firewall. Aps reinicializar a mquina, o
firewall j funcionar automaticamente podendo ser configurado remotamente.
74
Desde de 1997 a Aker contabiliza sua licenas de firewall em software pelo nmero de
endereos IP na rede LAN do cliente.
O Aker Firewall contabiliza todos os IPs de suas redes protegidas, ou seja, todo dispositivo fsico
ou virtual existente (hosts, impressoras, telefone, tablets, mquinas virtuais, etc) conectado
sua rede local ser contabilizado ficar na tabela do Firewall por 72 horas.
Segue abaixo algumas orientaes sobre como proceder em caso de problemas de
licenciamento:
Exemplo: Uma faculdade precisa de uma licena para atender todo o campus, ela tem trs
turnos e em cada turno estudam 500 alunos, ela tem 400 dispositivos IPS em sua rede e vai
liberar acesso internet controlado para os alunos.
Neste caso deve ser cotada uma licena de no mnimo 1900 IPs, pois mesmo se os alunos no
estiverem utilizando Internet ao mesmo tempo, a rede ser usada por 1500 dispositivos
diferentes durante um dia, e mais 400 dispositivos que pertencem faculdade, isto ocorre
porque um IP pode ficar retido por at 72 horas no firewall.
2. Redes MPLS onde o cliente tem matriz e filiais, neste caso vamos atuar de da seguinte
forma:
O cliente deseja controlar todo o acesso Internet por meio da Matriz, neste caso as
licenas devem atender todos os IPs da matriz e de todas as filiais.
Qualquer caso que seja diferente dos citados acima dever ser tratado de forma especifica
junto ao suporte.
75
76
1. Ao acessar o Firewall pela primeira vez aps sua instao (para mais informaes
sobre a instalao do Aker Firewall veja o captulo 2.2 instalao do Aker Firewall
(Is/VM), a mensagem abaixo ser exibida solicitando que o usurio escolha uma das
opes abaixo(o Firewall deve estar conectado Internet {porta HTTPS} com o DNS
devidamente configurado):
seja
77
78
5.
Para fazer as requisies no ser necessrio que a porta 443 (HTTPS) esteja liberada no
Firewall para o servidor da Aker.
79
Para que a ativao da licena seja efetuada com sucesso, necessrio que o DNS esteja
configurado no Firewall e na estao onde a GUI foi instalada. Caso contrrio, o Firewall no
far a requisio da licena, ou seja, a janela de solicitao de licena ficar indisponvel.
80
2.10.
Para ativar a licena de um Firewall que esteja sendo gerenciado pelo Aker Configuration
Manager ferramenta que permite o gerenciamento de vrios
Para ativar a licena siga os passos a seguir:
81
Esta janela exibe as informaes dos Firewalls que so monitorados pelo Aker Configuration
Manager, para aplicar a licena se deve:
Clicar como boto direito do mouse sobre o Firewall desejado, e selecionar a opo
Aplicar lincea para este firewall
82
Clicar no icone
83
84
2.11.
Renovao da licena
85
Faltando 5 dias para que a licena se expire e a renovao da licena no foi efetuada, o
usurio deve entrar em contato com o suporte.
86
87
88
89
Para iniciar a execuo da Interface Remota deve-se executar um dos seguintes passos:
A janela mostrada acima a principal do Aker Firewall e a partir dela que se tem acesso a
todas as opes de configurao, inclusive ativao da licena do Firewall. Sem ativao da
licena no possvel realizar as configuraes subsequentes.
90
Mostrar Tooltips: uma dica de contexto. aquela moldura pop up que abre
quando voc passa o mouse sobre um elemento HTML (normalmente uma palavra
em um texto) e que contm uma explicao adicional sobre aquele elemento que
recebeu o ponteiro do mouse sobre ele.
Sesso ociosa: Permite definir o tempo mximo, em minutos, que a interface
permanecer conectada ao firewall sem receber nenhum comando do
administrador. Assim que este tempo limite for atingido, a interface
automaticamente ser desconectada do firewall, permitindo que uma nova sesso
seja estabelecida. Seu valor pode variar entre 1 e 60. A caixa Sem limite quando
estiver marcada no desconectar a interface do firewall. O Valor padro de 1
minuto. Aps efetuar as alteraes clique no boto OK, caso no realize nenhuma
alterao, clique no boto Cancelar.
91
Remoo: Caso deseje remover alguma regra, filtro, etc, ser enviado uma
mensagem com um a pergunta se deseja realmente remover o item selecionado;
Suprimir plugins inexistentes: caso no tenha um plugin da Aker instalado, ao clicar
nessa opo, ser mostrada a mensagem do que est faltando.
Firewall: este menu para cadastrar mais firewalls na Interface Remota de modo que
possibilite simultaneamente a administrao de diversos Aker Firewalls. Com a
interface conectada a mais de um firewall simultaneamente, possvel usar a
facilidade de arrastar e soltar as entidades e regras entre firewalls, de modo a
facilitar a replicao de determinadas configuraes entre eles. Dentro do menu
Firewall, tem-se:
Desabilitar perguntas
92
Editar cor de fundo: possvel escolher com qual cor de fundo deseja-se trabalhar.
Posteriormente sero dados maiores explicaes;
o Formato: define o formato como deseja padronizar a tela do Aker Control Center:
o Pontos: podem-se alterar as cores finais e iniciais. Para isso deve-se escolher a cor e
clicar no boto OK.
93
o Opo Padro: Quando selecionada est opo a tela seguir com uma configurao
padro pr-determinada pela Aker.
Se clicar no boto Sim a Interface Remota ser fechada, se clicar no boto No, a
interface continua aberta.
94
Janelas
O Menu Janelas possui as funes de configurao das janelas abertas e da barra de
menu.
Janelas: mostra o item de dispositivos remotos (essa opo tambm pode ser
acessada pressionando o boto do teclado F9).
95
Figura 39 - Entidades.
Lado a Lado: selecionando esta opo, as janelas abertas do lado direito da Interface
Remota se ajustam de forma que todas apareceram visveis.
Cascata: esta opo faz com que as janelas abertas no lado direito da Interface
Remota fiquem posicionadas em forma de cascata, uma na frente da outra.
Ajuda:
96
Busca por atualizaes: Quando selecionada esta opo uma busca por atualizaes
pendentes realizada, conforme mostra imagem abaixo:
97
98
Aker Firewall
Inicialmente nem todas as opes dos menus se encontram habilitadas, por funcionarem
apenas quando houver uma conexo estabelecida. Para ter acesso s demais opes devem
estabelecer uma sesso de administrao remota com o firewall que deseja administrar.
Para tanto se devem seguir os seguintes passos:
Cadastrar o firewall selecionando o menu Aker Firewalls e a opo Novo dispositivo
remoto (veja o item Cadastrando Firewalls logo a seguir);
Selecionar o firewall com o qual se deseja conectar;
Clicar na opo Conectar.
99
Textos nos botes: marcando esta opo ser mostrada juntamente com cada cone
a ao correspondente do boto. Desmarcando esta opo, ser mostrado apenas o
cone.
Dicas para Entidades: quando esta opo estiver ativada, uma pequena caixa com a
descrio de cada entidade ir aparecer quando o mouse for passado sobre seu
cone.
Mostrar cones nos botes: esta opo, se ativada, faz com que sejam mostrados
cones nos botes OK, Cancelar e Aplicar das janelas.
Cadastrando Firewalls
Nesta seo demonstramos como cadastrar um ou mais firewalls quando selecionamos a
opo Novo dispositivo remoto dentro do menu Firewalls ou no cone Criar dispositivo
remoto.
100
Aparecer a seguinte janela Editar Dispositivo remoto. Nessa janela, possvel escolher o
tipo de autenticao desejada. De acordo com cada opo a janela ser alterada, mostrando
os campos correspondentes.
Tipo de Autenticao: Usurio/Senha
101
Senha: a senha do usurio. Caso deixe a caixa Salvar Senha marcada, no ser necessrio
digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos
*). Caso ela esteja desmarcada, este campo estar desabilitado.
A cada 3 tentativas invlidas, o cliente bloqueado de acessar a Control Center por 3
minutos. A cada tentativa invlida gera-se um evento Excesso de tentativas invalidas do
mdulo Daemons do Firewall.
No final basta clicar em OK e o firewall estar cadastrado, como o tipo de autenticao
selecionado. No caso de cancelar o cadastro do firewall, basta clicar em Cancelar.
102
Ao clicar no cone mostrado abaixo, carrega-se um arquivo com extenso *.cer/*.crt que
contm o certificado.
103
Figura 53 - Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo Remoto.
104
Depois de cadastrarmos o firewall, pode-se clicar duas vezes no cone do firewall criado, no
lado esquerdo da janela, ou clicar uma vez para selecion-lo e, em seguida, no boto
Conectar.
Ele far com que a interface se conecte ao firewall escolhido, como mostrado na figura
abaixo:
105
Caso no seja possvel estabelecer a sesso de administrao, ser mostrada uma janela
com o erro que impossibilitou sua abertura. Neste caso, existem vrias mensagens possveis.
Abaixo esto listadas as mensagens de erro mais comuns:
Este um erro genrico e pode ter uma srie de causas. A sua causa mais comum um erro
na digitao do login ou da senha. Se o login do usurio no estiver cadastrado ou sua senha
estiver errada, o servidor encerrar a conexo. Verifique primeiramente se o seu login e sua
senha foram digitados corretamente. Caso o erro continue, siga a seguinte sequncia de
passos:
1. Verifique se o usurio que est tentando se conectar est cadastrado no sistema e se a
sua senha est correta (para fazer isso, utilize o mdulo local de administrao de
usurios. Veja o captulo intitulado Administrando usurios do firewall).
2. Verifique se a rede est funcionando corretamente. possvel fazer isso de vrias
formas, uma delas utilizando o comando ping. (No se esquea de acrescentar uma
regra liberando os servios ICMP echo request e echo reply para a mquina que se
est testando em direo ao firewall, caso v utilizar o ping. Para aprender como fazer
isso, veja o captulo intitulado O Filtro de Estados). Se isso no funcionar, ento a rede
est com problemas de conectividade e isto deve ser corrigido antes de tentar a
administrao remota. Caso funcione, veja o passo 3.
3. Verifique se existe uma regra cadastrada liberando o acesso a partir da mquina que
queira conectar ao firewall, utilizando o servio Aker (TCP, porta 1020). Caso no exista,
insira esta regra (para aprender como fazer isso, veja o captulo intitulado O Filtro de
Estados).
Ao acessar o firewall e outro usurio j estiver configurando o mesmo a imagem abaixo sera
exibida, permitindo que o usurio envie um mensagem para o outro usurio, mantenha-se
conectado, ou desconectar-se.
106
107
possvel para qualquer usurio do Aker Firewall alterar a sua senha sempre que desejado.
Para tanto se deve primeiro estabelecer uma sesso de administrao (como mostrado no
tpico Iniciando a interface remota) e aps isso se deve executar os seguintes passos:
108
Figura 60 - Mudar Senha (inserir senha antiga, a nova senha e confirmao da mesma).
Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos campos
Nova senha e Confirmar senha (as senhas aparecero na tela como vrios asteriscos *).
Aps preencher os campos, deve-se pressionar o boto OK, para alterar a senha ou o
boto Cancelar, caso no queira mud-la.
Os campos Senha antiga, Nova senha e Confirmar senha, devem conter de 6 a 14
caracteres.
109
110
111
Esta opo permite atualizar a chave de ativao do Aker Firewall e dos demais produtos
que possam estar instalados juntos: Antivrus, Spam Meter, Secure Roaming e Web Content
Analyzer.
Para visualizar ou atualizar a licena, deve-se:
Clicar no boto Carregar/Mostrar licena na barra de tarefas do firewall que estiver
conectado.
112
Esta janela apenas informativa. Nela so mostrados todos os produtos que esto
instalados junto com o firewall e os dados referentes licena de cada um deles. Entre estes
dados pode-se verificar a data de expirao, nmero de licenas, ID e a data de expirao do
IDS e etc., para cada produto.
Caso se deseje inserir uma nova licena, deve-se clicar no boto Carregar, localizado na
barra de tarefas. Esta opo abrir um dilogo onde se pode especificar o arquivo de onde a
nova chave ser carregada. No caso do Firewall Box, caso exista mais de um produto
instalado junto com o firewall, as chaves dos produtos adicionais tambm sero atualizadas.
Da verso 6.0 do Aker Firewall em diante no mais possvel atualizar as chaves de
ativao do firewall digitando-as, apenas carregando-as a partir do arquivo enviado pela
Aker Security Solutions ou um de seus representantes autorizados.
Esta opo permite salvar a configurao completa do firewall na mquina onde est
administrando. No caso de algum desastre, pode-se facilmente restaurar esta configurao
posteriormente.
Para salvar as configuraes conecte em um dispositivo remoto e clique no cone Salvar um
backup do item selecionado:
113
114
Aps digitar o nome do arquivo salvo, deve-se clicar no boto Salvar. Caso no queira mais
gravar a cpia de segurana, deve-se clicar no boto Cancelar.
115
116
Esta janela permite escolher o nome do arquivo de onde a configurao ser restaurada.
Aps seu nome ser especificado, o firewall ler todo seu contedo, far vrios testes de
consistncia e se o seu contedo estiver vlido ser carregado.
Regras;
Licena;
Certificados;
117
118
Ser exibida a verso do sistema quando da gerao do backup e alertas podem ser
exibidos em caso de incompatibilidade.
A Interface Texto (via SSH) de configurao de parmetros bastante simples de ser utilizada.
O objetivo dessa funcionalidade permitir que o usurio salve todas as configuraes de
forma eficaz e segura para a restaurao do produto. Existem duas formas de fazer o backup
completo: salv-lo na mquina local ou via FTP. O firewall compactar as pastas: /aker, /bin,
/boot, /etc, /lib, /lib64, /sbin, /usr, /tmp, /aker_funcs.sh /hw_install.sh /recover_conf.sh,
/recover_fw.sh, /var/adm, /var/lib, /var/net-snmp, /var/state, /var/spool/var-tmp no
processo. O arquivo ser compactado utilizando o algoritmo xz e armazenado em
/var/spool/backups/Backup_verso_data(YYYY_MM_DD).xz.
Para retornar ao nvel raiz deve-se usar o comando exit.
A seguir detalhes sobre as opes de salvamento do backup:
Sintaxe:
akbackup ajuda:
119
em
Para fazer o backup na mquina local dos binrios e configuraes e salv-lo localmente use
o comando akbackup salvar_backup sem passar argumentos
Para fazer o backup dos binrios, realizar configuraes e envi-lo via FTPpara um servidor,
use o comando akbackup salvar_backup <ip do servidor_ftp> <usurio do servidorftp>
<senha do servidor ftp> <pasta> :
120
Para fazer o backup na mquina local dos binrios, realizar configuraes e salv-lo
localmente, use o comando akbackup salvar_backup sem passar argumentos:
Ao criar o backup, ele ser enviado para o servidor FTP. Se a transferncia for realizada com
sucesso, o arquivo de backup ser apagado localmente. Se algum erro ocorrer na transferncia, o
arquivo ser mantido na pasta de backups para ser enviado manualmente pelo usurio.
O usurio receber uma mensagem caso no tenha sido possvel carregar o backup nas
seguintes situaes:
Esta opo serve para reinicializar o firewall, porm no deve ser utilizada em condies
normais de operao. A nica operao que exige a reinicializaro do firewall a carga de
um algoritmo de criptografia externo.
Para reinicializar o firewall deve-se:
121
3.3. Atualizaes
A janela de atualizaes
Esta opo permite aplicar uma atualizao ou correo do Aker Firewall remotamente, por
meio da Interface Remota. possvel tambm atualizar completamente a verso do
produto.
Para ter acesso janela de atualizaes deve-se clicar no cone localizado na barra de
ferramentas, automaticamente a janela ser aberta, para que sejam escolhidas as
atualizaes a serem aplicadas.
Essa janela se divide em duas abas: Atualizao e Histrico, conforme explicadas a baixo:
122
Aba Patch
Por meio dessa janela possvel visualizar o status atual das atualizaes/correes
aplicadas na Web Gateway. Caso se trate de cluster a janela apresentar as informaes das
mquinas que o compem. Possui os seguintes campos:
Id: Refere-se identificao das mquinas que compe o cluster.
Nome: Refere-se ao apelido atribudo s mquinas.
Restaurao: Este campo informa se a ltima atualizao aplicada pode ser desfeita.
As atualizaes aplicadas por meio dos Patches e dos Hotfixes so alteraes que podem ser
desfeitas. Essa opo permite desfazer a ltima atualizao aplicada na mquina, seja hotfix
ou patch. Deve-se observar que as alteraes so desfeitas uma por uma, ou seja, se a
verso j estiver no Patch 3, e deseja-se voltar verso inicial, deve ser desfeito o patch 3,
depois o patch 2, e assim por diante.
ltima atualizao: Identificao do ltimo patch aplicado no membro do cluster.
Aker Security Solutions
123
Hotfixes: Lista de hotfixes aplicados dentro do patch. Esta lista mostra a ordem direta de
aplicao dos hotfixes.
O hotfix uma pequena atualizao ou correo feita para um patch especfico. Pode ser
aplicado independente da ordem, o que no acontece com o patch, que deve ser aplicado
na ordem sequencial de atualizao.
Caso a atualizao ou correo sejam destinados a uma verso diferente de sistema
operacional ou de verso do Aker Web Gateway, ento o boto Aplicar ficar desabilitado,
no permitindo sua aplicao.
Para carregar um arquivo de atualizao ou correo deve-se clicar no cone que se
encontra na barra de ferramentas.
124
Com isso aberta uma janela, que permite carregar um arquivo de atualizao do patch ou
do hotfix, conforme mostra a figura abaixo.
Caso queira aplicar o rollback, pelo menos uma mquina deve ser selecionada na aba Patch,
e logo em seguida deve-se clicar no cone , sendo que essas alteraes sero desfeitas uma
a uma, na sequncia que foram atualizadas.
Para aplicar rollback em mais de uma mquina ao mesmo tempo, as mesmas devem
estar com a mesma atualizao, por exemplo: todas esto com a verso patch 3, e quer
voltar para o patch 1.
125
Aba Histrico
Essa aba permite visualizar todo o histrico das aplicaes dos patches e hotfixes.
A aba composta dos seguintes campos:
ID: Mostra a identificao da mquina de onde foi feita a atualizao.
Usurio: Indica o usurio que aplicou a atualizao.
Restaurao: Indica se pode ser ou no desfeito a atualizao.
Data: Indica a data que foi feita alguma aplicao de patch ou hotfix.
A expresso "Verso Corrente" significa que no foi aplicado nenhuma patch.
Observao: Ao clicar no boto OK, o Patch ou o Hotfix no so aplicados, somente
fechada a janela.
Aker Security Solutions
126
O Aker Update System - AUS tem como funo disponibilizar os pacotes de atualizao de
todos os produtos da Aker no diretrio do Aker Control Center. O sistema funciona de
forma inteligente, onde ele trar somente a ltima verso para pacotes integrados com o
Control Center, os ltimos patches e hotfix.
Acesso s janelas de configurao
Existem 3 formas de configurar o Mdulo de Atualizao:
Primeira opo:
Selecionar o produto Aker desejado;
Caso tenha atualizao disponvel, aparecer a seguinte notificao no canto direito inferior
da tela do Control Center: Atualizaes prontas.
127
128
Segunda opo:
Selecionar o produto Aker desejado;
129
Terceira opo
Selecionar o produto Aker desejado;
130
A opo Reempacotar Aker Client usada para criar um pacote contendo todas as
configuraes dos servidores de autenticao, desta forma, efetuar uma instalao do Aker
Client pre-configurada em uma nova rede corporativa utilizando um GPO (Group Policy
Object- Diretiva de Grupo).
Para ter acesso a janela Reempacotar Aker Client deve-se:
Pacotes MSI
MSI (Microsoft System Installer) um software usado para instalao, manuteno e
remoo de softwares em sistemas Windows. Um Pacote MSI contem todas
informaes/configuraes que o Microsoft Windows Installer requer para instalar ou para
remover a instao de produtos de software.
131
DNS reverso utilizado para resolver nomes de mquinas a partir de endereos IP. A janela
de resoluo de DNS reverso do Aker Firewall serve para prover resoluo de endereos
sem a necessidade de utilizao de programas adicionais.
Para ter acesso a janela de resoluo de DNS reverso, deve-se:
132
Esta janela consiste de um campo para digitar o endereo IP que deseja resolver e uma lista
com os endereos IP j resolvidos anteriormente:
A opo Mostrar todos, se estiver marcada, far com sejam mostrados todos os
endereos jpa resolvidos..
O boto OK fechar a janela.
133
134
Figura 99 - Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e mscaras).
135
Quando a opo Varrer por Entidades estiver selecionada, a janela de varreduras tem o
seguinte formato:
Figura 100 - Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e entidade).
O campo Origem do pacote especifica a entidade que ser usada na origem das conexes
simuladas.
O campo Destino do pacote especifica para qual entidade as conexes simuladas devem
se dirigir.
O campo Servio permite especificar o protocolo e a faixa de portas a serem simuladas,
por meio de uma entidade.
O campo Dia/Hora permite que o administrador teste as regras para uma determinada
hora e dia da semana.
S possvel selecionar uma entidade como origem, uma como destino, e uma como
servio.
136
3.8. Relatrios
Esta opo possibilita que o administrador imprima um relatrio de toda (ou de parte) da
configurao do firewall de forma fcil e rpida. Este relatrio bastante til para fins de
documentao ou de anlise da configurao.
Para ter acesso a janela de relatrios deve-se:
137
A janela Relatrio
Esta janela consiste de vrias opes distintas, uma para cada parte da configurao do
firewall, que podem ser selecionadas independentemente. Para gerar um relatrio, deve-se
proceder da seguinte forma:
1. Marcar os itens que se deseja imprimir.
2. Clicar no boto Procurar e escolha o diretrio onde iro ser armazenadas as pginas
HTML.
3. Abrir o diretrio e selecionar o arquivo HTML para imprimir seu relatrio.
Caso queira cancelar a emisso do relatrio, deve-se clicar no boto Cancelar.
138
Esta opo permite que localize entidades que contenham um determinado endereo IP,
interface ou servio, bem como regras que contenham uma determinada entidade.
Para ter acesso janela de localizao de entidades, deve-se:
139
Aba Entidades
Figura 104 - Busca de Entidades (procura de entidade com IP ou nome e ltimos resultados).
Esta aba permite localizar entidades pelo endereo IP informado ou pelo seu nome.
Procurar: inicia a busca a partir dos dados informados.
Fechar: fecha a janela de localizao de entidades.
Ao clicar duas vezes sobre o nome de uma entidade ou regra mostrada como resultado
da pesquisa, a janela de edio correspondente ser aberta, possibilitando que os valores
sejam editados rapidamente.
140
Aba Servios
Esta aba permite localizar entidades do tipo servio que contenham o protocolo e o servio
especificados.
Procurar: inicia a busca a partir dos dados informados.
Fechar: fecha a janela de localizao de entidades.
Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como resultado
da pesquisa, a janela de edio correspondente ser aberta, possibilitando que edite seus
valores rapidamente.
141
Aba Regras
dos
dados
informados.
Nesta aba sero carregadas apenas as entidades do tipo Mquina, Rede, Conjunto e Servio.
Entidade: Quando selecionada uma entidade, uma busca ser realizada retornando o
nmero da regra a qual a entidade pertence. As regras podem ser: Regras VPN, Regras de
NAT, Regras de filtragem ou Regras de Filtragem dentro dos Perfis, se a entidade
procurada for do tipo Rede ou Mquina iniciada uma busca para saber se ela est
presente em alguma entidade do tipo Conjunto. Caso esteja, as regras que contm essa
entidade Conjunto e os tipos relacionados a ela, sero mostradas e impressas no resultado
da busca, e consequentemente, as regras que contiverem estes conjuntos tambm sero
mostradas.
Ao clicar duas vezes sobre uma entidade ou regra, mostrada como resultado da pesquisa
(Entidades de Conjunto, Regras de Filtragem, Regras de NAT, Regra VPN e Perfil) a janela de
edio correspondente ser aberta, possibilitando editar os seus valores rapidamente.
142
3.10.
Esta opo permite que o usurio realize pesquisas do Common Name (certificados) de
websites especficos.
Para acessar a janela Common Name Search siga os passos abaixo:
143
Alm de bloqueios fitos pelo nome do certificado pela opo Common Name
Search tambm possvel fazer bloqueios usando o HTTPS transparente (man-in-themiddle) pelo que uma forma avanada de fazer bloqueios. Para mais informaes
veja o Advanced HTTPS.
3.11.
Janela de Alarmes
Esta opo permite visualizar os alarmes gerados pelo firewall, quando esta opo estiver
marcada nas regras de filtragem ou na janela de aes.
Para ter acesso janela de alarmes, deve-se:
144
145
A janela de alarmes
146
Mapa da rede
3.12.
O firewall dispe de um prtico sistema para visualizar a rede onde ele se insere de forma
grfica. Para ter acesso janela de visualizao grfica da rede, deve-se:
147
3.13.
Estatsticas do sistema
148
149
150
151
3.14.
152
153
Filtro: Este define o filtro que ser utilizado na captura dos pacotes. O objetivo deste filtro
limitar os pacotes recebidos somente ao que interessa. Caso ele esteja em branco todos os
pacotes sero capturados. A sintaxe do filtro a mesma usada no popular programa
tcpdump e todas suas opes so suportadas. Um resumo das principais opes que podem
ser utilizadas no filtro :
dir
Indica a direo em que a transferncia ocorrer, para e/ou do identificador. As direes
possveis so : src, dst, src or dst e src and dst.
Exemplos:
``src foo''
``dst net 128.3''
''src or dst port ftp-data''
proto
Qualificador restrito a estipular um tipo particular de protocolo. As opes existentes de
protocolo so:
ether, ip, arp, rarp, tcp e udp.
Exemplos:
``ether src foo''
``arp net 128.3''
``tcp port 21''
Quando no estipulado, todos os protocolos existentes em opo sero assumidos.
port
Captura pacotes com a porta de origem ou de destino do pacote igual a port. Todas as
expresses de porta podem ser precedidas de tcp ou udp, assim:
tcp src port
Capturar apenas pacotes tcp com porta de origem port.
Quando o boto Travar seleo estiver selecionado, o pacote selecionado ficar sempre
visvel na janela de captura.
O boto Iniciar captura inicia a captura de pacotes, porm envia o resultado apenas para a
janela.
O boto Capturar em arquivo inicia a captura de pacotes e grava os dados no arquivo
especificado. Este arquivo pode posteriormente ser aberto pela maioria dos Sniffers
tradicionais disponveis no mercado.
O boto OK encerra a captura e fecha a janela. Caso tenha capturado para um arquivo, ele
estar disponvel.
154
3.15.
A janela de estado dos agentes externos puramente informativa e serve para indicar ao
administrador o estado dos Agentes Externos. Isso muito til quando se quer configurar
um novo agente externo ou para detectar a ocorrncia de possveis problemas.
Para ter acesso janela de estado dos agentes externos, deve-se:
155
156
3.16.
157
158
importante observar que a memria cache no considerada memria usada. Ela acessada
apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda esteja em cache,
a reabertura ser mais rpida. Porm, se o sistema precisar de uma quantidade maior de memria
livre, a rea usada para cache liberada.
Recomenda-se que a configurao seja feita na ordem em que os grupos se encontram de cima
para baixo.
Diagnstico
3.17.
159
Aba Tudo
retornado ao usurio o status do acesso Internet.
160
Aba Ping
A aba Ping, realiza um teste de ICMP (Ping) no endereo IP ou nome DNS digitado. Este teste
valida conectividade do Aker Firewall com o endereo testado.
161
Aba Traceroute
A aba Traceroute realiza um trace entre o Aker Firewall e o endereo IP ou nome digitado.
162
Aba Netstat
A aba Netstat retorna o status de todas as conexes pertencentes ao Aker Firewall.
163
Aba Nslookup
A aba Nslookup realiza a resoluo do nome digitado para seu respectivo endereo IP, este
teste importante para validar a configurao DNS do Aker Firewall.
164
165
Este captulo mostra como criar os usurios para administrar remotamente o Aker Firewall.
166
Esta janela consiste de uma lista de todos os usurios atualmente definidos para acesso
administrao do firewall, alm de um segredo compartilhado (ou senha), para
administrao centralizada pelo Aker Configuration Manager. No havendo o segredo
compartilhado, a configurao ser apenas efetuada pelos usurios cadastrados.
mostrado o login, o nome completo e as permisses de cada usurio.
167
Login
a identificao do usurio para o firewall. No podem existir dois usurios com o mesmo
login. Este login ser pedido ao administrador do firewall quando este for estabelecer uma
sesso de administrao remota.
O login deve ter entre 1 e 14 caracteres. No h diferenas entre letras maisculas e
minsculas neste campo.
Nome
Este campo contm o nome completo do usurio associado ao login. Os seus objetivos so
de informao, no sendo usado para qualquer validao.
Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.
168
Senha
Este campo ser usado em conjunto com o campo login para identificar um usurio perante
o Aker Firewall. Ao digitar a senha, sero mostrados na tela asteriscos "*" ao invs das
letras.
O campo senha deve ter no mximo 14 caracteres. Seu tamanho mnimo configurvel por
meio da janela de parmetros da interface (para maiores informaes veja o tpico
Utilizando a interface remota). Neste campo, letras maisculas e minsculas so
consideradas diferentes.
extremamente importante que as senhas usadas tenham um comprimento grande, o mais
prximo possvel do limite de 14 caractres. Alm disso, deve-se sempre utilizar uma
combinao de letras minsculas, maisculas, nmeros e caracteres especiais nas senhas
(caracteres especiais so aqueles encontrados no teclado dos computadores e que no so
nmeros nem letras: "$","&",]", etc.). Nunca use como senhas palavras em qualquer idioma ou
apenas nmeros.
Confirmao
Este campo serve para confirmar a senha digitada no campo anterior, uma vez que
aparecem asteriscos na tela, ao invs dos caracteres propriamente ditos.
Permisses
Este campo define o que um usurio pode fazer dentro do Aker Firewall. Ele consiste de trs
opes que podem ser marcadas independentemente.
O objetivo destas permisses possibilitar a criao de uma administrao descentralizada
para o firewall. possvel, por exemplo, numa empresa que possua vrios departamentos e
vrios firewalls, deixar um administrador responsvel pela configurao de cada um dos
firewalls e um responsvel central com a tarefa de supervisionar a administrao. Este
supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos
dos firewalls. Desta forma, apesar de cada departamento ter autonomia de administrao
possvel ter um controle central do que cada administrador alterou na configurao e
quando ele realizou cada alterao. Isto um recurso muito importante para realizar
auditorias internas e aumenta a segurana da administrao.
Caso um usurio no possua nenhum atributo de autoridade, ento, esse ter permisso
apenas para visualizar a configurao do firewall e compactar os arquivos de log e de eventos.
169
Configurao do Firewall
Quando esta permisso est marcada, o usurio em questo pode administrar o firewall,
isto , altera a configurao das entidades, regras de filtragem, converso de endereos,
criptografia, proxies e parmetros de configurao que no estejam relacionados ao log.
Configurao do Log
Quando esta opo est marcada, o usurio em questo tem poderes para alterar os
parmetros relacionados ao log (como por exemplo, tempo de permanncia do log), alterar
a configurao da janela de aes (tanto as mensagens quanto os parmetros) e apagar
permanentemente o log e os eventos.
Administrar Usurios
Quando esta opo est marcada, o usurio em questo tem acesso janela de
administrao de usurios, podendo incluir, editar e excluir outros usurios.
Um usurio com este nvel de autoridade somente poder criar, editar ou excluir
usurios com autoridades de nveis iguais ou menores aos que ele possuir (por exemplo, se
um usurio tiver poderes de gerenciar outros usurios e configurar log, ento ele poder
criar usurios que no possuam nenhuma autoridade, que somente possam configurar o
log, que somente possam criar novos usurios ou que possam gerenciar usurios e
configurar log. Ele no poder nunca criar, nem editar ou excluir, um usurio que possa
configurar o firewall).
170
Esta aba consiste na configurao dos agentes externos que so utilizados para a
autenticao dos usurios que administram o firewall, definindo, assim, regras de
autenticao para o acesso destes.
Habilitar autenticao via agentes externos
Selecionar essa opo permite a autenticao dos usurios, por meio de agentes externos
previamente cadastrados no firewall. Tambm permite definir o autenticador externo, qual
o usurio/grupo que ele pertence, quais as suas permisses de acesso e a definio das
entidades que o usurio utilizar para conectar ao firewall.
Autenticador
Ao clicar com o boto direito em cima da opo autenticador, poder selecionar um
autenticador (agente externo) habilitado na aba Mtodos da Janela Autenticao. Esse
autenticador responsvel por intermediar o processo de autenticao da interface com o
firewall.
Aker Security Solutions
171
Usurio/Grupo
Os usurios e os grupos estaro relacionados ao autenticador escolhido. Pode-se associar
um usurio somente ou um grupo deles.
Permisses
Este campo define o que um usurio pode fazer dentro do Aker Firewall. Ele consiste de trs
opes que podem ser marcadas independentemente.
O objetivo destas permisses possibilitar a criao de uma administrao descentralizada
para o firewall. possvel, por exemplo, numa empresa que possua vrios departamentos e
vrios firewalls, deixar um administrador responsvel pela configurao de cada um dos
firewalls e um responsvel central com a tarefa de supervisionar a administrao. Este
supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos
dos firewalls. Desta forma, apesar de cada departamento ter certa autonomia de
administrao possvel ter um controle central que grave o que cada administrador altere
a configurao e quando ele realizou cada alterao. Isto um recurso muito importante
para realizar auditorias internas, alm de aumentar a segurana da administrao.
Entidades
As Entidades so representaes de objetos do mundo real para o Aker Firewall. Por meio
delas, podem-se representar mquinas, redes, servios a serem disponibilizados, entre
outros. Essa opo permite definir de qual entidade o usurio se conectar ao firewall.
Servidor Fingerprint
um resumo da identificao do certificado digital do Aker Firewall. Essa opo possibilita
ao usurio identificar quando tem uma mudana do firewall que se costuma conectar.
172
Essa aba consiste no mtodo de autenticao com certificao digital X.509. O Certificado
Digital pode ser considerado como a verso eletrnica (digital) de uma cdula de
identidade, associa uma chave pblica com a identidade real de um indivduo, de um
sistema servidor, ou de alguma outra entidade. Um certificado digital normalmente usado
para ligar uma entidade a uma chave pblica. Para garantir a integridade das informaes
contidas neste arquivo ele assinado digitalmente, no caso de uma infraestrutura de
Chaves Pblicas (ICP), o certificado assinado pela Autoridade Certificadora (AC) que o
emitiu e no caso de um modelo de Teia de Confiana (Web of trust) como o PGP o
certificado assinado pela prpria entidade e assinado por outros que dizem confiar
naquela entidade. Em ambos os casos as assinaturas contidas em um certificado so
atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele
certificado.
173
Informaes referentes entidade para o qual o certificado foi emitido (nome, email, CPF/CNPJ, PIS etc.);
A chave pblica referente chave privada de posse da entidade especificada no
certificado;
O perodo de validade
A localizao do "centro de revogao" (uma URL para download da CRL, ou local
para uma consulta OCSP);
A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pblica contida
naquele certificado confere com as informaes contidas no mesmo.
174
Exporta Certificado: Gravam os dados do certificado, para transport-lo para uma futura
aplicao desse certificado. Tira uma cpia do certificado.
Aker Security Solutions
175
176
Autoridade Certificadora:
A autoridade certificadora (CA - certificate authority) deve garantir ao usurio, por meio da
assinatura de seus certificados, que tais entidades so realmente quem dizem ser. Ento, a
CA tem um papel bsico de garantir a correspondncia entre a identidade e a chave pblica
de uma determinada entidade, sabendo que tal chave pblica corresponde a uma chave
privada que permanece sob guarda exclusiva dessa entidade.
Para tanto, a CA deve ser capaz de realizar todos os processos de emisso de certificados,
verificao de validade, armazenamento, publicao ou acesso on-line, revogao e
arquivamento para verificao futura.
Em consequncia, uma autoridade certificadora constitui-se de um sistema computacional
completo, capaz de comunicar, processar e armazenar. Alm disso, tanto as comunicaes
envolvendo esse sistema, quanto o prprio sistema, devem ser tambm protegidas e a
prpria identidade do sistema deve ser garantida, necessidades esta que so atendidas por
intermdio da publicao de uma chave pblica pertencente prpria autoridade
Aker Security Solutions
177
certificadora. Como tal chave deve tambm ser garantida com um certificado digital, ento,
em geral, uma autoridade certificadora deposita sua chave pblica junto
outra autoridade certificadora, formando uma estrutura de certificao onde algumas CA
funcionam como autoridades certificadoras para outras CAs.
Essa opo seleciona uma autoridade certificadora qual o usurio est vinculado.
Pseudo Group
Corresponde aos grupos de certificados, relacionados autoridade certificadora selecionada
na opo acima. O campo Pseudo Group no editvel.
Permisses
O campo Permisses editvel, podendo, para cada CA selecionada relacionar as
permisses para cada grupo.
Esta opo, uma vez escolhida uma Autoridade Certificadora e definidos os
nveis/permisses de acesso para cada grupo, ao trocar de CA todas as permisses
relacionadas outra CA sero perdidos.
178
179
Para executar qualquer uma das opes mostradas, digite a letra mostrada em negrito.
Cada opo mostrada abaixo em detalhes:
180
Inclui um novo usurio: Esta opo inclui um novo usurio que poder administrar o
Aker Firewall remotamente. Ao ser selecionada, mostrada uma tela pedindo as
diversas informaes do usurio. Aps todas as informaes serem preenchidas
pedida uma confirmao para a incluso do usurio.
Figura 139 - Execuo do programa para incluso de usurios como administrados do Aker
Firewall.
Para prosseguir com a incluso, digite S. Para abortar, digite N.
181
182
183
184
Ao ser selecionada, o arquivo ser compactado e ao final ser mostrada uma mensagem
indicando que a operao foi completada (a compactao do arquivo costuma ser uma
operao bastante rpida, durando poucos segundos).
185
186
Figura 145 - Edio das configuraes do Aker Configuration Manager (Firewall habilitado).
187
Figura 146 - Edio das configuraes do Aker Configuration Manager (desabilita, modifica
ou retorna).
Sai do fwadmin: Esta opo encerra o programa fwadmin e retorna para a linha de
comando.
188
189
5.
O boto Cancelar far com que a janela seja fechada, porm as alteraes efetuadas no
sejam aplicadas;
O boto Aplicar enviar para o firewall todas as alteraes feitas, porm manter a janela
aberta.
190
Nesta janela, estes parmetros so utilizados pelo filtro de estados e pelo conversor de
endereos. Eles consistem dos seguintes campos:
Interface Externa (Por motivo de controle de licena): Define o nome da interface externa
do firewall. Conexes que vierem por esta interface no contam, na licena.
Valor padro: Configurado durante a instalao do firewall pelo administrador.
Tempo limite TCP: Define o tempo mximo, em segundos, que uma conexo TCP pode
permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar
de 0 a 259200 (72 horas).
Valor padro: 900 segundos.
Tempo limite UDP: Define o tempo mximo, em segundos, que uma conexo UDP pode
permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar
de 0 a 259200 (72 horas).
Aker Security Solutions
191
192
Aba Log
Local: Indica que o log/eventos/estatsticas deve ser salvos em um disco local, na mquina
onde o firewall estiver rodando.
Tempo de vida no log / eventos / estatstica: Os registros de log, eventos e estatsticas do
firewall so mantidos em arquivos dirios. Esta configurao define o nmero mximo de
arquivos que sero mantidos pelo sistema, em caso de log local. Os valores possveis vo de 1
a 365 dias.
Valor padro: 7 dias
Tamanho (GB) / eventos / log / estatsticas: Os arquivos (log ou evento ou estatstica) sero
limitados em tamanho total em disco, ou seja, caso o total de logs em disco ultrapasse o
valor estipulado, os logs mais antigos sero apagados.
193
Perodo
rotao
Controles
excluso
arquivos
ANTES
ATUAL
de
para
dos
Ultrapassando
tempo
configurado.
o
limite
Ultrapassando o tempo ou
tamanho limite configurado.
Exemplo:
Configurao do ambiente:
Tempo limite: 07 dias tamanho mximo de log de 2,4 GB
So gerados 100 MB de arquivos de log por hora.
s 11:59 do 1 dia, haver aproximadamente 2,4 GB de arquivos de log.
meia-noite do 2 dia, o firewall rotacionar os logs.
Isso far com que o primeiro arquivo de log de 100 MB, criado no 1 dia, seja excludo do
HD, fazendo com que este fique com 2,3 GB de arquivos de log.
Depois disso, o firewall recebeu um ataque de flood e comeou a gerar 3,4 GB de log por
hora.
Quando o arquivo de log (APENAS O ARQUIVO QUE EST SENDO ESCRITO, SEM CONTAR OS
OUTROS) alcanar 2,4 GB (neste momento o diretrio ter 4,7 GB de log), o firewall
rotacionar os logs, excluindo TODOS os registros de log, inclusive o arquivo de 2,4 GB. Na
sequncia, criar outro arquivo zerado e comear a gravar os logs nele.
O evento acima aconteceu um pouco antes do natal, em uma sexta-feira, e a empresa
resolveu dar folga a semana toda para emendar com o ano novo. O arquivo de log, aps o
ataque de flood, ficou um 01 GB de tamanho e o firewall passou a produzir 1 KB de log por
hora.
06 dias, 23 horas e 59 minutos se passaram e o firewall criou vrios arquivos de log,
completando um tamanho total de 1,000160217 GB. meia-noite, aps 07 dias, o firewall
Aker Security Solutions
194
rotacionou os logs excluindo apenas o arquivo de 1 GB, criado uma semana atrs, e
deixando apenas 0,000160217 GB de arquivos de log.
No exemplo, foi utilizado o log, mas o funcionamento igual em relao a eventos e
estatsticas. O rotacionamento no instantneo. Ele ocorre de duas maneiras: de hora em
hora ou quando o arquivo em que os registros so gravados ultrapassar o tamanho
configurado.
O Aker Firewall suporta at 3 endereos de servidores Syslog simultneamente.
Logar Converso de Endereo (NAT): Habilita o registro no log do sistema das converses
de endereos feitas pelo firewall.
Valor padro: Converses de endereo no devem ser logadas
Mesmo com esta opo ativa, somente sero logados os pacotes convertidos por meio das
converses 1: N e N: 1. As converses por outros tipos de regras no sero registradas.
A ativao desta opo no traz nenhuma informao importante e deve ser utilizada
apenas para fim de testes ou para tentar resolver problemas.
Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o daemon de log
do Unix, o syslogd.
Valor padro: No envia log para o syslogd
Ao habilitar essa opo, os registros de log sero enviados para a fila local0 e os de eventos
para a fila local1.
Esta opo no altera em nada o registro interno do log e dos eventos realizado pelo
prprio firewall.
195
Aba Segurana
Parmetros de Segurana
Permitir pacotes com rota para origem: Habilita a passagem de pacotes que tenham a
opo de registro de rota ou de roteamento dirigido. Se esta opo estiver desmarcada, os
pacotes com alguma destas opes no podero trafegar.
Valor padro: Pacotes IP direcionados no so permitidos.
Cabe ressaltar que a aceitao de pacotes com rota para a origem pode causar uma falha
sria de segurana. A no ser que se tenha uma razo especfica para deix-los passar, esta
opo deve ser mantida desmarcada.
196
internas ou externas. A no ser que se pretenda usar FTP por meio do firewall, esta opo
deve estar marcada.
Suporte ao Real Audio: Habilita o suporte para os protocolos Real Audio e Real
Video.
197
Manter conexes das regras expiradas: mantm a conexo mesmo aps o prazo de
validade de a regra ter sido expirada.
198
Aba SNMP
199
Mesmo com uma comunidade de escrita definida, por razes de segurana, somente
podero ser alterados algumas variveis do grupo system.
AGENTX-MIB.txt
IANA-RTPROTO-MIB.txt
BRIDGE-MIB.txt
IANAifType-MIB.txt
DISMAN-EVENT-MIB.txt
IF-INVERTED-STACK-MIB.txt
DISMAN-SCHEDULE-MIB.txt
IF-MIB.txt
DISMAN-SCRIPT-MIB.txt
INET-ADDRESS-MIB.txt
EtherLike-MIB.txt
IP-FORWARD-MIB.txt
HCNUM-TC.txt
IP-MIB.txt
HOST-RESOURCES-MIB.txt
IPV6-FLOW-LABEL-MIB.txt
HOST-RESOURCES-TYPES.txt
IPV6-ICMP-MIB.txt
IANA-ADDRESS-FAMILY-NUMBERS-MIB.txt
IPV6-MIB.txt
IANA-LANGUAGE-MIB.txt
IPV6-TC.txt
200
IPV6-TCP-MIB.txt
NOTIFICATION-LOG-MIB.txt
IPV6-UDP-MIB.txt
RFC-1215.txt
NET-SNMP-AGENT-MIB.txt
RFC1155-SMI.txt
NET-SNMP-EXAMPLES-MIB.txt
RFC1213-MIB.txt
NET-SNMP-EXTEND-MIB.txt
RMON-MIB.txt
NET-SNMP-MIB.txt
SCTP-MIB.txt
NET-SNMP-PASS-MIB.txt
SMUX-MIB.txt
NET-SNMP-TC.txt
SNMP-COMMUNITY-MIB.txt
NET-SNMP-VACM-MIB.txt
Aba Monitoramento
201
Quando utiliza converso 1-N, ou seja, balanceamento de canal possvel configurar o tipo
de monitoramento a ser realizado pelo firewall para verificar se as mquinas participantes
do balanceamento esto no ar. Os parmetros de monitoramento permitem modificar os
intervalos de tempo de monitoramento, de modo a ajust-los melhor a cada ambiente.
Monitoramento via ping
Esses parmetros configuram os tempos utilizados pelo firewall para realizar o
monitoramento via pacotes ICMP Echo Request e Echo Reply. So eles:
Intervalo de ping: Esse campo define de quantos em quantos segundos, ser enviado um
ping para as mquinas sendo monitoradas. Seu valor pode variar entre 1 e 60 segundos.
Valor padro: 2 segundos.
202
Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma
mquina pode permanecer sem responder aos pacotes de ping enviados pelo firewall e
ainda ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos.
Valor padro: 8 segundos.
Tempo de ativao: Esse campo define o tempo, em segundos, que o firewall ir esperar,
aps receber um pacote de resposta de uma mquina anteriormente fora do ar, at
consider-la novamente ativa. Esse intervalo de tempo necessrio, pois normalmente uma
mquina responde a pacotes ping antes de estar com todos os seus servios ativos. Seu
valor pode variar entre 1 e 60 segundos.
Valor padro: 10 segundos.
Monitoramento via HTTP
Esses parmetros configuram os tempos utilizados pelo firewall para realizar o
monitoramento via requisies HTTP. So eles:
Tempo limite dos pedidos: Esse campo define de quantos em quantos segundos, o firewall
requisitar a URL especificada pelo administrador para cada mquina sendo monitorada.
Seu valor pode variar entre 1 e 300 segundos.
Valor padro: 5 segundos.
Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma
mquina sendo monitorada poder levar para responder requisio do firewall e ainda ser
considerada ativa. Seu valor pode variar entre 2 e 300 segundos.
Valor padro: 15 segundos.
203
Esta opo permite ao administrador verificar e alterar a data e a hora do firewall. A data e
hora configuradas corretamente so essenciais para o funcionamento da tabela de horrio
das regras e dos perfis de acesso WWW, das trocas de chaves por meio do protocolo SKIP e
dos sistemas de log e eventos.
Data e hora
Esta janela consiste de dois campos que mostram o valor da data e hora configurado no
firewall. Para alterar qualquer um destes valores, basta colocar o valor desejado no
campo correspondente. Para escolher o ms podem-se utilizar as setas de navegao.
Fuso Horrio
Escolha o fuso horrio que mais se aproxima da regio aonde o firewall ser instalado.
204
205
206
assim ele poder continuar administrando remotamente o firewall. Este parmetro chamase end_remoto.
Para retornar ao nvel raiz deve-se usar o comando exit.
Localizao do programa: /aker/bin/firewall/fwpar
Sintaxe:
fwpar - mostra/altera parmetros de configurao
Uso:
fwpar [mostra | ajuda]
fwpar interface_externa <nome>
fwpar [tempo_limite_tcp | tempo_limite_udp] <segundos>
fwpar [ip_direcionado] <sim | no>
fwpar [suporte_h323 | suporte_msn | suporte_sip | suporte_dce_rpc | manter_cons_exp ]
<sim | no>
fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp] <sim | no>
fwpar [loga_converso | loga_syslog] <sim | no>
fwpar [permanncia_log | permanncia_event | permanncia_stat] <dias>
fwpar [serv_log_remoto <nome>]
fwpar [add_remoto <n> <ip_add>]
fwpar [snmp] [rocommunidade | rwcommunidade | descrio | contato | nome | local]
[nome]
mostra = mostra a configurao atual
ajuda = mostra esta mensagem
interface_externa = configura o nome da interface externa (conexes que vierem por esta
interface no contam na licena)
tempo_limite_tcp = tempo mximo de
tempo_limite_udp = tempo mximo de
ip_direcionado = aceita pacotes IP direcionados
inatividade
inatividade
para
para
conexes
conexes
TCP
UDP
207
suporte_h323
suporte_sip
208
suporte_ftp
: sim
suporte_real_audio: sim
suporte_rtsp
: sim
end_remoto : 1) 10.0.0.1
2) 10.0.0.2
3)10.0.0.3
: no
permanncia_log : 7 dias
permanncia_event: 7 dias
permanncia_stat : 7 dias
Parmetros de configurao de SNMP:
-----------------------------------
209
210
Este captulo mostra o que so, para que servem e como cadastrar entidades no Aker
Firewall.
Definindo entidades
Antes de explicar como cadastrar entidades no Aker Firewall necessria uma breve
explicao sobre os tipos de entidades possveis e o que caracteriza cada uma delas.
Existem 9 tipos diferentes de entidades no Aker Firewall: mquinas, mquinas IPv6, redes,
redes IPv6, conjuntos, conjuntos IPv6, servios, autenticadores e interfaces.
As entidades do tipo mquina e rede, como o prprio nome j diz, representam
respectivamente mquinas individuais e redes. Entidades do tipo conjunto representam
uma coleo de mquinas e redes, em qualquer nmero. Entidades do tipo servio
representam um servio a ser disponibilizado por meio de um protocolo qualquer que rode
em cima do IP. Entidades do tipo autenticador representam um tipo especial de mquina
que pode ser utilizada para realizar autenticao de usurios e as entidades do tipo
interface, representam uma interface de rede do firewall.
Aker Security Solutions
211
Por definio, o protocolo IP, exige que cada mquina possua um endereo diferente.
Normalmente estes endereos so representados da forma byte a byte, como por exemplo,
172.16.17.3. Desta forma, pode-se caracterizar unicamente uma mquina em qualquer rede
IP, incluindo Internet, com apenas seu endereo.
Para definir uma rede deve-se utilizar uma mscara alm do endereo IP. A mscara serve
para definir quais bits do endereo IP sero utilizados para representar a rede (bits com
valor 1) e quais sero utilizados para representar as mquinas dentro da rede (bits com
valor 0). Assim, para representar a rede cujas mquinas podem assumir os endereos IP de
192.168.0.1 a 192.168.0.254, deve-se colocar como rede o valor 192.168.0.0 e como
mscara o valor 255.255.255.0. Esta mscara significa que os 3 primeiros bytes sero usados
para representar a rede e o ltimo byte ser usado para representar a mquina.
Para verificar se uma mquina pertence a uma determinada rede, basta fazer um E lgico da
mscara da rede, com o endereo desejado e comparar com o E lgico do endereo da rede
com sua mscara. Se eles forem iguais, a mquina pertence rede, se forem diferentes no
pertence. Vejamos dois exemplos:
Suponha que desejamos verificar se a mquina 10.1.1.2 pertence rede 10.1.0.0, mscara
255.255.0.0. Temos:
10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede)
10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereo)
Temos ento que os dois endereos so iguais aps a aplicao da mscara, portanto a
mquina 10.1.1.2 pertence rede 10.1.0.0.
Suponha agora que desejamos saber se a mquina 172.16.17.4 pertence rede 172.17.0.0,
mscara 255.255.0.0. Temos:
172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede)
172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereo)
Como os endereos finais so diferentes, temos que a mquina 172.16.17.4 no pertence
rede 172.17.0.0.
Caso seja necessrio definir uma rede onde qualquer mquina seja considerada como
pertencente a ela (ou para especificar qualquer mquina da Internet), deve-se colocar como
endereo IP desta rede o valor 0.0.0.0 e como mscara o valor 0.0.0.0. Isto bastante til
na hora de disponibilizar servios pblicos, onde todas as mquinas da Internet tero
acesso.
Toda a vez que ocorre uma comunicao entre duas mquinas, usando o protocolo IP, esto
envolvidos no apenas os endereos de origem e destino, mas tambm um protocolo de
nvel mais alto (nvel de transporte) e algum outro dado que identifique a comunicao
Aker Security Solutions
212
unicamente. No caso dos protocolos TCP e UDP (que so os dois mais utilizados sobre o IP),
uma comunicao identificada por dois nmeros: a Porta Origem e a Porta Destino.
A porta destino um nmero fixo que est associado, geralmente, a um servio nico.
Assim, temos que o servio Telnet est associado com o protocolo TCP na porta 23, o
servio FTP com o protocolo TCP na porta 21 e o servio SNMP com o protocolo UDP na
porta 161, por exemplo.
A porta origem um nmero sequencial escolhido pelo cliente de modo a possibilitar que
exista mais de uma sesso ativa de um mesmo servio em um dado instante. Assim, uma
comunicao completa nos protocolos TCP e UDP pode ser representada da seguinte forma:
10.0.0.1
Endereo origem
1024
Porta origem
10.4.1.2
Endereo destino
23
Porta destino
TCP
Protocolo
Para um firewall, a porta de origem no importante, uma vez que ela randmica. Devido
a isso, quando se define um servio, leva-se em considerao apenas a porta de destino.
Alm dos protocolos TCP e UDP existem outro protocolo importante: o ICMP. Este protocolo
utilizado pelo prprio IP para enviar mensagens de controle, informar sobre erros e testar
a conectividade de uma rede.
O protocolo ICMP no utiliza o conceito de portas. Ele usa um nmero que varia de 0 a 255
para indicar um Tipo de Servio. Como o tipo de servio caracteriza unicamente um servio
entre duas mquinas, ele pode ser usado como se fosse porta destino dos protocolos, TCP
e UDP, na hora de definir um servio.
Por ltimo, existem outros protocolos que podem rodar sobre o protocolo IP e que no so
TCP, UDP ou ICMP. Cada um destes protocolos tem formas prprias para definir uma
comunicao e nenhum deles utilizado por um grande nmero de mquinas. Ainda assim,
o Aker Firewall optou por adicionar suporte para possibilitar ao administrador o controle
sobre quais destes protocolos podem ou no passar por meio do firewall.
Para entender como isso feito, basta saber que cada protocolo tem um nmero nico que
o identifica para o protocolo IP. Este nmero varia de 0 a 255. Desta forma, podemos definir
servios para outros protocolos usando o nmero do protocolo como identificao do
servio.
213
214
215
216
1. Selecionar a entidade a ser editada ou excluda (se necessrio, expande-se a lista do tipo
de entidade correspondente);
2. Clicar com o boto direito do mouse e selecionar a opo Editar ou Apagar,
respectivamente, no menu pop-up que aparecer;
3. Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a tecla
Delete.
No caso das opes Editar ou Incluir, aparecer janela de edio de parmetros da
entidade a ser editada ou includa. Esta janela ser diferente para cada um dos tipos
possveis de entidades.
O cone
, localizado na parte inferior da janela aciona o assistente de cadastramento de
entidades que ser descrito no final deste captulo.
Incluindo / editando mquinas
Para cadastrar uma entidade do tipo mquina deve-se preencher os seguintes campos:
Nome: o nome pelo qual a mquina ser sempre referenciada pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja
marcada, a atribuio ser automtica, caso contrrio, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma, possvel a existncia de vrias entidades compostas de nomes com as
mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades
Aker, AKER e aker so, portanto, consideradas diferentes.
217
Ao excluir uma entidade a qual est sendo usada um alguma regra (Regra de NAT,
Regra de Filtragem, Perfil, Criptografia, Regra de Filtragem de aplicao, Regra de
IPS/IDS) no firewall, ser exibido uma mensagem informando quais aes que sero
tomadas ao excluir a entidade em questo, prevenindo maiores danos a sua rede.
cone: o cone que aparecer associado mquina em todas as referncias. Para alter-lo,
basta clicar sobre o desenho do cone atual. O Firewall ento mostra uma lista com todos os
possveis cones para representar mquinas. Para escolher entre eles basta clicar no cone
desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto
Cancelar.
Endereo IP: o endereo IP da mquina a ser criada.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a
incluso ou alterao da mquina. Para cancelar as incluses ou alteraes realizadas deve
pressionar o boto Cancelar.
Para facilitar a incluso de vrias mquinas seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a
mquina inclua os dados preenchidos e mantenha aberta a janela de incluso de mquinas
onde estar pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente
um grande nmero de mquinas.
Incluindo / editando servidor IPv6
218
Para cadastrar uma entidade do tipo mquina IPv6 deve-se preencher os seguintes campos:
Nome: o nome pelo qual a mquina ser sempre referenciada pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja
marcada, a atribuio ser automtica, caso contrrio, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma, possvel a existncia de vrias entidades compostas de nomes com as
mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades
Aker, AKER e aker so, portanto, consideradas diferentes.
cone: o cone que aparecer associado mquina em todas as referncias. Para alter-lo,
basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os
possveis cones para representar mquinas. Para escolher entre eles basta clicar no cone
desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto
Cancelar.
Endereo IPv6: o endereo IPv6 da mquina a ser criada.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a
incluso ou alterao da mquina. Para cancelar as incluses ou alteraes realizadas deve
pressionar o boto Cancelar.
Para facilitar a incluso de vrias mquinas seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a
mquina inclua os dados preenchidos e mantenha aberta a janela de incluso de mquinas
onde estar pronta para uma nova incluso. Desta forma, possvel cadastrar rapidamente
um grande nmero de mquinas.
219
A ampliao de 32 bits do endereo IPv4 para 128 bits no endereo IPv6 uma das mais
importantes caractersticas do novo protocolo. um imenso espao de endereamento,
com um nmero difcil de ser apresentado (2 elevado a 128), porque so milhares de
bilhes de endereos. O IPv6 acaba ainda com as classes de endereos e possibilita um
mtodo mais simples de autoconfigurao.
O Aker Firewall suporta as seguintes RFCs:
(ICMPv6)
for
the
A notao mais usual que o endereo IPv6 representado x:x:x:x:x:x:x:x, onde os "x" so
nmeros hexadecimais, ou seja, o endereo dividido em oito partes de 16 bits, como no
seguinte exemplo: 1080:0:0:0:8:800:200C:417A
220
Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos:
Nome: o nome pelo qual a rede ser sempre referenciada pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja
marcada, a atribuio ser automtica, caso contrrio, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma, possvel a existncia de vrias entidades compostas de nomes com as
mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades
Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado rede em todas as referncias. Para alter-lo deve
clicar sobre o desenho do cone atual. O firewall ento uma lista com todos os possveis
cones para representar redes ser mostrada. Para escolher entre eles tem que clicar no
cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no
boto Cancelar.
Endereo IP: o endereo IP da rede a ser criada.
Mscara de Rede: Define quais bits do endereo IP sero utilizados para representar a rede
(bits com valor 1) e quais sero utilizados para representar as mquinas dentro da rede (bits
com valor 0)
Intervalo: Este campo mostra a faixa de endereo IP a que pertence rede e realiza uma
crtica quanto mscara que est sendo cadastrada, ou seja no permite cadastramento de
mscaras erradas.
221
Aps estarem todos os campos preenchidos, deve-se clicar no boto OK para realizar a
incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a incluso, deve-se
pressionar o boto Cancelar.
Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado Nova (que
no estar habilitado durante uma edio). Ao clicar neste boto far com que sejam
includos os dados preenchidos e manter aberta a janela de incluso de redes onde estar
pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande
nmero de redes.
Incluindo / editando redes IPv6
Para cadastrar uma entidade do tipo rede IPv6 deve-se preencher os seguintes campos:
Nome: o nome pelo qual a rede ser sempre referenciada pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja
marcada, a atribuio ser automtica, caso contrrio, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma, possvel a existncia de vrias entidades compostas de nomes com as
mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades
Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado rede em todas as referncias. Para alter-lo deve
clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os
possveis cones para representar redes. Para escolher entre eles tem que clicar no cone
desejado e no boto OK. Caso no queira alter-lo aps ver a lista, deve-se clicar no boto
Cancelar.
Endereo IPv6: o endereo IPv6 da rede a ser criada.
Aker Security Solutions
222
Tamanho do prefixo da sub-rede : Define quais bits do endereo IP sero utilizados para
representar a rede.
Aps estarem todos os campos preenchidos, deve-se clicar no boto OK para realizar a
incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a incluso, deve-se
pressionar o boto Cancelar.
Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado Nova (que
no estar habilitado durante uma edio). Ao clicar neste boto far com que sejam
includos os dados preenchidos e manter aberta a janela de incluso de redes onde estar
pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande
nmero de redes.
223
Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes campos:
Nome: o nome pelo qual o conjunto ser sempre referenciado pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja
marcada, a atribuio ser automtica se no, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma, possvel a existncia de vrias entidades compostas de nomes com as
mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades
Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado ao conjunto em todas as referncias. Para alterlo, basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos
os possveis cones para representar conjuntos. Para escolher entre eles basta clicar no
cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no
boto Cancelar.
Aps preencher o nome e escolher o cone para o conjunto, deve-se definir quais mquinas
e redes faro parte do mesmo. Abaixo esto os passos que devem ser seguidos.
224
ou
2. Clicar sobre a entidade que deseja incluir, com isso deve arrast-la e solt-la dentro da
janela de entidades do conjunto.
225
Aps todos os campos estarem preenchidos e todas as redes e mquinas que devem fazer
parte do conjunto selecionadas, deve-se clicar no boto OK para realizar a incluso ou
alterao do conjunto. Para cancelar as alteraes realizadas ou a incluso, deve-se
pressionar o boto Cancelar.
Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o
conjunto cujos dados foram preenchidos seja includo e a janela de incluso de conjuntos
mantida aberta, pronta para uma nova incluso. Desta forma possvel cadastrar
rapidamente um grande nmero de conjuntos.
Editando conjuntos - IPv6
Para cadastrar uma entidade do tipo conjunto IPv6 deve-se preencher os seguintes campos:
Nome: o nome pelo qual o conjunto ser sempre referenciado pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja
marcada, a atribuio ser automtica se no, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma, possvel a existncia de vrias entidades compostas de nomes com as
Aker Security Solutions
226
227
Para remover uma rede ou mquina do conjunto, deve-se proceder da seguinte forma:
1. Clicar com o boto direito do mouse sobre a entidade a ser removida e selecionar a
opo Remover.
ou
2. Clicar na mquina ou rede a ser removida e pressionar a tecla Delete.
Aps todos os campos estarem preenchidos e todas as redes e mquinas que devem fazer
parte do conjunto selecionadas, deve-se clicar no boto OK para realizar a incluso ou
alterao do conjunto. Para cancelar as alteraes realizadas ou a incluso, deve-se
pressionar o boto Cancelar.
Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o
conjunto cujos dados foram preenchidos seja includo e a janela de incluso de conjuntos
mantida aberta, pronta para uma nova incluso. Desta forma possvel cadastrar
rapidamente um grande nmero de conjuntos.
Incluindo/Editando lista de categorias
228
Preencher o campo nome, onde pode definir um nome especfico para a lista de categorias.
O boto Atualizar permite buscar as categorias no firewall caso tenha havido alguma
atualizao.
Quando selecionada a opo Tentar recuperar categorias pelo critrio nome quando o
Analisador de Contexto for trocado, permite identificar as categorias pelos nomes que
foram cadastradas, pois ao trocar o analisador de contexto muitas categorias podem ser
perdidas.
Incluindo/Editando lista de padres de busca
229
230
Autenticadores
Os agentes de autenticao so utilizados para fazer a autenticao de usurios no firewall
utilizando usurios/senhas de bases de dados de diversos sistemas operacionais (Windows
NT, Linux, etc).
Autoridades certificadoras
Autoridades certificadoras so utilizadas para fazer autenticao de usurios por meio de
PKI, com o uso de Smart Cards e para autenticao de firewalls com criptografia IPSEC.
Autenticadores Token
231
Agentes IDS
Os agentes IDS (Intrusion Detection Systems - Sistemas detectores de intruso) so sistemas
que ficam monitorando a rede em tempo real procurando por padres conhecidos de
ataques ou abusos. Ao detectar uma destas ameaas, ele pode incluir uma regra no firewall
que bloquear imediatamente o acesso do atacante.
Mdulos de Antivrus
Os agentes antivrus so utilizados pelo proxy SMTP, POP3 e Filtro Web para realizarem a
checagem e a desinfeco de vrus de forma transparente em e-mails e nos downloads FTP
e HTTP.
Analisadores de contexto
Os analisadores de contexto so utilizados pelo Filtro Web para controlar o acesso a URLs
baseados em diversas categorias pr-configuradas.
Autenticador Radius
O autenticador Radius utilizado para fazer autenticao de usurios no firewall a partir de
uma base Radius.
Autenticadores LDAP
O autenticador LDAP permite ao firewall autenticar usurio usando uma base LDAP
compatvel com o protocolo X500.
Spam Meter
Os servidores de o spam meter so utilizados pelo firewall para classificar e-mails e definir
quais deles sero considerados SPAM.
possvel a instalao de diversos agentes externos em uma mesma mquina, desde que
sejam distintos.
Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo o
diretrio de Agentes Externos. Independentemente de seu subtipo, todos os agentes
232
externos possuem os seguintes campos (os demais campos sero ento modificados de
acordo com o tipo do agente a ser cadastrado):
Nome: o nome pelo qual o agente ser sempre referenciado pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja
marcada, a atribuio ser automtica, caso contrrio, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma, possvel a existncia de vrias entidades compostas de nomes com as
mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades
Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado ao agente em todas as referncias. Para alter-lo,
basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os
possveis cones para representar agentes do subtipo selecionado. Para escolher entre eles
basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista,
basta clicar no boto Cancelar.
233
234
235
Excluir:
Esta
opo
remove
da
lista
pseudo-grupo
selecionado.;
Figura 172 - Definio de Pseudo-Grupos para usurios que se autenticarem por meio de autoridade certificadora.
Nome: Campo de preenchimento obrigatrio que indica o nome pelo qual o pseudo-grupo
ser referenciado pelo firewall. Os demais campos representam dados que sero
comparados com os dados presentes no certificado X509 de cada usurio autenticado. Se
um determinado campo estiver em branco ento qualquer valor ser aceito no campo
correspondente do certificado, se no apenas certificados que possurem o campo igual ao
valor informado sero considerados como parte do grupo.
Domnio: Nome da pessoa certificada;
E-mail: Endereo de e-mail Empresa: Nome da empresa;
Departamento: Departamento dentro da empresa Cidade: Cidade onde se localiza a
empresa;
Estado: Estado onde se localiza a empresa;
Pas: Pas onde se localiza a empresa que a pessoa certificada trabalha;
Aker Security Solutions
236
Para cadastrar um agente externo do tipo Agente IDS, Analisador de contexto, Antivrus,
Spam Meter ou Servidor de Log Remoto, deve-se preencher os seguintes campos
adicionais:
237
238
239
240
241
242
Para cadastrar uma entidade do tipo servio deve-se preencher os seguintes campos:
Nome: o nome pelo qual o servio ser sempre referenciado pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja
marcada, a atribuio ser automtica, caso contrrio, manual.
Aker Security Solutions
243
244
servio. Caso isso seja necessrio, no momento em que o proxy for selecionado, a janela
ser expandida para mostrar os parmetros adicionais que devem ser configurados.
A explicao dos parmetros de cada um dos contextos dos proxies padro, se encontra nos
captulos intitulados Configurando o proxy SMTP, Configurando o proxy Telnet,
Configurando o proxy FTP, Configurando o proxy POP3 e Configurando o Proxy RPC e o
proxy DCE-RPC. O proxy HTTP no tem parmetros configurveis e suas configuraes so
descritas no captulo Configurando o Filtro Web . Para maiores informaes sobre proxies
transparentes e contextos, veja o captulo intitulado Trabalhando com proxies. Proxies
definidos pelo usurio somente so teis para desenvolvedores e sua descrio no ser
abordada aqui.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a
incluso ou alterao do servio. Para cancelar as alteraes realizadas ou a incluso, devese pressionar o boto Cancelar.
Para facilitar a incluso de vrios servios seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o
servio, cujos dados foram preenchidos, seja includo e a janela de incluso de servios
mantida aberta, pronta para uma nova incluso. Desta forma possvel cadastrar
rapidamente um grande nmero de servios.
Incluindo / editando interfaces
Para cadastrar uma entidade do tipo interface necessrio preencher os seguintes campos:
Nome: o nome pelo qual a interface ser sempre referenciada pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Automtico permite escolher entre estes dois modos de operao: se ela estiver
marcada, a atribuio ser automtica caso contrrio ser manual.
245
246
Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher os seguintes
campos:
Nome: o nome pelo qual a lista de e-mails ser sempre referenciado pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual.
A lista deve ter apenas "enter ou (\n)" como separadores na lista de e-mails.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma, possvel a existncia de vrias entidades compostas de nomes com as
mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades
Aker, AKER e aker so consideradas diferentes.
Domnio de E-mail: Este campo composto pelos e-mails ou domnios que faro parte da
lista. possvel especificar um e-mail completo ou utilizar o smbolo * para representar um
caractere qualquer. As seguintes opes so e-mails vlidos:
= *@* - Corresponde a qualquer e-mail
= *@aker.com.br - Corresponde a todos os e-mails do domnio aker.com.br
Para executar qualquer operao sobre um e-mail ou domnio, deve-se clicar sobre ele com
o boto direito e a seguir escolher a opo desejada no menu que ser mostrado. As
seguintes opes esto disponveis:
Aker Security Solutions
247
Figura 183 - Opo para realizar uma operao sobre um e-mail ou domnio.
A lista deve ter apenas "enter ou (\n)" como separadores na lista de domnios.
Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os seguintes
campos:
Aker Security Solutions
248
Nome: o nome pelo qual a lista de tipos de arquivos ser sempre referenciado pelo
firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma possvel a existncia de vrias entidades compostas de nomes com as
mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades
Aker, AKER e aker so consideradas diferentes.
Para executar qualquer operao sobre uma entrada da lista, deve-se clicar sobre ela com o
boto direito e a seguir escolher a opo desejada no menu que ser mostrado. As
seguintes opes esto disponveis:
249
Para cadastrar uma entidade do tipo acumulador deve-se preencher os seguintes campos:
Nome: o nome pelo qual o acumulador ser sempre referenciado pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Automtico permite escolher entre esses dois modos de operao: se ela estiver
marcada, a atribuio ser automtica caso contrrio ser manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma, possvel a existncia de vrias entidades compostas de nomes com as
mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades
Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado ao acumulador em todas as referncias. Para
alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento uma lista com todos
os possveis cones para representar interfaces ser mostrada. Para escolher entre eles
basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista,
basta clicar no boto Cancelar.
Comentrio: um campo texto livre, usado apenas para fins de documentao.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a
incluso ou alterao do acumulador. Para cancelar as alteraes realizadas ou a incluso,
deve-se pressionar o boto Cancelar .
Para facilitar a incluso de vrios acumuladores seguidamente, existe um boto chamado
Nova (que no estar habilitado durante uma edio). Ao clicar neste boto far com que os
dados do acumulador que foram preenchidos sejam includos e mantida aberta a janela de
incluso de acumuladores onde estar pronta para uma nova incluso. Desta forma
possvel cadastrar rapidamente um grande nmero de acumuladores.
250
Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes campos:
Nome: o nome pelo qual o canal ser sempre referenciado pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Nome automtico permite escolher entre estes dois modos de operao: caso ela
esteja marcada, a atribuio ser automtica, caso contrrio, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma, possvel a existncia de vrias entidades compostas de nomes com as
mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades
Aker, AKER e aker so consideradas diferentes.
251
cone: o cone que aparecer associado ao Canal em todas as referncias. Para alter-lo,
basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os
possveis cones para representar interfaces. Para escolher entre eles basta clicar no cone
desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto
Cancelar.
Largura de Banda: um campo texto usado para designar a largura de banda (velocidade
mxima de transmisso em bits por segundo) deste Canal. Esta banda ser compartilhada
entre todas as conexes que usarem este Canal. Deve ser escolhida a unidade de medida
mais conveniente.
Banda de upload: velocidade mxima de transmisso em bits por segundo definida para
realizar um upload.
Banda de download: velocidade mxima de transmisso em bits por segundo definida para
realizar um download.
Buffer: um campo texto usado para designar o tamanho do buffer (espao temporrio de
dados utilizado para armazenar pacotes que sero transmitidos) utilizado por este Canal.
Deve ser escolhida a unidade de medida. possvel especificar este tamanho manualmente
ou
deixar
que
ele
seja
atribudo
automaticamente.
A opo Automtico permite escolher entre estes dois modos de operao: se ela estiver
marcada, a atribuio ser automtica, seno manual.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a
incluso ou alterao do Canal. Para que as alteraes e as incluses sejam canceladas devese pressionar o boto Cancelar .
Para facilitar a incluso de vrios Canais seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao clicar este boto far com que os dados
da canal que foram preenchidos sejam includos e mantida aberta a janela de incluso de
canais onde estar pronta para uma nova incluso. Desta forma possvel cadastrar
rapidamente um grande nmero de canais.
O Aker Firewall suporta modificaes de valores DSCP (Differentiated Services Code
Point).
Alterar Valores DiffServ DS: Esta opo permite que o usurio defina a prioridade dos
valores DiffServ DS.
6.3. Utilizando a Interface Texto (via SSH-fwent)
A utilizao da Interface Texto (via SSH) na configurao das entidades bastante simples e
possui praticamente todos os recursos da Interface Remota (E possvel usar todos os
Aker Security Solutions
252
comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os
comando podero ser acessados sem o prefixo FW). As nicas opes no disponveis so
a criao de servios que utilizem proxies transparentes e a edio de pseudo-grupos de
uma autoridade certificadora. importante comentar, entretanto, que na Interface Texto
(via SSH) os agentes externos so mostrados e criados diretamente pelo seu subtipo.
Para retornar ao nvel raiz deve-se usar o comando exit.
253
Ajuda do programa:
inclui = inclui uma nova entidade
remove = remove uma entidade existente
ajuda = mostra esta mensagem
Para remove / inclui termos:
nome = nome da entidade a ser criada ou removida
Para inclui temos:
IP = endereo IP da mquina ou da rede
mascara = mscara da rede entidade = nome das entidades a serem acrescentadas no
conjunto
(OBS: Somente podem fazer parte de um conjunto entidades do tipo mquina ou rede)
senha = senha de acesso
t. cache = tempo em segundos de permanncia de uma entrada no cache de
autenticao
TCP = servio utiliza protocolo TCP
UDP = servio utiliza protocolo UDP
ICMP = servio utiliza protocolo ICMP
OUTRO = servio utiliza protocolo diferente dos acima citados
valor = Nmero que idntica o servio.
Para os protocolos TCP e UDP o valor da porta associada ao servio. No
caso de ICMP, o tipo de servio e no caso de outros protocolos o nmero do
prprio protocolo. Pode-se especificar uma faixa por meio da
notao valor1..valor2, que significa a faixa de valores
compreendida entre o valor1 e o valor2 (inclusive).
Para inclui ldap temos:
root_dn = DN do usurio utilizado pelo firewall para as consultas
root_pwd = a senha deste usurio
base_dn = DN para comear a busca
act_class= valor de objectclass que identifica objetos de contas vlidas
usr_attr = o atributo onde se encontra o nome do usurio
grp_addr = o atributo onde se encontra o grupo do usurio
Aker Security Solutions
254
Mquinas:
--------cache 10.4.1.12
firewall 10.4.1.11
Redes:
-----AKER 10.4.1.0 255.255.255.0
Internet 0.0.0.0 0.0.0.0
Conjuntos:
---------Mquinas Internas cache firewall
Autenticadores:
--------------Autenticador NT 10.0.0.1 10.0.0.2 600
Unix 192.168.0.1 192.168.0.2 192.168.0.3 600
Autenticadores do tipo token:
----------------------------Autenticador token 10.0.0.1 10.0.0.2 600
Agentes IDS:
-----------Agente IDS 10.10.0.1
Aker Security Solutions
255
Antivrus:
----------Antivrus local 127.0.0.1
Servios:
--------echo reply ICMP 8
echo request ICMP 0
FTP TCP 21
snmp UDP 161
telnet TCP 23
Interfaces:
---------Interface Externa xl0
Interface Interna de0
Exemplo 2:(cadastrando uma entidade do tipo mquina)
#/aker/bin/firewall/fwent inclui mquina Servidor_1 10.4.1.4
Entidade includa
Exemplo 3:(cadastrando uma entidade do tipo rede)
#/aker/bin/firewall/fwent inclui rede Rede_1 10.4.0.0 255.255.0.0
Entidade includa
Exemplo 4:(cadastrando uma entidade do tipo servio)
#/aker/bin/firewall/fwent inclui servico DNS UDP 53
Entidade includa
Exemplo 5:(cadastrando uma entidade do tipo autenticador)
#/aker/bin/firewall/fwent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123 900
Entidade includa
O uso de "" ao redor do nome da entidade obrigatrio quando inclui ou remove
entidades cujo nome contm espaos.
Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros so
as mquinas cache e firewall, previamente definidas)
#/aker/bin/firewall/fwent inclui conjunto "Conjunto de teste" cache firewall
Entidade includa
Exemplo 7: (incluindo uma entidade do tipo interface, sem especificar um comentrio)
#/aker/bin/firewall/fwent inclui interface "Interface DMZ" fxp0
Entidade includa
Exemplo 8: (incluindo uma entidade do tipo autenticador token, utilizando uma mquina
primria e uma secundria, como backup)
256
257
258
2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a ser
cadastrada:
259
3 - Localizar o endereo IP. Para cadastrar uma mquina deve ser especificado o endereo IP
correspondente. Caso queira obter esse endereo, deve ser informado o nome da mquina
e logo em seguida clicar no boto Resolver:
260
261
5 -Escolha do cone da entidade. Para escolher o cone da entidade deve-se clicar em um dos
cones que aparecem na janela. Observe que o cone selecionado ir aparecer direita da
janela:
262
263
264
265
266
Nos dois casos o administrador no tem como saber quais portas sero escolhidas para
estabelecer as conexes de dados e desta forma, se ele desejar utilizar o protocolo FTP por
meio de um filtro de pacotes tradicional, dever liberar o acesso para todas as possveis
portas utilizadas pelas mquinas clientes e servidores. Isto tem implicaes srias de
segurana.
O Aker Firewall tem a capacidade de vasculhar o trfego da conexo de controle FTP e desta
forma descobrir qual o tipo de transferncia que ser utilizada (ativa ou passiva) e quais
portas sero usadas para estabelecer as conexes de dados. Desta forma, todas as vezes
que o filtro de pacotes determinar que uma transferncia de arquivos seja realizada, ele
acrescenta uma entrada na tabela de estados de modo a permitir que a conexo de dados
seja estabelecida. Esta entrada s fica ativa enquanto a transferncia estiver se realizando e
caso a conexo de controle esteja aberta, propiciando o mximo de flexibilidade e
segurana. Neste caso, para configurar o acesso FTP deve-se acrescentar uma regra
liberando o acesso para a porta da conexo de controle (porta 21). Todo o resto ser feito
automaticamente.
O problema do protocolo Real udio:
O protocolo Real udio o mais popular protocolo de transferncia de som e vdeo em
tempo real por meio da Internet.
Para que seja possvel uma transmisso de udio ou vdeo necessrio que o cliente
estabelea uma conexo TCP para o servidor de Real udio. Alm desta conexo, para
conseguir uma melhor qualidade de som, o servidor pode abrir uma conexo UDP para o
cliente, para uma porta randmica informada em tempo real pelo cliente, e o cliente
tambm pode abrir outra conexo UDP para o servidor, tambm em uma porta randmica
informada pelo servidor no decorrer da conexo.
Os filtros de pacotes tradicionais no permitem o estabelecimento das conexes UDP do
servidor para o cliente e vice-versa, uma vez que as portas no so conhecidas
antecipadamente, fazendo com que a qualidade, do udio e vdeo obtida, seja bastante
inferior.
O filtro de estados do Aker Firewall acompanha toda a negociao do servidor Real udio
com o cliente de modo a determinar se as conexes UDP sero abertas e quais portas sero
usadas acrescentando esta informao em uma entrada na sua tabela de estados. Esta
entrada na tabela de estados s fica ativa enquanto a conexo de controle TCP estiver
aberta, propiciando o mximo de segurana.
267
268
a ocorrncia de loop na rede seja evitada). O PIM permite que redes existentes tenham a
capacidade de fazer o roteamento do IP multicast, independentemente de qual protocolo
de roteamento unicast esta sendo usado. Ele foi criado para usar as tabelas de roteamento
existentes para tomar as decises de roteamento multicast.
&
255.255.0.0
->
10.2.0.0
&
255.255.0.0
Vamos agora aplicar a regra a um pacote que trafega da mquina 10.1.1.2 para a mquina
10.3.7.7. Aplica-se a mscara da regra aos dois endereos, o da regra e o do pacote e
verifica se os endereos de destino e o de origem so iguais.
Para o endereo origem temos
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (para a regra)
10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (para o pacote)
Temos ento que os dois endereos origem so iguais aps a aplicao da mscara.
Veremos agora para o endereo destino:
269
Alm dos endereos origem e destino, cada pacote IP possui um protocolo e um servio
associado. Esta combinao de servio mais protocolo pode ser utilizado como mais um
critrio de filtragem.
Os servios no protocolo TCP, por exemplo, esto sempre associados a uma porta (para
maiores informaes, veja o captulo intitulado Cadastrando Entidades). Assim, pode-se
tambm associar uma lista de portas aos endereos.
Pegaremos como exemplo dois servios conhecidos, o POP3 e o HTTP. O POP3 est
associado porta 110 do servidor e o HTTP est associado porta 80. Assim, iremos
acrescentar estas portas no formato da regra. Teremos ento:
10.1.0.0
&
255.255.0.0
->
10.2.0.0
&
255.255.0.0
TCP
80
110
--Portas-
Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e que utiliza os
servios HTTP ou POP3 a trafegar pelo firewall.
Assim, em uma primeira etapa compara-se os endereos da regra com os do pacote. Caso
estes endereos sejam iguais aps a aplicao das mscaras, passa-se a comparar o
protocolo e a porta destino no pacote com o protocolo e a lista de portas associados
regra. Se o protocolo for o mesmo e se for encontrada uma porta da regra igual porta do
270
pacote, esta regra por definio se aplica ao pacote, caso contrrio pesquisa continua na
prxima regra.
Assim um conjunto de regras teria o seguinte formato:
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0
UDP 53
ICMP 0 8
271
272
O boto OK far com que o conjunto de regras seja atualizado e passe a funcionar
imediatamente.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja
fechada.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela
aberta
Quando se clica sobre uma regra que tenha algum comentrio, este aparecer na parte
inferior da janela.
Para executar qualquer operao sobre uma determinada regra, deve-se clicar com o boto
direito do mouse sobre o campo que queira alterar. Aparecer um menu com as opes de
entidades referentes ao campo, como na figura abaixo:
273
Inserir: Incluir uma nova regra na lista. A nova regra ser includa abaixo da regra existente.
Copiar: Copiar a regra selecionada.
Colar: Cola a regra copiada.
Excluir: Remover da lista a regra selecionada.
Habilitar/Desabilitar: Desabilitar/habilitar a regra selecionada.
Adicionar entidades: Adicionar uma entidade cadastrada no firewall. Veja se o ponteiro do
mouse est sobre o campo o qual se quer inserir a entidade.
Remover entidades: Remover uma entidade que foi inserida na regra.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a
nova posio desejada, soltando em seguida.
Poltica Padro: pode-se definir uma nova poltica, clicando no boto "Poltica" na barra de
ferramentas do Firewall. possvel editar um nome e uma cor para cada poltica, inclusive a
padro.
Adicionando e removendo entidades e servios na regra
Para adicionar uma entidade a um destes campos, pode-se proceder de duas formas:
274
275
Log: Definir quais tipos de aes sero executadas pelo sistema quando um pacote se
encaixar na regra. Ele consiste em vrias opes que podem ser selecionadas
independentemente uma das outras. Os valores possveis so:
Logs: Se esta opo estiver selecionada, todos os pacotes que se enquadrarem nesta
regra sero registrados no log do sistema.
Envia email: Se esta opo estiver selecionada, ser enviado um e-mail todas as
vezes que um pacote enquadrar-se nesta regra (a configurao do endereo de email ser mostrada no captulo intitulado configurando as aes do sistema).
Executar programa: Quando selecionada essa opo, ser executado um programa
definido pelo administrador todas as vezes que um pacote se enquadrar nesta regra
(a configurao do nome do programa a ser executado ser mostrada no captulo
intitulado configurando as aes do sistema).
Disparar mensagens de alarme: Quando selecionada essa opo, o firewall mostra
uma janela de alerta todas as vezes que um pacote se enquadrar nesta regra. Esta
janela de alerta ser mostrada na mquina onde a Interface Remota estiver aberta e,
se a mquina permitir, ser emitido tambm um aviso sonoro. Caso a Interface
Remota no esteja aberta, no ser mostrada nenhuma mensagem e esta opo ser
ignorada.
Enviar Trap SMNP: Se esta opo estiver selecionada, ser enviada uma Trap SNMP
para cada pacote que enquadrar nesta regra (a configurao dos parmetros para o
envio das traps ser mostrada no captulo intitulado configurando as aes do
sistema).
No caso do protocolo TCP, somente sero executadas as aes definidas na regra para o
pacote de abertura de conexo. No caso do protocolo UDP, todos os pacotes que forem
enviados pela mquina cliente e se enquadrarem na regra (exceto os pacotes de resposta)
provocaro a execuo das aes.
Tabela de horrios: Definir as horas e dias da semana em que a regra ser aplicvel. As
linhas representam os dias da semana e as colunas representam as horas. Caso queira que a
regra seja aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o
quadrado deve ser deixado em branco.
Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse sobre um
quadrado e a seguir arrast-lo, mantendo o boto pressionado. Isto faz com que a tabela
seja alterada na medida em que o mouse se move.
Perodo de validade: Permitir o cadastro de duas datas que delimitam um perodo fora do
qual a regra no tem validade. um recurso muito til para, por exemplo, liberar o trfego
276
O boto verificar faz a verificao da conexo com o Aker Control Center e a verificao das
regras eclipsadas. A primeira permite checar se existe alguma regra que impea o usurio de
conectar-se
no
firewall
que
ele
est
atualmente
configurando.
Exemplo: O ip do usurio o 10.0.0.1 e o do firewall o 10.0.0.2 e a porta do control center
a 1020. Caso exista alguma regra dizendo que para rejeitar os pacotes de origem
10.0.0.1 e destino 10.0.0.2 na porta 1020, e caso esta regra seja aplicada, implicar na
impossibilidade do usurio se conectar a esse firewall. um mecanismo para impedir que o
prprio
usurio
tire
o
seu
acesso
de
conexo
no
firewall.
A segunda verificao a da regra "eclipsa", necessria essa verificao quando a regra 1
engloba completamente a regra 2, impedindo que a regra 2 seja atingida.
Exemplo: A regra 1 tem origem 0.0.0.0 (qualquer origem), destino 0.0.0.0 (qualquer destino)
e todas as portas TCP 7. A regra 2 tem origem 10.0.0.1, destino 10.0.0.2 e porta TCP 7. A
primeira regra faz tudo o que a segunda regra faz, ento a segunda regra nunca vai ser
atingida, porque a primeira regra vai ser processada primeiro e no vai deixar com que a
outra regra seja alcanada.
Obs.: Todas as regras que so verificadas, so regras que j existem ou seja, que j foram
definidas.
277
278
Para ajustes de prioridade de canal, deve-se clicar como o boto direito na entidade Canal e
escolher a prioridade pelo boto deslizando. Veja a figura abaixo:
279
Pode-se verificar os possveis fluxos de dados que podero ocorrer entre essas redes. Para
cada fluxo foi dada uma numerao e com isso pode-se concluir que os fluxos com nmeros
mais altos (5 e 6) sero considerados os mais inseguros, pois envolvem o acesso da internet
as redes DMZ e interna, respectivamente.
Estes fluxos para o firewall sero desdobrados em regras de filtragem, com isto poderiam
ter as seguintes regras:
280
Para criar novas Polticas deve-se clicar no cone da barra de ferramentas "Poltica".
281
A figura abaixo mostra o desdobramento das regras da poltica. Basta dar um duplo clique
na linha para exibir as regras que ela contm:
No caso de desabilitar uma poltica, todas as regras que ela contm tambm sero
desabilitadas.
7.4. Utilizando a Interface Texto (via SSH-fwrule)
A utilizao da Interface Texto (via SSH) na configurao das regras de filtragem traz uma
dificuldade gerada pela grande quantidade de parmetros que devem ser passados pela
linha de comando (E possvel usar todos os comandos sem o prefixo FW, para isso execute
o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).
Para retornar ao nvel raiz deve-se usar o comando exit.
282
283
acumulador = faz com que o trfego que se encaixe nesta regra seja
somado a entidade acumulador especificada
peso
= "ocioso", "m_baixo" (muito baixo), "baixo", "normal",
"alto", "m_alto" (muito alto) ou "tr" (tempo real)
loga
= loga os pacotes que se enquadrarem na regra
mail
= envia e-mail para cada pacote que se enquadre na regra
trap
= gera trap SNMP para cada pacote que se enquadre na regra
programa = executa um programa para cada pacote que se enquadre na regra
alerta = abre uma janela de alerta para cada pacote que se enquadre na regra
encriptado = indica que a regra s valida se os pacotes vierem encriptados
usurio = indica que a regra s vlida se os pacotes vierem
encriptados e o usurio tiver se autenticado previamente no
firewall. Esta condio somente pode ser atendida por
conexes originadas de clientes de criptografia
servico = lista de nomes dos servios para a nova regra
Para habilita / desabilita / remove temos:
pos
= nmero da regra a ser habilitada, desabilitada ou removida
Exemplo 1: (visualizando as regras de filtragem)
#/aker/bin/firewall/fwrule mostra
Regra 01
-------Origem : Internet
Destino : firewall
cache
Ao
: Descarta
Log
: Loga Trap Alerta
Servios : todos_tcp
todos_udp
todos_icmp
Regra 02
-------Origem : cache
firewall
Destino : Internet
Ao
: Aceita
Log
: Loga
Servios : http
ftp
Regra 03
-------Origem : Internet
Aker Security Solutions
284
Destino
Ao
Log
Servios
: Mail server
: Aceita
: Loga
: smtp
Regra 04
-------Origem
Destino
Ao
Log
Servios
: Empresas externas
: Aker
: Aceita
: Loga
: smtp
285
O assistente de regras pode ser acionado pelo menu ou pela barra de tarefas. Caso o
nmero de regras for muito pequeno o prprio assistente ser acionado automaticamente.
1 - Acionando do assistente de regras. A janela abaixo aparecer quando um nmero muito
pequeno de regras for detectado.
Figura 207 - Assistente de regras filtragem (janela exibida quando um nmero pequeno de
regras for detectado.
286
287
288
289
5 - Configurao da DMZ.
290
291
292
293
294
295
296
297
Esta janela foi criada para organizar suas regras de Q.o.S, no Aker Firewall conhecida como
"canal/pipe". Ela permite que sejam visualizados em apenas uma janela, todas as suas
regras de PIPE, sem a necessidade de visualizar vrias janelas separadas como as de Regras
de filtragem Geral e/ou Regras de Filtragem nos Perfis de Acesso.
O Aker Firewall suporta modificaes de valores DSCP (Differentiated Services Code
Point).
298
Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse sobre um
quadrado e arrast-lo, mantendo o boto pressionado. Isto faz com que a tabela seja
alterada na medida em que o mouse se move.
Perodo de validade: Permitir o cadastro de duas datas que delimitam um perodo fora
do qual a regra no tem validade. um recurso muito til para, por exemplo, liberar o
trfego relacionado a um evento no recorrente, como um teste. Se o perodo ainda no
tiver comeado ou estiver expirado, o nmero da regra ser mostrado sobre um fundo
vermelho.
Comentrio: Inserir um comentrio sobre a regra. Muito til na documentao e
manuteno das informaes sobre a utilidade da regra.
299
Estas regras sobrepem s configuraes de "Canal" das Regras de Filtragem Geral e das
Regras de Filtragem nos Perfis de Acesso.
300
301
302
1-1
O tipo 1-1 o mais intuitivo, porm normalmente o menos til. Ele consiste em fazer
mapeamentos binrios de um para um entre endereos reservados e endereos vlidos.
Desta forma, mquinas distintas teriam endereos convertidos distintos.
303
N-1
A converso de N-1, como o nome j diz, possibilita que vrias mquinas com endereos
reservados utilizem um mesmo endereo vlido. Para conseguir este objetivo, ela utiliza
endereos IP em combinao com portas (no caso dos protocolos TCP e UDP) ou com
nmeros de sequncia (no caso de ICMP). Este mapeamento feito dinamicamente pelo
firewall, cada vez que uma nova conexo estabelecida. Como existem 65535 portas ou
nmeros de sequncia distintos possvel existncia de at 65535 conexes
simultneas ativas utilizando o mesmo endereo.
A nica limitao desta tecnologia que ela no permite que as mquinas internas
sejam acessadas externamente. Todas as conexes devem ser iniciadas internamente.
Quando se utiliza uma converso de endereo (NAT) no Aker Firewall do tipo N: 1,
alm da converso dos endereos IP da rede interna para um nico IP vlido Internet,
tambm alterado a porta de origem da comunicao.
Toda comunicao baseada no protocolo TCP/IP, tem no mnimo os seguintes
parmetros:
IP origem;
Porta origem;
IP destino;
Porta destino.
IP origem: 200.0.0.1
Porta origem: Qualquer porta entre 1024 e 65535
IP destino: 200.176.3.142
Porta destino: TCP 80 (HTTP)
A partir do Aker Firewall 6.1 Patch 3 ou superior este valor de Porta origem quando se
utiliza a converso de endereo de N: 1 varia entre os valores 8176 at 63487. Pode-se
alterar esta faixa de portas, conforme demonstrado abaixo:
Soluo:
Aker Security Solutions
304
nat_init= 30720
nat_end=63472
1-N
Este tipo de converso tambm chamado de balanceamento de carga e possibilita que
vrios servidores sejam colocados atrs de um nico endereo IP vlido. Cada vez que
uma nova conexo aberta para esse endereo, ela redirecionada para um dos
servidores internos. A grande vantagem dessa tecnologia possibilitar que servios que
demandam uma grande quantidade de recursos possam ser separados em vrias
mquinas e serem acessados de forma transparente, por meio de um nico endereo.
No caso de quedas de algumas dessas mquinas, as novas conexes so
automaticamente repassadas para as mquinas que ainda estiverem no ar, implantando
com isso mecanismo de tolerncia a falhas.
N-N
Esta converso permite que todos os endereos de uma rede sejam convertidos para os
endereos de uma rede virtual automaticamente.
305
(os endereos A.B.C.0 e A.B.C.255 so reservados para fins especficos e no podem ser
utilizados, sobrando os valores de A.B.C.1 a A.B.C.254). Suponha ainda que esta rede possua
1000 mquinas para serem conectadas. Em virtude da impossibilidade de alocar todas as
mquinas no endereo recebido, foi decidido pelo uso da converso de endereos.
Escolheu-se ento um endereo reservado classe A para ser colocado nas mquinas da rede
interna, o 10.x.x.x com mscara 255.0.0.0.
O Aker Firewall ir ficar no limite da Internet com a rede interna, que possui endereos
reservados. Ele ser o responsvel pela converso dos endereos reservados 10.x.x.x para os
endereos vlidos A.B.C.x. Desta forma, o firewall dever possuir pelo menos dois
endereos: um endereo vlido, para que possa ser atingido pela Internet e um reservado,
para que possa ser atingido pela rede interna. (na maioria das instalaes, colocam-se duas
ou mais placas de rede no firewall: uma para a rede externa e uma ou mais para a rede
interna. Entretanto possvel, porm no recomendado, fazer esta mesma configurao
com apenas uma placa de rede, atribuindo um endereo vlido e um reservado para a
mesma placa).
Supondo que seja escolhido o endereo A.B.C.2 para o segmento vlido e o 10.0.0.2 para o
segmento reservado. Este endereo vlido ser utilizado pelo firewall para converter todas
as conexes com origem na rede interna e destino na Internet. Externamente, todas as
conexes sero vistas como se partissem dele.
Outro exemplo seria a de uma organizao que possua sadas para a Internet e trs classes
de endereos vlidos, neste caso o administrador tem a possibilidade de distribuir a
converso de endereos entre essas trs classes, obtendo muito mais flexibilidade na
configurao.
Com a converso de endereos funcionando, todas as mquinas internas conseguem
acessar qualquer recurso da Internet transparentemente, como se elas prprias possussem
endereos vlidos. Porm, no possvel para nenhuma mquina externa iniciar uma
conexo para qualquer mquina interna (devido ao fato delas no possurem endereos
vlidos). Para resolver este problema, o Aker Firewall possibilita a configurao de regras de
converso 1-1, o que permite simular endereos vlidos para quaisquer endereos
reservados.
Voltando para o caso da nossa hipottica organizao, suponha que em sua rede exista um
servidor WWW, com endereo 10.1.1.5, e que seja desejado que este servidor fornea
informaes para a rede interna bem como para a Internet. Neste caso deve-se escolher um
endereo vlido para que este possa ser utilizado pelos clientes externos para se
conectarem a este servidor. Suponha que o endereo escolhido tenha sido o A.B.C.10. Devese ento acrescentar uma regra de converso 1-1, de modo a mapear o endereo A.B.C.10
para o endereo interno 10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10
sero automaticamente mapeados novamente pelo firewall para 10.1.1.5.
Os endereos vlidos escolhidos para realizar a converso de 1-1 no podem ser
atribudos a nenhuma mquina real. Desta forma, em nosso exemplo possvel a
configurao de at 253 servidores na sua rede interna passveis de serem acessados
Aker Security Solutions
306
externamente (um dos 254 endereos vlidos j usado para que o firewall converta o
trfego de todas as mquinas clientes).
O Aker Firewall utiliza a tecnologia de proxy-arp para possibilitar que os servidores
virtuais sejam tratados pelas mquinas pertencentes rede vlida (por exemplo, o roteador
externo), como se fossem mquinas reais.
Exemplos de configuraes usando converso de endereos:
Desenho do Exemplo 1
Aker Security Solutions
307
Interligando departamentos
Neste exemplo, iremos mostrar como interligar departamentos de uma mesma empresa,
utilizando um conversor de endereos entre estes departamentos.
Equipamento: 1 roteador, 3 Aker Firewall, n clientes, 4 servidores na rede interna
Endereo vlido: A.B.C.x, mscara da rede 255.255.255.0
Endereo reservado: 10.x.x.x mscara da rede 255.255.0.0
Endereo reservado:172.16.x.x, mscara 255.255.0.0
Endereos da sub-rede 1:
10.1.x.x
Endereo do servidor: 10.1.1.1
Endereo dos clientes: 10.1.x.x
Endereos do roteador: Rede vlida A.B.C.1 , Internet: x.x.x.x
Configurao do Aker Firewall:
Rede interna: 10.1.0.1, Rede vlida A.B.C.2
IP virtual para a converso N-1: A.B.C.2
Rede privada: 10.0.0.0
Mscara da rede privada: 255.0.0.0
Endereos da sub-rede 2:
Externamente: 10.1.0.2
Internamente:172.16.x.x
Endereo do servidor: 172.16.1.1
Endereo dos clientes: 172.16.x.x
Configurao do Aker Firewall:
Sub-Rede 2: 172.16.0.1, Sub-rede 1:10.1.0.2
IP Virtual para converso N-1:10.1.0.2
Rede privada (2): 172.16.0.0
Mscara da rede privada: 255.255.0.0
Regras de converso 1-1:
10.2.1.1 - 172.16.1.1
308
Endereos da sub-rede 3:
Externamente: 10.1.0.3
Internamente:172.16.x.x
Endereo do servidor: 172.16.1.1
Endereo dos clientes: 172.16.x.x
Na tabela de roteamento para este tipo de instalao devemos inserir rotas para as subredes 10.1.x.x, 10.2.x.x, 10.3.x.x.
Figura 218 - Exemplo 2 de configurao do Aker Firewall (mltiplas ligaes com a Internet).
309
Desenho do Exemplo 2
310
Figura 219 - Exemplo 3 de configurao do Aker Firewall (montando regras de converso de endereos).
Desenho do Exemplo 3
Com o Aker Firewall possvel realizar um balanceamento dos links para realizar um
aproveitamento mais otimizado dos links. O firewall possui mecanismos de verificao de
ativao dos links, sendo possvel dividir o trfego de forma inteligente pelos links ou
desviar totalmente o trfego daquele que estiver fora do ar.
O administrador tambm poder atribuir pesos s suas conexes, ou seja, as conexes mais
rpidas podero ter um peso maior do que as conexes mais lentas, desta forma o firewall
dar preferncia em enviar o trfego para o link com maior peso.
Montando regras de converso de endereos para o Aker Firewall
Configurar as regras de converso de endereos no Aker Firewall algo fcil em funo de
sua concepo inteligente. Toda a parte de endereos IP, mscaras, protocolos e portas so
configurados nas entidades (para maiores informaes, veja o captulo intitulado
Cadastrando Entidades). Devido a isso, ao configurar uma regra, no necessrio se
preocupar com qual porta um determinado servio utiliza ou qual o endereo IP de uma
rede ou mquina. Tudo isso j foi previamente cadastrado. Para facilitar ainda mais, todos
os servios mais utilizados na Internet j vem previamente configurado de fbrica, sendo
desnecessrio perder tempo pesquisando os dados de cada um.
311
312
O boto OK far com que o conjunto de regras seja atualizado e passe a funcionar
imediatamente.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a
janela aberta
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela
seja fechada.
Existe uma barra para incluso de comentrios relativo regra de converso.
A opo Ativar NAT, se estiver marcada, far com que o firewall passe a converter os
endereos de acordo com as regras cadastradas. Caso ela esteja desmarcada, nenhum
tipo de converso de endereos ser feita.
A barra de rolagem do lado direito serve para visualizar as regras que no couberem na
janela.
Ao clicar sobre uma regra e selecion-la, se ela possuir um comentrio, este aparecer
na parte inferior da janela.
A posio da regra pode ser alterada clicando e arrastando com o mouse para a nova
posio desejada.
313
Origem: Neste campo especifica-se a lista de todas as entidades cujos endereos sero
convertidos para o endereo da Entidade Virtual, descrita acima. A converso 1-1 ou
converso de servios permitem que apenas uma entidade seja selecionada para este
campo e esta entidade deve ser do tipo mquina.
Caso esteja utilizando Converso 1-N ou Converso de Servios 1-N, ento cada mquina
pertencente a esse campo ter um peso associado a ela, mostrado entre parnteses,
direita do nome da entidade. Para alterar o peso de uma determinada mquina, ou seja,
fazer com que ela receba mais conexes que as demais, deve-se clicar com o boto direito
sobre o nome da entidade, na lista da direita, selecionar a opo Alterar peso e escolher o
novo valor.
O campo Entidade Origem deve sempre conter os endereos internos (reservados ou no
vlidos) das mquinas participantes da converso, independentemente de seu tipo.
Destino: Este campo serve para especificar as entidades para as quais a converso de
endereos ser efetuada (no caso da converso N-1) ou as mquinas que acessaro as
mquinas internas por meio do endereo contido no campo Entidade Virtual (para os
demais tipos de converso). Ao criar vrias regras com valores distintos nesse campo, faz
com que uma mesma mquina tenha seu endereo convertido em endereos distintos
dependendo do destino da comunicao.
O valor mais comum para esse campo a especificao da entidade Internet como
destino. Isso far com que a converso de endereos selecionada na regra seja efetuada
para todas as mquinas externas.
314
O boto OK far com que o conjunto de regras seja atualizado e passe a funcionar
imediatamente.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a
janela aberta
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela
seja fechada.
315
316
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova
regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a
nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada
para o final da lista.
Excluir: Remover da lista a regra selecionada.
Habilita/Desabilita: Permitir habilitar/desabilitar a regra selecionada, ou seja, ela
permanecer cadastrada, mas o Firewall se comportar como se a mesma no existisse
(no caso do Disable) e prosseguir a pesquisa na regra seguinte.
Adicionar entidades: No ponto em que for feito o clique do mouse, ser possvel inserir
a entidade no campo correspondente da regra de converso. Apenas certo nmero de
entidades poder ser visualizado. Para escolher outra entidade faa a rolagem da janela
na barra correspondente.
Dica: O mtodo mais prtico para o administrador montar sua regra de converso ser
arrastando diretamente as entidades para dentro da regra.
317
Dica 2: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a
nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse
ir mudar para uma caixa pontilhada.
No caso de incluso ou edio de regras, ser mostrada a janela de propriedades, descrita
na seo abaixo:
Tipos de NAT: Neste campo definido o tipo de converso que a regra realizar. Ela possui
as seguintes opes:
Sem Converso: Esta opo indica ao firewall que no deve haver converso de
endereos quando qualquer uma das mquinas pertencentes s Entidades Origem for
acessar qualquer uma das mquinas pertencentes s Entidades Destino e vice-versa.
Converso 1-1: Esta opo indica ao firewall que quando a mquina listada nas
Entidades Origem for acessar qualquer uma das mquinas pertencentes s Entidades
Destino ela ter seu endereo convertido para o endereo da Entidade Virtual. Todas as
vezes que uma mquina pertencente s Entidades Destino acessar o endereo da
Entidade Virtual, esse ltimo ser automaticamente convertido para o endereo real,
318
definido pela entidade presente nas Entidades Origem. Este tipo de converso til para
possibilitar o acesso externo a servidores internos.
Nas Entidades Origem deve-se colocar uma entidade com o endereo real (interno,
reservado) da mquina para a qual se far converso de 1-1. Na Entidade Virtual deve-se
colocar uma entidade com o endereo para o qual o endereo interno ser convertido
(endereo vlido) e que ser acessado pelas mquinas externas.
Converso N-1: Esta opo indica ao firewall que quando qualquer mquina listada nas
Entidades Origem for acessar qualquer uma das mquinas pertencentes s Entidades
Destino ela ter seu endereo convertido para o endereo da Entidade Virtual. Este tipo
de converso til para possibilitar que um grande nmero de mquinas utilize apenas
um endereo IP vlido para se comunicar por meio da Internet, entretanto ela no
permite com que mquinas externas (listadas nas Entidades Destino) iniciem qualquer
comunicao com as mquinas internas (listadas nas Entidades Origem).
Converso de Servios: Esta opo til para redes que dispem de apenas um
endereo IP e necessitam disponibilizar servios para Internet. Ela possibilita que
determinados servios, ao serem acessados no firewall, sejam redirecionados para
mquinas internas.
No campo Entidades Origem, deve-se colocar o endereo IP interno (real) da mquina para a
qual os servios sero redirecionados. No campo Entidades Destino, deve-se colocar as
mquinas que iro acessar os servios externamente. No campo Servios, deve-se escolher
todos os servios que sero redirecionados para a mquina presente em Entidades Origem
quando uma mquina presente nas Entidades Destino acess-los no endereo IP da Entidade
Virtual.
Quando o mdulo de Cluster Cooperativo estiver funcionado no possvel converso
de servios.
Converso 1-N: Esta opo utilizada para fazer balanceamento de carga, ou seja,
possibilitar que vrias mquinas respondam como se fossem uma nica.
No campo Entidades Origem deve-se colocar a lista de mquinas que faro parte do
balanceamento e que passaro a responder como se fossem uma nica. No campo
Entidades Destino, deve colocar as mquinas que iro acessar as mquinas internas pelo
endereo especificado na entidade presente no campo Entidade Virtual.
319
Figura 225 - Janela de configurao para aes que deseja ser realizada.
Converso 1:N para servios: Esta opo utilizada para fazer balanceamento de carga
para determinados servios, ou seja, possibilitar que vrias mquinas respondam a
requisies destes servios como se fosse uma nica.
Porta: Para efetuar converses no somente de endereos ip, mas tambm de portas
para conexo, utiliza-se este tipo de nat, que tambm conhecido com PAT (port
address translation).
Mscara de rede
Origem
192.168.0.0
255.255.255.0
Entidade virtual
172.16.0.0
255.255.255.0
Figura 226 - Mscaras de rede da entidade de origem e virtual devem ser iguais.
Nesse caso, todos os IPs da rede 192 sero convertidos para a 172.
320
Figura 227 - Configurao dos parmetros de monitoramento a ser realizado pelo firewall.
O campo Tipo de monitoramento, permite definir o mtodo utilizado pelo firewall para
verificar se as mquinas participantes do balanceamento (mquinas definidas no campo
Entidades Origem) esto no ar. Ela consiste das seguintes opes:
Sem monitoramento: Se essa opo for selecionada, o firewall no monitorar as mquinas
e assumir que elas esto sempre ativas.
Pacotes Ping: Se essa opo for selecionada, o firewall monitorar as mquinas por meio de
pacotes ICMP de Echo Request e Echo Reply (que tambm so utilizados pelo comando
PING, da o nome dessa opo).
Pedidos HTTP: Se essa opo for selecionada, o firewall monitorar as mquinas por meio
de requisies HTTP. Nesse caso, deve-se especificar a URL (sem o prefixo http://) que o
firewall tentar acessar em cada mquina para verificar se ela est ativa ou no.
Algoritmo de balanceamento de carga: Esse campo permite definir o mtodo utilizado para
balancear as requisies entre as mquinas presentes no campo Entidades Origem. Ele
consiste das seguintes opes:
321
Regras de No Converso;
Regras de Converso de Servios;
Regras de Converso 1-1 e de N-N;
Regras de Converso de Servios 1-N;
Regras de Converso 1-N;
Regras de Converso N-1;
Regras de Converso N-N.
necessria a incluso de uma regra de No Converso com origem nas redes internas e
destino nas prprias redes internas caso se pretenda administrar o firewall por uma
mquina interna que participar de qualquer tipo de converso. Essa regra dever estar
antes das demais regras de converso.
322
323
324
seguro (443/TCP), sendo que h trs servidores para atender a requisio, no caso NT1, NT2
e NT3. Os princpios para atender estas conexes so os mesmos j explicados no cenrio
anterior.
Finalizando, a regra 6 permite que qualquer outra mquina origine conexo para Internet,
no caso sendo visualizado o IP 200.120.210.15 no destino.
Apesar de ser possvel utilizar a converso de servios no caso do cenrio 1, a Aker
recomenda que esta configurao seja utilizada no caso da empresa possuir somente um
nico endereo IP vlido para Internet.
325
326
327
Sintaxe:
Firewall Aker fwnat - Configura regras de converso de endereos (NAT)
Uso: fwnat [ajuda | mostra | ativa | desativa]
fwnat [habilita | desabilita | remove] <pos>
fwnat inclui <pos> 1-1 <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...]
fwnat inclui <pos> n-1 <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...]
fwnat inclui <pos> servios <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...] <servico1>...<servico2>
fwnat inclui <pos> portas <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...] <servico> <servico virtual>
fwnat inclui <pos> sem_conversao <origem> <destino>
fwnat inclui <pos> 1-n <origem1>...<origem2> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...] <round-robin | randomico> <persist>
nenhum | ping | HTTP <URL>>
fwnat inclui <pos> n-n <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...]
Ajuda do programa:
desativa = desativa converso de endereos
mostra = mostra todas as regras da tabela de converso
inclui = inclui uma nova regra de converso
habilita = habilita uma regra de converso desabilitada
desabilita = desabilita uma regra de converso existente
remove = remove uma regra de converso existente
ajuda = mostra esta mensagem Para inclui temos:
pos = posio onde incluir a nova regra na tabela
(Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela)
sem_converso = no realiza converso entre a origem e o destino
1-1
328
329
Regra 01
-------Tipo: sem_conversao
Origem: Rede Interna
Destino: Rede Interna
Regra 02
-------Tipo: servios
Origem: Server
Destino: Internet
Entidade virtual: Firewall - interface externa
Servios: MYSQL
POP3
SMTP
Regra 03
-------Tipo: 1-1
Origem: Web Server_001
Destino: Internet
Entidade virtual: External Web server
Regra 04
-------Tipo: n-n
Origem: rede1
Destino: internet
Entidade Virtual: rede2
Regra 05
-------Tipo: 1-n
Origem: server1, server2, server3
Destino: Internet
Entidade virtual: Virtual Server
Balanceamento: randmico Monitoramento: http
URL: www.aker.com.br
Regra 06
Aker Security Solutions
330
-------Tipo: n-1
Origem: Rede Interna
Destino: Internet
Entidade virtual: Firewall - interface externa.
Exemplo 2: (Incluindo uma regra de converso 1-1 no final da tabela. Mapeando o servidor
SMTP Server, com endereo reservado para o External Server, com endereo vlido para
todas as mquinas da Internet).
#/aker/bin/firewall/fwnat inclui fim 1-1 "SMTP Server" Internet "External Server
Regra includa na posio 6
331
O assistente de configurao NAT pode ser acionado tanto pela barra de ferramentas como
pelo menu. As janelas abaixo iro solicitar diversas informaes de modo que a converso
seja configurada.
1 - A janela inicial informa sobre o que o NAT. Clique no boto Prximo para continuar
com a configurao.
332
Figura 233 - Seleo das redes que tem a necessidade de acessar Internet compartilhando um endereo IP.
333
334
4 - Escolha a opo Sim caso queira configurar os servidores que devem aparecer para
Internet.
335
336
Figura 237 - Escolha do endereo IP utilizados por mquinas externas a ser utilizado no servidor.
337
338
339
340
Este captulo mostra como configurar as regras que propiciaro a criao de canais seguros
de comunicao na Internet. Estes canais seguros so usados para interligar instituies pela
Internet de forma a permitir que os dados fluam entre elas sem o risco de serem lidos ou
alterados por estranhos.
341
342
O que autenticao?
Autenticao tambm a combinao de uma chave com um algoritmo matemtico
baseado em uma funo unidirecional. A diferena em relao criptografia que este
algoritmo, quando aplicado sobre os dados, no produz dados indecifrveis, mas sim uma
assinatura digital para estes. Essa assinatura gerada de tal forma que qualquer pessoa que
desconhea o algoritmo ou a chave utilizado para ger-la seja incapaz de calcul-la.
Quando a assinatura digital gerada, ela passa a ser transmitida para o destino junto com
os dados. Caso estes tenham sofrido quaisquer alteraes no caminho, o recipiente quando
calcular a assinatura digital dos dados recebidos e compar-la com a assinatura recebida ir
perceber que as duas so diferentes e concluir que os dados foram alterados.
A autenticao uma operao bastante rpida quando comparada com a criptografia,
porm ela sozinha no consegue impedir que os dados sejam lidos. Ela deve ser usada
apenas nos casos onde necessita confiabilidade dos dados, mas no sigilo. Caso necessite de
ambos, usa-se autenticao em conjunto com a criptografia.
343
MD5
MD5 a abreviatura de Message-Digest 5. Ele um algoritmo criado e patenteado pela
RSA Data Security, Inc, porm com uso liberado para quaisquer aplicaes. Ele usado
para gerar assinaturas digitais de 128 bits para mensagens de qualquer tamanho e
considerado um algoritmo bastante rpido e seguro.
SHA
SHA a abreviatura de Secure Hash Algorithm. Ele um algoritmo que gera assinaturas
digitais de 160 bits para mensagens de qualquer tamanho. Ele considerado mais
seguro que o MD5, porm tem uma performance em mdia 50% inferior (na
implementao do Aker Firewall).
A verso implementada pelo Aker Firewall o SHA-1, uma reviso no algoritmo inicial
para corrigir uma pequena falha. Entretanto ele ser chamado sempre de SHA, tanto
neste manual quanto nas interfaces de administrao.
DES
O algoritmo DES um anagrama para Data Encription Standard, foi criado pela IBM na
dcada de 70 e foi adotado pelo governo americano como padro at recentemente. Ele
um algoritmo bastante rpido em implementaes de hardware, porm no to rpido
quando implementado em software. Suas chaves de criptografia possuem tamanho fixo
de 56 bits, nmero considerado pequeno para os padres atuais. Devido a isso, deve-se
dar preferncia a outros algoritmos em caso de aplicaes crticas.
344
AES
O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para substituir o j
inseguro e ineficiente DES. AES um anagrama para Advanced Encryption Standard. O
algoritmo escolhido em concurso foi o Rijndael, e ele utiliza 256 bits de chave, sendo ao
mesmo tempo muito mais seguro e rpido que o DES ou mesmo o 3DES.
O Aker Firewall trabalha com o AES utilizando chaves de 256 bits, o que garante um nvel
altssimo de segurana. Ele a escolha recomendada.
Blowfish
O algoritmo Blowfish foi criado como uma possvel substituio ao DES. Ele um
algoritmo extremamente rpido (quando comparado com outros algoritmos de
criptografia), bastante seguro e pode trabalhar com vrios tamanhos de chaves, de 40 a
438 bits.
O Aker Firewall trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o que
garante um nvel altssimo de segurana.
RSA
O RSA um algoritmo baseado em aritmtica modular capaz de trabalhar com chaves de
qualquer tamanho, porm valores inferiores a 512 bits so considerados muito frgeis.
Ele pode ser utilizado para encriptar e desencriptar dados, porm, devido a sua grande
lentido se comparado aos algoritmos simtricos, seu principal uso em assinaturas
digitais e no estabelecimento de chaves de sesso.
345
Diffie-Hellman
O algoritmo Diffie-Hellman na verdade no pode ser encarado como algoritmo de
criptografia, uma vez que no serve para encriptar dados ou realizar assinaturas digitais.
Sua nica funo possibilitar a troca de chaves de sesso, feita de forma a impedir que
escutas passivas no meio de comunicao consigam obt-las. Ele tambm baseado em
aritmtica modular e pode trabalhar com chaves de qualquer tamanho, porm chaves
menores que 512 so consideradas muito frgeis.
346
347
348
Entidades:
REDE1 - Endereo IP: A1.B1.C1.0 - Mscara 255.255.255.0
REDE2 - Endereo IP: A2.B2.C2.0 - Mscara 255.255.255.0
Regra de criptografia 1:
Sentido do canal: envia
Entidades origem: REDE1
Entidades destino: REDE2
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X1
Chave de criptografia: X2
Aker Security Solutions
349
Regra de criptografia 2:
Sentido do canal: recebe
Entidades origem: REDE2
Entidades destino: REDE1
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X3
Chave de criptografia: X4
Entidades:
REDE1 - Endereo IP: A1.B1.C1.0 - Mscara 255.255.255.0
REDE2 - Endereo IP: A2.B2.C2.0 - Mscara 255.255.255.0
Regra de criptografia 1:
Sentido do canal: recebe
Entidades origem: REDE1
Entidades destino: REDE2
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X1
Chave de criptografia: X2
Regra de criptografia 2:
Sentido do canal: envia
Entidades origem: REDE2
Entidades destino: REDE1
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X3
Chave de criptografia: X4
Note que a regra 1 do Aker Firewall 1 exatamente igual regra 1 do Aker Firewall 2,
exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2.
350
Figura 240 - Exemplo de configurao de um canal seguro firewall-firewall para uma sub-rede.
Entidades:
SUB_REDE1 - Endereo IP: A1.B1.2.0 - Mscara 255.255.255.0
SUB_REDE2 - Endereo IP: A2.B2.5.0 - Mscara 255.255.255.0
Regra de criptografia 1:
Sentido do canal: envia
Entidades origem: SUB_REDE1
Entidades destino: SUB_REDE2
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X1
Chave de criptografia: X2
Aker Security Solutions
351
Regra de criptografia 2:
Sentido do canal: recebe
Entidades origem: SUB_REDE2
Entidades destino: SUB_REDE1
Algoritmo de criptografia: 3DES
Algoritmo de autenticao: SHA
Chave de autenticao: X3
Chave de criptografia: X4
Entidades:
SUB_REDE1 - Endereo IP: A1.B1.2.0 - Mscara 255.255.255.0
SUB_REDE2 - Endereo IP: A2.B2.5.0 - Mscara 255.255.255.0
Regra de criptografia 1:
Sentido do canal: envia
Entidades origem: SUB_REDE2
Entidades destino: SUB_REDE1
Algoritmo de criptografia: 3DES
Algoritmo de autenticao:SHA
Chave de autenticao: X3
Chave de criptografia: X4
Regra de criptografia 2:
Sentido do canal: recebe
Entidades origem: SUB_REDE1
Entidades destino: SUB_REDE2
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X1
Chave de criptografia: X2
Note que neste caso as regras aparecem colocadas em uma ordem diferente nos dois
firewalls: a regra 1 no Firewall 1 igual regra 2 do Firewall 2 (com os sentidos invertidos) e
a regra 2 no Firewall 1 igual regra 1 no Firewall 2 (novamente com os sentidos trocados).
Neste exemplo, a ordem das regras no faz diferena (observe, entretanto que em alguns
casos isto pode no ser verdade).
352
Certificados IPSEC
Os certificados IPSEC so certificados padro X.509 utilizados pelo firewall para
identificarem-se junto a seus pares quando do estabelecimento dos canais criptogrficos
firewall-firewall no padro IPSEC (veja a seo Configurando tneis IPSEC, logo abaixo). Seu
uso, entretanto, no obrigatrio, j que possvel estabelecer canais IPSEC usando
segredos compartilhados.
Para que um firewall aceite um certificado apresentado por outro, preciso que ele
possua o certificado da Autoridade Certificadora que o emitiu.
Para ter acesso a janela de manuteno de certificados IPSEC deve-se:
353
354
O boto Inserir permite incluir uma nova requisio, podendo ser local ou remota, sendo
que as requisies e certificados locais ficam na janela "deste firewall" e certificados e
requisies remotas ficam na janela "outros firewalls".
O boto Copiar copia o certificado/requisio selecionado.
O boto Colar cola da memria o certificado/requisio copiado.
O boto Excluir remove da lista o certificado/requisio selecionado.
O boto Importar permite que seja carregado um certificado que foi exportado.
O boto Exportar permite que salve o certificado selecionado.
O boto Submeter permite que carregue um certificado exportado ou carregue um
certificado de acordo com uma requisio selecionada (somente aparece quando
inserindo um novo certificado).
O boto Instalar far com que a janela seja fechada e atualizada.
O boto Atualizar recarregada as informaes de certificados.
Para gerar um certificado necessrio que primeiro gere uma requisio no Aker Firewall,
com esta requisio faa um pedido a uma autoridade certificadora para gerar o certificado
e depois importe o certificado para o Aker Firewall.
Esta janela atualizada dinamicamente, ou seja, no possvel cancelar quando j feito o
pedido. Quando incluir-se uma nova requisio local, as requisies e os certificados locais
sero apagados. Da mesma forma, ao importar novo Certificado local com par de chaves
(.pfx), sero apagados as requisies e os certificados locais.
Desta maneira, a operao deve se dar da seguinte forma (para o certificado local):
1. Criar uma requisio local;
2. Enviar esta requisio a uma Autoridade Certificadora;
3. Esperar at que a Autoridade Certificadora emita o certificado correspondente;
Aker Security Solutions
355
Domnio (CN): o identificador principal do dono da requisio. Este campo deve ser
preenchido com common name.
Tamanho da chave: Se o certificado for local com criao de nova chave ou remoto, este
campo conter o comprimento da chave em bits. Caso contrrio (certificado local
adicional) ele no poder ser modificado, uma vez que a chave que j existe ser
utilizada.
356
O boto OK far com que o conjunto de fluxos seja atualizado e passe a funcionar
imediatamente.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela
seja fechada.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a
janela aberta
A barra de rolagem do lado direito serve para visualizar os fluxos que no couberem na
janela.
Ao clicar sobre um fluxo e selecion-lo, se ele possuir um comentrio, este aparecer na
parte inferior da janela.
Dica: A posio de cada regra pode ser alterada, bastando-se clicar e arrastar a mesma para
a nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse
ir mudar para uma mo segurando um basto.
Para executar qualquer operao sobre um determinado fluxo, basta clicar com o boto
direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre
357
que pressionar o boto direito, mesmo que no exista nenhum fluxo selecionado. Neste
caso, somente as opes Inserir e Copiar estaro habilitadas).
Figura 248 - Menu de insero, copia ou excluso para definio dos fluxos de criptografia.
Inserir: Esta opo permite incluir um novo fluxo na lista. Se algum fluxo estiver
selecionado, o novo ser inserido na posio do fluxo selecionado. Caso contrrio, o
novo fluxo ser includo no final da lista.
Copiar: Esta opo copia o fluxo selecionado para uma rea temporria.
Colar: Esta opo copia o fluxo da rea temporria para a lista. Se um fluxo estiver
selecionado, o novo ser copiado para a posio do fluxo selecionado. Caso contrrio ele
ser copiado para o final da lista.
Excluir: Esta opo apaga o fluxo selecionado.
Habilitar/Desabilitar: Esta opo permite desabilitar o fluxo selecionado.
Dica: Todas estas opes podem ser executadas a partir da barra de ferramentas localizada
na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo, clicando-o com o
boto esquerdo, e em seguida clica-se na opo desejada.
Caso queira incluir ou editar fluxos, pode-se fazer de duas formas: As entidades envolvidas
podem ser arrastadas para o fluxo que vo participar ou clicando com o boto direito do
mouse sobre o campo desejado, neste caso ser dada a opo de inserir, apagar ou editar
entidades como mostrado a seguir:
358
359
desta forma criasse uma redundncia de link para estes tneis, ou seja, caso o link do
primeiro gateway remoto estiver inoperante ser estabelecido o tnel por meio do
segundo gateway remoto e assim por diante, na prxima troca de chaves ser
verificado se o primeiro gateway remoto est operante assim estabelecendo o tnel
com ele.
Agora possvel adicionar at trs gateways remotos na mesma regra.
Cada um dos dois firewalls envolvidos no tnel precisa ter certeza da identidade do outro,
de forma a evitar ataques de falsificao. Para isso, h dois modos selecionveis:
Autenticao: Definir qual algoritmo ser utilizado na autenticao. Os valores
possveis so: MD5 ou SHA.
Segredo Compartilhado: Uma sequncia de caracteres que funciona como uma
senha e deve ser igual de cada um dos lados do tnel.
Certificado: Utiliza certificados padro X.509 com um esquema de chaves pblicas
para a identificao dos firewalls. Este o mesmo esquema utilizado por sites
seguros na Internet, por exemplo.
Devem ser especificados:
certificado local a apresentar para a outra ponta do tnel (Remote Gateway) e dado
de identificao exigido do firewall remoto. Este dado ser um endereo de e-mail
para certificados criados com a opo USER- FQDN e nome de uma mquina (Fully
Qualified Domain Dame), se a opo for FQDN.
Avanado
360
Figura 251 Definio dos algoritimos de criptogrfica e autenticao permitidos pelo firewall durante negociao das
chaves IKE.
Modo
Principal: Ao escolher este modo de autenticao a negociao de chaves IKE ser feita com
uma velocidade de processamento mais lenta, mas de forma protegida, ou seja,
criptografada.
Agressivo: Ao escolher este modo de autenticao a negociao de chaves IKE NO ser
feita de forma protegida, oferecendo maior velocidade do que o modo Principal.
Ponta do tnel local: Nesta opo o usurio deve indicar qual o IP que ir responder pelos
pacotes de requisio de troca de chaves
No possvel alterar o valor do campo kBytes para valores maiores que 0 e menores
que 100 para a Fase 1, e na Fase 2 no possvel alterar o valor do campo kBytes para
valores maiores que 0 e menores que 50.
361
Na janela acima, possvel visualizar quais SPIs IPSEC foram negociadas para cada um dos
tneis configurados, bastando para isso clicar sobre a regra correspondente. Se houver mais
de uma SPI, porque o firewall negocia uma nova sempre antes de a anterior acabar, de
forma a nunca interromper o trfego dentro da VPN. Descrio de cada coluna:
362
Pacotes perdidos:
So pacotes que por causa de algum erro, no foram
descriptografados corretamente ento o firewall os descartam. Neste campo so
contabilizados os pacotes descartados.
Tempo total: Tempo de validade da SP.
Ocioso: Tempo de inatividade do SP.
Expirao: Data no qual a SP deixar de ser utilizada.
Ao clicar em "Bytes de lote Transferidos", pode-se ver um grfico de uso dos tneis, que
atualizado a cada cinco segundos. Ele mostra o trfego agregado de todas as SPIs de cada
regra, permitindo verificar, em tempo real o uso efetivo de banda criptografada.
Para utilizar troca de chaves manual, deve-se selecionar a opo Manual, na janela
Firewall/Firewall. Isto provocar a alterao da janela de forma a mostrar os campos
necessrios para esta configurao.
363
Visando oferecer maior segurana e confiabilidade para as conexes de seus clientes, a Aker
Security Solutions traz uma nova funcionalidade: o
VPN fail over.
Seu principal objetivo realizar a verificao de links especficos, desta forma, possvel
que o administrador configure rotas seguras quando algum desses links ficar inativo. Alm
disso , pode-se configurar uma VPN definindo se ela ser ativa ou no quando o link em
questo estiver inativo, assim cria-se uma rota segura para ele e evita-se a perda de
conectividade de sua rede.
Figura 254 - Exemplo de funcionamento VPN Fail over "link ativado e VPN desativada"
364
Figura 255 - Figura 245 - Exemplo de funcionamento VPN Fail over "link inativo e VPN ativada"
365
Nessa aba, o usurio deve criar as regras de monitoramento que sero associadas VPN. A
seguir, mais detalhes sobre as opes dessa aba:
Nome: neste campo, o usurio deve definir o nome da regra (esse nome ser exibido na aba
VPN fail over para a associao de VPN).
Gateway: Aqui o usurio deve inserir qual o Gateway de sua rede.
Verificar mquina: neste campo, o usurio deve definir que IP (IP da mquina, firewall, ou
roteador) ficar responsvel pela verificao do link, ou seja, um ponto de verificao que
informar se o link est ativo ou inativo.
366
Nessa aba, o usurio pode definir qual VPN ser usada para o link desejado e que ao
dever ser tomada.
N: este campo exibe o nmero da regra de monitoramento.
Regra de monitoramento: este campo exibe o nome da regra de monitoramento.
Regra de VPN: aqui o usurio define que regra de VPN ser usada na regra de
monitoramento selecionada . A configurao da VPN feita no menu Criptografia, opo
Firewall/Firewall.
Ao: neste campo, o usurio deve definir qual a ao a ser tomada quando o link em
questo se encontrar inativo, as opes so:
Habilitar VPN: ao selecionar esta opo, a VPN ser ativada quando o link estiver inativo.
Desabilitar VPN: ao selecionar esta opo, a VPN ser desativada quando o link estiver
inativo.
367
Por meio da Interface Texto (via SSH) possvel realizar todas as configuraes mostradas
acima. A descrio de cada configurao distinta se encontra em um tpico separado (E
possvel usar todos os comandos sem o prefixo FW, para isso execute o comando
fwshell, ento todos os comando podero ser acessados sem o prefixo FW).
Para retornar ao nvel raiz deve-se usar o comando exit.
Para retornar ao nvel raiz deve-se usar o comando exit.
Aker Firewall
fwipseccert - Criao e manejamento de requisies e certificados x.509
Uso: fwipseccert ajuda
fwipseccert mostra [requisicao | certificado]
Aker Security Solutions
368
ajuda
mostra
remove
Carregando certificados
A Interface Texto (via SSH) de configurao dos certificados de criptografia de uso simples
e possui as mesmas capacidades da Interface Remota.
Localizao do programa:/aker/bin/firewall/fwcert
Sintaxe:
fwcert ajuda
fwcert mostra [local | ca | negociao | revogao]
fwcert carrega [local | ca] <arquivo> [-f]
fwcert carrega revogao <arquivo>
fwcert remove <cdigo> [-f]
Ajuda do programa:
Aker Firewall
fwcert - Configura os certificados para criptografia
Uso: fwcert ajuda
fwcert mostra [local | ca | negociao | revogao]
fwcert carrega [local | ca] <arquivo> [-f]
fwcert carrega revogao <arquivo>
fwcert remove <cdigo> [-f]
ajuda = mostra esta mensagem
mostra = mostra os certificados especificados
carrega = carrega um novo certificado no firewall
remove = remove o certificado de uma entidade certificadora
Para mostra temos:
local = mostra o certificado de negociao local
negociao = mostra os certificados de negociao de outros firewalls
Aker Security Solutions
369
370
Esta Interface Texto (via SSH) possui as mesmas capacidades da Interface Remota com a
exceo de que por meio dela no possvel atribuir comentrios. Alm disso, no ser
possvel configurar os algoritmos a serem usados pelo IPSEC-IKE (janela avanado), eles
tero sempre os valores padro.
Localizao do programa: /aker/bin/firewall/fwcripto
Sintaxe:
Uso: fwcripto [mostra | ajuda]
fwcripto [habilita | desabilita | remove] <pos>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
ipsec <gateway> <<ss <segredo> | cert <local> <remoto>>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticao> NENHUM
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticao>
<DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticao>
3DES <tamanho_iv> <chave1> <chave2> <chave3>
fwcripto inclui <pos> <origem> <destino> envia
skip <DES | 3DES | BFISH256> <MD5 | SHA>
<NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo>
fwcripto inclui <pos> <origem> <destino> recebe
skip <segredo>
fwcripto inclui <pos> <origem> <destino> <envia | recebe> aker-cdp
Ajuda do programa:
Aker Firewall
fwcripto - Configura a tabela de autenticao e criptografia
Uso: fwcripto [mostra | ajuda]
fwcripto [habilita | desabilita | remove] <pos>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
ipsec <gateway> <ss <segredo> | cert <local> <remoto>>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticao> NENHUM
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticao>
<DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticao>
Aker Security Solutions
371
372
Localizao do programa:/aker/bin/firewall/fwlinkred
Sintaxe:
/aker/bin/firewall # fwlinkred ajuda
Aker Firewall
Uso: fwlinkred ajuda
Aker Security Solutions
373
fwlinkred mostra
fwlinkred inclui <link> <vpn1> [vpn2] ... [vpnN]
fwlinkred remove < regra >
fwlinkred < habilita | desabilita > < regra >
Onde:
<link> e nome de regra de balanceamento
<vpnN> e numero de regra de VPN IPSEC
<rule> e numero de regra de redundncia
374
375
Este captulo mostra como configurar o firewall e o Aker Client de modo a propiciar a criao
de canais seguros entre mquinas clientes e um Aker Firewall.
10.1.
Planejando a instalao.
376
10.2.
377
O boto OK far com que a janela de configuraes do Secure Roaming seja fechada e as
alteraes efetuadas aplicadas;
O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no
sejam aplicadas;
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a
janela aberta.
Aba Geral
O nmero no pode ser superior ao de sua licena. Se estiver em 0, nenhum cliente ser
permitido.
Limite de conexes simultneas: Indica o limite mximo de conexes permitido por sua
licena.
378
379
380
Tipo da lista de controle de acesso: Aqui voc escolhe qual o tipo da Lista de controle
de acesso:
1. Nenhum: Sem controle de acesso. Todo cliente tem permisso para conectar ao
servidor.
2. Permitir entidades listadas: Somente os endereos IP listados, ou endereos que
pertenam s entidades rede e/ou conjunto listadas, podero estabelecer
conexo.
3. Proibir entidades listadas: As entidades listadas, ou que pertenam a entidades
rede e/ou conjunto listadas, no sero capazes de estabelecer conexes. As
demais entidades sero.
Lista de controle de acesso:
Para adicionar uma entidade lista, deve-se proceder da seguinte forma:
381
Aba Endereos
Para adicionar ou remover uma entidade do Conjunto de endereos, basta proceder como
na Lista de controle de acesso.
As redes nesse campo definem um conjunto de endereos, no uma sub-rede no sentido de
roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede
10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for includa no Pool de endereos, o
primeiro endereo atribuvel seria 10.0.0.1 e o ltimo 10.0.0.255. Se fosse a rede
10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.
382
L2TP
10.3.
L2TP uma extenso do PPP (Point-to-Point Protocol), unindo caractersticas de outros dois
protocolos proprietrios: o L2F (Layer 2 Forwarding) da Cisco e o PPTP (Point-to-Point
Tunneling Protocol) da Microsoft. um padro da IETF (Internet Engineering Task Force),
que conta com a participao da Cisco e do PPTP frum, entre outros lderes de mercado.
O L2TPv3, analisado neste trabalho uma atualizao da RFC2661 (L2TPv2), e foi
originalmente definido como um mtodo para tunelamento para quadros PPP por meio de
uma rede de comutao de pacotes. Surgiu ento a necessidade de atualizar o mtodo, para
que ele inclusse todos os encapsulamentos da camada 2 que necessitassem de
tunelamento por meio de redes de comutao de pacotes. Entre as mudanas para a verso
3, temos: retirada de todas as partes especficas ao PPP do cabealho L2TP, garantindo
assim a generalizao para outras aplicaes, e a mudana para um formato que
possibilitasse o desencapsulamento de forma mais rpida.
O L2TP fornece a flexibilidade e escalabilidade do IP com a privacidade do Frame Relay ou
ATM (Asynchronous Transfer Mode), permitindo que servios de rede sejam enviados em
redes roteadas IP. As decises so tomadas nas terminaes dos tneis ou VPNs, e
comutadas sem a necessidade de processamento nos ns intermedirios.
As seguintes vantagens so oferecidas pelo L2TP:
Referncias: Steven Brown, Implementing Virtual Private Networks, McGraw Hill, 1999.
383
Habilitar L2TP: Este campo habilita o servidor de L2TP no Aker Firewall e permite
configurar outros campos como:
384
385
Windows 7 / XP
No Windows 7, crie uma nova conexo de VPN, na Central de Rede e Compartilhamento. No
Windows XP, isso deve ser feito na janela Conexes de rede. Um assistente para a criao
desta conexo aparecer, e deve ser preenchido de acordo com as imagens abaixo:
386
387
Na imagem acima, 192.168.0.100 o endereo do Aker Firewall com servidor L2TP visvel
pelo Cliente de VPN. Este endereo pode ser um nome, como firewall.empresa.com.br.
388
Figura 270 - Configurando o cliente L2TP (nome do usurio e senha utilizados para autenticar o cliente de VPN no Aker
Firewall).
Na imagem acima, devem ser preenchidos o nome de usurio e senha que sero utilizados
para autenticar o cliente de VPN no Aker Firewall.
389
Aps clicar em Close, ser criada uma nova conexo, que precisa ser editada, no passo
seguinte. No clique em Connect now.
Abra a janela Conexes de rede, e edite as propriedades da conexo recm-criada de acordo
com as janelas abaixo:
390
391
10.4.
PPTP
Habilitar PPTP: Este campo habilita o servidor de PPTP no Aker Firewall e permite configurar
outros campos como:
392
393
394
Figura 275 - Configurando o Cliente PPTP para autenticao com PAP (Windows Vista/XP).
395
396
Na imagem acima, 192.168.0.100 o endereo do AKER FIREWALL com servidor PPTP visvel
pelo cliente de VPN. Este endereo pode ser um nome, como firewall.empresa.com.br.
397
Na imagem acima, devem ser preenchidos o nome de usurio e senha que sero utilizados
para autenticar o cliente de VPN no AKER FIREWALL.
398
Aps clicar em Close, ser criada uma nova conexo, que precisa ser editada, no passo
seguinte. No clique em Connect now.
Abra a janela Conexes de rede, e edite as propriedades da conexo recm-criada de acordo
com as janelas a seguir:
399
400
401
Figura 281 - Configuraes do Shared secret do servidor de autenticao Radius do Microsoft Windows Server.
Aps cadastrar o(s) firewall(s), define-se as regras de acesso remoto (Remote Access
Policies), efetue suas configuraes iguais s exibidas abaixo:
402
Figura 282 - Definio das regras de acesso remoto do servidor de autenticao Radius do Microsoft Windows Server.
403
Figura 283 - Especificao das condies de conexo do servidor de autenticao Radius do Microsoft Windows Server.
404
405
406
407
408
409
410
Tambm necessrio que no Microsoft Active Directorytm, selecione os usurios que podem
efetuar estas autenticaes e permitam que VPN e Dial-in, vejam na janela abaixo:
411
412
10.5.
IPSEC Client
O conjunto de protocolos IPSEC (em especial IKE e ESP) no foi projetado para o uso em
modo cliente-servidor. Por isso, diversas extenses na sua implementao original (RFC
2401 e famlia) so necessrias para que o mesmo possa ser utilizado com esta finalidade.
Diferentemente do que ocorre com as VPNs L2TP/IPSEC e PPTP, no existe um padro
devidamente normatizado para essas extenses necessrias ao funcionamento de VPNs
IPSEC modo tnel para clientes remotos. O que existe so uma srie de propostas de RFCs
(Internet Drafts) que nunca foram aceitas pelo IETF, mas mesmo assim, so utilizadas
largamente por diversos fabricantes de equipamentos e clientes de VPN.
A seguir, explicamos os diversos problemas encontrados para estabelecer esse tipo de VPN
e indicamos as solues encontradas, indicando as RFCs e drafts correspondentes, quando
for o caso.
Autenticao com usurio e senha
Originalmente, o protocolo IKE somente suporta autenticao simtrica, em especial
utilizando segredos compartilhados ou certificados digitais. Quando se trata de VPNs para
clientes remotos, o mais prtico utilizar autenticao por meio de usurio e senha.
A proposta mais aceita para extenso do IKE nesse sentido chama-se 1XAUTH, uma proposta
da Cisco cujo draft mais recente o 2draft-beaulieu-ike-xauth-02, de outubro de 2001. Essa
proposta largamente utilizada por diversos fabricantes e prope estender o protocolo IKE
incluindo uma segunda etapa de autenticao entre as fases 1 e 2 tradicionais. Com isso,
aps o estabelecimento de uma SA ISAKMP durante a fase 1, antes de estabelecer SAs de
fase 2 (ESP), uma nova troca cifrada verifica as credenciais do usurio.
Configurao de rede do cliente
Um problema importante a ser resolvido nas VPNs IPSEC para clientes a configurao de
rede do mesmo. Geralmente, uma interface virtual criada no computador onde executa o
cliente de VPN e esta interface recebe endereos e rotas da rede interna protegida pelo
gateway de VPNs. Para no precisar configurar cada um dos clientes com endereos IPs
estticos e diferentes, necessrio uma soluo que permita ao servidor de VPN informar
ao cliente quais configuraes utilizar.
A proposta mais aceita para solucionar essa questo chama-se Mode Config3, tambm
produzida pela Cisco em outubro de 2001 e que tem como draft mais recente o draftdukesike-mode-cfg-024. Essa proposta tambm largamente utilizada por diversos fabricantes de
equipamento de VPN e prope, do mesmo modo que o XAUTH, entre as fases 1 e 2,
executar uma srie de perguntas e respostas entre o cliente e o servidor de criptografia,
com o propsito de configurar aquele a partir desse.
Deteco de cliente desconectado
Aker Security Solutions
413
414
IPSEC
Habilitar Cliente IPSEC: Este campo habilita o servidor de IPSEC Client no Aker Firewall e
permite configurar outros campos como:
Lista de endereos que podem ser atribudos a clientes - Conjunto de Endereos: Lista
de endereos que podem ser atribudos a clientes remotamente conectados ao firewall.
Os endereos de mquinas listados e todos os endereos que compem as redes e
conjuntos includos somam-se para definir o conjunto de endereos atribuveis a
clientes.
415
Notar que as entidades listadas devem estar conectadas a algum adaptador de rede
configurado no firewall. Caso contrrio, no ser possvel estabelecer conexo com tal
entidade.
Para adicionar uma entidade lista, deve-se proceder da seguinte forma:
Figura 293 - Lista de endereos que podem ser atribudos aos clientes.
.
As redes nesse campo definem um conjunto de endereos, no uma sub-rede no sentido
de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na subrede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for includa no Pool de endereos,
o primeiro endereo atribuvel seria 10.0.0.1 e o ltimo 10.0.0.255. Se fosse a rede
10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os
extremos.
416
sua estao. Quando deixar este campo em branco os clientes da VPN IPSEC Client
recebem o endereo IP do Aker Firewall como default gateway.
Para adicionar uma entidade lista, deve-se proceder da seguinte forma:
Grupos: Este campo permite definir as opes de autenticao do IPSEC para os clientes:
417
418
grupo
Configurando os Clientes
De modo genrico, as configuraes recomendadas para clientes de criptografia so as
seguintes:
Shared Secret
Fase
1
1
Configurao
Forma de autenticao
Forma de identificao
Credenciais
(XAUTH)
1
1
1
2
2
2
Valor
secret + XAUTH
KEY_ID. Use o mesmo nome do grupo criado no
fwipseccli. Alguns clientes chamam essa
configurao de grupo mesmo.
de
419
420
X.509
A configurao X.509 muito parecida:
Fase
1
1
1
1
1
2
2
2
Configurao
Forma de autenticao
Forma de identificao
Valor
X.509 (RSA SIG) + XAUTH.
FQDN. Use o nome do Subject Alternative Name
do certificado. Alguns clientes exigem que esse
nome seja o mesmo do endereo IP ou domnio
de conexo.
Credenciais de usurio Use usurio e senha que possam ser verificados
(XAUTH)
pelo subsistema de autenticao do Aker
Firewall, os mesmos que, por exemplo, o Filtro
Web aceita para autenticao.
Algoritmos de criptografia e 3DES / SHA-1 (pode ser modificado pela Controle
hash
Center)
Grupo diffie-hellman
2 - MODP-1024 (pode ser modificado pela
Control Center)
Tempo de vida de SA
3600 segundos (pode ser modificado pela
Control Center)
Algoritmos
AES-256 / SHA-1 HMAC-96
PFS / Grupo diffie hellman
No / 0
Tempo de vida de SA
3600 segundos
Figura 296 - Configuraes recomendadas para clientes de criptografia X.509.
421
Exemplos:
ShrewSoft VPN Client com segredo compartilhado
Para a configurao deve ser preenchido os campos de acordo com as imagens abaixo:
422
423
424
425
426
427
428
VPN SSL
10.6.
A configurao do Portal VPN SSL e do Apple bastante simples, uma vez que todos os
detalhes de funcionamento do portal e do applet so responsabilidade do firewall. Ao
administrador cabe definir nome do portal, qual o certificado ser utilizado pelo firewall e
etc.
Todas estas configuraes so feitas na janela VPN SSL. Para acess-la, deve-se:
Quando selecionada a opo Enable VPN SSL, os campos de edio das configuraes do
portal e do applet so habilitados.
429
Portal
No portal web, o cliente se autentica no firewall e como resultado recebe o applet que
implementa o tnel SSL.
Ttulo do Portal: Este campo informa o nome do portal. Possui um limite mximo de 64
caracteres e somente aceita texto simples.
Certificado CN do Firewall: Este campo informa o nome do certificado aplicado ao FW.
430
Ao clicar no cone
certificado. O cone
mostra um resumo das informaes do certificado e o cone
permite exportar um arquivo com extenso *.p12/*.pfx contendo um certificado.
Autenticao: Este campo informa o tempo de expirao de autenticao no portal, sendo o
tempo mximo que pode levar para estabelecer a sesso, variando de 0 a 30 seg.
Mostrar campo Domnio: Quando selecionada essa opo permite mostrar o campo
domnio no formulrio de login do portal. A seleo desse campo opcional.
Usar o protocolo SSLv2: Quando selecionada essa opo, opta por utilizar a verso 2 do
protocolo SSL. Ele no utilizado por padro devido existncia de um bug de segurana.
Forar autenticao x.509: Esta opo permite forar uma autenticao x.509, pois impede
que o usurio se autentique sem ser por meio do certificado digital.
Permitir que um usurio tenha acesso por diferentes IPs ao mesmo tempo: Esta opo
permite ao usurio se logar no portal a partir de um ou mais IPs diferentes
simultaneamente.
Informao de logon: Esse campo permite incluir o texto que ser apresentado no portal
com informaes bsicas sobre o seu funcionamento. No possui tamanho definido e pode
ser escrito usando o formato HTML.
pop-up no aberto: Esse campo informativo. Caso o applet apresente erro ao carregar,
este texto ser mostrado ao usurio como resposta ao erro ocorrido.
431
Applet
Usar o logo customizado: Ao habilitar essa opo, permite ao usurio apresentar o seu
logotipo no applet.
Alterar arquivo: Este boto permite trocar o logotipo apresentado. Este boto apenas
aparece quando a opo Usar o logo customizado for selecionada.
Porta: Esta opo permite definir a porta na qual o applet vai se conectar no firewall para
fazer o tnel SSL.
Aker Security Solutions
432
Timeout da Conexo: Este campo informa o tempo em segundos que a conexo pode ficar
sem trafegar nenhum dado no tnel SSL. Ao expirar esse tempo o tnel ser fechado.
Usando a applet: Este campo mostra informaes gerais de utilizao do applet. O texto
no pode ser em formato HTML e no possui tamanho definido.
Visualizao: Nesta rea podem ser visualizadas todas as configuraes visuais aplicadas ao
applet, sendo incluso o ttulo e os logotipos da Aker e do Cliente.
Cliente
O cliente necessita de um browser e do Java virtual Machine instalado para ter acesso, que
realizado por meio da seguinte url: https:\\ IP do Firewall a ser acessado.
Para essa funcionalidade necessrio habilitar o Filtro WEB e marcar a opo Forar
Autenticao na aba Geral.
Aps o usurio aceitar os certificados, aparecer uma tela de autenticao, onde usurio e
senha definiro qual o perfil de acesso e quais portas de comunicao tero permisso na
VPN.
433
Figura 311 Mensagem de boas vindas ao Assistente de Instalao do Aker Authentication Agent.
434
435
436
Surgir a tela dizendo a seguinte mensagem: Pronto para instalar o programa, ou seja, o
assistente encontra-se pronto para realizar a instalao. Caso esteja tudo ok, clicar em
Instalar, se desejar realizar alguma alterao nas telas anteriores, clicar no boto
Voltar.
Figura 314 Mensagem que o assistente est pronto para realizar a instalao.
437
Surgir a tela dizendo mostrando o status de instalao. Caso deseje cancelar o processo,
basta clicar no boto Cancelar.
438
Aps a concluso da instalao surgir tela de concluso, informando que a instalao foi
realizada com sucesso, para encerrar, basta clicar no boto Concluir.
Figura 316 Mensagem de instalao do Aker Authentication Agent foi instalado com sucesso.
439
Aps a autenticao ser realizada com sucesso teremos o Applet rodando com as
informaes que foram configuradas na sesso Applet que vimos h pouco:
440
O acesso aos servios por meio da VPN so realizados por meio do IP:
127.0.0.1:<porta>
Esta porta de comunicao configurada em Configurao do Firewall, Perfis na aba VPNSSL (Proxy SSL).
441
442
Este captulo mostra para que serve e como configurar a Proxy SSL no Aker Firewall.
Criar um servio que ser interceptado pelo proxy SSL e edita-se os parmetros do
contexto a ser usado por este servio (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades).
Acrescentar regras de filtragem de perfis SSL, permitindo o uso do servio criado no
passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o
item Configurando regras de Proxy SSL).
443
11.1.
A janela de propriedades de um contexto SSL ser mostrada quando a opo Proxy SSL for
selecionada. Por meio dela possvel definir o comportamento do proxy SSL quando este
for lidar com o servio em questo.
444
445
Inatividade do cliente: Este campo indica o tempo mximo em segundos que o firewall
manter a sesso de Proxy SSL ativa (desde que a sesso j tenha sido estabelecida) sem o
recebimento de dados por parte do cliente.
Conexo: Este campo indica o tempo mximo em segundos que o firewall aguardar pelo
estabelecimento da conexo com o servidor.
Autenticao SSL: Este campo indica o tempo mximo em segundos que o firewall
aguardar para que o cliente realize, com sucesso, uma autenticao SSL.
Avanado: Este boto permite o acesso a parmetros de configurao que no so
normalmente
utilizados.
So eles:
Permitir um usurio acessar de IPs diferentes ao mesmo tempo: Este campo, se estiver
marcado, permite que um mesmo usurio estabelea sesses simultneas a partir de
mquinas diferentes. Caso esteja desmarcado, se um usurio j possuir uma sesso em uma
mquina, tentativas de abertura a partir de outras mquinas sero recusadas.
Tempo de manuteno de sesso: Como no existe o conceito de sesso em uma Proxy SSL,
necessrio que o proxy simule uma sesso, mantendo um usurio logado por algum
tempo aps o fechamento da ltima conexo, caso seja necessrio impedir que um mesmo
usurio acesse simultaneamente de mquinas diferentes. O que este campo especifica por
quanto tempo, em segundos, o firewall deve considerar um usurio como logado aps o
fechamento da ltima conexo.
Permitir o uso de SSL v2: Este campo indica se o firewall deve ou no aceitar uma conexo
SSL usando a verso 2 deste protocolo.
A verso 2 do protocolo SSL possui srios problemas de segurana e recomenda-se que
ela no seja utilizada, a no ser que isso seja estritamente necessrio.
446
Aba Certificado
Esta aba utilizada para especificar o certificado X.509 que ser apresentado ao cliente
quando ele tentar estabelecer uma Proxy SSL. possvel criar uma requisio que
posteriormente ser enviada para ser assinada por uma CA ou importar um certificado
X.509 j assinado, em formato PKCS#12.
Criar requisio:
Este boto permite que seja criada uma requisio que posteriormente ser enviada a uma
CA para ser assinada. Ao ser clicado, sero mostrados os campos do novo certificado a ser
gerado e que devem ser preenchidos.
Aps o preenchimento deve-se clicar no boto OK, que far com que a janela seja alterada
para mostrar os dados da requisio recm criada, bem como dois botes para manipul-la:
O boto Salvar em arquivo permite salvar a requisio em um arquivo para que ela seja
ento enviada a uma CA que ir assin-la. O boto Instalar esta requisio permite importar
o certificado j assinado pela CA.
Importar certificado PKCS#12:
Aker Security Solutions
447
11.2.
448
449
Neste captulo ser mostrada a relao entre os trs grandes mdulos do Aker Firewall: o
filtro de pacotes, o conversor de endereos e o mdulo de criptografia e autenticao. Ser
mostrado tambm o fluxo pelo qual os pacotes atravessam desde sua chegada ao Firewall
at o momento de serem aceitos ou rejeitados.
12.1.
Nos captulos anteriores deste manual foram mostrados separadamente os trs grandes
mdulos do Aker Firewall e todos os detalhes pertinentes configurao de cada um. Ser
mostrado agora como um pacote os atravessam e quais alteraes ele pode sofrer em cada
um deles.
Basicamente, existem dois fluxos distintos: um para pacotes que so emitidos pela rede
interna e tem como destino alguma mquina da rede externa (fluxo de dentro para fora) ou
pacotes que so gerados na rede externa e tem como destino alguma mquina da rede
interna (fluxo de fora para dentro).
O fluxo de dentro para fora
Todo o pacote da rede interna ao atingir o firewall passa pelos mdulos na seguinte ordem:
mdulo de montagem, filtro de pacotes, conversor de endereos e mdulo de encriptao.
O mdulo de montagem
O mdulo de montagem o responsvel por armazenar todos os fragmentos de pacotes IP
recebidos at que estes possam ser montados e convertidos em um pacote completo. Este
pacote ser ento entregue para os demais mdulos.
O filtro de pacotes
O filtro de pacotes possui a funo bsica de validar um pacote de acordo com as regras
definidas pelo administrador, e a sua tabela de estados, e decidir se este deve ou no ser
450
autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este ser
repassado para os demais mdulos, caso contrrio ser descartado e o fluxo terminado.
O conversor de endereos
O conversor de endereos recebe um pacote j autorizado a trafegar e verifica, de acordo
com sua configurao, se este deve ter o endereo de origem convertido. Em caso positivo,
ele o converte do contrrio o pacote no sofre quaisquer alteraes.
Independente de ter sido convertido ou no, o pacote ser repassado para o mdulo de
criptografia.
O mdulo de encriptao
O mdulo de encriptao recebe um pacote validado e com os endereos convertidos e
decide baseado em sua configurao, se este pacote deve ser encriptado ou autenticado
antes de ser enviado ao destino. Em caso positivo, o pacote ser autenticado, encriptado, e
sofrer o acrscimo de cabealhos especficos destas operaes.
Independentemente de ter sido encriptado/autenticado ou no, o pacote ser enviado pela
rede.
O fluxo de fora para dentro
Todo o pacote proveniente da rede externa, em direo rede interna, ao atingir o firewall
passa pelos mdulos na seguinte ordem: mdulo de montagem, mdulo de decriptao,
conversor de endereos e filtro de pacotes.
O mdulo de montagem
O mdulo de montagem o responsvel por armazenar todos os fragmentos de pacotes IP
recebidos at que estes possam ser montados e convertidos em um pacote completo. Este
pacote ser ento entregue para os demais mdulos.
451
O mdulo de decriptao
O mdulo de decriptao tem a funo de remover os cabealhos adicionados pelo mdulo
de encriptao, verificar a assinatura de autenticao do pacote e decript-lo. Caso a
autenticao ou a criptografia apresentem erro, o pacote ser descartado.
A outra funo deste mdulo assegurar que todos os pacotes que cheguem de uma rede
para a qual existe um canal seguro estejam vindo criptografados. Caso um pacote venha de
uma rede para a qual existe um canal de criptografia ou autenticao e se este pacote no
estiver autenticado ou criptografado, ele ser descartado.
Caso o pacote tenha sido validado com sucesso, este ser repassado para o conversor de
endereos.
O conversor de endereos
O conversor de endereos recebe um pacote e verifica se o endereo destino deste pacote
um dos IPs virtuais. Em caso positivo, este endereo convertido para um endereo real.
Independente de ter sido convertido ou no, o pacote ser repassado para o filtro de
pacotes.
O filtro de pacotes
O filtro de pacotes o ltimo mdulo do fluxo de fora para dentro. Ele possui a funo
bsica de validar os pacotes recebidos de acordo com as regras definidas pelo
administrador, e a sua tabela de estados, e decidir se este deve ou no ser autorizado a
trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este ser repassado para a
mquina destino, caso contrrio ele ser descartado.
12.2.
Quando vai configurar as regras de filtragem para serem usadas com mquinas cujos
endereos sero convertidos surge seguinte dvida: Deve-se usar os endereos reais das
mquinas ou os endereos virtuais?
Esta dvida facilmente respondida ao analisar o fluxo dos pacotes:
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depois
possuem seus endereos convertidos (se for o caso), ou seja, o filtro recebe os endereos
reais das mquinas.
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversor de
endereos que converte os endereos destino dos IPs virtuais para os endereos reais. Aps
Aker Security Solutions
452
isso os pacotes so enviados para o filtro de pacotes, ou seja, novamente o filtro de pacotes
recebe os pacotes com os endereos reais.
Em ambos os casos, o filtro no sabe da existncia dos endereos virtuais, o que nos leva a
fazer a seguinte afirmao:
Ao criar regras de filtragem deve-se ignorar a converso de endereos. As regras devem ser
configuradas como se as mquinas origem e destino estivessem conversando diretamente entre
si, sem o uso de qualquer tipo de converso de endereos.
12.3.
No tpico anterior, mostramos como configurar as regras de filtragem para mquinas cujos
endereos sero convertidos. A concluso foi de que deveria trabalhar apenas com os
endereos reais, ignorando a converso de endereos. Agora, pode-se acrescentar mais uma
pergunta: ao configurar os fluxos de criptografia para mquinas que sofrero converso de
endereos, deve-se usar os endereos reais destas mquinas ou os endereos virtuais?
Para responder esta pergunta, novamente deve-se analisar o fluxo dos pacotes:
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro, depois
possuem seus endereos convertidos (se for o caso) e por fim so repassados para o mdulo
de encriptao. Devido a isso, o mdulo de encriptao recebe os pacotes como se eles
fossem originados dos endereos virtuais.
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo mdulo de
decriptao e so decriptados (se for o caso). A seguir so enviados para o conversor de
endereos, que converte os IPs virtuais para reais, e por fim so enviados para o filtro de
pacotes. O mdulo de decriptao recebe os pacotes antes de eles terem seu endereo
convertido e, portanto, com os endereos virtuais.
Em ambos os casos, o mdulo de criptografia recebe os pacotes como se eles tivessem
origem ou destino nos IPs virtuais.
Ao se criar fluxos de criptografia, deve-se prestar ateno converso de endereos. Os
endereos de origem e destino devem ser colocados como se o fluxo se originasse ou tivesse
como destino IPs virtuais.
453
454
Este captulo mostra como configurar a proteo contra ataques no mdulo de segurana do
Aker Firewall.
13.1.
455
O Aker Firewall possui um mecanismo que visa impedir que um ataque de SYN flood seja
bem sucedido. Seu funcionamento baseia-se nos seguintes passos:
1. Ao chegar um pacote de abertura de conexo (pacote com flag de SYN, mostrado no
tpico acima) para uma mquina servidora a ser protegida, o firewall registra isso em
uma tabela e deixa o pacote passar (evidentemente, ele s deixar o pacote passar se
este comportamento for autorizado pelas regras de filtragem configuradas pelo
administrador. Para maiores detalhes veja o captulo intitulado O filtro de estados);
2. Quando chegar a resposta do servidor dizendo que a conexo foi aceita (pacote com os
flags SYN e ACK), o firewall imediatamente enviar um pacote para o servidor em
questo confirmando a conexo e deixar o pacote de resposta passar em direo
mquina cliente. A partir deste momento, ser acionado um relgio interno no firewall
que marcar o intervalo de tempo mximo em que o pacote de confirmao do cliente
dever chegar;
3. Se a abertura de conexo for uma abertura normal, dentro de um intervalo de tempo
menor que o mximo permitido, a mquina cliente responder com um pacote
confirmando o estabelecimento da conexo. Este pacote far o firewall considerar vlido
o pedido de abertura de conexo e desligar o relgio interno;
4. Caso a mquina cliente no responda dentro do tempo mximo permitido, o firewall
mandar um pacote especial para a mquina servidora que far com que a conexo seja
derrubada.
Com estes procedimentos, o firewall consegue impedir que a fila de conexes em
andamento na mquina servidora fique cheia, j que todas as conexes pendentes sero
estabelecidas to logo os pacotes de reposta atinjam o firewall. O ataque de SYN flood,
portando, no ser efetivado.
Cabe enfatizar que todo o funcionamento desta proteo baseia-se no intervalo de tempo
mximo de espera pelos pacotes de confirmao dos clientes. Se o intervalo de tempo for muito
Aker Security Solutions
456
pequeno, conexes vlidas podem ser recusadas. Se o intervalo for muito grande, a mquina
servidora, no caso de um ataque, ficar com um grande nmero de conexes abertas o que poder
provocar problemas ainda maiores.
13.2.
Para ter acesso a janela de configurao dos parmetros de proteo contra SYN Flood,
deve-se:
457
458
Para remover uma entidade da lista de proteo, deve-se marc-la e pressionar a tecla
delete, ou escolher a opo correspondente no menu de contexto, acionado com o boto
direito do mouse ou com a tecla correspondente:
Deve-se colocar na lista de entidades a serem protegidas todas as mquinas servidoras de
algum servio TCP passvel de ser utilizado por mquinas externas. No se deve colocar o
endereo do prprio firewall nesta lista, uma vez que o sistema operacional Linux no
suscetvel a ataques de SYN flood.
13.3.
Proteo de Flood
459
13.4.
460
461
13.5.
O que um Spoofing?
O spoofing do IP envolve o fornecimento de informaes falsas sobre uma pessoa ou sobre
a identidade de um host para obter acesso no-autorizado a sistemas e/ou aos sistemas que
eles fornecem. O spoofing interfere na forma como um cliente e um servidor estabelecem
uma conexo. Apesar de o spoofing poder ocorrer com diversos protocolos especficos, o
spoofing do IP o mais conhecido dentre todos os ataques de spoofing.
A primeira etapa de um ataque de spoofing identificar duas mquinas de destino, que
chamaremos de A e B. Na maioria dos casos, uma mquina ter um relacionamento
confivel com a outra. esse relacionamento que o ataque de spoofing tentar explorar.
Uma vez que os sistemas de destino tenham sido identificados, o violador tentar
estabelecer uma conexo com a mquina B de forma que B acredite que tem uma conexo
com A, quando na realidade a conexo com a mquina do violador, que chamaremos de X.
Isso feito por meio da criao de uma mensagem falsa (uma mensagem criada na mquina
X, mas que contm o endereo de origem de A) solicitando uma conexo com B. Mediante o
recebimento dessa mensagem, B responder com uma mensagem semelhante que
reconhece a solicitao e estabelece nmeros de sequncia.
Em circunstncias normais, essa mensagem de B seria combinada a uma terceira mensagem
reconhecendo o nmero de sequncia de B. Com isso, o "handshake" seria concludo, e a
conexo poderia prosseguir. No entanto, como acredita que est se comunicando com A, B
envia sua resposta a A, e no para X. Com isso, X ter de responder a B sem conhecer os
nmeros de sequncia gerados por B. Portanto, X dever adivinhar com preciso nmeros
de sequncia que B utilizar. Em determinadas situaes, isso mais fcil do que possa
imaginar.
No entanto, alm de adivinhar o nmero de sequncia, o violador dever impedir que a
mensagem de B chegue at A. Se a mensagem tivesse de chegar a A, A negaria ter solicitado
uma conexo, e o ataque de spoofing falharia. Para alcanar esse objetivo, normalmente o
intruso enviaria diversos pacotes mquina A para esgotar sua capacidade e impedir que
ela respondesse mensagem de B. Essa tcnica conhecida como "violao de portas".
Uma vez que essa operao tenha chegado ao fim, o violador poder concluir a falsa
conexo.
O spoofing do IP, como foi descrito, uma estratgia desajeitada e entediante. No entanto,
uma anlise recente revelou a existncia de ferramentas capazes de executar um ataque de
spoofing em menos de 20 segundos. O spoofing de IP uma ameaa perigosa, cada vez
maior, mas, por sorte, relativamente fcil criar mecanismos de proteo contra ela. A
melhor defesa contra o spoofing configurar roteadores de modo a rejeitar qualquer
pacote recebido cuja origem alegada seja um host da rede interna. Essa simples precauo
462
13.6.
463
Status: Neste campo mostrado o estado da interface, ou seja, se est ativa ou no.
Este campo no pode ser editado.
Tipo: Por padro este campo marcado como Externa. Ao clicar com o boto direito
do mouse poder ser trocado o tipo para Protegida, passando o campo Entidades
para a condio de editvel.
Protegida significa que a interface est conectada a uma rede interna e somente sero
aceitos pacotes com endereos IP originados em alguma das entidades especificadas na
regra. Externa significa que uma interface conectada a Internet da qual sero aceitos
Aker Security Solutions
464
13.7.
A Interface Texto (via SSH) de configurao da proteo contra SYN flood bastante simples
de ser usada e tem as mesmas capacidades da Interface Remota (E possvel usar todos os
comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os
comando poderam ser acessados sem o prefixo FW).
Para retornar ao nvel raiz deve-se usar o comando exit.
Localizao do programa:/aker/bin/firewall/fwflood
Sintaxe:
Ajuda do programa:
Firewall Aker
fwflood - Configura parmetros de proteo contra SYN Flood
Uso: fwflood [ativa | desativa | mostra | ajuda]
fwflood [inclui | remove] <nome>
fwflood tempo <valor>
ativa
= ativa proteo contra SYN Flood
desativa = desativa proteo contra SYN Flood
mostra
= mostra a configurao atual
inclui
= inclui uma entidade a ser protegida
remove
= remove uma das entidades a serem protegidas
tempo
= configura o tempo mximo de espera para fechar conexo
ajuda
= mostra esta mensagem
Para inclui / remove temos:
nome
= nome da entidade a ser protegida ou removida da proteo. Para tempo
temos:
valor
= tempo mximo de espera em unidades de 500ms
Aker Security Solutions
465
13.8.
Localizao do programa:/aker/bin/firewall/fwmaxconn
Sintaxe:
Firewall Aker
Uso: fwmaxconn ajuda
fwmaxconn mostra
fwmaxconn inclui <pos> <origem> <destino> <servio> <n_conns>
fwmaxconn remove <pos>
fwmaxconn < habilita | desabilita > <pos>
os parmetros so:
pos: posio da regra na tabela
origem: mquina/rede de onde se origina as conexes
destino: mquina/rede a que se destinam as conexes
servio: servio de rede para o qual existe a conexo
n_conns: nmero mximo de conexes simultneas de mesma origem
Para retornar ao nvel raiz deve-se usar o comando exit.
466
Regra 02
-------Origem: Rede_Internet
Destino: NT3
Servios: FTP
Conexes : 10000
Regra 03
-------Origem: Rede_Internet
Destino: Rede_Interna
Servios: Gopher
Conexes: 100
13.9.
Localizao do programa:/aker/bin/firewall/fwifnet
Firewall Aker
Uso: fwifnet [ajuda | mostra]
fwifnet inclui interface <nome_if> [externa]
fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ...
fwifnet remove [-f] interface <nome_if>
fwifnet remove rede <nome_if> <endereco_IP> <mascara>
fwifnet <habilita | desabilita>
Ajuda do programa:
Uso: fwifnet [ajuda | mostra]
fwifnet inclui interface <nome_if> [externa]
fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ...
fwifnet remove [-f] interface <nome_if>
fwifnet remove rede <nome_if> <endereco_IP> <mascara>
para inclui/remove temos:
interface: o nome da interface de rede a ser controlada
externa: se esta palavra estiver presente, a interface ser considerada externa pelo
firewall
rede: uma rede permitida em uma interface no externa
Para retornar ao nvel raiz deve-se usar o comando exit.
467
468
So criados eventos de log que podem ser vistos na janela de log, eles contm informaes
sobre o horrio do bloqueio e o IP que realizou a tentativa.
469
470
Este captulo mostra como configurar as respostas automticas do sistema para situaes
pr-determinadas.
O que so as aes do sistema?
O Aker Firewall possui um mecanismo que possibilita a criao de respostas automticas
para determinadas situaes. Estas respostas automticas so configuradas pelo
administrador em uma srie de possveis aes independentes que sero executadas
quando uma situao pr-determinada ocorrer.
Para que servem as aes do sistema?
O objetivo das aes possibilitar um alto grau de interao do Firewall com o
administrador. Com o uso delas, possvel, por exemplo, que seja executado um programa
capaz de cham-lo por meio de um pager quando a mquina detectar que um ataque est
em andamento. Desta forma, o administrador poder tomar uma ao imediata, mesmo
que ele no esteja no momento monitorando o funcionamento do Firewall.
14.1.
471
472
Para selecionar as aes a serem executadas para as mensagens mostradas na janela, devese clicar com o boto direito do mouse sobre as mensagens. A cada opo selecionada
aparecer um cone correspondente.
Logar: Quando selecionada essa opo, todas as vezes que a mensagem correspondente
ocorrer, ela ser registrada pelo firewall;
Enviar email: Quando selecionada essa opo, ser enviado um e-mail todas as vezes
que a mensagem correspondente ocorrer (a configurao do endereo de e-mail ser
mostrada no prximo tpico);
Executar programa: Ao marcar essa opo, ser executado um programa definido pelo
administrador todas as vezes que a mensagem correspondente ocorrer (a configurao
do nome do programa a ser executado ser mostrada no prximo tpico);
Disparar mensagens de alarme: Quando selecionada essa opo, o firewall mostra uma
janela de alerta todas as vezes que a mensagem correspondente ocorrer. Esta janela de
alerta ser mostrada na mquina onde a Interface Remota estiver aberta e, se a
mquina permitir, ser emitido tambm um aviso sonoro. Caso a Interface Remota no
esteja aberta, no ser mostrada nenhuma mensagem e esta opo ser ignorada (esta
ao particularmente til para chamar a ateno do administrador quando ocorrer
uma mensagem importante);
Enviar trap SNMP: Quando selecionada essa opo, ser enviada uma Trap SNMP para o
gerente SNMP todas as vezes que a mensagem correspondente ocorrer (a configurao
dos parmetros de configurao para o envio das traps ser mostrada no prximo
tpico).
O boto OK far com que a janela de aes seja fechada e as alteraes efetuadas
aplicadas;
473
O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no
sero aplicadas;
O boto Aplicar far com que as alteraes sejam aplicadas sem que a janela feche.
474
Deve ser colocado o nome completo do programa, incluindo o caminho. Deve-se atentar
para o fato de que o programa e todos os diretrios do caminho devem ter permisso de
execuo pelo usurio que ir execut-lo (que configurado na prxima opo).
O programa receber os seguintes parmetros pela linha de comando (na ordem em que
sero passados):
1. Nome do prprio programa sendo executado (isto um padro do sistema
operacional Unix);
2. Tipo de mensagem (1 - para log ou 2- para evento);
3. Prioridade (7 - depurao, 6 - informao, 5 - notcia, 4 - advertncia ou 3 - erro);
4. Nmero da mensagem que provocou a execuo do programa ou 0 para indicar a
causa no foi uma mensagem. (neste caso, a execuo do programa foi motivada
por uma regra);
5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta cadeia de
caracteres pode conter o caractere de avano de linha no meio dela).
No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de um
programa. Isto pode causar confuso para quem estiver acostumado com o ambiente
DOS/Windows, que usa a barra invertida "\".
Nome efetivo do usurio: Este parmetro indica a identidade com a qual o programa
externo ser executado. O programa ter os mesmos privilgios deste usurio.
Este usurio deve ser um usurio vlido, cadastrado no Linux. No se deve confundir
com os usurios do Aker Firewall, que servem apenas para a administrao do Firewall.
475
Caso queira enviar e-mails para vrios usurios, pode-se criar uma lista e colocar o nome
da lista neste campo.
importante notar que caso algum destes parmetros esteja em branco, ao
correspondente no ser executada, mesmo que ela esteja marcada para tal.
14.2.
A Interface Texto (via SSH) para a configurao das aes possui as mesmas capacidades da
Interface Remota, porm, de fcil uso (E possvel usar todos os comandos sem o prefixo
FW, para isso execute o comando fwshell, ento todos os comando podero ser
acessados sem o prefixo FW).
Para retornar ao nvel raiz deve-se usar o comando exit.
476
477
478
Parmetros de configurao:
programa : /aker/bin/pager
usurio : nobody
e-mail : root
comunidade:
ip :
Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as
ltimas. O programa real mostra todas as mensagens, ao ser executado.
Exemplo 4: (cancelando todas as aes para a mensagem de Pacote IP direcionado e
mostrando as mensagens)
#fwaction atribui 2
#fwaction mostra
Condies Gerais:
00 - Pacote fora das regras
>>>> Loga Mail Alerta
Mensagens do log:
Aker Security Solutions
479
Parmetros de configurao:
programa: /aker/bin/pager
usurio: nobody
e-mail: root
comunidade:
ip:
Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as
ltimas. O programa real mostra todas ao ser executado.
480
481
482
15.1.
483
Realiza uma resoluo reversa dos IP que esto sendo mostrados pelo Log;
484
485
486
487
488
Prioridade:
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for
prioridade associada a um determinado registro, mais importncia deve-se dar a ele. Abaixo
est a lista com todas as prioridades possveis, ordenada da mais importante para a menos
(caso tenha configurado o firewall para mandar uma cpia do log para o syslogd, as
prioridades com as quais as mensagens sero geradas no syslog so as mesmas
apresentadas abaixo):
Aviso
Os registros que se enquadram nesta prioridade normalmente indicam que algum tipo
de ataque ou situao bastante sria (como por exemplo, um erro na configurao dos
fluxos de criptografia) est ocorrendo. Este tipo de registro sempre vem precedido de
uma mensagem que fornece maiores explicaes sobre ele.
Nota
Normalmente se enquadram nesta prioridade os pacotes que foram rejeitados ou
descartados pelo sistema, em virtude destes terem se encaixado em uma regra
configurada para rejeit-los ou descart-los ou por no terem se encaixado em nenhuma
regra. Em algumas situaes eles podem ser precedidos por mensagens explicativas.
Informao
Os registros desta prioridade acrescentam informaes teis mas no to importantes
para a administrao do Firewall. Estes registros nunca so precedidos por mensagens
explicativas. Normalmente se enquadram nesta prioridade os pacotes aceitos pelo
firewall.
Depurao
Os registros desta prioridade no trazem nenhuma informao realmente til, exceto
quando se est configurando o sistema. Enquadram-se nesta prioridade as mensagens
de converso de endereos.
489
Mdulo:
Esta opo permite visualizar independentemente os registros gerados por cada um dos
trs grandes mdulos do sistema: filtro de pacotes, conversor de endereos, mdulo de
criptografia, IPSEC e Clustering.
Protocolo:
Este campo permite especificar o protocolo dos registros a serem mostrados. As seguintes
opes so permitidas:
TCP
Sero mostrados os registros gerados a partir de pacotes TCP. Se esta opo for
marcada, a opo TCP/SYN ser automaticamente desmarcada.
TCP/SYN
Sero mostrados os registros gerados a partir de pacotes TCP de abertura de
conexo (pacotes com o flag de SYN ativo). Se esta opo for marcada, a opo TCP
ser automaticamente desmarcada.
UDP
Sero mostrados os registros gerados a partir de pacotes UDP.
ICMP
Sero mostrados os registros gerados a partir de pacotes ICMP.
Outro
Sero mostrados registros gerados a partir de pacotes com protocolo diferente de TCP, UDP
e ICMP. Pode-se restringir mais o protocolo a ser mostrado, especificando seu nmero por
meio do campo Porta destino ou Tipo de Servio.
490
A janela de log
Observaes importantes:
491
Azul
Depurao
Verde
Informao
Amarelo
Nota
Vermelho
Aviso
Ao clicar com o boto esquerdo sobre uma mensagem, aparecer na parte inferior da
tela uma linha com informaes adicionais sobre o registro.
492
Para exportar o contedo do log, basta fornecer o nome do arquivo a ser criado, escolher
seu formato e clicar no boto Salvar. Para cancelar a operao, clique em Cancelar.
Se j existir um arquivo com o nome informado ele ser apagado.
493
O boto Prximos, representado como uma seta para a direita na barra de ferramentas,
mostra os prximos 100 registros selecionados pelo filtro. Se no existirem mais
registros, esta opo estar desabilitada.
O boto ltimos, representado como uma seta para a esquerda na barra de
ferramentas, mostra os 100 registros anteriores. Se no existirem registros anteriores,
esta opo estar desabilitada.
O boto Ajuda mostra a janela de ajuda especfica para a janela de log.
15.2.
Abaixo segue a descrio do formato de cada registro, seguido de uma descrio de cada
um dos campos. O formato dos registros o mesmo para a Interface Remota e para a
Interface Texto (via SSH).
Registros gerados pelo filtro de pacotes ou pelo mdulo de criptografia
Qualquer um destes registros pode vir precedido de uma mensagem especial. A listagem
completa de todas as possveis mensagens especiais e seus significados se encontra no
apndice A.
494
Protocolo TCP
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> TCP <Status> <IP origem> <Porta origem> <IP
destino> <Porta destino> <Flags> <Interface>
Protocolo UDP
Formato do registro:
495
<Data> <Hora> - <Repetio> <Ao> UDP <Status> <IP origem> <Porta origem> <IP
destino> <Porta destino> <Interface>
Descrio dos campos:
Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo
mostrado entre parnteses na Interface Texto (via SSH).
Status: Este campo, que aparece entre parnteses na Interface Texto (via SSH), consiste de
uma a trs letras, independentes, que possuem o significado abaixo:
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ao: Este campo indica qual foi ao tomada pelo firewall com relao ao pacote. Ele
pode assumir os seguintes valores:
A: Indica que o pacote foi aceito pelo firewall
D: Indica que o pacote foi descartado
R: Indica que o pacote foi rejeitado
IP origem: Endereo IP de origem do pacote que gerou o registro.
Porta origem: Porta de origem do pacote que gerou o registro.
IP destino: Endereo IP destino do pacote que gerou o registro.
Porta destino: Porta destino do pacote que gerou o registro.
Interface: Interface de rede do firewall por onde o pacote foi recebido.
Protocolo ICMP
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> ICMP <Status> <IP origem> <IP destino> <Tipo de
servio> <Interface>
Descrio dos campos:
Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo
mostrado entre parnteses na Interface Texto (via SSH).
Status: Este campo, que aparece entre parnteses na Interface Texto (via SSH), consiste de
uma a trs letras, independentes, que possuem o significado abaixo:
496
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ao: Este campo indica qual foi ao tomada pelo firewall com relao ao pacote. Ele
pode assumir os seguintes valores:
A: Indica que o pacote foi aceito pelo firewall
D: Indica que o pacote foi descartado
R: Indica que o pacote foi rejeitado
IP origem: Endereo IP de origem do pacote que gerou o registro.
IP destino: Endereo IP destino do pacote que gerou o registro.
Tipo de servio: Tipo de servio ICMP do pacote que gerou o registro.
Interface: Interface de rede do firewall por onde o pacote foi recebido.
Outros protocolos
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> <Protocolo> <Status> <IP origem> <IP destino>
<Interface>
Descrio dos campos:
Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo
mostrado entre parnteses na Interface Texto (via SSH).
Status: Este campo, que aparece entre parnteses na Interface Texto (via SSH), consiste de
uma a trs letras, independentes, que possuem o significado abaixo:
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ao: Este campo indica qual foi ao tomada pelo firewall com relao ao pacote. Ele
pode assumir os seguintes valores:
A: Indica que o pacote foi aceito pelo firewall
D: Indica que o pacote foi descartado
R: Indica que o pacote foi rejeitado
Protocolo: Nome do protocolo do pacote que gerou o registro (caso o firewall no consiga
resolver o nome do protocolo, ser mostrado o seu nmero).
IP origem: Endereo IP de origem do pacote que gerou o registro.
497
15.3.
A Interface Texto (via SSH) para o acesso ao log tem funcionalidade similar da Interface
Remota, porm possui opes de filtragem bem mais limitadas. Alm disso, por meio da
Interface Texto (via SSH), no se tem acesso s informaes complementares que so
mostradas quando se seleciona uma entrada do log na Interface Remota ou quando se ativa
a opo Expande mensagens (E possvel usar todos os comandos sem o prefixo FW, para
isso execute o comando fwshell, ento todos os comando podero ser acessados sem o
prefixo FW).
Para retornar ao nvel raiz deve-se usar o comando exit.
498
Ajuda do programa:
Uso: fwlog ajuda
fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]
499
500
501
Este captulo mostra como visualizar os eventos do sistema, um recurso muito til para
acompanhar o funcionamento do firewall e detectar possveis ataques e erros de
configurao.
O que so os eventos do sistema?
Eventos so as mensagens do firewall de nvel mais alto, ou seja, no relacionadas
diretamente a pacotes (como o caso do log). Nos eventos, podem aparecer mensagens
geradas por qualquer um dos trs grandes mdulos (filtro de pacotes, conversor de
endereos e autenticao/criptografia) e por qualquer outro componente do firewall, como
por exemplo, os proxies e os processos servidores encarregados de tarefas especficas.
Basicamente, o tipo de informao mostrada varia desde mensagens teis para acompanhar
o funcionamento do sistema (uma mensagem gerada todas as vezes que a mquina
reiniciada, todas as vezes que algum estabelece uma sesso com o firewall, etc) at
mensagens provocadas por erros de configurao ou de execuo.
O que um filtro de eventos?
Mesmo que o sistema tenha sido configurado para registrar todos os possveis eventos,
muitas vezes est interessado em alguma informao especfica (por exemplo, suponha que
queira ver todas as mensagens do dia de ontem). O filtro de eventos um mecanismo
oferecido pelo Aker Firewall para criar vises do conjunto total de mensagens,
possibilitando que obtenha as informaes desejadas facilmente.
O filtro s permite a visualizao de informaes que tiverem sido registradas nos eventos.
Caso queira obter uma determinada informao deve-se inicialmente configurar o sistema
para registr-la e ento utilizar um filtro para visualiz-la.
502
16.1.
503
504
Para excluir um filtro que no mais seja desejado, deve-se proceder da seguinte forma:
1. Selecionar o filtro a ser removido, no campo Filtros.
2. Clicar no boto Excluir.
O filtro padro configurado para mostrar todos as mensagens do dia atual. Para alterar a
visualizao para outros dias, pode-se configurar a Data Inicial e a Data Final para os dias
desejados (a faixa de visualizao compreende os registros da data inicial data final,
inclusive).
Alm de especificar as datas, possvel tambm determinar quais mensagens devem ser
mostradas. A opo Filtrar por permite escolher entre a listagem de mensagens ou de
prioridades.
Erro
Os registros que se enquadrem nesta prioridade indicam algum tipo de erro de
configurao ou de operao do sistema (por exemplo, falta de memria). Mensagens
desta prioridade so raras e devem ser tratadas imediatamente.
505
Alerta
Os registros que se enquadrarem nesta prioridade indicam que algum tipo de situao
sria e no considerada normal ocorreu (por exemplo, uma falha na validao de um
usurio ao estabelecer uma sesso de administrao remota).
Aviso
Enquadram-se nesta prioridade os registros que trazem informaes que so
consideradas importantes para o administrador do sistema, mas esto associadas a uma
situao normal (por exemplo, um administrador iniciou uma sesso remota de
administrao).
Informao
Os registros desta prioridade acrescentam informaes teis mas no to importantes
para a administrao do Firewall (por exemplo, uma sesso de administrao remota foi
finalizada).
Depurao
Os registros desta prioridade no trazem nenhuma informao realmente importante,
exceto no caso de uma auditoria. Nesta prioridade se encaixam as mensagens geradas
pelo mdulo de administrao remota todas as vezes que feita uma alterao na
configurao do firewall e uma mensagem gerada todas as vezes que o firewall
reinicializado.
Como ltima opo de filtragem, existe o campo Filtrar no complemento por. Este
campo permite que seja especificado um texto que deve existir nos complementos de
todas as mensagens para que elas sejam mostradas. Desta forma, possvel, por
exemplo, visualizar todas as pginas WWW acessadas por um determinado usurio,
bastando para isso colocar seu nome neste campo.
506
A janela de eventos
Observaes importantes:
507
Azul
Depurao
Verde
Informao
Amarelo
Notcia
Vermelho
Advertncia
Preto
Erro
Ao clicar com o boto esquerdo sobre uma mensagem, aparecer na parte inferior da
tela uma linha com informaes adicionais sobre ela.
508
O boto Prximos 100, representado como uma seta para a direita na barra de
ferramentas mostra as ltimas 100 mensagens selecionadas pelo filtro. Se no existirem
mais mensagens, esta opo estar desabilitada.
O boto ltimos 100, representado como uma seta para a esquerda na barra de
ferramentas mostra as 100 mensagens anteriores. Se no existirem mensagens
anteriores, esta opo estar desabilitada.
O boto Ajuda mostra a janela de ajuda especfica para a janela de eventos.
509
16.2.
Abaixo segue a descrio do formato das mensagens, seguido de uma descrio de cada um
de seus campos. A listagem completa de todas as possveis mensagens e seus significados se
encontra no apndice A.
Formato do registro:
<Data> <Hora> <Mensagem> [Complemento]
[Mensagem complementar 1]
[Mensagem complementar 2]
Descrio dos campos:
Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Mensagem: Mensagem textual que relata o acontecimento.
Complemento: Este campo traz informaes complementares e pode ou no aparecer,
dependendo da mensagem. Na Interface Texto (via SSH), caso ele aparea, vir entre
parnteses.
Mensagem complementar 1 e 2: Estes complementos s existem no caso de mensagens
relacionadas s conexes tratadas pelos proxies transparentes e no-transparentes e so
mostrados sempre na linha abaixo da mensagem a que se referem. Nestas mensagens
complementares, se encontram o endereo origem da conexo e, no caso dos proxies
transparentes, o endereo destino.
510
511
Criao de Acumuladores:
Nesta etapa, cadastramos os acumuladores que sero associados a regras de filtragem.
Eles servem apenas como totalizadores de uma ou mais regras de filtragem. Para
maiores informaes sobre a criao de acumuladores e sua associao com regras de
filtragem, vejam os captulos Cadastrando Entidades e O Filtro de Estados.
512
Aps a criao das regras de estatsticas, podemos ver os valores associados a cada uma
delas, export-los ou traar grficos. Esta etapa tambm ser mostrada neste captulo.
17.1.
513
O boto OK far com que o conjunto de estatsticas seja atualizado e passe a funcionar
imediatamente.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela
seja fechada.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a
janela aberta.
A barra de rolagem do lado direito serve para visualizar as regras que no couberem na
janela.
514
Nome: Nome da estatstica, utilizada para facilitar a sua referncia. Deve possuir um
nome nico entre o conjunto de regras;
Intervalo: Corresponde ao intervalo de tempo que far a totalizao da regra, ou seja, a
soma dos valores de todos os acumuladores presentes na regra;
Acumulador: Este campo define quais os acumuladores faro parte da regra;
Hora: Esta tabela define as horas e dias da semana em que a regra aplicvel. As linhas
representam os dias da semana e as colunas s horas. Caso queira que a regra seja
aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o
quadrado deve ser deixado em branco.
Para interagir com a janela de regras, utilize a barra de ferramentas localizada na parte
superior da janela ou clicar com o boto direito sobre ela.
Visualizando estatsticas
Aker Security Solutions
515
Ao clicar no boto Visualizao ou clicar duas vezes sobre uma regra de estatstica, a
seguinte janela ser mostrada:
ou texto.
516
Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro refere
contabilizao dos acumuladores da estatstica em um determinado tempo.
O boto Comear a busca, atualiza a lista de estatsticas de acordo com as datas definas nos
campos Inicio e Fim.
517
518
17.2.
A Interface Texto (via SSH) para o acesso s estatsticas tem funcionalidade similar da
Interface Remota (E possvel usar todos os comandos sem o prefixo FW, para isso execute
o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).
Todas as funes da Interface Remota esto disponveis, exceto a opo de verificar os
dados por meio de grfico e de se verificar em quais regras os acumuladores de uma
determinada estatstica esto presentes.
Para retornar ao nvel raiz deve-se usar o comando exit.
Aker Security Solutions
519
O smbolo. (ponto) informa que a regra s vlida para o dia da semana que segue o
caractere / .Ex: Dom/Seg - Seg
O smbolo ' (acento) informa que a regra so vlida para o dia da semana que antecede
o caractere / .Ex: Dom/Seg - Dom
Localizao do programa: /aker/bin/firewall/fwstat
Sintaxe:
fwstat ajuda
mostra [[-c] <estatstica> [<data inicial> <data final>]]
inclui <estatstica> <perodo> [<acumulador1> [acumulador2] ...]
remove <estatstica>
desabilita <estatstica> [<dia> <hora>]
habilita <estatstica> [<dia> <hora>]
Ajuda do programa:
Firewall Aker
Uso: fwstat ajuda mostra [[-c] <estatstica> [<data inicial> <data final>]]
inclui <estatstica> <perodo> [<acumulador1> [acumulador2] ...]
remove <estatstica>
desabilita <estatstica> [<dia> <hora>]
habilita <estatstica> [<dia> <hora>]
520
521
29/10/2001 17:19:54
29/10/2001 17:18:14
29/10/2001 17:16:34
29/10/2001 17:14:54
29/10/2001 17:13:14
29/10/2001 16:58:14
324/3
325/3
985/9
842/8
357/3
786/7
650/6
150/1
240/2
840/8
289/2
261/2
522
523
Neste captulo mostra como visualizar e remover conexes TCP e sesses UDP em tempo
real.
524
525
As pastas, conexo IPv4 e conexo IPv6, consistem de uma lista com uma entrada para cada
conexo ativa. Na parte inferior da janela mostrada uma mensagem informando o nmero
total de conexes ativas em um determinado instante. As velocidades, total e mdia, so
exibidas na parte inferior da janela.
Ao remover uma conexo TCP, o firewall envia pacotes de reset para as mquinas
participantes da conexo, efetivamente derrubando-a, e remove a entrada de sua tabela de
estados. No caso de conexes UDP, o firewall simplesmente remove a entrada de sua tabela
de estados, fazendo com que no sejam mais aceitos pacotes para a conexo removida.
526
A opo Mostrar velocidade das conexes, se ativa, faz com que a interface calcule e
mostre a velocidade de cada conexo em bits/s.
possvel ordenar a lista das conexes por qualquer um de seus campos, bastando para
isso clicar no ttulo do campo. O primeiro clique produzir uma ordenao ascendente e
o segundo uma ordenao descendente.
527
528
Porta destino: Porta para qual a conexo foi estabelecida. Esta porta normalmente est
associada a um servio especfico.
Incio: Hora de abertura da conexo.
Inativo: Nmero de minutos e segundos de inatividade da conexo.
Estado Atual: Este campo s aparece no caso de conexes TCP. Ele representa o estado da
conexo no instante mostrado e pode assumir um dos seguintes valores:
SYN Enviado: Indica que o pacote de abertura de conexo (pacote com flag de SYN) foi
enviado, porm a mquina servidora ainda no respondeu.
SYN Trocados: Indica que o pacote de abertura de conexo foi enviado e a mquina
servidora respondeu com a confirmao de conexo em andamento.
Estabelecida: Indica que a conexo est estabelecida.
Escutando Porta: Indica que a mquina servidora est escutando na porta indicada,
aguardando uma conexo a partir da mquina cliente. Isto s ocorre no caso de conexes
de dados FTP.
Bytes Enviados/Recebidos: Estes campos s aparecem no caso de conexes TCP, e indicam
o nmero de bytes trafegados por esta conexo em cada um dos dois sentidos.
Pacotes Enviados/Recebidos: Estes campos s aparecem no caso de conexes TCP, e
indicam o nmero de pacotes IP trafegados por esta conexo em cada um dos dois sentidos.
18.2.
A Interface Texto (via SSH) para acesso lista de conexes ativas possui as mesmas
capacidades da Interface Remota (E possvel usar todos os comandos sem o prefixo FW,
para isso execute o comando fwshell, ento todos os comando podero ser acessados sem
o prefixo FW). O mesmo programa trata as conexes TCP e UDP.
Para retornar ao nvel raiz deve-se usar o comando exit.
Localizao do programa: /aker/bin/firewall/fwlist
Sintaxe:
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP]] | [UDP] | [sesses]
529
530
531
532
Este captulo mostra para que serve e como configurar os Relatrios no Aker Firewall.
Visando disponibilizar informaes a partir de dados presentes nos registros de log e
eventos, bem como apresentar uma viso sumarizada dos acontecimentos para a gerncia
do Firewall, foi desenvolvida mais esta ferramenta. Neste contexto trataremos dos
relatrios que nutriro as informaes gerenciais.
Os relatrios so gerados nos formatos HTML, TXT ou PDF, publicados via FTP em at trs
sites distintos ou enviados por meio de e-mail para at trs destinatrios distintos. Podem
ser agendados das seguintes formas: "Dirio", "Semanal", "Quinzenal", "Mensal",
"Especfico" e tambm em tempo real de execuo.
19.1.
Acessando Relatrios
533
Configurando os Relatrios
19.2.
534
Aba geral
Nesta aba sero configurados os seguintes campos:
535
536
Na coluna de "Filtros" haver mais uma possibilidade de filtro de acordo com o tipo de
dado.
Mtodos de Publicao
Mtodo FTP
Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os
relatrios via ftp.
Como utilizar:
537
538
539
19.3.
540
541
542
20.1.
543
20.2.
Aba Geral
Aker Security Solutions
544
CSV.
545
546
Local:
Nesta aba, o usurio poder indicar em qual diretrio local do Aker Firewall deseja salvar os
dados exportados.
547
548
21.1.
Planejando a instalao
O que so proxies?
Proxies so programas especializados que geralmente rodam em firewalls e que servem
como ponte entre a rede interna de uma organizao e os servidores externos. Seu
funcionamento simples: eles ficam esperando por uma requisio da rede interna,
repassam esta requisio para o servidor remoto na rede externa, e devolvem sua resposta
de volta para o cliente interno.
Na maioria das vezes os proxies so utilizados por todos os clientes de uma sub-rede e
devido a sua posio estratgica, normalmente eles implementam um sistema de cache
para alguns servios. Alm disso, como os proxies trabalham com dados das aplicaes, para
cada servio necessrio um proxy diferente.
Proxies tradicionais
Para que uma mquina cliente possa utilizar os servios de um proxy necessrio que a
mesma saiba de sua existncia, isto , que ela saiba que ao invs de estabelecer uma
conexo com o servidor remoto, ela deve estabelecer a conexo com o proxy e repassar sua
solicitao ao mesmo.
Existem alguns clientes que j possuem suporte para proxies embutidos neles prprios
(como exemplo de clientes deste tipo, pode-se citar a maioria dos browsers existentes
atualmente). Neste caso, para utilizar as funes de proxy, basta configur-los para tal. A
grande maioria dos clientes, entretanto, no est preparada para trabalhar desta forma. A
nica soluo possvel neste caso, alterar a pilha TCP/IP em todas as mquinas clientes de
modo a fazer com que transparentemente as conexes sejam repassadas para os proxies.
Esta abordagem traz inmeras dificuldades, j que alm de ser extremamente trabalhoso
alterar todas as mquinas clientes, muitas vezes no existe forma de alterar a
implementao TCP/IP de determinadas plataformas, fazendo com que clientes nestas
plataformas no possam utilizar os proxies.
Outro problema dos proxies tradicionais, que eles s podem ser utilizados para acessos de
dentro para fora (no pode solicitar para que clientes externos repassem suas solicitaes
para o seu proxy para que este repasse para seu servidor interno).
Aker Security Solutions
549
550
551
Suponha agora que queira configurar o firewall para desviar todas as conexes SMTP para o
proxy SMTP, de modo a assegurar uma maior proteo e um maior controle sobre este
trfego.
importante que exista um meio de tratar diferentemente as conexes para A com origem
em B e C: a rede B utilizar o servidor SMTP de A como relay ao enviar seus e-mails,
entretanto este mesmo comportamento no deve ser permitido a partir da rede C. Pode-se
tambm querer limitar o tamanho mximo das mensagens originadas na rede C, para evitar
ataques de negao de servio baseados em falta de espao em disco, sem ao mesmo
tempo querer limitar tambm o tamanho das mensagens originadas na rede B.
Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos. Contextos
nada mais so que configuraes diferenciadas para os proxies transparentes de modo a
possibilitar comportamentos diferentes para conexes distintas.
No exemplo acima, poderia criar dois contextos: um para ser usado em conexes de B para
A e outro de C para A.
Proxies do Aker Firewall
O Aker Firewall implementa proxies transparentes para os servios FTP, Telnet, SMTP,
POP3, HTTP, HTTPS, RPC, DCE-RPC, SIP, H323, MSN e proxies no transparentes para os
servios acessados por meio de um browser WWW (FTP, Gopher, HTTP e HTTPS) e para
clientes que suportem o protocolo SOCKS. Para utilizar os proxies no transparentes
necessrio um cliente que possa ser configurado para tal. Dentre os clientes que suportam
este tipo de configurao, pode-se citar o Mozilla Firefox (Tm) e o Internet Explorer (Tm).
Os proxies transparentes podem ser utilizados tanto para controlar acessos externos s
redes internas quanto acessos de dentro para fora. Os proxies no transparentes somente
podem ser usados de dentro para fora.
O Aker Firewall permite ainda implementar Proxies criados pelo usurio que so proxies
criados por terceiros utilizando a API de desenvolvimento que a Aker Security Solutions
prov. O objetivo possibilitar que instituies que possuam protocolos especficos possam
criar suporte no firewall para estes protocolos.
Os autenticadores do Aker Firewall
Os proxies SOCKS, Telnet e WWW do Aker Firewall suportam autenticao de usurios, isto
, podem ser configurados para s permitir que uma determinada sesso seja estabelecida
caso o usurio se identifique para o firewall, por meio de um nome e uma senha, e este
tenha permisso para iniciar a sesso desejada.
O grande problema que surge neste tipo de autenticao como o firewall ir validar os
nomes e as senhas recebidas. Alguns produtos exigem que todos os usurios sejam
cadastrados em uma base de dados do prprio firewall ou que sejam usurios vlidos da
mquina que o firewall estiver rodando. Ambos os mtodos possuem o grande
Aker Security Solutions
552
553
21.2.
Cada linha deve conter o endereo IP de um Aker Firewall que ir utilizar o agente, um
ou mais espaos em branco ou caracteres tab e a senha de acesso que o firewall ir
utilizar para a comunicao.
Linhas comeadas pelo caractere #, bem como linhas em branco, so ignoradas.
554
555
Quando for feito alguma alterao no arquivo de configurao necessrio informar isso ao
agente, se ele estiver rodando. Para tal, deve-se executar o seguinte comando: #kill -1 pid
Onde pid o nmero do processo do agente de autenticao. Para ser obtido este
nmero, pode-se executar o comando.
21.3.
556
21.4.
Esta aba consiste em todas as opes de configurao do agente. Na parte superior existe
dois botes que permitem testar a autenticao de um determinado usurio, a fim de
verificar se o agente est funcionando corretamente. Na parte inferior da pasta existe uma
lista com os firewalls autorizados a se conectarem ao agente de autenticao.
557
Para incluir um novo firewall na lista, basta clicar no boto Incluir, localizado na barra de
ferramentas. Para remover ou editar um firewall, basta selecionar o firewall a ser removido
ou editado e clicar na opo correspondente da barra de ferramentas.No caso das opes
Incluir ou Editar ser mostrada a seguinte janela:
558
Aba de log
Depurao
Azul
Informao
Amarelo
Notcia
Vermelho
Advertncia
Preto
Erro
Caso no queira que uma determinada prioridade de mensagens seja gerada, basta
desmarcar a opo a sua esquerda.
559
A opo Usar visualizador de eventos, se estiver marcada, faz com que as mensagens sejam
enviadas para o visualizador de eventos do Windows.
Aba Sobre
560
561
22.1.
Essa janela consiste de seis partes distintas: a primeira aba corresponde ao Controle de
Acesso onde os usurios e grupos de autenticadores so associados com perfis de acesso. A
configurao desta aba ser vista em detalhes em Perfis de Acesso de Usurios, na segunda
Aker Security Solutions
562
563
Na parte inferior da janela existe um campo chamado Perfil Padro onde possvel
selecionar o perfil que ser associado aos usurios que no se enquadrem em nenhuma
regra de associao.
A ltima coluna, quando preenchida, especifica redes e mquinas onde a associao
vlida. Se o usurio se encaixar na regra, mas estiver em um endereo IP fora das redes e
mquinas cadastradas, ento a regra ser pulada, permitindo a atribuio de outro perfil ao
usurio. Esse tipo de restrio muito til para permitir acesso s reas sensveis da rede
apenas de alguns locais fsicos com segurana aumentada.
Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se proceder
da seguinte maneira:
1. Clicar com o boto direito do mouse na lista de regras e selecionar a opo Inserir;
2. Selecione o autenticador do qual se deseja obter a lista de usurios ou grupos, clicandose com o boto direito no campo Autenticador;
3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecione entre listagem de
usurios ou grupos e sua lista ser montada automaticamente a partir do autenticador
selecionado. A partir de a lista selecione o usurio ou grupo desejado.
564
565
Aba Mtodos
566
usurios. Se sim, tambm deve escolher no combo box ao lado se essa base deve ser
consultada antes ou depois dos demais autenticadores.
Permitir domnios especificados pelo usurio: Este parmetro indica se o usurio na hora
de se autenticar pode informar ao firewall em qual autenticador ele deseja ser validado.
Se esta opo estiver marcada, o usurio pode acrescentar juntamente ao seu nome, um
sufixo formado pelo smbolo / e um nome de autenticador, fazendo com que a requisio
de autenticao seja enviada diretamente para o autenticador informado. Caso ela no
esteja marcada, a autenticao ser feita na ordem dos autenticadores configurada pelo
administrador.
O uso desta opo no obriga que o usurio informe o nome do autenticador, apenas
permite que ele o faa, se desejar. Caso o usurio no informe, a autenticao seguir na
ordem normal.
Para ilustrar a especificao de domnio, pode-se tomar como base um sistema no qual
existam dois autenticadores configurados, chamados de Unix e Windows Server. Neste
sistema, se um usurio chamado administrador desejar se autenticar na mquina Windows
Server, ento ele dever entrar com o seguinte texto, quando lhe for solicitado seu login ou
username: administrador/Windows Server. Caso ele no informe o sufixo, o Aker Firewall
tentar autentic-lo inicialmente pela mquina Unix e caso no exista nenhum usurio
cadastrado com este nome ou a opo Pesquisa em todos os autenticadores estiver
marcada, ele ento tentar autenticar pela mquina Windows Server.
O nome do autenticador informado pelo usurio deve estar obrigatoriamente na lista de
autenticadores a serem pesquisados.
Autenticadores a pesquisar
Para incluir um autenticador na lista de autenticadores a serem consultados, deve-se
proceder da seguinte forma:
1. Clicar com o boto direito do mouse onde aparecer um menu suspenso (figura
abaixo) ou arrastando a entidade autenticador para o local indicado;
567
568
569
2. Clicar no boto direito do mouse sobre a entidade a ser removida e escolher a opo
Apagar
Habilitar autenticao por token: Essa opo indica se o firewall aceitar ou no a autenticao de
usurios por meio de tokens. Caso ela esteja ativa, deve-se configurar o nome do autenticador
token a ser consultado para validar os dados recebidos.
570
571
572
Para criar ou remover grupos, o procedimento o mesmo, mas na lista lateral direita.
Aker Security Solutions
573
574
preciso escolher uma entidade rede ou uma entidade mquina, que definiro a origem do
trfego e associ-las ao perfil, de forma que o trfego originrio dessas entidades no
precisar de autenticao por usurio.
O Acesso por IP estar habilitado sempre que houver pelo menos uma regra habilitada
nesta aba. A autenticao por IP s funciona com o Proxy HTTP/HTTPS.
575
Aba NTLM
A janela acima tem a funo de configurar a integrao do Aker Firewall ao Microsoft Active
Directory (AD) e utilizar o login automaticamente, sem que seja solicitada a digitao no
browser.
Esta integrao realizada por meio do Kerberos, Winbind e Samba e o comportamento
deste autenticador ser idntico aos outros tipos de autenticaes suportadas pelo Aker
Firewall podendo listar os usurios e grupos para a vinculao com os perfis de acesso.
Habilitar NTLM: ativando esta opo, uma entidade com o nome NTLM_Auth, estar
disponvel para a configurao na Aba Mtodos da janela de Autenticao.
Active directory:
Endereo IPv4: endereo IP do servidor com o Microsoft Active Directory;
Host: nome netbios do servidor com o Microsoft Active Directory, obtido a partir do
comando hostname executado neste servidor.
Autenticao
Usurio: usurio com privilgios de administrao do domnio para integrao.
Aker Security Solutions
576
577
578
22.2.
A Interface Texto (via SSH) permite configurar qual o tipo de autenticao ser realizada e a
ordem de pesquisa dos autenticadores (E possvel usar todos os comandos sem o prefixo
FW, para isso execute o comando fwshell, ento todos os comando podero ser
acessados sem o prefixo FW).
Para retornar ao nvel raiz deve-se usar o comando exit.
= habilita a autenticao
579
local
= indica se o autenticador local deve ser consultado antes dos demais
autenticadores (primeiro), depois de todos (ultimo) ou se nao deve ser utilizado (nao)
pesquisa_todos = configura se deve pesquisar em todos os autenticadores
proxy senha = habilita autenticao por proxies do tipo usurio/senha
proxy token = habilita autenticao por proxies do tipo Token
proxy primeiro = configura qual o primeiro tipo de autenticao a ser usado
Exemplo 1: (mostrando os parmetros de autenticao)
#fwauth mostra AUTENTICACAO USURIO/SENHA:
--------------------------Pesquisa em todos autenticadores: sim
Usurio pode especificar domnio: no
Autenticadores cadastrados:
aut_local
AUTENTICACAO PKI:
----------------No ha autenticadores cadastrados
AUTENTICACAO SECURY ID:
----------------------No ha autenticadores cadastrados
Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos)
#fwauth inclui autenticador "agente 10.0.0.12
Autenticador includo
580
581
Neste captulo mostra para que servem e como configurar perfis de acesso no Aker Firewall.
23.1.
Planejando a instalao
582
23.2.
Os perfis de acesso do Aker Firewall definem quais pginas WWW podem ser visualizadas e
quais tipos de servio podem ser acessados. Para cada pgina WWW ou servio, existe uma
tabela de horrios associada, por meio da qual possvel definir os horrios nos quais o
servio ou pgina podem ser acessados.
Para ter acesso janela de perfis de acesso deve-se:
583
A janela de Perfis
Para executar qualquer operao sobre um determinado perfil, deve-se clicar sobre ele e a
seguir clicar na opo correspondente na barra de ferramentas. As seguintes opes esto
disponveis:
584
Inserir perfil filho: Incluir um novo perfil que filho do perfil atual, i.e., estabelece uma
hierarquia de perfis.
Inserir: Permitir a incluso de um novo perfil na lista.
Copiar: Copiar o perfil selecionado para uma rea temporria.
Colar: Copiar o perfil da rea temporria para a lista.
Excluir: Remover da lista o perfil selecionado.
Relatrio dos perfis: Gera relatrio da lista de perfis em um documento HTML
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas, bem como a opo de relatrio dos Perfis, todos localizados logo acima da
lista. Na opo relatrio dos perfis, primeiro selecionam-se os itens para relatrio, e em
seguida indica o caminho e clique no boto Gerar.
Recomenda-se a no utilizao de caracteres especiais (espaos, traos, sinais, acentos,
aspas e etc..) na criao ou edio dos "perfis de acesso" do Firewall, exemplo: "Perfil
Administrao", a forma correta "Perfil_Administracao.
Para excluir um perfil de acesso, ele no poder estar associado a nenhum usurio (para
maiores informaes veja o tpico Associando Usurios com Perfis de Acesso)
O perfil filho, criado com a opo Inserir perfil filho herdar automaticamente as
configuraes do perfil pai.
Na parte superior de ambas as pastas se encontram o campo Nome, que serve para
especificar o nome que identificar unicamente o perfil de acesso. Este nome ser mostrado
na lista de perfis e na janela de controle de acesso. No podem existir dois perfis com o
mesmo nome.
Cada perfil de acesso composto de onze tpicos diferentes. Dependendo do tpico
selecionado em um momento, a parte direita da janela mudar de modo a mostrar as
diferentes opes. Os tpicos de configurao so:
585
23.3.
Geral
Configura a prioridade para as regras dos perfis filhos: Se esta opo estiver
marcada, as regras dos perfis filhos iro aparecer acima das regras dos perfis
pais, isto , elas tero prioridade sobre as regras do pai. Caso contrrio, as regras
do perfil pai tero prioridade sobre as regras dos seus perfis filhos. Ou seja, nos
perfis filhos, as regras herdadas do pai iro aparecer acima de suas regras.
Horrio padro: Esta tabela define o horrio padro para as regras de filtragem WWW.
Posteriormente, ao se incluir regras de filtragem WWW, existe a opo de se utilizar este
horrio padro ou especificar um horrio diferente.
As linhas representam os dias da semana e as colunas s horas. Caso queria que a regra seja
aplicvel em determinada hora ento o quadrado deve ser preenchido, caso contrrio o
quadrado deve ser deixado em branco. Para facilitar sua configurao, pode-se clicar com o
586
FTP e GOPHER
587
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova
regra ser includa no final da lista.
Excluir: Remover da lista a regra selecionada.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a
nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada
para o final da lista.
Desabilitar: Ativar ou desativar a regra selecionada na lista.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a
nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse
ir mudar para uma mo segurando um basto.
A ordem das regras na lista de regras de filtragem de fundamental importncia. Ao receber
uma solicitao de acesso a um endereo, o firewall pesquisar a lista a partir do incio,
procurando por uma regra na qual o endereo se encaixe. To logo uma seja encontrada, a ao
associada a ela ser executada.
Cada regra de filtragem consiste de uma operao, que indica qual tipo de pesquisa ser
feita e o texto a ser pesquisado. Para acessar estas opes de operao clique na entidade
que selecionada na coluna Padres de Texto e a tela a seguir ser exibida:
588
589
Padres de texto: Ao clicar com o boto direito do mouse nesse campo, permite selecionar
uma entidade lista de padres criada anteriormente. Com isso, ser possvel associar a regra
a uma entidade padro de pesquisa, permitindo definir qual ser a string ou os parmetros
que sero pesquisados na URL acessada e qual operao a ser efetuada.
Ao: Define a ao a ser executada caso o endereo que o usurio desejou acessar no se
encaixe em nenhuma regra de filtragem. Consiste em duas opes.
Permitir: Se esta opo for selecionada, ento o firewall aceitar as URLs que no se
enquadrarem em nenhuma regra.
Bloquear: Se esta opo for selecionada, ento o firewall rejeitar as URLs que no se
enquadrarem em nenhuma regra.
Categorias: Nesse campo, permite associar alguma entidade categoria regra que est
sendo criada.
Canal: Usado em regras de filtragem com o objetivo de limitar a banda de determinados
servios, mquinas, redes e/ou usurios.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos pelos
funcionrios, com acesso sites da WEB. Assim as quotas so os limites em termos de
tempo de acesso e volume de dados, por usurio. Esta opo permite associar ao usurio
alguma entidade quota criada.
Time: Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo: Permite definir
que nas segundas-feiras e nas quartas-feiras o usurio ter acesso Internet somente das
12:00 s 14:00.
Perodo de Validade: Perodo de validade e aplicao da regra. definido em ms e ano.
590
HTTP/HTTPS
23.5.
Aba Geral
URLs com endereo IP: Se esta opo estiver marcada, no ser permitido o acesso a
URLs com endereos IP ao invs de nome (por exemplo, http://10.0.1.6), ou seja,
somente ser possvel se acessar URLs por nomes.
Caso tenha configurado o Filtro Web para fazer filtragem de URLs, deve-se configurar esta opo
de modo que o usurio no possa acessar por meio de endereos IP, caso contrrio, mesmo com o
nome bloqueado, o usurio continuar acessando a URL por meio de seu endereo IP. possvel
acrescentar endereos IP nas regras de filtragem WWW do perfil (caso queria realizar filtragem com
esta opo ativa), entretanto, devido a estes sofrerem mudanas e ao fato de muitos servidores
terem mais de um endereo IP, isto se torna extremamente difcil. Por outro lado, muitos
administradores percebem que sites mal configurados (especialmente os de webmail) utilizam
redirecionamento para servidores pelo seu endereo IP, de forma que, com esta opo
desmarcada, tais sites ficam inacessveis.
591
O bloqueio de URL no tem suporte para pginas HTTPS quando estiver sendo utilizado o Proxy
ativo (ao bloquear uma pgina utilizando este mtodo, o browser ir mostrar o erro de
comunicao.
Java, Javascript e Activex: Este campo permite definir uma filtragem especial para pginas
WWW, bloqueando, ou no, tecnologias consideradas perigosas ou incmodas para alguns
ambientes. Ela possui trs opes que podem ser selecionadas independentemente:
Javascript, Java e Activex.
A filtragem de Javascript, Java e ActiveX feita de forma com que a pgina filtrada seja
visualizada como se o browser da mquina cliente no tivesse suporte para a(s) linguagem(s)
filtrada(s). Em alguns casos, isto pode fazer com que as pginas percam sua funcionalidade.
Uma vez configurado que se deve realizar o bloqueio, o mesmo ser feito por meio de
regras globais, iguais para todos os perfis. Para configurar estas regras de bloqueio de
banners, deve-se:
592
Esta janela formada por uma srie de regras no formado de expresso regular. Caso uma
URL se encaixe em qualquer regra, a mesma ser considerada um banner e ser bloqueada.
A pasta de filtragem HTTP/HTTPS permite a definio de regras de filtragem de URLs para os
protocolos HTTP/HTTPS. Ela consiste de uma lista onde cada regra mostrada em uma linha
separada.
O protocolo HTTPS, para a URL inicial filtrado como se fosse o protocolo HTTP. Alm disso, uma
vez estabelecida comunicao no mais possvel para o firewall filtrar qualquer parte de seu
contedo, j que a criptografia realizada diretamente entre o cliente e o servidor.
593
Na parte inferior da pasta existe um grupo que define a ao a ser executado caso o
endereo que o cliente desejou acessar no se encaixe em nenhuma regra de filtragem. Este
grupo chamado de Ao padro para o protocolo e consiste de trs opes.
Permitir: Se esta opo for selecionada, ento o firewall aceitar as URLs que no se
enquadrarem em nenhuma regra.
Bloquear: Se esta opo for selecionada, ento o firewall rejeitar as URLs que no se
enquadrarem em nenhuma regra.
Para executar qualquer operao sobre uma determinada regra, basta clicar sobre ela e a
seguir clicar na opo correspondente na barra de ferramentas. As seguintes opes esto
disponveis:
594
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova
regra ser includa no final da lista.
Excluir: Remover da lista a regra selecionada.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a
nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada
para o final da lista.
Desabilitar: Ativar ou desativar a regra selecionada na lista.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a
nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse
ir mudar para uma mo segurando um basto.
A ordem das regras na lista de regras de filtragem WWW de fundamental importncia. Ao
receber uma solicitao de acesso a um endereo, o firewall pesquisar a lista a partir do incio,
procurando por uma regra na qual o endereo se encaixe. To logo uma seja encontrada, a ao
associada a ela ser executada.
Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa ser
feita e, o texto a ser pesquisado. As seguintes opes operao esto disponveis:
595
Especificar os arquivos que sero bloqueados pelo perfil juntamente com o Filtro Web.
Aker Security Solutions
596
possvel utilizar dois critrios complementares para decidir se um arquivo transferido deve
ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um destes critrios for
atendido, em outras palavras, se a extenso do arquivo estiver entre aquelas a serem
analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, ento o
arquivo dever ser bloqueado pelo firewall.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um
protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo
indica o subtipo. O navegador usa esta informao para decidir como mostrar a informao
que ele recebeu do mesmo modo como o sistema operacional usa a extenso do nome do
arquivo.
Sites Excludos:
Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se enquadrarem
na lista de excludos no sero analisados.
Opes de operao:
URL Bloqueada:
Permitir a configurao de qual ao deve ser executada pelo firewall quando um usurio
tentar acessar uma URL no permitida. Ela consiste das seguintes opes:
597
598
MSN Messenger
599
Essa aba permite configurar as opes de uso do MSN Messenger e seus servios. Para mais
informaes, veja o captulo Configurando o Proxy MSN. As seguintes opes esto
disponveis:
Permite Messenger: Se esta opo estiver desmarcada, os usurios que pertencerem a este
perfil no podero acessar o Messenger, mesmo que exista uma regra de filtragem
permitindo este acesso.
fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP, caso contrrio
poder ser possvel acessar o Messenger por meio deste servio. Esta opo de bloqueio j vem
configurada como padro, mas importante atentar a isso caso se realize configuraes no proxy
HTTP.
No Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger esteja ativa.
Ela indica que o usurio poder usar MSN Messenger, sem nenhum tipo de filtragem (ex:
tempo de conversao, etc.).
Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger esteja ativa. Ela
indica que o usurio poder usar o MSN Messenger, porm de forma controlada, ou seja,
definida por meio das regras de filtragem para este servio.
Permite notificaes do Hotmail: Esta opo (que s estar ativa caso o acesso filtrado ao
MSN Messenger tenha sido selecionado) permite que o usurio receba notificaes de
mensagens disponveis no Hotmail.
Incluir conversas nos registros de log: Se esta opo estiver habilitada, todas as conversas
entre os usurios sero logadas
Bloquear verso: Estas opes permitem que sejam bloqueadas as verses especficas do
cliente MSN Messenger.
Caso tenha selecionado a opo de acesso filtrado ao Messenger, necessrio criar uma ou
mais regras para definir que tipo de acesso ser permitido. Para executar qualquer operao
sobre uma regra, basta clicar sobre ela com o boto direito e a seguir escolher a opo
desejada no menu que ir aparecer. As seguintes opes esto disponveis:
Figura 425 - Menu (inserir/desabilitar) para executar qualquer operao sobre a regra.
600
Ao: Define a ao a ser executada caso o endereo que o usurio desejou acessar no se
encaixe em nenhuma regra de filtragem. Consiste em duas opes:
Aceita: Se esta opo for selecionada, ento o firewall aceitar as URLs que no se
enquadrarem em nenhuma regra.
Rejeita: Se esta opo for selecionada, ento o firewall rejeitar as URLs que no se
enquadrarem em nenhuma regra.
Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos podem
ser enviados/recebidos por meio do Messenger. Para isso deve-se inserir uma ou mais
entidades do tipo Lista de Tipo de Arquivo (para maiores informaes veja o captulo
Cadastrando entidades), contendo a lista de tipos de arquivos permitidos.
Tipos de servios: Nesta coluna pode-se especificar quais servios adicionais podem ser
utilizados por meio do Messenger. A definio dos tipos de servios possveis feita dentro
da configurao do proxy MSN. Para maiores informaes veja o captulo Configurando o
proxy MSN.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gasto pelos
funcionrios, com acesso a sites da WEB. Assim as quotas so os limites em termos de
tempo de acesso e volume de dados, por usurio. Esta opo permite associar ao usurio
alguma entidade quota criada. A contabilizao de quotas funciona da seguinte maneira:
Uma quota especifica esteja em regras distintas, desta forma o tempo e volume da dados
desta conta ser somando, fazendo um clculo de todas as regras em que esta quota esta
(caso exista quotas distintas para cada uma das regras, estas quotas sero contabilizadas
separadamente). Downloads e uploads tambm so contabilizados.
601
Logar: Se esta opo estiver habilitada, todas as aes que o usurio efetuar sero logadas,
por exemplo, transferncia de arquivos.
As conversas dos usurios no sero logadas ao habilitar a opo Logar, para que as conversas
sejam logadas a opo Incluir conversas nos registros de log deve estar habilitada.
Pastas compartilhadas: Nesta opo pode-se optar por permitir ou no que o usurio
compartilhe pastas no MSN.
Tabela de Horrios: Horrio em que o usurio poder utilizar o servio Messenger, dividido
nas 24 horas do dia. Caso seja desejado possvel copiar o horrio padro do perfil de
acesso, clicando-se com o boto direito sobre a tabela de horrios e selecionando-se a
opo Usar tabela de horrio padro do perfil.
23.7.
Regras de segurana
602
A opo Regras de segurana permite que o administrador filtre quais os tipos de usurios
que estaro autorizados a se conectar/autenticar no Firewall.
Habilitar regras de segurana: Esta opo deve estar selecionada para que as regras sejam
criadas.
Aceitar clientes antigos: Esta opo usada para permitir que usurios que estejam usando
uma verso desatualizada do Aker Client se conectem no Firewall. Caso esta opo esteja
desmarcada estes usurios no podero acessar o Firewall.
Plataforma: Permite que o administrador selecione o tipo de plataforma que poder se
autenticar no Firewall. As opes disponveis so:
Log: Esta opo permite que o administrador defina se os logs de autenticao sero
gravados ou no.
603
Aceitar: Se esta opo for selecionada, as definies feitas nesta regra sero
permitidas.
Rejeitar: Se esta opo for selecionada, as definies feitas nesta regra sero
rejeitadas.
Filtro de plataforma por string: Este campo permite que o usurio faa filtros de verses de
sistemas operacionais, por exemplo: Fedora, ubuntu, debian ou Windows XP, vista, 7 ou 8.
604
23.8.
Regras
A opo de regras permite especificar regras de filtragem para o perfil de acesso. Seu
formato exatamente igual janela de regras de filtragem com a nica exceo de que no
se devem especificar entidades origem para a regra. Aqui tambm possvel trabalhar com
Polticas de Regras de Filtragem. (para maiores informaes, consulte o captulo intitulado
Filtro de Estados).
As regras de filtragem para os perfis de acesso consideram como origem a mquina na qual a
sesso foi estabelecida. Devido a isso, necessrio apenas especificar as entidades destino e
servios que podem ser acessados.
605
23.9.
Regras SOCKS
A opo de regras SOCKS permite especificar regras de filtragem para o acesso por meio do
proxy SOCKS. Seu formato exatamente igual janela de regras de filtragem com a nica
exceo de que no se deve especificar entidades origem para a regra (para maiores
informaes, consulte o captulo intitulado Filtro de Estados).
As regras de filtragem para o proxy SOCKS consideram como origem a mquina na qual a
sesso foi estabelecida. Devido a isso necessrio apenas especificar as entidades destino e
servios que podem ser acessados.
606
23.10.
Esta aba permite configurar os servios para que possam ser acessados por meio de Proxy
SSL e/ou VPN SSL pelos usurios que se enquadrarem neste perfil de acesso. Seu formato
exatamente igual janela de regras de filtragem com as excees de que no se deve
especificar entidades origem para a regra e de que nem todas as opes esto disponveis
(acumulador, canal, etc). Aqui tambm possvel trabalhar com Polticas de Regras de
Filtragem. (para maiores informaes, consulte o captulo intitulado O Filtro de Estados).
N.: Nmero da regra de filtragem.
Destino: Nesta coluna pode-se controlar o destino da conexo.
Servios: Permite indicar a porta de comunicao do protocolo.
Tipo: Indica o tipo de conexo SSL. Pode ser direta ou por meio do applet.
A conexo direta denominada Proxy Reverso SSL, que possibilita a utilizao de
certificados X.509 com tamanhos de chaves 1024, 2048 ou 4096 bits. O Cliente abre uma
conexo SSL com o Firewall, e o Firewall abre uma conexo normal com o servidor.
607
Na conexo via applet o cliente abre uma conexo via SSL com o Firewall por meio de uma
pgina WEB. O Firewall disponibiliza um applet de redirecionamento que o cliente ir baixlo em sua mquina. Esse applet inicia uma conexo com o Firewall via SSL e o Firewall inicia
uma conexo com o servidor.
608
Servio de Bind: Permite indicar a porta de comunicao onde o applet (dar um bind)
iniciar o servio. Para isso deve-se inserir uma ou mais entidades do tipo servio.
Ao: Este campo define qual a ao a ser tomada para todos os pacotes que se encaixem
nesta regra. Ela consiste nas seguintes opes:
Log: Definir quais tipos de aes sero executadas pelo sistema quando um pacote se
encaixar na regra. Ele consiste em vrias opes que podem ser selecionadas
independentemente uma das outras.
Hora: Definir as horas e dias da semana em que a regra ser aplicvel. As linhas
representam os dias da semana e as colunas representam as horas. Caso queira que a regra
seja aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o
quadrado deve ser deixado em branco.
As regras de filtragem para os perfis de acesso consideram como origem a mquina na qual a
sesso foi estabelecida. Devido a isso necessrio apenas especificar as entidades destino e
servios que podem ser acessados.
609
23.11.
Secure Roaming
Aba Configurao
Essa aba permite que sejam configuradas as opes de acesso do Secure Roaming que
variam de acordo com as permisses do cliente que est conectado. Para as demais
configuraes, veja o captulo Configuraes do Secure Roaming.
610
611
23.12.
Filtros de Aplicao
Essa aba permite configurar as regras para filtros de aplicao. Estas regras permitem, por
exemplo, que determinados tipos de arquivos sejam bloqueados de acordo com seu tipo
real, independentemente de sua extenso ou protocolo que esteja sendo utilizado para
envi-los. possvel tambm ao invs de bloquear, simplesmente mudar a prioridade de um
servio ou tipo de arquivo sendo transmitido.
Uma das grandes utilizaes destes filtros para otimizar o acesso Internet. possvel, por
exemplo, que todos os usurios tenham um acesso rpido Internet, porm quando estes
tentarem baixar arquivos cujos tipos no sejam considerados importantes, i.e, mp3, vdeos,
etc, a conexo sendo utilizada para transferir estes arquivos automaticamente fique com
uma largura de banda bastante reduzida.
Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o boto
direito e a seguir escolher a opo desejada no menu que ir aparecer. As seguintes opes
esto disponveis:
612
Figura 439 - Menu (inserir/desabilitar) para executar qualquer operao sobre a regra.
Aceita: Significa que a conexo ser autorizada a passar por meio do firewall.
Mudar prioridade: Indica que a conexo ser aceita, porm com uma prioridade diferente,
que dever ser especificada na coluna Canal.
Bloqueia origem: Indica que a mquina que originou a conexo dever ser bloqueada por
algum tempo (isso significa que todas as conexes originadas nela sero recusadas). A
Aker Security Solutions
613
coluna Tempo de Bloqueio serve para especificar por quanto tempo a mquina
permanecer bloqueada.
Rejeita: Significa que a conexo no passar pelo firewall e ser enviado um pacote de reset
para a mquina originria da comunicao.
Descarta: Significa que a conexo no passar pelo firewall, mas no ser enviado nenhum
pacote para a mquina de origem.
Tempo de bloqueio: Esta coluna s estar habilitada caso a ao Bloqueia origem tenha
sido selecionada. Ela indica por quanto tempo a mquina origem ser bloqueada.
23.13.
Uma vez que os perfis de acesso esto criados, torna-se necessrio associ-los com usurios
e grupos de um ou mais autenticadores ou autoridades certificadoras do firewall. Isto feito
por meio da janela de controle de acesso.
Para ter acesso a janela de controle de acesso deve-se:
614
A aba de controle de acesso permite que seja criada a associao de usurios/grupos com
um perfil de acesso.
Na parte inferior da janela existe um campo chamado Perfil Padro onde se pode selecionar
o perfil que ser associado aos usurios que no se enquadrem em nenhuma regra de
associao.
A ltima coluna Entidades, quando preenchida, especifica redes e mquinas onde a
associao vlida. Se o usurio se encaixar na regra, mas estiver em um endereo IP fora
das redes e mquinas cadastradas, ento a regra ser pulada, permitindo a atribuio de
outro perfil ao usurio. Esse tipo de restrio muito til para permitir acesso s reas
sensveis da rede apenas de alguns locais fsicos com segurana aumentada.
Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se proceder
da seguinte maneira:
1. Clique com o boto direito do mouse na lista de regras e selecionar a opo Inserir;
615
2. Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos, clicandose com o boto direito no campo Autenticador. Para maiores informaes sobre os
autenticadores, veja o captulo intitulado Configurando parmetros de autenticao.
3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecione entre listagem de
usurios ou grupos, ento a lista selecionada ser montada automaticamente a partir
do autenticador selecionado. A partir da lista, selecione o usurio ou grupo desejado.
616
617
618
Este captulo mostra o que o Cliente de Autenticao Aker e para que serve essa
ferramenta que propicia grande nvel de segurana.
24.1.
possvel visualizar a qualquer momento os usurios que possuem sesso estabelecida com
o firewall, por meio do cliente de autenticao, e remover uma destas sesses. Isto feito
por meio da janela de usurios logados.
Para ter acesso a janela de usurios logados deve-se:
619
Figura 446 - Usurios conectados (mquina, nome, domnio, perfil, inicio, TPC e n de
usurios conectados.)
Esta janela consiste de uma lista com uma entrada para cada usurio. Na parte inferior da
janela mostrada uma mensagem informando o nmero total de usurios com sesses
estabelecidas um determinado instante. Para os usurios logados via Secure Roaming, sero
mostrados tambm os dados da conexo (endereo IP e portas) junto com o estado de
estabelecimento da mesma.
620
possvel ordenar a lista das sesses por qualquer um de seus campos, bastando para
isso clicar no ttulo do campo. O primeiro clique produzir uma ordenao ascendente e
o segundo uma ordenao descendente.
621
24.2.
A Interface Texto (via SSH) para acesso lista de usurios logados possui as mesmas
capacidades da Interface Remota e simples de ser utilizado. Ele o mesmo programa que
produz a lista de conexes ativas TCP e UDP, mostrado anteriormente.
Para retornar ao nvel raiz deve-se usar o comando exit.
622
623
624
Este captulo mostra quais as funes oferecidas pelo proxy SMTP e como realizar sua
configurao.
Envelope
O envelope chamado desta forma por ser anlogo a um envelope de uma carta
comum. Nele se encontram as informaes do emissor e dos destinatrios de uma
mensagem. Para cada recipiente de um domnio diferente gerado um novo envelope.
Desta forma, um servidor SMTP recebe no envelope de uma mensagem o nome de
todos os recipientes da mensagem que se encontram no seu domnio.
O envelope no visto pelos destinatrios de uma mensagem. Ele somente usado
entre os servidores SMTP.
Cabealho
No cabealho da mensagem se encontram informaes sobre a mensagem, como o
assunto, data de emisso, nome do emissor, etc. O cabealho normalmente mostrado
ao destinatrio da mensagem.
625
Corpo
O corpo composto pela mensagem propriamente dita, da forma com que foi produzida
pelo emissor.
Ataques de relay
Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar suas
mensagens de correio eletrnico. Desta forma, utiliza-se os recursos computacionais que
deveriam estar disponveis para requisies vlidas.
O proxy SMTP do Aker Firewall impede ataques de relay desde que corretamente
configurado.
Para se utilizar o proxy SMTP em uma comunicao, necessrio executar uma sequncia
de 2 passos:
1. Criar um servio que ser desviado para o proxy SMTP e editar os parmetros do
contexto a ser usado por este servio (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades).
626
25.1.
A janela de propriedades de um contexto SMTP ser mostrada quando a opo Proxy SMTP
for selecionada. Por meio dela possvel definir o comportamento do proxy SMTP quando
este for lidar com o servio em questo.
A janela de propriedades de um contexto SMTP.
627
628
629
Nesta pasta so mostradas todas as regras de filtragem para o contexto. Estas regras
possibilitam que o administrador configure filtros de e-mails baseados em seu contedo.
Para executar qualquer operao sobre uma determinada regra, basta clicar com o boto
direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre
que pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste
caso, somente as opes Incluir e Colar estaro habilitadas).
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova
regra ser includa no final da lista.
630
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra,
clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
A ordem das regras na lista de regras de filtragem SMTP de fundamental importncia. Ao
receber uma mensagem, o firewall pesquisar a lista a partir do incio procurando uma regra na
qual a mensagem se enquadre. To logo uma seja encontrada, a ao associada a ela ser
executada.
No caso de incluso ou edio de regras, a janela a seguir ser exibida:
631
Nesta janela so configurados todos os parmetros relativos a uma regra de filtragem para
um contexto SMTP. Cada regra consiste basicamente de 3 condies independentes que
podem ou no estar preenchidas (ou seja, possvel criar regras com apenas uma ou duas
condies).
Para criar uma regra, necessrio preencher os seguintes campos:
Nome: Nome que define unicamente a regra dentro do contexto. Este nome ser mostrado
na lista de regras do contexto SMTP. No podem existir duas regras com o mesmo nome.
632
Campo: Definir o nome do campo dentro da mensagem SMTP onde ser feita a pesquisa.
Ele pode assumir um dos seguintes valores (alguns valores so mostrados em ingls devido
ao fato de serem nomes de campos fixos de uma mensagem):
Os campos TO e CC so tratados de forma diferente pelo proxy SMTP: o campo TO tratado com
uma lista dos vrios recipientes da mensagem, retirados do envelope da mensagem. O campo CC
tratado como um texto simples, retirado do cabealho da mensagem, e sua utilidade bastante
limitada.
Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. So elas:
633
Texto: Texto a ser pesquisado. Este campo tratado como um texto contnuo que ser
comparado com o campo especificado, exceto no caso da pesquisa CONTM PALAVRAS,
quando ele tratado como diversas palavras separadas por espaos. Em ambos os casos,
letras maisculas e minsculas so consideradas como sendo iguais.
Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma, possvel definir at 3
condies distintas que uma mensagem deve cumprir para que seja enquadrada pela regra. Caso
no queira especificar trs condies, basta deixar as demais com o valor NENHUM no parmetro
campo.
Ativao dos filtros: Este campo s tem sentido quando especifica mais de uma condio.
Ele indica que tipo de operao ser usada para relacion-las:
Ao: Este campo indica se as mensagens que se enquadrarem na regra devem ser aceitas
ou rejeitadas pelo proxy SMTP.
Registrar na lista de eventos: Este campo indica se as mensagens que se enquadrarem na
regra devem ou no ser registradas na lista de eventos.
Enviar cpia: Para toda mensagem que se enquadrar na regra, independentemente de ter
sido aceita ou rejeitada, possvel enviar uma cpia completa dela para um endereo de email qualquer. Este campo indica se deve ou no ser enviada esta cpia. Caso ele esteja
marcado, deve-se escolher uma das seguintes opes de envio:
634
Aba de DNS
Nesta pasta so mostradas todas as regras de filtragem de DNS para o contexto. Estas regras
possibilitam que o administrador configure filtros de e-mails baseados no nome retornado
pelo DNS reverso do servidor SMTP que estiver enviando a mensagem.
Para executar qualquer operao sobre uma determinada regra, basta clicar com o boto
direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre
que se pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste
caso, somente as opes Incluir e Colar estaro habilitadas).
635
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova
regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a
nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada
para o final da lista.
Editar: Abrir a janela de edio para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra,
clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
No caso de incluso ou edio de regras, a janela a seguir ser exibida:
636
637
Aba de Anexos
638
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova
regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a
nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada
para o final da lista.
Editar: Abrir a janela de edio para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra,
clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
A ordem das regras na lista de regras de filtragem de arquivos anexados de fundamental
importncia. Para cada arquivo anexado de uma mensagem, o firewall pesquisar a lista a partir do
incio procurando uma regra na qual ele se enquadre. To logo uma seja encontrada, a ao
associada a ela ser executada.
No caso de incluso ou edio de regras, a janela a seguir ser exibida:
639
640
ser pesquisado. Estes campos so anlogos aos campos de mesmo nome da regra de
filtragem SMTP, descrita acima.
Operador de pesquisa: Este campo anlogo ao campo de mesmo nome da regra de
filtragem SMTP, descrita acima.
Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se enquadrar na
regra. Ela consiste de trs opes:
Aceita o anexo: Se essa opo for selecionada o firewall ir manter o arquivo anexado
na mensagem.
Remove o anexo: Se essa opo for selecionada o firewall ir remover o arquivo
anexado da mensagem.
Descarta mensagem: Se essa opo for selecionada o firewall recusar a mensagem
completa.
Remove anexo infectado: Se essa opo for selecionada o firewall ir verificar o arquivo
anexado da mensagem contra vrus. Caso exista vrus o firewall tomar uma das
seguintes aes: se o arquivo puder ser desinfectado, o vrus ser removido e o arquivo
reanexado mensagem. Caso o arquivo no possa ser desinfectado, o firewall o
remover e acrescentar uma mensagem informando ao destinatrio desse fato.
Descarta mensagem infectada: Se essa opo for selecionada o firewall ir verificar o
arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall tomar uma das
seguintes aes: se o arquivo puder ser desinfectado, o vrus ser removido e o arquivo
reanexado mensagem. Caso o arquivo no possa ser desinfectado, o firewall recusar a
mensagem.
Recomenda-se utilizar as aes que removem os arquivos anexados nos e-mails recebidos pela
companhia e as que bloqueiam a mensagem por completo nas regras aplicadas aos e-mails que
saem.
Remove arquivos encriptados: Se essa opo estiver marcada, o firewall remover os
arquivos anexados que estejam cifrados, de forma que no possam ser checados quanto
presena de vrus.
Remove arquivos corrompidos: Se essa opo estiver marcada, o firewall remover os
arquivos anexados que estejam corrompidos.
Notifica emissor no caso de remoo do arquivo anexado: Se essa opo estiver marcada,
o firewall enviar uma mensagem para o emissor de um e-mail todas as vezes que um ou
mais de seus arquivos anexados for removido.
Envia cpia para o administrador do arquivo anexado for removido: Se essa opo estiver
marcada, o firewall enviar uma cpia de todos os arquivos removidos para o
administrador. Caso ela esteja marcada, deve-se escolher uma das seguintes opes de
envio:
641
642
Black list do usurio: So listas negras configurveis pelo administrador do firewall. Ela
consiste de uma lista de listas negras, cada uma com os seguintes campos:
Nome: Nome pelo qual deseja chamar a blacklist.
URL: URL explicativa para ser mostrada para o usurio que tiver seus e-mails recusados.
Zona de DNS: a zona completa de DNS que dever ser consultada pelo firewall. Caso um
endereo IP esteja presente nessa zona, e-mails vindos dele sero recusados.
Alguns servios de black list costumam ter seu funcionamento interrompido temporariamente
devido aos problemas de natureza judicial. Quando isto acontece, ou eles se tornam inefetivos ou
bloqueiam mais e-mails do que deveriam. Por favor verifique o funcionamento correto da blacklist
desejada antes de coloc-la em uso.
Aba de Spam Meter
643
644
Rejeitar: As mensagens que se enquadrarem nesta faixa sero rejeitadas pelo firewall, isto
, o servidor que as enviou ser informado que elas foram recusadas e que ele no deve
tentar envi-las novamente. Esta ao deve ser utilizada apenas na faixa vermelha.
Adicionar assunto: As mensagens que se enquadrarem nesta faixa sero aceitas porm
tero seu assunto precedido de um texto qualquer definido pelo administrador. O campo
direita serve para o administrador definir o texto que ser adicionado ao assunto. Esta ao
normalmente utilizada na faixa amarela, mas pode tambm ser utilizada na vermelha. A
ideia configurar um filtro, para o texto a ser adicionado, nos leitores de e-mail de modo a
fazer com que as mensagens suspeitas ou consideradas SPAM sejam automaticamente
separadas em outra caixa postal.
Enviar cpia: Para toda mensagem, independentemente de ter sido aceita ou rejeitada,
possvel enviar uma cpia completa dela para um endereo de e-mail qualquer. Este campo
indica se deve ou no ser enviada esta cpia. Caso ele esteja marcado, deve-se escolher
uma das seguintes opes de envio:
645
646
Permite cabealho incompleto: Se esta opo estiver marcada como NO, no sero
aceitas mensagens cujos cabealhos no contenham todos os campos obrigatrios de uma
mensagem SMTP.
Nmero de processos: Este campo indica o nmero mximo de cpias do proxy que
podero estar ativas em um determinado momento. Como cada processo trata uma
conexo, este nmero tambm representa o nmero mximo de mensagens que podem ser
enviadas simultaneamente para o contexto em questo. Caso o nmero de conexes ativas
atinja este limite, os clientes que tentarem enviar novas mensagens sero informados que o
servidor se encontra temporariamente impossibilitado de aceitar novas conexes e que
devem tentar novamente mais tarde.
possvel utilizar este nmero de processos como uma ferramenta para controlar o nmero
mximo de mensagens simultneas passando pelo link, de forma a no satur-lo.
Tempo limite de resposta do cliente: Este parmetro indica o tempo mximo, em segundos,
que o proxy espera entre cada comando do cliente que est enviando a mensagem SMTP.
Caso este tempo seja atingido sem receber nenhum comando do cliente, o proxy assume
que este caiu e derruba a conexo.
Tempo limite de resposta para servidor: Para cada um dos possveis comandos vlidos do
protocolo SMTP, existe um tempo mximo de espera por uma resposta do servidor. Caso
no receba nenhuma resposta dentro deste perodo, o proxy assume que o servidor caiu e
derruba a conexo. Neste grupo possvel configurar o tempo mximo de espera, em
segundos, para cada um destes comandos.
Todos os demais parmetros se referem aos tempos limites de resposta para cada comando
SMTP e no devem ser modificados a no ser que haja uma razo especfica para faz-lo.
647
648
Este captulo mostra como configurar o proxy telnet para realizar autenticao de usurios.
649
650
O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite
TCP, nos parmetros de configurao globais. (para maiores informaes, veja o captulo
intitulado Configurando os parmetros do sistema)
Lista de permisses: Definir de forma individual, as permisses de acesso para usurios ou
grupos.
Para executar qualquer operao sobre um usurio ou grupo na lista de permisses, basta
clicar com o boto direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser
acionado sempre que se pressionar o boto direito, mesmo que no exista nenhum
usurio/grupo selecionado. Neste caso, somente as opes Incluir e Colar estaro
habilitadas).
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se o
usurio/grupo, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
A ordem dos usurios e grupos na lista de permisses de fundamental importncia. Quando
um usurio se autenticar, o firewall pesquisar a lista a partir do incio procurando pelo nome desse
usurio ou por um grupo de que ele faa parte. To logo um desses seja encontrado, a permisso
associada ao mesmo ser utilizada.
Para alterar a posio de um usurio ou grupo dentro da lista, deve-se proceder da seguinte
forma:
1. Selecionar o usurio ou grupo a ser movido de posio.
2. Clicar em um dos botes em formato de seta, localizados a direita da lista. O boto com
o desenho da seta para cima far com que o usurio/grupo selecionado seja movido
Aker Security Solutions
651
uma posio para cima. O boto com a seta para baixo far com que este seja movido
uma posio para baixo.
No caso de incluso de usurios/grupos, ser mostrada a seguinte janela:
A janela de incluso de usurios/grupos
652
653
Este captulo mostra como configurar o proxy FTP, de forma a bloquear determinados
comandos da transferncia de arquivos.
654
27.1.
655
Habilitar logs de downloads e uploads: Esta opo far com que seja gerado um evento
informando dados sobre os downloads e uploads realizados passando pelo proxy.
Nmero mximo de conexes simultneas: Definir o nmero mximo de sesses FTP que
podem estar ativas simultaneamente neste contexto. Caso o nmero de sesses abertas
atinja este limite, os usurios que tentarem estabelecer novas conexes sero informados
que o limite foi atingido e que devem tentar novamente mais tarde.
Tempo limite de inatividade: Definir o tempo mximo, em segundos, que o proxy pode ficar
sem receber dados da sesso FTP e ainda consider-la ativa.
O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite
TCP, nos parmetros de configurao globais. (para maiores informaes, veja o captulo
intitulado
Configurando
os
parmetros
do
sistema.
Esta janela permite a criao de uma lista de regras que podero ser aceitas ou no, de
acordo com cone na coluna Ao que tero as opes Aceita ou Rejeita.
Para poder inserir um comando na coluna FTP necessrio clicar com o boto direito dentro
do componente e selecionar a opo inserir, assim depois de inserida a regra, deve-se clicar
na coluna FTP e selecionar a opo desejada ou digitar outro comando.
.
Figura 467 - Janela de lista de regras (aceitas ou no).
Abaixo segue a descrio de todas as opes:
mkd - Criar diretrio: Ao selecionar essa opo, ser possvel a criao de diretrios por
meio
das
conexes
FTP
que
se
encaixarem
neste
contexto.
xmkd - Criar diretrio estendido: Ao selecionar essa opo, ser possvel a criao de
diretrios estendidos por meio das conexes FTP que se encaixarem neste contexto.
656
rmd - Apagar diretrio: Ao selecionar essa opo, ser possvel a remoo de diretrios por
meio das conexes FTP que se encaixarem neste contexto.
xrmd - Apaga um diretrio estendido: Ao selecionar essa opo, ser possvel remover
diretrios estendidos por meio das conexes FTP que se encaixarem neste contexto.
list - Listar diretrio: Ao selecionar essa opo ser possvel a visualizao do contedo de
diretrios (comandos DIR ou LS) por meio das conexes FTP que se encaixarem neste
contexto.
nlst - Listar nomes dos diretrios: Ao selecionar essa opo ser possvel a visualizao dos
nomes dos diretrios, por meio das conexes FTP que se encaixarem neste contexto.
retr - Download de arquivos: Ao selecionar essa opo, ser possvel fazer download de
arquivos por meio das conexes FTP que se encaixarem neste contexto.
stor - Upload de arquivos: Ao selecionar essa opo, ser possvel fazer upload de arquivos
por meio das conexes FTP que se encaixarem neste contexto.
stou - Upload de apenas um arquivos: Ao selecionar essa opo, ser possvel fazer upload
de um arquivo com o nome nico no diretrio corrente.
appe - Adicionar arquivo com a criao: Ao selecionar essa opo, ser possvel concatenar
os dados no fim de um arquivo. Caso o arquivo no exista ele ser criado.
rest - Retomada de transferncia de arquivos: Ao selecionar essa opo, ser possvel
recomear o download ou upload do ponto de onde foi interrompido.
dele - Remove arquivos: Ao desmarcar essa opo, no ser possvel remover arquivos por
meio das conexes FTP que se encaixarem neste contexto.
rnfr - Renomear arquivos: Se esta opo estiver desmarcada, no ser possvel renomear
arquivos por meio das conexes FTP que se encaixarem neste contexto.
As regras que no forem listadas obedecero a "ao padro".
657
658
Este captulo mostra quais as funes oferecidas pelo proxy POP3 e como realizar a sua
configurao.
659
A janela de propriedades de um contexto POP3 ser mostrada quando a opo Proxy POP3
for selecionada. Por meio dela possvel definir o comportamento do proxy POP3 quando
este for lidar com o servio em questo.
A janela de propriedades de um contexto POP3
660
Agente de antivrus: Indicar o agente antivrus que ser utilizado para checar vrus
dos arquivos anexados a mensagens de e-mail. Esse agente deve ter sido
previamente cadastrado no firewall. Para maiores informaes veja o captulo
intitulado Cadastrando entidades.
E-mail padro: Indicar o endereo de e-mail padro, para o qual sero enviadas as
cpias das mensagens que no se enquadrarem em nenhuma regra deste contexto
(se a opo Envia Cpia estiver marcada). Este e-mail tambm pode ser referenciado
em qualquer regra de filtragem do contexto.
Nmero mximo de processos: Indicar o nmero mximo de cpias do proxy que
podero estar ativas em um determinado momento. Como cada processo trata uma
conexo, este nmero tambm representa o nmero mximo de mensagens que
podem ser transmitidas simultaneamente para o contexto em questo. Caso o
nmero de conexes ativas atinja este limite, os clientes que tentarem enviar novas
mensagens devem repetir a tentativa posteriormente.
Tempo limite de resposta: Indicar o tempo mximo, em segundos, que o proxy
espera a conexo em inatividade. Caso este tempo seja atingido o proxy encerra a
conexo.
Permitir anexos mal formatados: Permitir que anexos que estejam mal codificados
passem pelo firewall e sejam entregues aos clientes de email.
661
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a
nova regra ser includa no final da lista.
Editar: Abrir a janela de edio para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra,
clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
A ordem das regras na lista de regras de filtragem de arquivos anexados de fundamental
importncia. Para cada arquivo anexado de uma mensagem, o firewall pesquisar a lista a partir do
incio procurando uma regra na qual ele se enquadre. To logo uma seja encontrada, a ao
associada a ela ser executada.
No caso de incluso ou edio de regras, a janela a seguir ser exibida:
A janela de edio de regras de arquivos
662
663
Ativao do filtro: Caso tenha especificado filtragem por tipo MIME e por nome, esse
campo permite especificar se a regra deve ser aplicada Somente se ambos so verdadeiros
(valor E) ou Se qualquer um for verdadeiro (valor OU).
Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se enquadrar na
regra. Ela consiste em trs opes:
Caso a caixa Registrar na lista de eventos estiver marcado, quando a regra for atendida a
mesma ser registrada no log de eventos.
Remover arquivos encriptados: Ao selecionar essa opo, o firewall remover os arquivos
anexados que estejam compactados e cifrados, porque no poder examin-los para testar
a presena de vrus.
Remover arquivos corrompidos: Ao selecionar essa opo, o firewall remover os arquivos
anexados que estejam compactados, porm corrompidos, porque no poder examin-los
para testar a presena de vrus.
Notifica emissor no caso de remoo do arquivo anexado: Ao selecionar essa opo, o
firewall enviar uma mensagem para o emissor de um e-mail todas as vezes que um ou mais
de seus arquivos anexados for removido.
Envia cpia para o administrador se o arquivo anexado for removido: Ao marcar essa
opo, o firewall enviar uma cpia de todos os arquivos removidos para o administrador.
Caso ela esteja marcada, deve-se escolher uma das seguintes opes de envio:
E-mail Padro: A cpia da mensagem enviada para o e-mail padro, definido na janela
de propriedades do contexto.
664
665
666
O que so quotas?
A produtividade dos funcionrios de fundamental importncia para o desenvolvimento e o
crescimento de uma empresa. Portanto, os seus recursos de rede devem ser utilizados de
forma racional. A partir dessa necessidade, o Aker Firewall tornou-se uma ferramenta
indispensvel para o controle de acesso s pginas web, que so visitadas pelos empregados
de uma corporao. Com o uso desse produto, os usurios s tero acesso a sites dentro
dos limites estabelecidos pelas quotas de acesso. As Quotas so utilizadas para controlar e
racionalizar o tempo gasto pelos funcionrios, com acesso a sites da WEB. Assim as quotas
so os limites em termos de tempo de acesso e volume de dados, por usurio. Estes limites
so definidos na seguinte forma:
Observao 1:
Filtro Web: Consumo de cota o tempo calculado aproximado mdia de tempo de
carregamento de um site.
MSN: Consumo de cota o tempo calculado aproximado mdia de tempo de utilizao
do MSN, como chats, envio de arquivo, uso de jogos, vdeo chamada ou qualquer outra
funcionalidade do MSN.
Observao 2:
Filtro Web: Para os casos de acesso simultneos (de um mesmo usurio) somente o tempo
de carregamento do maior site que ser contabilizado.
Observao 3: A contagem de tempo funciona da seguinte forma: quando o usurio acessa
uma pgina, conta um relgio de 31 segundos, se o usurio acessar outra pgina, comea a
contar do zero, mas no deixar de contar, por exemplo, os 10 segundos que o usurio
gastou ao acessar a pgina anterir.
MSN: para cada janela de conversao, o tempo contado separadamente;
667
29.1.
668
Visualizao do Usurio
669
670
usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a
esse usurio.
Reinicia o trfego do usurio: Ao clicar com o boto direito do mouse em cima do usurio e
ao selecionar essa opo opta em zerar todas as quotas de volume de dados desse usurio.
Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse
usurio.
Reinicia hora e trfego do usurio: Ao clicar com o boto direito do mouse em cima do
usurio e ao selecionar essa opo opta em zerar toda quota de tempo de acesso e a quota
de volume, para esse usurio. Caso clique em cima da quota, s ser zerado aquela quota
especfica referente a esse usurio.
Mostra valores relativos: Mostra os valores das quotas em forma de porcentagem.
Quota: Nome da quota criada.
Usurio: Usurio para qual foi aplicado quota.
Tempo: Tempo gasto da quota.
Volume: Quantidade de bytes trafegados.
Regularidade: Perodo que a quota vai ser aplicada se diariamente, semanalmente ou
mensalmente.
671
672
Este captulo mostra para que serve e como configurar o Filtro Web.
30.1.
Planejando a instalao
673
Neste tipo de instalao, para assegurar uma total proteo, basta configurar o filtro de
estados (para maiores informaes, veja o captulo intitulado O Filtro de Estados) de forma
a permitir que a mquina com o cache seja a nica que possa acessar os servios ligados ao
WWW, e que as mquinas clientes no possam abrir nenhuma conexo em direo
mquina onde se encontra o cache. Feito isso, configura-se todas as mquinas clientes para
utilizarem o Filtro Web do firewall e configura-se o firewall para utilizar o cache na mquina
desejada.
674
675
30.2.
Para utilizar o filtro web, necessria a definio de alguns parmetros que determinaro
caractersticas bsicas de seu funcionamento. Esta definio feita na janela de
configurao do Filtro Web. Para acess-la, deve-se:
676
O boto OK far com que a janela de configurao do Filtro Web seja fechada e as
alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas, porm manter a
janela aberta.
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela
seja fechada.
677
Cache
Cache Interno Habilitado: Esta opo permite que o firewall funcione como servidor de
cache.
Cache externo Habilitado: Esta opo permite definir se o Filtro Web ir redirecionar
suas requisies para um servidor de cache. Caso esta opo esteja habilitada, todas as
requisies recebidas sero repassadas para o servidor de cache, no endereo IP e porta
especificada. Caso contrrio, o Filtro Web atender todas as requisies.
Pginas que contenham o campo Expires definido no cabealho HTTP sero apagadas
do cache quando o valor Expires for alcanado. Caso esta informao no esteja no
cabealho HTTP, ela ser mantida no cache pelo priodo de 72 horas.
IP: Este campo especifica o endereo IP do servidor de cache para onde as requisies
sero redirecionadas, caso a opo habilita cache estiver ativa.
Porta: Este campo especifica a porta na qual o servidor de cache espera receber
conexes, caso a opo habilita cache estiver ativa.
Para o cliente de autenticao em Java funcionar em seu browser, ele deve ter o suporte
Java instalado e habilitado, alm de permitir o uso do protocolo UDP para applets Java.
678
Para o cliente de autenticao em Java funcionar em seu browser, ele deve ter o suporte
Java instalado e habilitado, alm de permitir o uso do protocolo UDP para applets Java.
Forar autenticao: Se esta opo estiver marcada o proxy obrigar a autenticao do
usurio, ou seja, somente permitir acesso para usurios autenticados. Se ela estiver
desmarcada e um usurio desejar se autenticar, ele poder faz-lo (para ganhar um
perfil diferente do padro), mas acessos no identificados sero permitidos.
Tempos Limites
Leitura: Definir o tempo mximo, em segundos, que o proxy aguarda por uma requisio
do cliente, a partir do momento que uma nova conexo for estabelecida. Caso este
tempo seja atingido sem que o cliente faa uma requisio, a conexo ser cancelada.
Resposta: Definir o tempo mximo, em segundos, que o proxy aguarda por uma
resposta de uma requisio enviado para o servidor WWW remoto ou para o servidor de
cache, caso a opo habilita cache esteja ativa. Caso este tempo seja atingido sem que o
servidor comece a transmitir uma resposta, a conexo com o servidor ser cancelada e o
cliente receber uma mensagem de erro.
HTTPS: Definir o tempo mximo, em segundos, que o proxy pode ficar sem receber
dados do cliente ou do servidor em uma conexo HTTPS, sem que ele considere a
conexo inativa e a cancele.
Manter ativo: Definir quanto tempo um usurio pode manter uma conexo keep-alive
(HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o processo para
outro usurio. Recomenda-se manter este tempo bastante baixo, para evitar o uso
desnecessrio de todos os processos do sistema.
Timeout das sesses web: Indica quanto tempo uma sesso web vai ficar sendo
monitorada, permitindo ao administrador do firewall saber quais so as sesses web
ativas do seu firewall.
Exemplo: Se for marcado 30 segundos nesse campo, a janela de sesses web
(Informao -> Sesses Web) s vai mostrar as sesses ativas dos ltimos 30 segundos.
Performance
No permitir a transferncia de arquivos comprimidos: Permite que o Firewall no
aceite transferncias do filtro Web que tenham dados compactados.
679
Em uma requisio HTTP e ou HTTPS, pode ser especificado que os dados venham
compactados. Caso os dados venham comprimidos e caso exista ActiveX, Java ou
JavaScript compactados, o firewall precisa descompact-los para fazer a anlise dos
dados, por isso que nesses casos, essa opo bastante importante. O mais aconselhado
deixar esta opo desmarcada, pois o padro da janela.
Logar toda URL aceita: Permite que o Firewall logue todas as URL que so realizadas em
mtodo (GET, POST e etc), sendo assim teremos um volume de logs muito maior para
gerao de relatrios e contabilizao de Quotas.
Exemplo: com esta opo desmarcado o acesso ao endereo http://www.terra.com.br
ser gerado apenas um log informando o acesso ao portal, j com a opo marcada ser
gerado logs para cada GET que o browser faz para receber todo o site.
Para melhorar o desempenho e a gesto de recursos, os processos do Filtro Web so
criados automaticamente pelo firewall, conforme a demanda de requisies.
Quotas
Interromper download caso o volume seja excedido: Essa opo permite interromper a
transferncia dos arquivos caso a quota tenha excedido. Caso essa opo no esteja
marcada o firewall vai verificar a quota do usurio antes dele comear a fazer o
download.
Exemplo: Se o usurio tiver 50 MB de quota, e quer fazer um download de um arquivo
de 100 MB, com certeza ele no ir conseguir finalizar essa transferncia pois a
transferncia ser interrompida. Todas s vezes que essa opo estiver marcada, e for
mais de um download simultneo ou um download que no foi informado o seu
tamanho, o firewall permite o download, mas ir interromper antes do trmino.
Interromper downloads caso o tempo seja excedido: Permite que o tempo da quota
seja "gasto" enquanto durar o tempo do download, por exemplo, se o usurio quiser
fazer o download de um arquivo de 100 MB e esse download levar 30 minutos, vo ser
gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opo no esteja
marcada, s vo ser gastos 100 MB, e no os 30 minutos.
Normalmente o tempo de quota s utilizado quando o usurio fica navegando,
mandando mensagens pelo MSN e etc. Quando ele est fazendo o download de um
arquivo grande, no gasto o tempo de sua quota, somente o volume de bytes.
680
Esta aba serve para compor o Layout da janela de autenticao do Aker Firewall.
Autenticao - Este campo composto por duas opes que sero disponibilizadas para o
usurio quando do logon no Firewall; e poder se conectar habilitando:
Mostrar boto S/Key - Esta opo permite que os usurios se autentiquem usando
S/Key.
Mostrar campo domnio - O usurio informar o domnio para logar-se no Filtro Web.
Logotipo
Usar logo personalizada - Ao marcar esta opo, ser necessario indicar o caminho que
se encontra a logotipo.
E possvel acompanhar as mudanas na Visualizao.
681
Habilitar tela de splash: Esta opo exibe uma janela com a URL especificada antes de
solicitar a autenticao do usurio por meio do cliente de autenticao em Java.
Aba Site de autenticao (Clientless)
Esta aba usada para configurar a autenticao de usurios antes que estes possam ter
acesso Internet. Esta autenticao usada para reforar o nvel de segurana em websites,
e tambm para ter controle sobre o acesso Internet em sua rede.
Ttulo do site de autenticao: Nesta opo criado o ttulo do site de autenticao.
682
Certificado X.509
Certificado do site de autenticao: Especificar o certificado X.509 que ser apresentado ao
cliente quando ele tentar estabelecer conexo.
Tempo limite
Tempo limite de autenticao: Definir o tempo mximo (em minutos) que a autenticao
do usurio permanecer ativa, aps este tempo o usurio dever se autenticar novamente.
Valor padro 120 minutos.
Opes
Mostrar campo Domnio: Ao marcar esta opo o usurio dever informar o domnio para
logar-se no Filtro Web.
Logo
Usar logo personalizado: Ao marcar esta opo, ser necessrio indicar o caminho que se
encontra a logotipo.
Para que a autenticao ClientLess seja estabelecida com sucesso necessrio que o
common name (CN) do certificado esteja como entrada no DNS, ou seja, o usurio deve
inserir uma entrada no DNS com o mesmo nome usado no common name (CN) do
certificado, apontando para as interfaces internas que sero autenticadas.
683
684
A opo Forar autenticao que se encontra na aba Geral dever estar selecionada
para o que a autenticao seja requisitada toda vez que um usurio tente acessar a Internet.
Regra 3
Da rede LAN para a Interface Interna do FW, liberando as portas 80 e 443 sem proxy.
Regra 4
Aker Security Solutions
685
686
Analisador de URL: Especificar o agente analisador de URLs que ser utilizado para
categorizar as pginas da Internet. Esse agente deve ter sido previamente cadastrado no
firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades.
URL Bloqueada: Permitir a configurao de qual ao deve ser executado pelo firewall
quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes:
opes:
Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando a
tentativa de acesso a uma URL for bloqueada. Ento pode optar em mostrar a pgina
padro ou redirecionar para a pgina escolhida, que ser personalizada de acordo com os
checkboxes selecionados. Segue abaixo a descrio de cada opo e o detalhamento das
variveis criadas.
Aker Security Solutions
687
No preview, aparece como ser a URL e o que ser enviado via mtodo GET.
688
Arquivos Bloqueados
Especificar os arquivos que sero bloqueados pelo Filtro Web.
possvel utilizar dois critrios complementares para decidir se um arquivo transferido deve
ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um destes critrios for
atendido, em outras palavras, se a extenso do arquivo estiver entre aquelas a serem
analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, ento o
arquivo dever ser bloqueado pelo firewall.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um
protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo
indica o subtipo. O navegador usa esta informao para decidir como mostrar a informao
que ele recebeu do mesmo modo como o sistema operacional usa a extenso do nome do
arquivo.
URL Bloqueada: Permitir a configurao de qual ao deve ser executado pelo firewall
quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes:
opes:
Aker Security Solutions
689
Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando a
tentativa de acesso a uma URL for bloqueada. Ento pode optar em mostrar a pgina
padro ou redirecionar para a pgina escolhida, que ser personalizada de acordo com os
checkboxes selecionados. Segue abaixo a descrio de cada opo e o detalhamento das
variveis criadas.
Cada um desses checkbox selecionado um parmetro. Isso utilizado para identificar
aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi bloqueada porque caiu
em alguma categoria, passar por parmetro qual a categoria que causou o bloqueio
da pgina.
690
No preview, aparece como ser a URL e o que ser enviado via mtodo GET.
Downloads
Especificar os arquivos que sero analisados contra vrus pelo Download manager do Aker
Firewall, ou seja, para os quais o firewall mostra ao usurio uma pgina web com o status do
download do arquivo e realizar seu download em background. Esta opo interessante
para arquivos potencialmente grandes (arquivos compactados, por exemplo) ou para
arquivos que normalmente no so visualizveis de forma on-line pelo navegador.
possvel utilizar dois critrios complementares para decidir se um arquivo transferido deve
ser analisado: a extenso do arquivo ou seu tipo MIME. Se um destes critrios for atendido,
em outras palavras, se a extenso do arquivo estiver entre aquelas a serem analisadas ou o
tipo MIME da mensagem estiver entre aqueles a serem analisados, ento o arquivo dever
ser analisado pelo firewall.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um
protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo
indica o subtipo. O navegador usa esta informao para decidir como mostrar a informao
que ele recebeu do mesmo modo como o sistema operacional usa a extenso do nome do
arquivo.
Sites Excludos:
Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se enquadrarem
na lista de excludos no sero analisados.
As opes de operao podem ser vistas a seguir:
691
Configuraes:
Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo encriptado.
Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo corrompido.
Online
Da mesma maneira que em downloads o administrador do firewall deve escolher os tipos
MIME e as extenses.
692
Aba Antivrus
Habilitar antivrus: Ao selecionar essa caixa, permitir que o firewall faa a verificao
antivrus dos contedos que tiverem sendo baixados.
O boto Retornar configurao padro restaura a configurao original do firewall para
esta pasta.
693
Analise de Vrus: Opo para mostrar uma pgina caso seja encontrado um vrus
durante a anlise do antivrus. A pgina poder ser a do prprio firewall ou
personalizada pelo usurio. possvel personalizar a mensagem para cada tipo de
vrus encontrado, bastando utilizar a string {VIR} que ser substituda pelo nome do
vrus.
O Aker Antivrus Module suporta diversas opes de varredura de vrus, worms, dialers, hoax,
cavalo de troia e analise heursticas, abaixo segue uma lista de opes suportadas:
Opes de anlise: Utilizado para selecionar quais os tipos de bloqueio que devem ser
realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se ser ou no utilizado um
mtodo de deteco heurstico (caso seja marcado, poder ser utilizado s opes baixo,
mdio ou alto);
Varredura de Arquivos:
694
Validade do certificado;
Se o CN (Common Name) do certificado o host da url;
Se a autoridade certificadora que assinou o certificado uma autoridade confivel.
Aps a validao ocorrer com sucesso o cliente efetua o processo de comunicao de requisies e
respostas HTTP.
Aker Security Solutions
695
Os clientes precisam confiar nessa CA inserida no Aker Firewall para que seu browser no
detecte o ataque. Logo, dois certificados so necessrios, um para os clientes e outro para o
Aker Firewall.
Outros certificados que aparecem so os utilizados pelo Aker Firewall para validar os sites
remotos.
696
Ao final de qualquer um dos dois processos escolhidos haver dois arquivos que sero
utilizados no processo do Proxy HTTPS:
1. Arquivo no formato X.509, com extenso .cer;
2. Arquivo no formato PKCS#12, com extenso .pfx.
O Arquivo PKCS#12 ser utilizado na configurao do Proxy HTTPS. O arquivo X.509 precisa
ser importado na seo de autoridades certificadoras raiz confiveis dos navegadores
conforme demonstrado posteriormente.
697
Configurao
Permite HTTPS apenas para a porta padro (443): caso queira utilizar apenas a
porta padro (443), deve-se selecionar a primeira opo. Essa a configurao a
ser utilizada na grande maioria dos firewalls.
Permite HTTPS para todas as portas: indica ao firewall que ele deve aceitar
conexes HTTPS para quaisquer portas. Essa configurao no recomendada
para nenhum ambiente que necessite de um nvel de segurana razovel, j que
possvel para um usurio utilizar o proxy para acessar servios no permitidos
simulando uma conexo HTTPS.
698
basicConstraints= CA:TRUE"
699
700
= .rnd
[ ca ]
default_ca
= CA_default
[ CA_default ]
certs
= certs
crl_dir
= crl
database
= database.txt
new_certs_dir = certs
certificate
= cacert.pem
serial
= serial.txt
crl
= crl.pem
private_key = private\cakey.pem
RANDFILE
= private\private.rnd
Aker Security Solutions
701
default_days = 365
default_crl_days= 3
default_md = sha1
preserve
= no
policy
= policy_match
[ policy_match ]
commonName
= supplied
emailAddress
= optional
countryName
= optional
stateOrProvinceName
= optional
localityName
= optional
organizationName = optional
organizationalUnitName
= optional
[ req ]
default_bits
= 1024
default_keyfile
= privkey.pem
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
commonName
name)
commonName_max
emailAddress
emailAddress_max
countryName
countryName_min
countryName_max
countryName_default
stateOrProvinceName
localityName
0.organizationName
organizationalUnitName
countryName_default
[ v3_ca ]
certificatePolicies=2.5.29.32.0
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints=critical,CA:TRUE
Aker Security Solutions
702
Neste momento ser solicitada a senha para armazenamento da chave, est senha
ser utilizada posteriormente para abertura da chave privada.
Loading 'screen' into random state - done
Generating RSA private key, 1024 bit long modulus
..............++++++
...............++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
7. Crie o certificado X.509. Este o arquivo que ser utilizado futuramente para
instalao nos clientes:
openssl req -extensions v3_ca -config autoassinado.conf -new -x509 -days 3650 -key
ca.key -out firewall.cer
Neste momento algumas informaes sero solicitadas, a primeira delas a senha da chave
privada criada no passo anterior.
Enter pass phrase for ca.key:
Agora sero solicitados os dados do certificado, o nico item obrigatrio o Common Name
(CN), nele adicione o nome como deseja que a sua CA seja identificada.
Aps a finalizao deste processo temos o nosso certificado conforme imagem a seguir:
703
Neste processo sero solicitadas duas senhas, a primeira para abertura da chave privada e a
segunda para a exportao do arquivo PKCS#12. Esta segunda senha ser utilizada no
momento da importao do arquivo PKCS#12 no firewall.
Enter pass phrase for ca.key:
Enter Export Password:
Verifying - Enter Export Password:
704
Utilizando CA Microsoft:
Este item no demonstra como efetuar a instalao de uma autoridade certificadora (CA) no
Windows, e sim como utilizar uma j instalada, sendo a instalao desta um pr-requisito
para continuidade deste processo.
1. Abra a console de gerenciamento de autoridade certificadora em Start >
Administrative Tools > Certification Authority (Iniciar > Ferramentas
Administrativas > Autoridade de certificao)
705
2. Selecione a sua CA
706
707
708
709
10. a tela abaixo, indique a senha de proteo do arquivo PKCS#12. Esta senha ser
utilizada no momento da importao do arquivo PKCS#12 no firewall.
Internet Explorer;
Google Chrome;
Windows live messenger (MSN).
1. Abra a Microsoft Management Console. Acesse: Iniciar > Executar e digite mmc e
clique em OK.
710
711
712
713
714
715
716
Filtro Navegador
Essa lista criada pelo prprio usurio e nela devem ser inseridos os vrios tipos de
navegadores que se deseja bloquear ou liberar, abaixo segue um exemplo de como devem
ser includos:
A validao do browser feita ANTES do header stripping, assim sendo possvel substituir
verso por uma string fixa sem perder esta filtragem.
Reescrita de URLs
717
718
719
Esta opo permite que o administrador configure o bloqueio o acesso a contas especificas
em seu domnio, controlando quais domnios de e-mail os usurios podero acessar
evitando a perda de produtividade por exemplo, prevenindo que os usurios de sua rede
acessem servios da web que no estejam relacionados a sua empresa (na imagem acima
foi usado o Google). Nesta janela o administrador pode adicionar linhas de configurao no
cabealho HTTP das conexes HTTP e HTTPS, (sendo que o campo domnio pode ter
at 156 caracteres e o campo Linhas pode ter vrias linhas de no mximo 512
caracteres) fazendo com que o cabealho identifique quais os domnios os usurios podem
acessar.
Para mais informaes sobre esta funcionalidade visite o link abaixo:
https://support.google.com/a/answer/1668854?hl=pt-BR.
Domnio: Neste campo deve-se inserir o domnio do servidor no qual sero adicionadas as
linhas no cabealho HTTP.
Ex: Google.com (apenas contas especificadas no campo abaixo podero ser acessados no
domnio Google.com)
Linha: Neste campo o usurio deve inserir os valores que sero permitidos no domnio
especificado acima.
Ex: X-GoogApss-Allowed-Domains : econtabilidade.com.br
720
Qualquer outro valor que no esteja entre os valores especificados no campo Linha sero
bloqueados. Como no exemplo abaixo que o usurio tentou acessar o Gmail.com e tem seu
acesso bloqueado pois o Gmail.com no foi especificado no campo Linha.
A configurao do Header Stripping deve ser feita com muito cuidado j que ele pode
potencialmente inviabilizar o uso da Internet.
Deve-se tomar o cuidado de SEMPRE acrescentar um \r\n no final de uma substituio
que envolva uma linha.
A validao do browser feita ANTES do header stripping, assim sendo
possvel substituir verso por uma string fixa sem perder esta filtragem. Neste
contexto, atente-se quanto a descrio do navegador (user-Agent), pois a string
digitada sensvel ao case.
Para que o bloqueio dos navegadores seja de fato realizado, faz-se necessrio
que as estaes que tentem utiliz-los passem por proxy.
Aker Security Solutions
721
30.3.
722
Para configurar esta janela necessrio clicar no checkbox habilitar cahce hierrquico.
Esta janela exite a lista de caches remotos, e ainda permite que o usurio adicione, edite ou
delete caches remotos.
Para adicionar um novo cache remoto, clique com o boto direito no espao em branco na
lista de caches remotos, e selecione a opa Inserir. A janela a seguir ser exibida:
723
724
30.4.
A Interface Texto (via SSH) exibe as informaes do cache e permite que o usurio apage o
cache (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando
fwshell, ento todos os comando podero ser acessados sem o prefixo FW).
Para retornar ao nvel raiz deve-se usar o comando exit.
error_directory /usr/local/squid/share/errors/Portuguese
cache_log /usr/local/squid/log/cache.log
cache_access_log none
cache_store_log none
725
hierarchy_stoplist cgi-bin ?
1440 20%
refresh_pattern ^gopher:
1440 0%
refresh_pattern .
20%
10080
1440
4320
726
30.5.
Sesses Web
Esta janela permite ao administrador do Firewall, visualizar as sesses ativas, verificando o
que foi acessado e por quem foi acessado, no tempo definido na janela de Filtro Web, aba
Geral, opo Timeout das sesses web.
Para ter acesso a janela de sesses web, deve-se:
727
728
30.6.
Agora deve-se habilitar os eventos 340 (Contabilidade de trfego HTTP WWW) e 341
(Contabilidade de trfego HTTP downloads) que se encontram na pasta Proxy HTTP, para
habilitar-los deve-se clicar com o boto direto do mouse no campo ao e marcar a opo
Logar conforme figura abaixo:
729
730
731
732
733
Na aba Sub-relatrio deve-se clicar com o boto direito na coluna de Dados de relatrio,
e adicione um novo item, ento selecione Contabilidade do trfego web tempo
consumido para este. Na coluna Agrupar por deve-se clicar com o boto direito e
selecionar a opo No agrupar conforme a figura abaixo:
734
735
736
737
Este captulo mostra para que serve e como configurar o Proxy Socks.
31.1.
Planejando a instalao
738
31.2.
O boto OK far com que a janela de configurao do proxy SOCKS seja fechada e as
alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a
janela aberta.
739
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela
seja fechada.
740
741
Criar um servio que ser desviado para o proxy RPC e editar os parmetros do
contexto a ser usado por este servio (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades);
Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1,
para as redes ou mquinas desejadas (para maiores informaes, veja o captulo
intitulado Filtro de Estados).
742
Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para as
redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado O Filtro
de Estados).
32.1.
743
744
Para alterar a ao aplicada a um servio, deve-se clicar com o boto direito do mouse sobre
ele na coluna Ao e escolher uma das opes, Aceita ou Rejeita, que aparecero no menu
seguinte:
Figura 533 - Menu de execuo da janela RPC (inserir, apagar, rejeitar ou aceitar).
745
746
Para alterar a ao aplicada a um servio, deve-se clicar com o boto direito do mouse sobre
ele na coluna Ao e escolher uma das opes, Aceita ou Rejeita, que aparecero no menu
seguinte:
Figura 536 - Menu de execuo da janela DCE-RPC (inserir, apagar, rejeitar ou aceitar).
747
748
749
Este captulo mostra para que serve e como configurar o proxy MSN.
750
33.2.
Para utilizar o proxy MSN necessrio definio de alguns parmetros que determinaro
caractersticas bsicas de seu funcionamento. Esta definio feita na janela de
configurao do proxy MSN. Para acess-la, deve-se:
O boto OK far com que a janela de configurao do proxy MSN seja fechada e as
alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas, porm manter a
janela aberta.
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela
seja fechada.
751
Esta aba define os servios adicionais que podero ser utilizados por meio de uma conexo
MSN. Estes servios podero posteriormente ser controlados a partir das regras dos perfis
de cada usurio.
Para inserir um novo tipo de servio, deve-se clicar com o boto direito e selecionar a opo
Novo.
Para remover um tipo de servio, deve-se clicar com o boto direito sobre o servio a ser
removido e escolher a opo Remover.
Para editar qualquer um dos campos de um servio, basta clicar com o boto direito sobre a
coluna cujo valor se deseja alterar e modificar o dado diretamente no menu que ir
aparecer.
possvel adicionar automaticamente vrios servios pr-configurados, bastando para isso
clicar no boto Adicionar Servios Padro, localizado na barra de tarefas.
Aba Mensagens
752
Esta aba permite configurar as mensagens que sero mostradas aos usurios internos e
externos quando eles no tiverem permisso de executar uma determinada ao por meio
do proxy Messenger.
753
Essa aba controla o acesso dos usurios, por meio da vinculao de um passport a um perfil.
No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa entidade ser
associada a algum perfil definido no Firewall.
Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usurios que
tiverem o login no MSN terminando por @aker.com.br ir automaticamente cair no perfil
teste.
754
Aba Configuraes
Essa aba permite configurar a quantidade mxima de descritores (socket) e/ou arquivos que
o processo do proxy MSN pode abrir. O valor padro de 1024, mas pode chegar a at 8192
no mximo.
O Aker Firewall conta com a anlise de vrus para arquivos transferidos. Para ativar essa
verificao marque a opo Habilitar Antivrus no MSN caso deseje que o firewall analise
os arquivos.
A opo Permitir a passagem de arquivos se ocorrer erro no Antivrus permite
transferncia de arquivos infectados, caso o servidor de antivrus estiver indisponvel.
Marque "Usar Antivrus Local" para que o firewall utilize o antivrus j includo nele, caso
contrrio, inclua a autenticao e o endereo de IP do seu servidor Antivrus.
33.3.
755
O que so quotas?
So limites em termos de tempo de acesso ao volume de dados por usurios na WEB. Elas
so utilizadas para controlar e racionalizar o tempo gasto de cada funcionrio com acessos a
Internet. As quotas so definidas das seguintes formas:
756
Agora uma nova regra deve ser criada para isso siga os passos abaixo:
Crie uma nova regra, e nesta regra selecione a entidade tipo Quota que foi criada, e ento
habilite a opo Logar;
757
Agora deve-se criar uma entidade do tipo Lista de e-mails, liberando o domnio desejado;
758
Agora deve-se criar uma regra no Perfil, que esteja passando pelo proxy;
759
Uma vez que tudo esteja configurado, verifique os logs do firewall filtrando pelo proxy MSN
o tempo de conexo. Este tempo dado aps o termino da conexo;
760
761
Este captulo mostra para que serve e como configurar O DPI - Deep Packet Inspection
(Filtragem de Aplicaes IDS/IPS).
762
763
Esta janela composta por duas abas, uma com a definio das regras globais da filtragem
de aplicaes e outra que permite a criao dos filtros que sero utilizados nestas regras e
nas regras de filtragem dos perfis de acesso.
764
Estas regras permitem, por exemplo, que determinados tipos de arquivos sejam bloqueados
de acordo com seu tipo real, independentemente de sua extenso ou protocolo que esteja
sendo utilizado para envi-los. possvel tambm ao invs de bloque-lo, simplesmente
mudar a prioridade de um servio ou tipo de arquivo sendo transmitido.
Uma das grandes utilizaes destes filtros para otimizao do acesso Internet. possvel,
por exemplo, que todos os usurios tenham um acesso rpido Internet, porm quando
estes tentarem baixar arquivos cujos tipos no sejam considerados importantes, i.e, mp3,
vdeos, etc, a conexo sendo utilizada para transferir estes arquivos automaticamente fique
com uma largura de banda bastante reduzida.
Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o boto
direito e a seguir escolher a opo desejada no menu que ir aparecer. As seguintes opes
esto disponveis:
765
Filtragem de Aplicaes: Indicar quais os filtros que estaro ativos para as conexes que
forem em direo a um dos destinos especificados na regra e utilizando um dos servios
tambm especificados. A definio dos filtros feita na janela de Filtragem de Aplicaes.
Ao: Indicar a ao que ser tomada pelo firewall caso um dos filtros especificados seja
aplicado. Ela consiste das seguintes opes:
Aceita: Significa que a conexo ser autorizada a passar por meio do firewall.
Rejeita: Significa que a conexo no passar pelo firewall e ser enviado um pacote
de reset para a mquina originria da comunicao.
Descarta: Significa que a conexo no passar pelo firewall, mas no ser enviado
nenhum pacote para a mquina de origem.
Mudar prioridade: Indica que a conexo ser aceita, porm com uma prioridade
diferente, que dever ser especificada na coluna Canal.
Bloqueia origem: Indica que a mquina que originou a conexo dever ser
bloqueada por algum tempo (isso significa que todas as conexes originadas nela
sero recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto
tempo a mquina permanecer bloqueada.
Canal: Esta coluna s estar habilitada caso a ao Mudar prioridade tenha sido
selecionada. Ela indica a nova prioridade que ser atribuda conexo. Deve-se
inserir uma entidade do tipo canal (para maiores informaes veja o captulo
Cadastrando entidades).
Tempo de bloqueio: Esta coluna s estar habilitada caso a ao Bloqueia origem tenha
sido selecionada. Ela indica por quanto tempo a mquina origem ser bloqueada.
34.2.
Os filtros de aplicaes informam ao firewall o que deve ser buscado em uma comunicao
para possibilitar a identificao de um determinado protocolo ou tipo de arquivo. O produto
j vem com vrios filtros pr-configurados, porm possvel que o administrador configure
novos filtros para atender s suas necessidades.
766
Esta janela est dividida em trs partes. Na parte superior aparece uma lista dos filtros
atualmente criados. Ao selecionar um filtro, sero mostrados na parte inferior da janela as
operaes de pesquisa relacionadas a ele. E na parte esquerda da janela exibido a diviso
das aplicaes por grupos de assinaturas.
Aker Security Solutions
767
Protocolo: Indica em que protocolo o ataque ser pesquisado. As seguintes opes esto
disponveis:
768
OU: Ao receber um pacote necessrio que apenas uma das operaes do filtro em
questo sejam analisadas;
Apenas operaes de filtros locais so exibidos.
Parte 2
Operaes
O que filtrar: Neste campo deve-se colocar a sequncia de bytes que identifica o ataque;
Lugar da busca: Especificar se a procura deve ser a partir do incio do arquivo ou da
comunicao ou em um ponto qualquer do mesmo;
Iniciar em (bytes): Este campo serve para especificar em que posio do fluxo de dados
deve-se comear a pesquisa;
Profundidade da procura: Este campo indica a quantidade de bytes que ser analisada a
partir da posio de incio de pesquisa;
Sequncia de bytes: Definir a sequncia de dados que ser pesquisada nos dados do
arquivo/protocolo ou nos metadados (cabealho);
Url de referncia: URL que permite obter maiores informaes sobre o ataque (este campo
puramente informativo);
Aker Security Solutions
769
Para executar qualquer operao sobre um filtro, basta clicar sobre ele com o boto direito
e a seguir escolher a opo desejada no menu que ir aparecer. As seguintes opes esto
disponveis:
Para alterar o nome do filtro ou a forma de concatenao das operaes do mesmo, basta
clicar com o boto direito sobre a coluna correspondente. Para incluir, editar ou excluir
operaes de um determinado filtro, deve-se selecion-lo na parte superior da janela e a
seguir clicar com o boto direito sobre qualquer uma das operaes. O seguinte menu
aparecer:
Figura 560 - Menu de operao para acessar o nome do filtro ou forma de concatenao.
770
771
772
Este captulo mostra as funes oferecidas pelo conjunto IPS/IDS e como realizar sua
configurao.
35.1.
773
Regras IDS
774
Esta aba contm todas as regras de IDS definidas no Aker Firewall. Cada regra ser mostrada
em uma linha separada, composta de diversas clulas. Caso uma das regras esteja
selecionada, ela ser mostrada em uma cor diferente.
Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o boto
direito e a seguir escolher a opo desejada no menu que ir aparecer. As seguintes opes
esto disponveis:
775
Ao: Esta coluna indica a ao que ser tomada pelo firewall caso um dos filtros
especificados seja aplicado. Ela consiste das seguintes opes:
Ignora: Significa que o ataque ser ignorado pelo firewall.
Bloqueia: Indica que a mquina que originou a conexo dever ser bloqueada por algum
tempo (isso significa que todas as conexes originadas nela sero recusadas).
Tempo de Bloqueio: Esta coluna indica por quanto tempo uma mquina atacante
permanecer bloqueada.
Filtros IDS
Esta janela serve para se ver os filtros de IDS que esto disponveis no firewall bem como
criar novos filtros. Ela consiste de uma lista com os filtros atualmente criados. possvel ver
esta lista de trs maneiras distintas: por grupo de filtros (conforme mostrado no tpico
anterior), por classe de ameaa ou uma lista linear com todos os filtros. O campo Organizar
por, localizado na parte superior da janela permite a escolha da forma de visualizao mais
adequada.
Organizar por: Permite que o usurio selecione o modo de exibio, as opes disponveis
so:
Aker Security Solutions
776
Grupos de filtros;
Classes de ameaa;
Mostrar todos os filtros;
Protocolo: Indica em que protocolo o ataque ser pesquisado. As seguintes opes esto
disponveis:
Aker Security Solutions
777
Filtros que vem da base podem ser do tipo IP. Usurios s podem criar filtros
com os protocolos TCP e UDP.
Parte 2
Operaes
O que filtrar: Neste campo deve-se colocar a sequncia de bytes que identifica o ataque.
Aker Security Solutions
778
Nome do filtro: Nome pelo qual o filtro ser referenciado no restante do firewall;
URL de referncia: URL que permite obter maiores informaes sobre o ataque (este campo
puramente informativo);
Porta1: Define a porta primaria do fluxo de pacotes;
Aker Security Solutions
779
Protocolo: Indica em que protocolo o ataque ser pesquisado. As seguintes opes esto
disponveis:
Classificao: Classe de ameaa que ser detectado pelo filtro, as opes disponveis so:
Direo: Direo em que os dados sero analisados para verificar a existncia da sequncia
definida em O que filtrar;
780
O boto OK e novo far com que a janela seja fechada, as alteraes salvas porm a
janela permanea aberta. Isso particularmente til quando se deseja cadastrar vrios
ataques seguidamente.
O boto Cancelar, far com que todas as alteraes feitas sejam desprezadas e a janela
seja fechada.
Portscan
Esta aba serve para configurar a proteo contra ataques de varreduras de portas. Estes
ataques consistem em tentar acessar todas ou vrias portas de comunicao em uma ou
mais mquinas de uma rede. Ele normalmente o primeiro ataque feito por um hacker, j
que objetiva determinar quais os servios e mquinas que esto ativos em uma rede.
Para configurar a proteo contra varredura de portas, os seguintes parmetros devem ser
preenchidos:
781
Deteco de portscan ativada: Esta opo deve estar marcada para ativar o suporte
deteco de varreduras de portas.
Nmero permitido de portas varridas: Este campo indica o nmero mximo de portas que
podem ser acessadas em uma mesma mquina. Tentativas de acesso de um nmero maior
de portas faro que a mquina origem seja bloqueada.
Nmero permitido de mquinas x portas: Este campo indica o nmero mximo de portas
que podem ser acessadas em uma ou mais mquinas. Para este parmetro a mesma coisa
se um potencial atacante acessa duas portas em uma mquina ou uma porta em duas
mquinas. Tentativas de acesso de um nmero maior de portas faro que a mquina origem
seja bloqueada.
Exemplo: Se o valor deste parmetro for 12, uma pessoa qualquer poderia acessar as
seguintes combinaes sem ser considerado um ataque:
Tempo limite de deteco: Este campo indica o tempo em que as informaes de acesso
sero mantidas pelo firewall. Valores muito baixos possibilitaro varreduras de portas muito
lentas (por exemplo, 1 porta por hora). Valores muito altos ocuparo memria
desnecessariamente.
Bloquear a mquina do ataque por: No caso de deteco de um ataque de varredura de
portas, esta coluna indica por quanto tempo a mquina atacante permanecer bloqueado,
sem poder iniciar nenhuma conexo por meio do firewall.
Entidades protegidas: Esta lista indica as entidades (mquinas, redes ou conjuntos) que
estaro protegidas contra ataques de varreduras de portas.
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos:
Para remover uma entidade da lista, deve-se marc-la e pressionar a tecla delete, ou
escolher a opo correspondente no menu de contexto, acionado com o boto direito do
mouse ou com a tecla correspondente:
782
Entidades que podem fazer portscan: Esta lista indica as entidades (mquinas, redes ou
conjuntos) que podero executar ataques de varreduras de portas. Esta lista serve
basicamente para liberar acesso a ferramentas de deteco de vulnerabilidades ou de
monitorao.
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos:
Para remover uma entidade da lista, deve-se marc-la e pressionar a tecla delete, ou
escolher a opo correspondente no menu de contexto, acionado com o boto direito do
mouse ou com a tecla correspondente:
IDS Externo
783
Nessa aba so configurados todos os parmetros que propiciam que agentes de IDS Externo
acrescentem regras de bloqueio no Firewall. Os seguintes parmetros esto disponveis:
Habilitar agente de IDS: Esta opo deve estar marcada para ativar o suporte a agentes IDS
externos e desmarcada para desativ-lo. (ao se desabilitar o suporte a agentes IDS, as
configuraes antigas continuam armazenadas, mas no podem ser alteradas).
Agente de IDS a ser usado: Esse campo indica o agente IDS que estar habilitado a incluir
regras de bloqueio no firewall. Esse agente deve ter sido previamente cadastrado no
firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades.
Status permite ao administrador verificar o status da conexo com o agente IDS. Um valor
verde, com a palavra Conectados, indica que o firewall conseguiu autenticar-se e
estabelecer com sucesso a comunicao com o agente.
O boto Atualizar far com que o status da conexo seja renovado.
O boto Remover far com que todas as regras cadastradas pelo agente IDS sejam excludas
do firewall.
35.2.
Esta funcionalidade proporciona ao Aker Firewall uma poderosa plataforma para o sistema de
deteco e preveno de intruses (IDS/IPS) e tambm para o filtro de aplicaes. Atuando em
modo passivo e ativo, analisando o trfego de rede de acordo com as regras definas pelo usurio, e
ainda executando as aes para cada tipo de ameaa detectada. Nesta janela o usurio pode criar
variveis para anlise e tratamento automtico, configurao da atualizao automtica da base de
assinaturas de ataques dos filtros DPI (Deep Packet Inspection) e os filtros IDS/IPS, ou fazer esta
atualizao no momento desejado.
Para o funcionamento satisfatrio do modulo IPS/IDS se sugere o uso mnimo de 2 Gigas de
memoria RAM (o recomendado 6 Gigas).
784
785
786
Habilitar download automtico das bases de filtros: Permite que o usurio define o
perodo de atualizao automtica dos filtros.
Perodo: Neste campo o usurio deve definir o perodo que a atualizao ser feita, as
opes disponveis so:
o Dirio;
o Semanal;
o Mensal;
Hora: Neste campo o usurio deve selecionar o horrio que a atualizao automtica ser
feita;
Estado das bases de filtros
Esta janela permite que o usurio faa a atualizao de sua base de assinaturas de ataques
atualizando os filtros DPI (Deep Packet Inspection) e filtros IDS/IPS no momento desejado.
787
35.3.
possvel a qualquer momento visualizar a lista de IPs que esto bloqueados no firewall,
devido incluso de uma regra de bloqueio temporria do mdulo de IDS/IPS.
Para ter acesso a janela de IPs bloqueados, deve-se:
788
789
Esta janela consiste de uma lista onde cada IP bloqueado mostrado em uma linha, com as
seguintes informaes:
IP Bloqueado: Endereo IP de uma mquina que foi bloqueada;
Inserido por: Mdulo que inseriu a regra de bloqueio temporria;
Data de expirao: At quando este IP permanecer bloqueado;
Para remover um IP da lista, basta selecion-lo e ento clicar com o boto direito. Ao ser
mostrado o menu pop-up , basta selecionar a opo Remover IP;
Para atualizar a lista de IPs, basta clicar com o boto direito e selecionar a opo Atualizar
no menu pop-up.
790
35.4.
791
Esta janela consiste de 4 abas. Na primeira, que est sendo mostrada acima, onde feita a
configurao do plugin. Ela consiste de uma lista com o nome das diversas configuraes
criadas pelo administrador e que depois sero mostradas como opo de ao no console
de administrao do Real Secure. Pode-se especificar o nome de uma das configuraes
quando na execuo de um evento ou utilizar o boto Default para especificar uma
configurao que ser executada por padro, isto , quando no for especificada o nome de
nenhuma configurao.
Para criar uma nova configurao, basta clicar no boto Inserir , localizado na parte
esquerda superior da janela. Fazendo isso, uma configurao em branco ser criada. Para
editar os parmetros desta ou de qualquer outra configurao basta clicar sobre seu nome e
a seguir modificar os parmetros desejados.
792
793
794
Log
795
Eventos
Esta aba muito til para acompanhar o funcionamento do agente. Ela consiste de uma
lista com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um
cone colorido, simbolizando sua prioridade.
796
35.5.
797
35.6.
Ajuda do programa :
fwids - Configura parmetros do agente IDS externo
Uso: fwids [habilita | desabilita | mostra | limpa | ajuda]
fwids agente <entidade>
798
799
800
801
Este captulo mostra para que serve e como configurar a rede no Aker Firewall.
Configurao TCP/IP
36.1.
Esta opo permite configurar todos os parmetros de TCP/IP do firewall por meio da
Interface Remota. possvel configurar os endereos de interfaces de rede, DNS e
roteamento bsico e avanado, bem como as opes de PPPoE, 3G/4G e Servidor/Relay
DHCP.
802
DHCP
36.2.
803
804
805
806
DNS
36.3.
807
36.4.
Interfaces de Rede
808
Nesta aba podem ser configurados os endereos IP atribudos a todas as interfaces de rede
reconhecidas pelo firewall. Ela consiste de uma lista onde so mostrados os nomes de todas
as interfaces e os endereos IP e mscaras de cada uma ( possvel configurar at 31
endereos distintos para cada interface). Caso uma interface no tenha um endereo IP
Aker Security Solutions
809
Alias
Para configurar ou modificar o endereo IP ou mscara de uma interface e at mesmo
atribuir um alias para a interface, deve-se clicar sobre a entrada do dispositivo
correspondente e usar o menu suspenso que ir surgir:
VLAN
Para criar uma VLAN associada a uma interface, deve-se clicar na interface desejada no lado
esquerdo da janela. Aparecer o seguinte menu suspenso:
810
Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma conexo
somente o switch tenha acesso a todas as suas VLANs, inclusive controlando o acesso entre
elas. Para cada uma, uma interface virtual ser criada dentro do Firewall.
Habilitar monitoramento: possibilita monitorar todas as interfaces de rede do cluster e
detalhes de replicao de sesso, identificando possveis falhas, caso uma interface de
algum no do cluster falhe "falta de conectividade ou falha de rota, ou etc."
Desabilitar interface: desativa todas as outras interfaces e fazer com que outro n assuma,
permitindo assim uma maior disponibilidade dos links.
Por padro ao criar ou deletar uma VLAN a pilha TCP reinicializada.
Usar PPPoE: permite definir que esta interface trabalhe com PPPoE (usado basicamente
para a conexo com modems ADSL). Ao ser selecionada, a seguinte janela ser mostrada:
811
Nome do dispositivo: Este campo indica o nome do dispositivo interno que ser utilizado na
comunicao PPPoE. importante que no caso de que haja mais de uma interface
trabalhando em PPPoE, que eles sejam distintos.
812
Roteamento
Roteamento uma atividade realizada na camada de rede, cujo objetivo definir qual ser o
caminho trilhado pelos dados (empacotados) at que cheguem ao seu destino. O dispositivo
responsvel por esta atividade o roteador que possui em sua memria tabelas com as
informaes necessrias para determinar o destino dos pacotes que recebe. Visando oferecer
uma rede de alta performance e com mais segurana, o Aker Firewall oferece roteamento
avanado usando os protocolos RIP,RIPng, OSPF, OSPF6, e BGP. A seguir mais informaes
sobre estes protocolos.
36.5.
813
814
815
36.5.1. Geral
Esta janela possibilita configurar rotas IPv4 e Ipv6 no firewall. Divide-se em duas partes:
A primeira parte se refere configurao do endereamento IPv4 e consiste dos seguintes
campos:
Rede: Configurao dos endereos IP
Mscara de rede: Informa o endereo da mscara de rede
Gateway: Nesse campo deve ser informado o endereo IP do roteador.
Mtrica: o valor de distncia da rede. A distncia pode ser medida, por nmero de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor
associado velocidade do link.
Rota Padro: Pode-se especificar o roteador padro, por qual todos os pacotes sero
encaminhados.
Para a incluso de uma nova rota, basta clicar no boto direito do mouse e ir aparecer o
menu
Para remover ou editar uma rota, basta clicar com o boto direito sobre ela.
Aker Security Solutions
816
Rotas com escopo de link so as que comeam pelo prefixo fe80: definido na macro
FWTCPIP_IPV6_AUTOCONF_PREFIX.
Devido a uma limitao do Linux, no possvel remover o mdulo de IPv6 uma vez que
ele tenha sido instalado. Tambm, se o mdulo no estava instalado no kernel, os daemons
todos do firewall estavam escutando um socket IPv4. Sendo assim, ao modificar o valor desta
opo, a GUI dever mostrar um aviso ao administrador dizendo: This setting will be fully
functional only after the next firewall reboot.
36.6.
RIP
817
36.7.
Para acessar o RIP na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:
O usurio deve entrar com o comando enable verificando seu acesso, para efetuar
futuras configuraes
Configurao RIP
Aker Security Solutions
818
819
router rip
network 10.0.0.0/8
network eth0
!
Passive interface
Comando RIP: passive-interface (IFNAME|default)
Comando RIP: no passive-interface IFNAME
Este comando define a interface selecionada para o modo passivo (passive mode). Com a
interface em mode passivo todos os pacotes recebidos so processados normalmente e o
ripd no envia pacotes RIP multicast ou unicast exceto para RIP neighbors que forem
especificados com o comando neighbor. A interface pode ser especificada como default
para fazer que o ripd seja padro passivo em todas as interfaces.
O padro ser passive em todas as interfaces.
RIP split-horizon
Comando de Interface: ip split-horizon
Comando de Interface: no ip split-horizon
Control split-horizon (para evitar o loop de roteamento) na interface o padro ip splithorizon. Se voc no executar o split-horizon na interface, use o comando no ip splithorizon.
820
Define a verso RIP parar leitura e envio. A verso poder ser tanto verso 1, quanto a
verso 2.
Desabilita o RIPv1 especificando a verso 2 fortemente recomendado.
Padro: Enviar Verso 2, e aceitar qualquer verso 1 ou 2.
Comando RIP: no version
Redefine a configurao da verso global de volta para padro (default).
Comando de Interface: ip rip send version
A Verso poder ser 1, 2 ou 1 e 2.
Este comando substitui a configurao da verso global do RIP, e seleciona qual verso do
RIP enviar pacotes para a interface especifica. Escolha o RIP Verso 1, RIP Verso 2, ou as
duas verses. Em casos aonde as duas verses forem especificadas, os pacotes sero tanto
Broadcast quanto Multicast.
Padro: Enviar pacotes de acordo com a verso global (verso 2)
Comando de Interface: ip rip receive version
A verso pode ser 1, 2 or 1 e 2.
Este comando substitui a configurao da verso global do RIP, e seleciona qual verso de
pacotes RIP sero aceitas nesta interface. Escolha o RIP Verso 1, RIP Verso 2, ou as duas
verses.
Padro: Aceitar pacotes de acordo com a verso global (verses 1 e 2).
Anunciando rota RIP
821
822
823
RIP distance
O valor da distncia usado no Zebra daemon.
Distncia RIP padro 120.
Comando RIP: distance <1-255>
Comando RIP: no distance <1-255>
Este comando define a distncia RIP padro para o valor desejado.
Comando RIP: distance <1-255> A.B.C.D/M
Comando RIP: no distance <1-255> A.B.C.D/M
Define a distncia padro do RIP para o valor especificado quando o endereo IP de origem
da rota corresponde ao prefixo especificado.
Comando RIP: distance <1-255> A.B.C.D/M access-list
Comando RIP: no distance <1-255> A.B.C.D/M access-list
Define a distncia RIP padro para o valor especificado quando o endereo IP de origem da
rota corresponde ao prefixo especificado e a lista de acesso especificada (access-list).
RIP route-map
Aker Security Solutions
824
825
Autenticao RIP
O RIPv2 permite que os pacotes sejam autenticados, por meio de uma simples senha de
texto, includo com o pacote, ou por meio de uma checagem MD5 mais segura baseada em
HMAC (keyed-Hashing for Message AuthentiCation), o RIPv1 no pode ser autenticado,
assim quando a autenticao configurada o RIPD descartar as atualizaes de
roteamento recebidas via pacotes RIPv1.
No entanto, a menos que recepo RIPv1 esteja completamente desativada, os pacotes de
solicitao RIPv1(RIPv1 REQUEST packets) que so recebidos, e que consultam o roteador
em busca de informaes de roteamento, sero honrados pelo Ripd, e o Ripd responder a
esses pacotes. Isso permite que o RIPD honre estas solicitaes (que s vezes so usadas por
equipamentos antigos e dispositivos muito simples para inicializao de sua rota padro),
enquanto continua a fornecer segurana para as atualizaes de rotas que so recebidos.
A ativao da autenticao impede rotas de serem atualizadas por roteadores remotos
no autenticados, mas ainda pode permitir que as rotas (ou seja, toda a tabela de
roteamento RIP) sejam consultadas remotamente, potencialmente por qualquer pessoa na
internet, por meio do RIPv1.
Para evitar consultas de rotas no autenticadas, desative o RIPv1.
Comando de Interface: ip rip authentication mode md5
Comando de Interface: no ip rip authentication mode md5
Define a interface com a autenticao RIPv2 MD5.
Comando de Interface: ip rip authentication mode text
Comando de Interface: no ip rip authentication mode text
Define a interface com a autenticao de senha simples RIPv2.
Comando de Interface: ip rip authentication string string
Comando de Interface: no ip rip authentication string string
A verso 2 do RIP tem autenticao de texto simples (simple text authentication). Este
comando define a sequencia da autenticao. A sequencia deve ser menor que 16
caracteres.
Comando de Interface: ip rip authentication key-chain key-chain
Comando de Interface: no ip rip authentication key-chain key-chain
826
O comando timers basic permite que os valores padro dos temporizadores listados acima
sejam alterados.
Comando RIP: no timers basic
O comando no timers basic redefinir os temporizadores para a configurao padro que foi
mostrada acima.
827
O comando exibe todas as rotas RIP. Para as rotas que sero recebidas por meio de RIP, este
comando exibir o tempo que o pacote foi enviado e as suas informaes. tambm ir
exibir esta informao para rotas redistribudas no RIP.
828
O comando debug rip packet exibir informaes detalhadas sobre os pacotes RIP. A origem
o nmero da porta do pacote, o packet dump sero mostrados.
Comando: debug rip zebra
Depura o rip entre a comunicao zebra.
Este comando ir mostrar a comunicao entre Ripd zebra. A principal informao incluir
a adio e excluso de caminhos enviados para o kernel, o envio e recebimento de
informaes da interface.
Comando: show debugging rip
Mostra as opes de depurao do Ripd.
O comando show debugging rip mostrar todas as informaes atualmente definidas para o
Ripd debug.
36.8.
OSPF
O protocolo OSPF (Open Shortest Path First) a alternativa para redes de grande porte,
onde o protocolo RIP no pode ser utilizado, devido s suas caractersticas e limitaes.
O OSPF permite a diviso de uma rede em reas, e torna possvel o roteamento dentro de
cada rea (o roteamento das reas e feito por meio do roteadores de borda. Com isso,
usando o OSPF, possvel criar redes hierrquicas de grande porte, sem que seja necessrio
que cada roteador tenha uma tabela de roteamento gigantesca, com rotas para todas as
redes, como seria necessrio no caso do RIP. O OSPF projetado para intercambiar
informaes de roteamento em uma interconexo de rede de tamanho grande ou muito
grande,
como
por
exemplo,
a
Internet.
O OSPF eficiente em vrios pontos, requer pouqussima sobrecarga de rede mesmo em
interconexes de redes muito grandes, pois os roteadores que usam OSPF trocam
informaes somente sobre as rotas que sofreram alteraes e no toda a tabela de
roteamento, como feito com o RIP.
A suas vantagens so: Maior velocidade de convergncia, suporte a vrias mtricas,
caminhos mltiplos, sem loop nem contagem ao infinito e sincronismo entre os bancos.
As suas desvantagens so: Complexidade no gerenciamento e implementao.
829
Custo OSPF: O custo OSPF tambm chamado de mtrica, ou seja, a mtrica expressa
como um valor de custo. O melhor caminho possui o custo mais baixo, sendo tipicamente
o de maior largura de banda. o custo da rota para se chegar a um determinado lugar.
Velocidade OSPF: a velocidade do link, ou seja, a velocidade da conexo entre dois
roteadores que informada em Kbits/seg.
rea OSPF: rea a designao atribuda a um subconjunto dos roteadores e redes que
constituem o sistema autnomo e que participam numa instncia do protocolo OSPF, isto ,
as rotas de uma rea no se propagam para as demais e vice versa. Verifica cada rea e rota
de modo a privilegiar as rotas de menor custo e com o mesmo destino.
Logar rotas adicionadas e removidas: Ao selecionar essa opo as rotas adicionadas e
removidas sero exibidas na lista de eventos.
Redistribuir: Nessa opo so escolhidas as rotas que sero informadas para os outros
roteadores.
Redes Locais: So Rotas localmente conectadas, correspondem s sub redes configuradas
nas interfaces de redes.
Rotas de Outros Protocolos: Ao selecionar essa opo as rotas redistribudas sero aquelas
determinadas pelos protocolos RIP e o OSPF. Haver uma troca de informaes na
comunicao entre eles, ou seja, o que foi aprendido por um protocolo ser informado pelo
outro e vice versa.
Rotas Estticas: As rotas estticas so explicitamente configuradas pelo administrador, ou
seja, rotas fixas pelos quais os dados sero transmitidos na aba Rotas dessa mesma janela.
Filtrar redes distribudas e recebidas
Ativando esta opo devem-se selecionar quais as redes e hosts deseja-se receber e
distribuir novas rotas por meio dos protocolos RIP e/ou OSPF. Por meio deste filtro
desconsideram-se as informaes que no so necessrias para nosso ambiente e tambm
assim no informado aos outros roteadores rotas de redes que no so utilizadas pela
Aker.
830
36.9.
Para acessar o OSPF na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:
O usurio deve entrar com o comando enable verificando seu acesso, para efetuar
futuras configuraes
Link State: O status entre dois routers. advertido por pacotes LSA;
831
Area: Uma coleo de redes e routers que possuem a mesma identificao de rea e
trocam informaes de estado de link;
Neighbors: Dois routers que possuem suas interfaces em uma mesma rede, geralmente
descobertos e mantidos em relao pelos pacotes hello;
Hello: Protocolo usado para estabelecer e manter relaes entre vizinhos, enviados de 10
em 10 segundos no endereo: 224.0.0.5;
Router ID: Nmero nico de 32-bit usado para identificar o router dentro da AS. O maior
IP na interface que esta ativa ser escolhido como padro. Usado para definir o DR e o BDR
no caso de empate.
Hello intervals: o tempo em segundos que o router envia pacotes hello (10s default);
Dead intervals: o tempo em segundos que o router espera um hello de um vizinho, se
no responder ele coloca o router como down. O tempo de dead 4 vezes o tempo do
hello;
Area-ID: Identificao da rea;
Router Priority: Um nmero de 8-bit que indica a prioridade de um router se tornar DR ou
BDR. Default=1, DROTHER=0;
Auth Password: Se a auth estiver habilitada, 2 router devem trocar a mesma senha;
Stub area Flag: Dois routers devem ter o mesmo Flag de rea Stub no pacote hello.
Neighborship database: Uma lista de todos os vizinhos que o router mantm uma
comunicao bidirecional;
Link-state database or Topological database: Base de dados do estado dos links de todos
os routers da rede. Todos os routers da mesma rea tm a mesma informao de Link-state;
Routing table or forwarding database: Base de dados gerada quando o algoritmo SPF
executado na base de dados de Link-state;
Topologia Broadcast multiaccess: Redes que suportam mais de dois routers ligados juntos
com capacidade de mensagens broadcast. O seguimento ethernet um exemplo dessa
topologia;
Topologia Point-to-Point: Uma rede que associa um nico par de routers. Uma linha serial
T1 exemplo.
Topologia Non-Broadcast multiaccess (NBMA): Redes que suportam muitos routers mas
no tm a capacidade de executar broadcast. O Frame-Relay e X.25 so exemplos de NBMA.
832
No h opes especficas do ospfd, opes comuns podem ser especificadas para o ospfd .
O ospfd precisa adquirir as informaes da interface zebra para poder funcionar. Portanto
o zebra deve estar em execuo antes de carregar o ospfd . Alm disso, se o zebra for
reiniciado ento o ospfd deve ser reiniciado tambm.
Como outros daemons, a configurao ospfd feita no arquivo de configurao ospfd.conf
`' .
Roteador OSPF
Para iniciar o processo OSPF voc tem que especificar o roteador OSPF (o ospfd no suporta
vrios processos OSPF).
Tipos de Routers
Router Interno So roteadores cujas interfaces pertencem a mesma rea. Todos os routers
na mesma rea compartilham do mesmo Banco de Dados (DB) de estado de enlace
(idnticos);
Router do Backbone So roteadores que tem pelo menos uma interface conectada na
rea 0. A rea 0 serve como rea de trnsito entre reas do OSPF;
Area Border Router (ABR) Roteadores que tem interfaces conectadas as diversas reas.
Esse router mantm Link-state database distintos para cada rea qual esto conectados.
Os ABRs so pontos de sada da rea. Os ABRs podem resumir as informaes de Link-state
database e distribuir no backbone, em seguida o backbone encaminha para outras reas.
Autonomous System Boundary Router (ASBR) Routers que tem pelo menos uma interface
em uma rede externa (outro AS) e outra dentro da rede OSPF. Esse router faz Redistribuio
de rotas entre o OSPF e o no-OSPF.
833
834
Configura o ospfd para registrar as mudanas nas adjacncias. Com o parmetro opcional,
todas as alteraes do status da adjacncia sero mostradas. Sem detalhes, apenas as
mudanas completas ou regresses sero mostradas.
Comando OSPF: passive-interface interface
Comando OSPF: no passive-interface interface
835
Quando ativado por um perodo aps a inicializao permite OSPF a convergir primeiro sem
afetar as rotas existentes usadas por outros roteadores, enquanto permite que quaisquer
stub link conectados e/ou rotas redistribudas para serem acessveis quando habilitados por
um perodo de tempo antes do desligamento permite que o roteador se-exime do domnio
OSPF.
Ativando este recurso administrativamente permite a interveno administrativa por
qualquer motivo, por um perodo de tempo indefinido. Note que se a configurao foi
escrita em um arquivo, esta forma administrativa do comando stub-router tambm ser
gravada em arquivo. Se ospfd for reiniciado depois, o comando ficara em vigor at que seja
manualmente desconfigurado.
Comando OSPF: auto-cost reference-bandwidth <1-4294967>
Comando OSPF: no auto-cost reference-bandwidth
Este comando define a largura de banda de referncia (reference bandwidth) para os
clculos de custos, onde esta largura de banda considerada equivalente a um custo OSPF
1, especificado em MB. O padro 100 MB.
Esta configurao deve ser consistente em todos os roteadores dentro do domnio OSPF.
Comando OSPF: network a.b.c.d/m area a.b.c.d
Comando OSPF: network a.b.c.d/m area <0-4294967295>
Comando OSPF: no network a.b.c.d/m area a.b.c.d
Comando OSPF: no network a.b.c.d/m area <0-4294967295>
Este comando especifica a interface OSPF que esta habilitada. Se a interface tem um
endereo 192.168.1.0/24 ento o comando abaixo permite ospf nesta interface de modo
que o roteador possa fornecer informaes sobre a rede para os outros roteadores OSPF
por meio desta interface.
router ospf
network 192.168.1.0/24 area 0.0.0.0
O comprimento do prefixo na interface deve ser igual ou maior, que o comprimento do
prefixo da rede. Por exemplo, a parmetro acima no habilita o ospf na interface com
endereo 192.168.1.1/23, mas o habilita na interface com endereo 192.168.1.129/25.
836
router ospf
network 192.168.1.0/24 area 0.0.0.0
network 10.0.0.0/8 area 0.0.0.10
area 0.0.0.10 range 10.0.0.0/8
A configurao acima de um Type-3-Summary LSA com encaminhamento 10.0.0.0 / 8 que
ser anunciado na rea backbone, se a 0.0.0.10 rea tiver pelo menos uma rede intra-rea a
partir desta faixa.
837
838
839
Filtragem Type-3 summary-LSAs para a rea que esteja usando as listas de prefixo (prefix
lists). Este comando s faz sentido no ABR.
Comando OSPF: area a.b.c.d authentication
Comando OSPF: area <0-4294967295> authentication
Comando OSPF: no area a.b.c.d authentication
Comando OSPF: no area <0-4294967295> authentication
O comando acima especifica que a autenticao de senha simples ( simple password
atuthentication) deve ser usada para a rea fornecida.
Comando OSPF: area a.b.c.d authentication message-digest
Comando OSPF: area <0-4294967295> authentication message-digest
Especifica que os pacotes OSPF devem ser autenticados com MD5 HMACs dentro da rea
fornecida. Keying material tambm deve ser configurado em uma per-interface basis.
Autenticao MD5 tambm pode ser configurada em uma per-interface basis. Tais
configuraes per-interface iro substituir qualquer configurao per-area authentication.
OSPF interface
Comando de Interface: ip ospf authentication-key AUTH_KEY
Comando de Interface: no ip ospf authentication-key
Define a chave de autenticao OSPF para uma senha simples. Depois de definir AUTH_KEY,
todos os pacotes OSPF so autenticados (AUTH_KEY tem comprimento de at 8 caracteres).
Autenticao de senha simples de texto (Simple text password authentication) insegura e
obsoleta favorecendo da autenticao MD5 HMAC.
Comando: ip ospf authentication message-digest
O comando acima especifica que a autenticao MD5 HMAC deve ser utilizada nesta
interface. MD5 Keying material tambm deve ser configurado substitui qualquer
autenticao habilitada em uma per-area basis.
Note que a autenticao OSPF MD5 requer que o tempo nunca v em sentido contrrio
(hora correta no importante, apenas que ele nunca v em sentido contrario mesmo por
meio de redefinies). Se o ospfd for capaz de reestabelecer adjacncias com seus vizinhos
depois de restart/reboot, o host deve ter o tempo do sistema para ser definido no boot a
partir de uma fonte externa ou no voltil (por exemplo, battery backed clock, NTP, etc) ou
Aker Security Solutions
840
ento o relgio do sistema devem ser periodicamente salvo a um non-volative storage ser
restaurado no boot se a autenticao MD5 funcionar de forma confivel.
Comando de Interface: ip ospf message-digest-key KEYID md5 KEY
Comando de Interface: no ip ospf message-digest-key
O comando acima define uma chave de autenticao OSPF para uma senha de
criptografia. O algoritmo de criptografia o MD5.
O Keyid identifica a chave secreta usada para criar o message digest. Esta identificao
parte do protocolo e deve ser consistente em roteadores em um link.
KEY a chave atual do message digest key, de at 16 caracteres (maiores sequencias de
caracteres sero descartadas), e est associada com o keyid fornecido.
Comando de Interface: ip ospf cost <1-65535>
Comando de Interface: no ip ospf cost
Define custo de link para a interface especificada. O valor do custo ser definido para o
campo mtrico do roteador LSA (router-LSAs metric field) e ser utilizado para o clculo
SPF.
Comando de Interface: ip ospf dead-interval <1-65535>
Comando de Interface: ip ospf dead-interval minimal hello-multiplier <2-20>
Comando de Interface: no ip ospf dead-interval
Este comando define o nmero de segundos para o valor RouterDeadInterval timer utilizado
para o Wait Time o Inactivity Timer. Este valor deve ser o mesmo para todos os roteadores
ligados a uma rede comum. O valor padro 40 segundos.
Se "minimal" for especificado, ento o dead-interval ser definido para 1 segundo e um
deve especificar um hello-multiplier. O hello-multiplier especifica quantos Hellos devem ser
enviados por segundo, de 2 (cada 500ms) a 20 (cada 50ms). Assim, pode-se ter 1s de tempo
de convergncia para OSPF. Se o formulrio for especificado, ento o hello-interval
anunciado nos pacotes Hello ser definido como 0 o hello-interval nos pacotes Hello
recebidos no estaro marcados, assim, o hello-multiplier no precisa ser o mesmo em
vrios roteadores em um link comum.
Comando de Interface: ip ospf hello-interval <1-65535>
Comando de Interface: no ip ospf hello-interval
O comando acima define o nmero de segundos para o valor do Hello Interval timer.
Aker Security Solutions
841
Definindo este valor, o pacote Hello ser enviado a todos os segundo do valor do
temporizador (timer value seconds) na interface especificada. Este valor deve ser o mesmo
para todos os roteadores ligados a uma rede comum. O valor padro 10 segundos.
Este comando no tem efeito se o ip ospf dead-interval minimal tambm for especificado
para a interface.
Comando de Interface: ip
multipoint|point-to-point)
ospf
network
(broadcast|non-broadcast|point-to-
842
843
844
ospf
database
Comando: show
ip
ospf
database
|summary) link-state-id adv-router adv-router
(asbr-summary|external|network|router
(asbr-summary|external|network|router
(asbr-summary|external|network|router
845
846
36.10.
BGP
847
Para acessar o OSPF na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:
O usurio deve entrar com o comando enable verificando seu acesso, para efetuar
futuras configuraes
`-p PORT'
`--bgp_port=PORT'
Define o nmero da porta do protocolo BGP.
`-r'
Aker Security Solutions
848
`--retain'
Quando o programa termina, retm as rotas BGP adicionadas pelo zebra.
BGP router
Primeiramente voc deve configurar o roteador BGP com o comando router bgp. Para
configurar o roteador BGP, voc precisa AS number. O AS number uma identificao do
sistema autnomo (AS autonomous system). O protocolo BGP utiliza o AS number para
detectar se a conexo BG e interna ou externa.
Comando: router bgp asn
Este comando ativa um processo de protocolo BGP com o asn (ASN-Autonomous system
number) que foi especificado . Com parmetro voc pode introduzir quaisquer comandos
BGP, mas voc no pode criar diferentes processo BGP, sob diferentes asn sem
especificar o multiple-instance.
Comando: no router bgp asn
Este comando destri um processo do protocolo com a asn especificada.
COMANDO BGP: bgp router-id A.B.C.D
Este comando especifica o router-ID se o bgpd conectar-se ao zebra ele obter informaes
de interface e endereo. Nesse caso, o valor padro do router ID ser selecionado como o
maior endereo IP das interfaces. Quando o router zebra no est habilitado, o bgpd no
pode obter informaes interface para que o router-id seja definido como 0.0.0.0, ento o
router-id deve ser definido manualmente.
BGP distance
COMANDO BGP: distance bgp <1-255> <1-255> <1-255>
Este comando muda o valor de distncia do BGP. Cada parmetro o valor de distncia para
rotas externas, rotas internas e rotas locais.
COMANDO BGP: distance <1-255> A.B.C.D/M
COMANDO BGP: distance <1-255> A.B.C.D/M word
849
O processo de deciso do BGP baseia-se nos valores dos atributos de cada anncio. Nos
Sistemas autnomos multihomed (conexo com mais de uma AS, contendo mais de um
caminho de sada para a Internet) normal existncia de mltiplas rotas para a mesma
rede, nestes casos o algoritmo de deciso do BGP tomar a deciso da melhor rota a ser
utilizada.
1. Weight check >(Verificao de peso)
2. Local preference check. > (Verifica a preferncia local)
3. Local route check. > (Verificao da rota local)
4. AS path length check. > (Verifica o comprimento do caminho AS)
5. Origin check. > (Verifica a Origem)
6. MED check. > (Verifica o MED)
Rota BGP
850
Agregao de rotas
Redistribute to BGP
851
Defining Peer
852
Configura a verso BGP do visinho (neighbor's BGP version) que pode ser verso 4 , 4 + ou 4 . O BGP verso 4 o padro usado para o BGP peering. BGP verso 4 + significa que o
vizinho suporta extenses multiprotocolo para BGP-4, e o BGP verso 4 - semelhante, mas
o vizinho usa extenses multiprotocolo para BGP-4 do old Internet-Draft revision 00. Alguns
softwares de roteamento ainda esto usando esta verso.
Comando BGP: neighbor peer interface ifname
Comando BGP: no neighbor peer interface ifname
Ao se conectar a um BGP peer usando um endereo link-local IPv6, voc tem que especificar
o ifname da interface usado para a conexo. Para especificar endereos IPv4, veja o
comando neighbor peer update-source abaixo.
Comando BGP: neighbor peer next-hop-self
Comando BGP: no neighbor peer next-hop-self
Este comando especifica uma rota nexthop, que ser anunciada como equivalente ao
endereo do roteador BGP.
Comando BGP: neighbor peer update-source <ifname|address>
Comando BGP: no neighbor peer update-source
Este comando especifica o endereo de origem IPv4. Para usar a sesso BGP para este
vizinho, pode ser especificado diretamente como um endereo IPv4 ou como um nome de
interface (caso o zebra esteja sendo usado, o daemon deve estar em execuo para que
BGPD possa recuperar o interface state).
router bgp 64555
neighbor foo update-source 192.168.0.1
neighbor bar update-source lo0
Comando BGP: neighbor peer default-originate
Comando BGP: no neighbor peer default-originate
O padro bgpd no e usado para anunciar a rota padro (0.0.0.0 / 0) mesmo que esteja na
tabela de roteamento. Este comando deve e usado para anunciar as rotas padres para os
peers.
Comando BGP: neighbor peer port port
Comando BGP: neighbor peer port port
Comando BGP: neighbor peer send-community
Aker Security Solutions
853
Peer filtering
Comando BGP: neighbor peer distribute-list name [in|out]
Este comando especifica uma lista de distribuio (distribute-list) para os peers. O Direct
deve ser in ou out.
Comando BGP: neighbor peer prefix-list name [in|out]
Comando BGP: neighbor peer filter-list name [in|out]
Comando BGP: neighbor peer route-map name [in|out]
Este comando aplica um mapa de rotas (route-map) sobre o vizinho. O Direct deve ser in
ou out.
Autonomous System
O AS number (Autonomous System) um dos elementos essenciais do BGP. O AS-Path
framework oferece distance vector metric loop detection para BGP.
854
855
BGP com base em sua poltica de rede. O BGP atributo de comunidades definido
em RFC1997, BGP Communities Attribute e RFC1998, Uma aplicao do BGP Community
Attribute in Multi-home Routing, ele um atributo opcional transitivo, pois a poltica
local pode viajar por meio do sistema autnomo diferente.
O atributo comunidades um conjunto de valores comunidades. Cada valor de
comunidades tem 4 octetos de comprimento, o seguinte formato utilizado para
definir o valor de comunidades.
AS: VAL
Este formato representa 4 octetos dos valores das comunidades. O AS tem 2 octetos de
alta ordem em formato de dgitos. O VAL tem 2 octetos de baixa ordem em formato de
dgitos. Este formato til para definir o valor da poltica orientada AS ( AS oriented
policy value). Por exemplo,7675:80 pode ser usado quando o AS 7675 quer passar pelo
valor da poltica local 80 para o neighboring peer.
Internet
Internet representa well-known communities com valor 0.
no-export
no-export
representa
well-known
communities
com
valor NO_EXPORT
(0xFFFFFF01). Todas as rotas que levam este valor no devem ser anunciadas para fora
de um limite da confederao BGP(BGP confederation boundary). Se um neighboring
BGP peer for parte da confederao BGP, o peer ser considerado como parte de um
BGP confederation boundary, para que a rota seja anunciada para o peer.
no-advertise
no-advertise representa comunidades bem conhecidas com valor NO_ADVERTISE
(0xFFFFFF02). Todas as rotas que levam este valor no devem ser anuncias a outros
peers BGP.
local-AS
Local-AS
representa
comunidades
bem
conhecidas
com
valor NO_EXPORT_SUBCONFED (0xFFFFFF03). Todas as rotas que levam este valor no
devem ser anuncias para external BGP peers. Mesmo se o roteador vizinho fizer parte
da confederao, ele ser considerado como external BGP peer, de modo que a rota
no seja anunciada para o peer.
Quando BGP communities atribute for recebido, os valores das comunidades duplicadas
no atributo das comunidades sero ignorados e os valores de todas as comunidades
sero classificados em ordem numrica.
Aker Security Solutions
856
857
Este comando mostra a informao atual da lista de comunidade. Quando name for
especificado as informaes da lista de comunidade especificadas sero mostradas.
# show ip community-list
Named Community standard list CLIST
permit 7675:80 7675:100 no-export
deny internet
Named Community expanded list EXPAND
permit :
858
859
860
861
filtragem de todas as rotas, e preciso definir a permisso de pelo menos uma rota.
862
863
Estes comandos excluem as Extended community lists especificadas pelo nome. Todas
as comunidades estendidas (extended communities) dividem um nico namespace para
que as Extended community lists possam ser removidas simplesmente especificar ao o
nome.
Comando: show ip extcommunity-list
Comando: show ip extcommunity-list name
Este comando exibe informaes extcommunity da lista atual.
# show ip extcommunity-list
BGP Extended Communities in Route Map
Route Map: match extcommunity word
Route Map: set extcommunity rt extcommunity
Este comando define o valor da rota (Route Target value).
Route Map: set extcommunity soo extcommunity
Este comando define o valor da origem mapeada (Site of Origin value).
Show IP BGP
Comando: show ip bgp
Comando: show ip bgp A.B.C.D
Comando: show ip bgp X:X::X:X
Este comando exibe rotas BGP, quando nenhuma rota for especificada este comando
exibir todas as rotas BGP IPv4.
Next Hop
0.0.0.0
864
Capability Negotiation
Aker Security Solutions
865
Por padro, o Firewall trar o peering com capacidade mnima para ambos os lados. Por
exemplo, o roteador local tem capacidade Unicast e Multicast, e o roteador remoto tem
capacidade unicast.
Se voc deseja combinar completamente as capacidades com peer remoto, use o
comando strict-capability-match.
Comando BGP: neighbor peer strict-capability-match
Comando BGP: no neighbor peer strict-capability-match
Este comando compara as capacidades remotas e recursos locais. Se os recursos forem
diferentes, o comando enviar mensagem Unsupported Capability error, reiniciar
conexo.
Comando BGP: neighbor peer dont-capability-negotiate
Comando BGP: no neighbor peer dont-capability-negotiate
Suprimir o envio da capacidade de negociao como OPEN message optional parameter
para os peers. Este comando afeta apenas o peer configurado, exceto o IPv4 unicast
configuration.
Quando peer remoto no tem recurso de capacidade de negociao (capability
negotiation feature), o peer remoto no vai enviar nenhuma capacidade. Nesse caso, o
BGP configura o peer com capacidades configuradas.
Comando BGP: neighbor peer override-capability
Comando BGP: no neighbor peer override-capability
Este comando substitui o resultado da capacidade de negociao (Capability
Negotiation) com a configurao local e ignorar o valor da capacidade do peer remoto
(remote peers capability value).
Route Reflector
Comando BGP: bgp cluster-id a.b.c.d
Comando bgp: neighbor peer route-reflector-client
Comando bgp: no neighbor peer route-reflector-client
IPv6 Support
866
Router Advertisement
valid-lifetime O perodo de tempo em segundos, que o prefixo ser vlido para on-link determination.
Padro: sem definio, ou seja, este prefixo pode ser usado para on-link determination.
router-address - indica aos hosts no link local ,que o prefixo especifico contm
um endereo IP completo por configurao R flag (complete IP address by setting
867
R flag)
Padro: sem definio, ou seja, os hosts no permitiram que um endereo de IP
completo seja colocado.
Comando de Interface: ipv6 nd ra-interval SECONDS
Comando de Interface: no ipv6 nd ra-interval
O comando acima define o tempo mximo permitido entre o envio de anncios no
solicitados do roteador multicast da interface em segundos. Este valor no deve ser
menos que 3 segundos.
Default: 600
Comando de Interface: ipv6 nd ra-interval msec MILLISECONDS
Comando de Interface: no ipv6 nd ra-interval msec
Define o tempo mximo permitido entre o envio de anncios no solicitados do
roteador multicast da interface em milissegundos. Este valor deve ser menos que 30
milissegundos.
Default: 600000
Comando de Interface: ipv6 nd ra-lifetime SECONDS
Comando de Interface: no ipv6 nd ra-lifetime
Indica o valor que ser colocado no campo Router Lifetime de anncios de roteador
enviados da interface em segundos. Definindo o valor zero indica que o roteador no
deve ser considerado um roteador padro nesta interface. Este numero deve ser zero
ou entre um valor especificado com ipv6 nd ra-interval (ou padro) e 9000 segundos.
Default: 1800
Comando de Interface: ipv6 nd reachable-time MILLISECONDS
Comando de Interface: no ipv6 nd reachable-time
Indica o valor que ser colocado no campo Reachable Time nas mensagens de anncio
do roteador que foram enviadas pelo roteador em milissegundos. O tempo configurado
permite que o roteador detecte vizinhos indisponveis. O valor zero significa no
especificado por este roteador. Este nmero no dever ser maior que 3.600.000
milissegundos (1 hora).
Default: 0
Comando de Interface: ipv6 nd managed-config-flag
Aker Security Solutions
868
869
Avanado
Esta configurao permite a utilizao de rotas por origem e o balanceamento de link por
rotas, onde possvel direcionar o trfego de rede para um determinado gateway a partir
de sua origem e ainda balancear este trfego em at 3 links diferentes. No possvel
configurar rotas por origem pela tabela de roteamento Geral, por esse motivo as regras
criadas aqui tm maior prioridade.
Para realizar com sucesso esta configurao, necessrio cadastrar as entidades de origem,
destino e servio antes do incio do processo. Este cadastramento pode ser feito tanto na
Interface Remota do Aker Control Center como no modo texto utilizando o comando
fwent no console do Aker Firewall.
Abaixo segue alguns exemplos de configuraes:
870
Laboratrio
Testes e configuraes
Configuraes do FW A:
871
872
873
Os parmetros so:
pos: posio da regra na tabela (a partir de 1);
src_ents : Entidades origem (rede/mquina/conjunto);
dst_ents : Entidades destino (rede/mquina/conjunto);
svc_ents : Entidades servio (servico);
gw_ent : Entidade gateway (mquina);
linkN : Nomes dos links para balanceamento (veja 'fwblink mostra');
-P : Persistncia de conexo.
A seguir, sero demonstrados alguns exemplos prticos das sintaxes utilizadas nesta
configurao:
Obs: Os nomes das entidades utilizadas nos exemplos so apenas nomes de demonstrao
para facilitar a compreenso.
Sintaxe: fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc <svc_ents>] -gw
<gw_ent>
Cria e/ou define uma rota especificando a posio, origem, servio (caso haja), destino e o
gateway desejado.
Exemplo:
fwadvroute
inclui
-src
"rede
interna"
-dst
host1
-gw
server1
Note que para indicar a entidade "rede interna" foi utilizada aspas, pois, nomes de
entidades que contenham mais de uma palavra devem estar sempre entre aspas.
Caso o espao para indicar o servio a ser utilizado estiver vazio, sero considerados
todos os servios para esse roteamento.
Sintaxe: fwadvroute remove <pos>
Remove uma rota j criada indicando a posio da mesma.
Exemplo: fwadvroute remove 1
Sintaxe: fwadvroute < habilita | desabilita > <pos>
Aker Security Solutions
874
36.13.
875
876
877
878
Aps a digitao dos valores de configurao perguntado se deseja configurar alias para a
interface.
879
880
881
882
36.14.
Esta opo configurada apenas pelo console do Aker Firewall e est disponvel somente no
Aker Firewall Box com suporte para conexo Wireless.
O Aker Firewall possui suporte a mltiplas SSIDs, ou seja, podem ser configuradas diferentes
redes sem fio no mesmo equipamento conforme a necessidade. Atualmente o limite de SSIDs
4 (1master + 3virtuais), ou seja, 4 redes wireless distintas.
No Aker Firewall, para utilizar mltiplas SSID necessrio criar vrias interfaces utilizando o
seguinte comando:
Sintaxe: wireless cria_interface ath0 ap g
Sintaxe: wireless cria_interface ath1 ap g
Sintaxe: wireless cria_interface ath...N ap g
As configuraes personalizadas devem ser realizadas para cada interface criada.
A seguir, sero demonstrados seus comandos e alguns exemplos de configurao:
Localizao do programa: /aker/bin/firewall/akwireless
Uso: akwireless cria_interface <interface> <sta|adhoc|ap|monitor|wds|ahdemo> <b:g>
akwireless destroi_interface <interface>
akwireless muda_protocolo <interface> <b:g>
akwireless lista_interface [interface]
akwireless muda_modo <interface> <sta|adhoc|ap|monitor|wds|ahdemo>
akwireless muda_SSID <interface> <SSID>
akwireless wep_chave <interface> <indice> <chave>
akwireless wep_chave_indice <interface> <indice>
akwireless wpa1_chave <interface> <chave> <arq>
akwireless wpa2_chave <interface> <chave> <arq>
akwireless sem_chave <interface>
akwireless escolhe_lista_mac <interface> black:white <mac_arq>
Aker Security Solutions
883
884
Cabe ressaltar que a placa wireless suporta apenas um protocolo para todas as interfaces.
O Aker Box do primeiro semestre de 2010 suportava at 7 interfaces wireless, a partir desta
data ele suportar at 3 interfaces wireless.
akwireless lista_interface [interface] = mostra todas as interfaces listadas.
Sintaxe: wireless lista_interface
Caso queira listar uma determinada interface, basta defini-la na frente do comando.
akwireless muda_modo <interface> <sta | adhoc | ap | monitor | wds | ahdemo> = altera o
modo a ser utilizado.
Sintaxe: wireless muda_modo ath0 ap
akwireless muda_SSID <interface> <SSID> = criar/alterar nome da rede wireless.
Sintaxe: wireless muda_SSID ath0 rede1
885
886
36.15.
Mdulo de WIDS
Nos dias atuais as redes wireless so vulnerveis de varias formas (espionagem, uso ilegal,
acessos no autorizado, e ataque de negao de servio conhecidos como warchalking e
DOS Attack). Estes problemas so o principal obstculo no uso de redes wireless, que tanto
preocupa os usurios que esto sujeitos a expor seus computadores a acessos ilegais
atravs de redes Wi-Fi. Em redes cabeadas estes ataques so feitos atravs dos cabos de
rede, em redes wireless este ataque pode vir de qualquer computador o qual esteja em sua
vizinhana.
Para este problema o Aker Firewall oferece o WIDS (Wireless Intrusion Detection System)
que monitora as redes WI-FI com o intuito de detectar a presena de usurios no
autorizados, pontos de acesso no autorizados (Rogue Access Point) e o uso de ferramentas
de ataques a redes wireless em tempo real. O WIDS possui a capacidade de:
Autoaprendizagem, autodefesa e contra ataques, incluindo o envio de alertas ao
administrador de rede. O WIDS similar ao IDS padro, a diferena e que o WIDS possui
recursos especficos para invaso de WLAN.
Configurando o WIDS no Aker Firewall (Interface Texto via SSH)
887
No prximo passo o usurio deve especificar o canal o qual a interface AP esta utilizando
888
Agora o usurio deve inserir o nome da interface que ser utilizada para o WIDS, lembrando
que este nome no ser o mesmo de nenhuma interface que j esteja criada.
889
36.16.
890
ajuda
ativa
O cliente DDNS utilizara um dos meios abaixo para obter o IP publico do hostname
configurado:
interface = usa IP da interface fornecida para o hostname sendo configurado
891
<interface>
ser feita
ip
892
Sintaxe: ddns interface eth0 = Com esse comando, o IP dinmico a ser atualizado no servidor
ser o existente na interface fornecida (ex. eth0).
ddns gateway <tipo_gateway> <ip_gateway> <porta_gateway>
[pwd_gateway] = monitora o IP de um gateway da rede
[login_gateway]
Sintaxe: ddns gateway linksys 10.0.0.1 80 usurio senha com esse comando, o IP dinmico a
ser atualizado no servidor ser o de um gateway (ex. modem) da rede. Normalmente, seria
o IP externo da rede. Para uma lista com os tipos de gateway suportados, execute o
comando ddns lista.
ddns web <url> [token] = monitora o IP fornecido em uma URL.
Sintaxe: ddns web meuip.meudominio.com.br "IP:"
Com esse comando, o IP dinmico a ser atualizado no servidor ser obtido a partir de uma
pgina web localizada na URL fornecida, aps o token configurado.
ddns ip <ip> = especifica um IP fixo a ser fornecido ao servidor DDNS
Sintaxe: ddns ip 200.140.230.137
Define um IP fixo para o seu hostname cadastrado no servidor DDNS.
36.17.
A partir de agora, o Aker Firewall UTM passa a suportar conexo pelos modems 3G e 4G. Essa
funcionalidade foi desenvolvida para garantir maior mobilidade e facilidade no acesso
Internet.
Conexo via modem de Internet mvel
O Aker Firewall permite que voc conecte um modem 3G/4G em sua porta USB e essa
conexo passa a ser utilizada como um link de dados para acesso Internet.
possvel assim, proporcionar maior economia e facilidade na instalao para os usurios
do Aker Firewall, pois os links de dispositivos mveis, alm de mais baratos e rpidos,
possuem uma instalao simples, que dispensa equipamentos e cabos de rede, e permite
que o usurio os configure logo que o modem 3G/4G plugado.
Configurao do modem de Internet mvel no Aker Firewall
893
Na janela Interfaces de rede, ao conectar o seu modem 3G/4G, uma nova interface
chamada Internet Mvel ser exibida.
894
Para configurar sua conexo de internet mvel, clique com o boto direito na interface
virtual do dispositivo mvel e opte pela opo "Usar internet mvel". A janela a seguir ser
exibida:
Ao realizar o procedimento acima, uma janela de configurao ser aberta com os seguintes
campos:
Nome do dispositivo: neste campo o usurio deve selecionar a interface que ser usada
na conexo 3G/4G.
Ativar no boot: esta opo permite efetuar a conexo automaticamente, aps ligar o
Aker Firewall BOX;
Usar configurao DNS do servidor: permite a utilizao das configuraes de DNS,
fornecidas pela operadora do 3G/4G;
Usar rota Padro do Servidor: esta opo permite que se utilize como rota padro o link
de internet mvel (apenas no caso da rota padro no ter sido configurada
previamente);
Provedor: neste campo, o usurio deve selecionar o provedor de Internet de sua rede
3G/4G.
APN: neste campo, o usurio deve definir a APN (Access Point Name) de seu provedor
para que este possa se conectar a Internet.
TIM;
CLARO;
VIVO.
895
Testando a conexo
Aps configurar a interface de dispositivo mvel, o Aker Firewall vai tentar discar para a
operadora. Esse procedimento pode no funcionar por problemas na operadora.
Para verificar se conexo foi efetuada com sucesso, observe a cor da interface criada. Se
tiver com uma cor clara, quer dizer que o modem conectou-se normalmente. Se a cor for
escura, significa que houve algum problema. Ento, repita o procedimento e, se o problema
continuar, contate o departamento de suporte da Aker Security Solutions.
Segue a lista de modens 3G e 4G suportados:
Option
GlobeSurfer
Icon
(aka
"Vodafone
EasyBox")
driver)
DefaultVendor= 0x05c6
DefaultVendor= 0x0af0
DefaultProduct= 0x1000
DefaultProduct= 0x6911
PROLiNK PHS100
Hyundai Mobile MB-810
DefaultVendor= 0x05c6
DefaultProduct= 0x1000
DefaultVendor= 0x1e0e
DefaultProduct= 0xf000
DefaultVendor= 0x05c6
DefaultProduct= 0x1000
DefaultVendor= 0x0af0
DefaultProduct= 0xd033
Huawei devices
DefaultVendor= 0x05c6
DefaultVendor= 0x12d1
DefaultProduct= 0x1000
DefaultProduct= 0x1003
DefaultProduct= 0x1001
DefaultProduct= 0x1000
Huawei E180
Aker Security Solutions
896
DefaultProduct= 0x2000
DefaultVendor= 0x12d1
DefaultProduct= 0x1414
ZTE AC8710
ZTE AC2726
Huawei E630
Configurao#
DefaultVendor= 0x1033
DefaultProduct= 0x0035
DefaultVendor= 0x19d2
DefaultProduct= 0xfff5
Configurao# 2
DefaultVendor= 0x19d2
DefaultVendor= 0x19d2
DefaultProduct= 0x2000
DefaultProduct= 0xfff6
Configurao# 3
DefaultVendor= 0x19d2
DefaultVendor= 0x19d2
DefaultProduct= 0x2000
DefaultProduct= 0xfff5
ZTE MF628
DefaultVendor= 0x19d2
DefaultVendor= 0x19d2
DefaultProduct= 0x2000
DefaultProduct= 0xfff5
ZTE MF622
ZTE MF626
ZTE 6535-Z
ZTE MF628
ZTE MF633
DefaultVendor= 0x19d2
ZTE MF636
DefaultProduct= 0x2000
ZTE MF637
ONDA MT503HS
DefaultVendor= 0x19d2
DefaultProduct= 0x2000
DefaultVendor= 0x19d2
DefaultProduct= 0x2000
897
DefaultVendor= 0x19d2
DefaultProduct= 0x2000
DATA ADU-500A, ADU-510A, ADU-510L, ADUNovatel Wireless Ovation MC950D HSUPA
520A
DefaultProduct= 0x1000
DefaultProduct= 0x5010
BandLuxe C120
Novatel U727 USB modem
DefaultVendor= 0x1a8d
DefaultVendor= 0x1410
DefaultProduct= 0x1000
DefaultProduct= 0x5010
Novatel MC990D
Solomon S3Gm-660
DefaultVendor= 0x1410
DefaultProduct=0x5020
DefaultVendor= 0x1dd6
DefaultProduct= 0x1000
DefaultVendor= 0x1410
DefaultVendor= 0x16d8
DefaultProduct= 0x5030
DefaultProduct= 0x6803
DefaultVendor= 0x16d8
DefaultProduct= 0xf000
DefaultVendor= 0x1c9e
Toshiba G450
DefaultProduct= 0x1001
DefaultVendor= 0x0930
Alcatel X200/X060S
DefaultProduct= 0x0d46
DefaultVendor= 0x1bbb
UTStarcom UM175
DefaultProduct= 0xf000
Aker Security Solutions
898
DefaultVendor= 0x106c
DefaultVendor= 0x1c9e
DefaultProduct= 0x3b03
DefaultProduct= 0xf000
Hummer DTM5731
DefaultVendor= 0x1ab7
DefaultVendor= 0x1c9e
DefaultProduct= 0x5700
DefaultProduct= 0xf000
A-Link 3GU
MyWave
SW006
Sport
Phone/Modem
Combination
DefaultVendor= 0x1e0e
DefaultProduct= 0xf000
DefaultVendor= 0x1c9e
DefaultProduct= 0x9200
DefaultVendor= 0x1199
DefaultProduct= 0x0fff
Sierra Wireless AirCard 881U
Cricket A600
DefaultVendor= 0x1199
DefaultVendor= 0x1f28
DefaultProduct= 0x0fff
DefaultProduct= 0x0021
EpiValley SEC-7089
DefaultVendor= 0x1b7d
DefaultProduct= 0x0700
DefaultVendor= 0x0fce
DefaultProduct= 0xd0e1
Samsung U209
DefaultVendor= 0x04e8
DefaultProduct= 0xf000
DefaultVendor= 0x1004
DefaultProduct= 0x1000
Huawei E270+ )
Huawei E1762
Huawei E1820
DefaultVendor= 0x05c6
DefaultVendor= 0x12d1
DefaultProduct= 0x1000
DefaultProduct= 0x1446
MobiData MBD-200HU
Huawei E1550
Huawei E1750
899
DefaultVendor= 0x0471
DefaultVendor= 0x12d1
DefaultProduct= 0x1237
DefaultProduct= 0x1446
ZTE K3565
ZTE K3520-Z
DefaultVendor= 0x19d2
DefaultVendor= 0x19d2
DefaultProduct= 0x2000
DefaultProduct= 0x2000
Motorola 802.11 bg WLAN (TER/GUSB3-E)
MobiData
MBD-200HU
(aka
4G
XS
Stick
DefaultVendor= 0x148f
DefaultProduct= 0x2578
Huawei E1612
DefaultVendor= 0x1c9e
DefaultProduct= 0xf000
DefaultVendor= 0x12d1
DefaultProduct= 0x1446
Huawei E1692
DefaultProduct= 0x2001
Huawei E1762
Novatel MC760 3G
DefaultVendor= 0x12d1
DefaultProduct= 0x1446
DefaultVendor= 0x1410
DefaultProduct= 0x5031
C-motech CHU-629S
DefaultProduct= 0x700a
DefaultProduct= 0x0053
Sagem F@ST 9520-35-GLR
Philips TalkTalk (NXP Semiconductors "Dragonfly")
DefaultVendor= 0x1076
DefaultProduct= 0x7f40
DefaultVendor= 0x0471
DefaultProduct= 0x1237
Nokia CS-15
HuaXing E600 (NXP Semiconductors "Dragonfly")
DefaultVendor= 0x0421
Aker Security Solutions
900
DefaultProduct= 0x0610
DefaultVendor= 0x057c
Huawei K3765
DefaultProduct= 0x84ff
DefaultVendor= 0x12d1
InfoCert
DefaultProduct= 0x1520
emulation)
Huawei K4505
DefaultVendor= 0x072f
Business
Key
(SmartCard/Reader
DefaultProduct= 0x100d
DefaultVendor= 0x12d1
DefaultProduct= 0x1521
UTStarcom UM185E
DefaultVendor= 0x106c
DefaultProduct= 0x3b06
DefaultVendor= 0x0471
DefaultProduct= 0x1210
ZTE AC581
DefaultVendor= 0x05c6
DefaultVendor= 0x19d2
DefaultProduct= 0xf000
DefaultProduct= 0x0026
1202 (Variant 1)
DefaultVendor= 0x12d1
DefaultVendor= 0x0ace
DefaultProduct= 0x101e
DefaultProduct= 0x2011
Beceem BCSM250
Zydas ZD1211RW WLAN USB, Sphairon HomeLink
1202 (Variant 2)
DefaultVendor= 0x198f
DefaultProduct=0xbccd
DefaultVendor= 0x0ace
DefaultProduct= 0x20ff
DefaultVendor= 0x1004
DefaultProduct=0x607f
DefaultVendor= 0x05c6
DefaultProduct= 0x1000
DefaultVendor= 0x0482
901
DefaultProduct=0x024d
DefaultProduct= 0x0083
Digicom 8E4455
ZTE MU351
DefaultVendor= 0x1266
DefaultVendor= 0x19d2
DefaultProduct=0x1000
DefaultProduct= 0x0003
LG L-05A
DefaultVendor= 0x0fce
DefaultVendor= 0x1004
DefaultProduct=0xd0cf
DefaultProduct= 0x613a
DefaultVendor= 0x19d2
DefaultVendor= 0x1004
DefaultProduct=0x1001
DefaultProduct= 0x613f
DefaultVendor= 0x1fac
DefaultVendor= 0x1004
DefaultProduct=0x0130
DefaultProduct=0x607f
Royaltek Q110 -
DefaultVendor= 0x1bbb
DefaultVendor= 0x1266
DefaultProduct= 0xf000
DefaultProduct=0x1000
ZTE MF112
DefaultVendor= 0x19d2
DefaultVendor= 0x1a8d
DefaultProduct= 0x0103
DefaultProduct=0x1000
DefaultVendor= 0x0b3c
DefaultVendor= 0x12d1
DefaultProduct= 0xc700
DefaultProduct=0x14c1
Huawei R201
DefaultVendor= 0x19d2
DefaultVendor= 0x12d1
902
DefaultProduct=0x1523
DefaultProduct=0x689a
DefaultVendor= 0x0cf3
DefaultVendor= 0x0d46
DefaultProduct=0x20ff
DefaultProduct=0x45a1
Onda MW833UP
DefaultVendor= 0x0d46
DefaultVendor= 0x1ee8
DefaultProduct=0x45a5
DefaultProduct=0x0013
Onda MW833UP
DefaultVendor= 0x1ee8
DefaultProduct=0x0009
Huawei U8110 / U8300 / Joy, Vodafone 845
(Android smartphone)
DefaultVendor= 0x12d1
DefaultVendor= 0x0b3c
DefaultProduct=0x1031
DefaultProduct=0xf000
Nokia CS-10
DefaultVendor= 0x0421
DefaultVendor= 0x12d1
DefaultProduct=0x060c
DefaultProduct=0x1446
Nokia CS-17
DefaultVendor= 0x19d2
DefaultVendor= 0x0421
DefaultProduct= 0x2000
DefaultProduct=0x0622
BSNL Capitel
Nokia CS-18
DefaultVendor= 0x1c9e
DefaultVendor= 0x0421
DefaultProduct= 0x9e00
DefaultProduct=0x0627
Samsung GT-B3730
DefaultVendor= 0x04e8
DefaultVendor= 0x05c7
903
DefaultProduct=0x1000
DefaultProduct= 0x6500
DefaultVendor= 0x0fd1
DefaultVendor= 0x07d1
DefaultProduct=0x1000
DefaultProduct=0xa800
LG AD600
DefaultVendor= 0x1004
DefaultVendor= 0x1fac
DefaultProduct=0x6190
DefaultProduct=0x0032
Haier CE 100
DefaultVendor= 0x106c
DefaultVendor= 0x201e
DefaultProduct=0x3b05
DefaultProduct=0x2009
AirPlus MCD-800
DefaultVendor= 0x1edf
DefaultVendor= 0x12d1
DefaultProduct=0x6003
DefaultProduct=0x380b
Huawei E352
DefaultVendor= 0x230d
DefaultVendor= 0x12d1
DefaultProduct=0x0001
DefaultProduct=0x1449
C-motech CHU-628S
Huawei ET8282
DefaultVendor= 0x16d8
DefaultVendor= 0x12d1
DefaultProduct=0x6281
DefaultProduct=0x1da1
DefaultVendor= 0x05c6
DefaultVendor= 0x12d1
DefaultProduct=0x2000
DefaultProduct=0x1009
Onda MW836UP-K
DefaultVendor= 0x8888
DefaultVendor= 0x1ee8
904
DefaultProduct=0x0040
DefaultProduct=0xffe6
ZTE MF190
DefaultVendor= 0x19d2
DefaultVendor= 0x19d2
DefaultProduct=0x0110
DefaultProduct= 0x1224
DefaultVendor= 0x05c6
DefaultVendor= 0x198a
DefaultProduct=0x1000
DefaultProduct=0x0003
Vibe 3G Modem
DefaultVendor= 0x1c9e
DefaultVendor= 0x12d1
DefaultProduct=0x6061
DefaultProduct=0x14b5
DefaultVendor= 0x12d1
DefaultVendor= 0x16d8
DefaultProduct=0x14fe
DefaultProduct=0x700b
Huawei
U8220,
T-Mobile
Pulse
(Android
smartphone)
DefaultVendor= 0x19d2
DefaultVendor= 0x12d1
DefaultProduct=0x1201
DefaultProduct=0x1030
ZTE MF192
D-Link DWM-156 HSUPA 3.75G USB Modem
DefaultVendor= 0x19d2
DefaultVendor= 0x07d1
DefaultProduct=0x1216
DefaultProduct=0xa804
ZTE MF190 (Variant)
Sony Ericsson MD400G
DefaultVendor= 0x19d2
DefaultVendor= 0x0fce
DefaultProduct=0x0149
DefaultProduct= 0xd103
Visiontek 82GH 3G
ZTE "ffe" devices 1 (e.g. Cricket A605)
DefaultVendor= 0x230d
DefaultVendor= 0x19d2
Aker Security Solutions
DefaultProduct=0x0007
905
DefaultProduct=0x9800
SpeedUp SU-8000U
HP LaserJet Professional P1102
DefaultVendor= 0x2020
DefaultVendor= 0x03f0
DefaultProduct=0xf00e
DefaultProduct=0x002a
Cisco AM10 "Valet Connector"
Mobile Action ("Smart Cable")
DefaultVendor= 0x1307
DefaultVendor= 0x0df7
DefaultProduct=0x1169
DefaultProduct=0x0800
Alcatel OT X220L
Vodafone/Huawei K3770
DefaultVendor= 0x12d1
DefaultVendor= 0x1bbb
DefaultProduct=0x14d1
DefaultProduct=0xf052
Nokia CS-19
Vodafone/Huawei K3771
DefaultVendor= 0x0421
DefaultVendor= 0x12d1
DefaultProduct=0x062c
DefaultProduct=0x14c4
Huawei ET302
Option iCon 461
DefaultVendor= 0x12d1
DefaultVendor= 0x0af0
DefaultProduct=0x1d50
DefaultProduct= 0x7a05
3GO 3GO11 HSUPA
ZTE AX226 WiMax
DefaultVendor= 0x1e89
DefaultVendor= 0x19d2
DefaultProduct=0xf000
DefaultProduct=0xbccd
Novatel Wireless MC545 HSPA
Huawei EC156
DefaultVendor= 0x1410
DefaultVendor= 0x12d1
DefaultProduct=0x5059
DefaultProduct=0x1505
ZTE AC682 (a.k.a. SmartFren Connex)
Longcheer SU9800
DefaultVendor= 0x19d2
DefaultVendor= 0x1c9e
Aker Security Solutions
DefaultProduct=0xffde
906
DefaultProduct=0x2000
ZTE MF820 4G LTE
Celot CT-680
DefaultVendor= 0x19d2
DefaultProduct=0x0166
DefaultVendor= 0x05c6
DefaultProduct=0x1000
DefaultVendor= 0x1de1
DefaultVendor= 0x12d1
DefaultProduct=0x1101
DefaultProduct=0x1f01
AnyDATA APE-540H
DefaultVendor= 0x05c6
DefaultVendor= 0x201e
DefaultProduct=0x6503
DefaultProduct=0x102
LG L-02C LTE
DefaultProduct=0x61dd
DefaultProduct=0x1517
LG SD711
Qisda H21 Flying Beetle
DefaultVendor= 0x1004
DefaultVendor= 0x1da5
DefaultProduct=0x61e7
DefaultProduct=0xf000
LG L-08C (NTT docomo)
C-motech CDU-685a
DefaultVendor= 0x1004
DefaultVendor= 0x16d8
DefaultProduct=0x61eb
DefaultProduct=0x6804
I-O Data WMX2-U Wimax
StrongRising (China Telcom), Air FlexiNet
DefaultVendor= 0x04bb
DefaultVendor= 0x21f5
DefaultProduct=0xbccd
DefaultProduct=0x1000
Option GlobeTrotter GI1515
BandRich BandLuxe C339
DefaultVendor= 0x0af0
DefaultVendor= 0x1a8d
Aker Security Solutions
DefaultProduct=0xd001
907
LG L-07A
Samsung GT-B1110
DefaultVendor= 0x1004
DefaultVendor= 0x04e8
DefaultProduct=0x614e
DefaultProduct=0x680c
ZTE A371B
DefaultVendor= 0x19d2
DefaultVendor= 0x19d2
DefaultProduct=0x0169
DefaultProduct=0x1514
ZTE MF652
MediaTek MT6276M
DefaultVendor= 0x19d2
DefaultVendor= 0x0e8d
DefaultProduct=0x1520
DefaultProduct=0x0002
Tata Photon+
DefaultVendor= 0x19d2
DefaultVendor= 0x22f4
DefaultProduct=0x0146
DefaultProduct=0x0021
DefaultVendor= 0x2077
DefaultVendor= 0x0af0
DefaultProduct=0xf000
DefaultProduct= 0x8006
Nokia CS-21M-02
DefaultVendor= 0x0421
DefaultVendor= 0x0af0
DefaultProduct=0x0637
DefaultProduct=0x4007
Celot K-300
DefaultVendor= 0x1c9e
DefaultVendor= 0x05c6
DefaultProduct=0x98ff
DefaultProduct=0x1000
ZTE MF637
DefaultVendor= 0x19d2
DefaultVendor= 0x109b
DefaultProduct=0x0031
DefaultProduct=0xf009
908
ZTE MF821D
DefaultVendor= 0x0408
DefaultVendor= 0x19d2
DefaultProduct=0xf000
DefaultProduct=0x0325
K5005 Vodafone/Huawei
DefaultVendor= 0x12d1
DefaultVendor= 0x0922
DefaultProduct=0x14c3
DefaultProduct=0x1001
DefaultVendor= 0x2001
DefaultVendor = 0x1ee8
DefaultProduct=0xa80b
DefaultProduct =0x004a
DefaultVendor= 0x12d1
DefaultVendor= 0x19d2
DefaultProduct=0x1c24
DefaultProduct=0x1017
DefaultVendor= 0x1ee8
DefaultVendor= 0x0af0
DefaultProduct=0x0060
DefaultProduct=0x8700
Alcatel OT-X220D
WeTelecom WM-D300
DefaultVendor= 0x1bbb
DefaultVendor= 0x22de
DefaultProduct=0xf017
DefaultProduct=0x6803
Alcatel OT-X080C
DefaultVendor= 0x1bbb
DefaultVendor= 0x15eb
DefaultProduct=0x00ca
DefaultProduct=0x7153
TP-Link MA180
DefaultVendor= 0x2357
DefaultVendor= 0x230d
DefaultProduct=0x0200
DefaultProduct=0x0101
909
DefaultProduct=0x14ba
Nokia CS-11
Option Beemo / Pantech P4200 LTE
DefaultVendor= 0x0421
DefaultProduct=0x061d
DefaultVendor= 0x106c
DefaultProduct=0x3b14
Huawei E355s-1
DefaultVendor= 0x19d2
DefaultVendor= 0x12d1
DefaultProduct=0x0154
DefaultProduct=0x1f01
Huawei E535
Nokia CS-7M-01
DefaultVendor= 0x0421
DefaultVendor= 0x12d1
DefaultProduct=0x0632
DefaultProduct=0x14fe
ZTE MF190J
LG L-03D LTE/3G
DefaultVendor= 0x19d2
DefaultVendor= 0x1004
DefaultProduct=0x1542
DefaultProduct=0x6327
Huawei E171
DefaultVendor= 0x12d1
DefaultVendor= 0x1fac
DefaultProduct=0x155b
DefaultProduct=0x0150
Huawei E353
DefaultVendor= 0x12d1
DefaultVendor= 0x12d1
DefaultProduct=0x1526
DefaultProduct=0x151a
Changhong CH690
DefaultVendor= 0x12d1
DefaultVendor= 0x2077
DefaultProduct=0x1f11
DefaultProduct=0x1000
Alcatel-Lucent T930S
DefaultVendor= 0x12d1
Aker Security Solutions
910
DefaultVendor= 0x04cc
DefaultProduct=0xa708
DefaultProduct=0x225c
Onda TM201 14.4 (TIM Italy)
Axesstel MU130
DefaultVendor= 0x1ee8
DefaultVendor= 0x1726
DefaultProduct=0x0063
DefaultProduct=0xf00e
Onda WM301
Explay Slim
DefaultVendor= 0x1c9e
DefaultVendor= 0x1ee8
DefaultProduct=0x9e08
DefaultProduct=0x0068
Nokia CS-12
DefaultVendor= 0x12d1
DefaultVendor= 0x0421
DefaultProduct=0x1c1b
DefaultProduct=0x0618
DefaultVendor= 0x12d1
DefaultVendor= 0x05c6
DefaultProduct=0x1805
DefaultProduct=0x0010
DefaultVendor= 0x12d1
DefaultVendor= 0x19d2
DefaultProduct=0x1f03
DefaultProduct=0x0266
Pantech UML290
DefaultVendor= 0x2001
DefaultVendor= 0x106c
DefaultProduct=0xa706
DefaultProduct=0x3b11
Novatel MC996D
DefaultVendor= 0x2001
DefaultVendor= 0x1410
DefaultProduct=0xa707
DefaultProduct=0x5023
D-Link DWR-510
DefaultVendor= 0x2001
DefaultVendor= 0x2001
911
DefaultProduct=0xa805
DefaultProduct=0x0103
Mediatek MT6229
Huawei E3276s-151 and E3251
DefaultVendor= 0x2020
DefaultProduct=0x0002
DefaultVendor= 0x12d1
DefaultProduct=0x156a
ZTE MF196
Huawei K4305
DefaultVendor= 0x19d2
DefaultProduct=0x1528
DefaultVendor= 0x12d1
DefaultProduct=0x1f15
DefaultVendor= 0x19d2
DefaultProduct=0x0150
BlackBerry Q10 and Z10
ZTE MF680
DefaultVendor= 0x0fca
DefaultVendor= 0x19d2
DefaultProduct=0x8020
DefaultProduct=0x1227
Pantech LTE Modem
WeTelecom WM-D200
DefaultVendor= 0x10a9
DefaultProduct=0x6080
DefaultVendor= 0x22de
DefaultProduct=0x6801
DefaultProduct=0xea43
DefaultVendor= 0x0408
DefaultProduct=0xea25
DefaultVendor= 0x057c
TP-Link MA260
DefaultProduct=0x62ff
DefaultVendor= 0x2357
DefaultProduct=0xf000
DefaultVendor= 0x05c6
Teracom LW272
DefaultProduct=0x9024
DefaultVendor= 0x230d
Aker Security Solutions
912
36.18.
Agregao de link
mode = 4 (802.3ad)
IEEE 802.3ad - agregao de links dinamicamente: O modo 802.3ad (tambm conhecido
como 802.1ax) o modo habilitado por padro. Ele cria grupos de agregao que
compartilham a mesma velocidade e definies de comunicao (modo duplex). Utiliza
todos os canais ativos no agrupamento de acordo com a especificao 802.3ad.
mode = 5 (balanceamento TLB)
Balanceamento de carga de transmisso: Tipo de agregao que equilibra o trfego de
sada e no exige qualquer suporte especial do switch. O trfego de sada balanceado de
acordo com a carga momentnea (que calculada em relao a velocidade) em cada um
dos canais que participam do grupo. O trfego de entrada recebido pelo canal que esta em
Aker Security Solutions
914
uso. Se o canal principal apresentar alguma falha, outro canal ser ativado substituindo-o
automaticamente e assumindo a resposta de recepo/entrada de pacotes.
mode = 6 (balanceado alb)
Balanceamento de carga adaptativo: Funciona como o modo 5 (balanceamento na
transmisso), mas tambm inclui balanceamento de carga de recebimento para trfego IPv4
e, de acordo com o modo anterior, tambm no requer nenhuma capacidade especial do
switch. O balanceamento de carga de recebimento ocorre por meio da negociao ARP. O
mdulo de agrupamento intercepta a resposta ARP enviada pelo sistema local na sada e
sobrescreve o endereo de hardware de origem da comunicao usando o endereo de
hardware nico de um dos canais do grupo, de forma que diferentes pares usem endereos
de hardware diversos para se comunicar com o servidor.
Miimon
Especifica a frequncia de monitorizao MII link em milissegundos (ms). O parmetro
Miimon=100 determina quantas vezes o estado do link de cada canal ser inspecionado no
caso de falhas de link. O valor zero desativa o monitoramento de link MII (100 o valor
recomendado).
36.19.
O padro inicial do Link Aggregation era o IEEE 802.3ad, mas em 2008, ele foi transferido
formalmente para o grupo 802.1 com o nome 802.1ax, pois algumas camadas do 802.1 se
posicionam acima do Link aggregation. Como o Linux ainda se refere ao padro com o nome
802.3ad, adotaremos esta nomenclatura para evitar confuso, pois ela que ser vista ao se
verificar os arquivos via linha de comando.
No 802.3ad definido o Link Aggregation Control Protocol (LACP), que define um padro
para a troca de informaes entre equipamentos de diferentes fabricantes para definirem a
identidade de cada grupo de Link Agreggation (LAG) - quais interfaces so membros de cada
grupos. Para isso, frames (LACPDUs) sero enviados a todas as interfaces que possuem o
protocolo habilitado. Ao encontrar outro equipamento que possui LACP habilitado, as
informaes so trocadas o que permitem detectar mltiplos links entre as estaes e
combin-las para formar um nico link lgico.
De acordo com a especificao IEEE, os pacotes eniados ao mesmo endereo IP so
encaminhados ao mesmo adaptador. Quando operandos neste modo, os pacotes so
distribudos neste padro (modo padro). Nunca alternando entre as interfaces (roundrobin) para aumentar o throughtput de transmisso.
Entre as limitaes do protocolo, que importante destacar que, para o Link Aggregation
definido pelo IEEE sero necessrias interfaces full-duplex, utilizando MAC definidos pelo
padro IEEE 802.3. Caso as interfaces possuam diferentes velocidades, no ser possvel
equilibrar a carga, por isso, recomenda-se utilizar interfaces com a mesma velocidade.
Aker Security Solutions
915
Switch
916
917
5. Nesta janela deve-se inserir o nmero o qual a interface bond ser referenciada
918
Customizao Manual
919
USERCTL=no
BOOTPROTO=static
ONBOOT=yes
AK_CLUSTER_MONITOR=no
BONDING_MASTER=yes
BONDING_OPTS=mode=balance-rr miimon=100
IPADDR=10.0.0.1
NETMASK=255.0.0.0
MTU=1500
IPV6INIT=yes
IPV6ADDR=
Em seguida, basta abrir o programa akinterface e selecionar a opo 6 - Aplicar novas
configuraes. Saia do akinterface e verifique a mudana do modo por meio da linha de
comando:
# cat /proc/net/bonding/bond0 | head -n 3
Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)
Bonding Mode: load balancing (round-robin)
Pronto, o modo de operao do Link Aggregation foi alterado com sucesso!
Por meio deste mtodo, no apenas o modo, mas toda configurao que fica presente na
linha BONDING_OPTS poder ser alterada. Caso esteja utilizando um cluster, as
configuraes sero replicadas para o outro n.
36.22.
Wireless
920
921
Nesta aba so definidas as opes do firewall em relao ao servio Wireless. Ela consiste
das seguintes opes:
Habilitar rdio: Habilita ou desabilita o envio do sinal wireless.
SSID: Conjunto nico de caracteres que identifica uma rede sem fio, ou seja, o nome da rede
wireless.
Segurana: Tipo de chave segurana que ser usada na rede wireless, estas so: WPA1-PSK,
WPA2-PSK, WPA1/WPA2-PSK, WEP e Nenhum. Ao configura o WDS, o administrador deve
selecionar o mesmo tipo de chave de segurana nos dois APs (Access Point Master e Access
Point Slave).
Chave: Senha de acesso a rede wireless.
Encriptao: Tipo de criptografia que ser usando na conexo, as seguintes opes esto
disponveis:
AES O AES (Advanced Encryption Standard) algoritimo de criptogrfica que
trabalha byte a byte, porm e considerado uma cifra de bloco.
TKIP O TKIP (Temporal Key Integrity Protocol) algoritmo de criptografia baseado
em chaves que se alteram a cada novo envio de pacote. A sua principal caracterstica
a frequente mudana de chaves que garante mais segurana.
922
Canal: Canal que ser usado pelo AP (Access Point) para trocar dados com o dispositivo
cliente na rede wireless. Este canal deve ser o mesmo nos dois roteadores (Master e Slave).
Protocolo: Tipo de protocolo a ser utilizado.
AP Isolation: Ao habilitar esta opo os usurios conectados a rede wireless e no podero
se comunicar, tendo apenas o acesso Internet.
WDS: Habilita a redistrubuio do sinal wireless.
O que o WDS?
WDS (Wireless distribution system Sistema de distribuio sem fio) um sistema que
permite a interconexo de pontos de acesso (AP- Access Point) sem a utilizao de cabos ou
fios. O WDS permite que redes wireless expandam-se utilizando pontos de acesso mltiplos
sem a necessidade de um backbone central (rede principal onde trafegam dados e
informaes de todos os usurios da Internet) para liga-los por meio de cabos. O WDS
realizado quando se deseja expandir o sinal wireless do Access Point(referido como WDSMASTER na imagem abaixo), por meio de um segundo Access Point (Referido como WDSslave na imagem abaixo).
36.23.
923
Primeiramente o administrador deve se certificar que o WDS- Master (WDSMaster - Access Point o qual ir expandir o sinal wireless com outro Access
Point - WDS Slave) esta transmitindo internet por meio do sinal wireless
normalmente.
924
925
Nesta aba voc pode visualizar todos os usurios que esto conectados em sua rede
wireless.
926
Nesta aba e possivel habilitar a filtragem de endereos MAC com as seguintes ooes:
Permitir apenas estes endereos Mac
Permitir todos endereos MAC, excluindo estes
927
Nesta aba possvel inserir o endereo MAC do Access Point Master, para que o Access
Point Slave receba o sinal para redistribuio.
Para que o funcionamento do WDS seja feito com sucesso, as placas wireless devem ser
similares tanto em Aker BOX, ou em terceiros, ou seja, ao usar placas wireless diferentes o
funcionamento do WDS poder apresentar falhas.
928
929
Este captulo mostra para que serve e como configurar o Aker Firewall em modo bridge.
O Aker Firewall modo bridge possibilita ao usurio criar, deletar e visualizar interfaces
Bridge. Tambm possibilita a criao de IPs, VLANs, rotas padro para VLAN e alias, para
Interfaces Bridge. Esta configurao feita via Interface Remota (Control Center) ou
Interface Texto (via SSH).
Como funciona o Aker Firewall em modo bridge?
Os pacotes que passarem por Interfaces filhas de uma Interface Bridge no tero seus
campos de IP modificados, dessa forma, deixando o Firewall indetectvel nessa camada. Ao
receber um pacote, o Firewall analisar as camadas de rede, e de aplicao, assim aplicando
filtros, liberando, descartando ou bloqueando o pacote. Estes filtros so: as regras de
filtragem, proxies transparentes, regras pipes, logs de pacotes, filtro de IPS/IDS, filtro de
aplicativos e outras funcionalidades que no alteram o roteamento o IP do pacote.
No e possvel colocar um IP na interface fsica que foi configurada com Bridge pela
Interface Remota ou Interface Texto (via SSH).
O Aker Firewall em modo bridge permite criao de uma interface Bridge com duas ou
mais interfaces fsicas.
37.1.
1. Acessar o Aker Firewall via Interface Texto (via SSH), e ento deve-se acessar a opo
1 Configurar Interfaces de rede.
930
931
Figura 642 - Aperte a tecla Enter, para concluir a insero de sua nova interface Bridge.
932
933
Este captulo mostra como configurar a tolerncia a falhas e o cluster cooperativo do Aker
Firewall.
38.1.
Planejando a Instalao
934
se d pelo fato de poder aplicar correes por meio da Interface Remota e essas correes
serem replicadas automaticamente de uma mquina para a outra.
Alm de estarem conectadas entre si, o que deve ser feito por uma interface de rede,
necessrio que todas as placas de rede correspondentes das duas mquinas estejam
conectadas em um mesmo hub ou switch, de forma que ambos os firewalls tenham acesso
s mesmas mquinas e roteadores.
Como trabalha o sistema Cooperativo do Aker Firewall?
Antes de tudo a diferena bsica da configurao do cluster cooperativo e do failover est
vinculada licena. A licena do cluster cooperativo faz com que a convergncia de dois
firewalls com pesos iguais seja de 50% para cada um, j a licena do failover faz com que
ocorra convergncia em apenas um dos firewalls.
O que so modos UNICAST e MULTICAST do sistema Cooperativo do Aker Firewall?
No Aker Firewall em modo cooperativo, mais de um host ( os nodos do cluster) precisam
receber os mesmos pacotes, para posteriormente cada um deles possam decidir se estes
pacotes so ou no de sua responsabilidade. Como os switches no esto preparados
nativamente para isso, uma das duas tcnicas precisa ser empregada (UNICAST ou
MULTICAST).
A primeira tcnica chamada de modo unicast, implica-se em re-configurar o switch para
que ele saiba que um determinado endereo ethernet (MAC) est em duas ou mais portas
simultaneamente, significando que ele deve copiar o pacote com esse endereo destino em
todas elas, e jamais aprend-lo como estando em uma porta apenas. Nesse modo, todos os
firewalls do cluster usam o mesmo endereo MAC. O nico inconveniente desse modo que
so raros os switches que o suportam.
A segunda tcnica chamada de modo multicast, ela faz com que os firewalls de um cluster
registrem um endereo ethernet multicast em suas interfaces e respondam as chamadas de
ARP para o IP virtual com esse endereo. Se o switch no for configurado para limitar o
espalhamento de pacotes multicast, todos os pacotes destinados ao firewall sero
redistribudos em todas as portas, como se fossem pacotes broadcast.
Para fazer essa configurao, existem duas opes: faz manualmente no switch, ou ento
utiliza o protocolo IGMP, onde cada firewall anuncia ao switch que membro do grupo
multicast correspondente ao endereo escolhido. Seu switch deve suportar uma dessas
duas opes. Alm disso, existem alguns roteadores que no aprendem o endereo
multicast ethernet da resposta ARP enviada pelo firewall. Nesses casos, as entradas para o
firewall devem ser adicionadas manualmente em suas tabelas.
Existem implicaes srias de performance (flooding, por exemplo) e segurana
(requisio de associao IGMP por qualquer host da rede) no caso de cluster no modo
multicast. Todos os problemas podem ser evitados com corretas configuraes nos
Aker Security Solutions
935
switches. Tenha certeza que voc entende o funcionamento desse modo antes de coloc-lo
em funcionamento.
Quando o cluster estiver no ar, qualquer alterao feita nas configuraes de um firewall
por meio da Interface Remota ser replicada automaticamente para o outro firewall.
Configurao do Cluster
38.2.
Para que possa ser iniciada a configurao do Cluster, necessrio que previamente exista
uma licena de cluster e que j tenha sido aplicada no Firewall.
Para se ter acesso janela de Configurao do Cluster deve-se:
936
Essa janela permite a criao de um novo cluster. O usurio dever preencher os seguintes
campos:
Nome: Nesse campo deve ser informado o nome do Firewall no cluster.
Peso: Esse campo indica o balanceamento do trfego. O administrador poder escolher o
valor mais apropriado.
Interface: Esse campo permite a escolha de uma entidade que representa uma interface de
controle do firewall. Essa entidade ser usada pelo firewall para controle do cluster.
Boto Ok: Ao trmino da escolha das opes, deve-se clicar no boto Ok. Se a licena tiver
sido aplicada anteriormente, o cluster ser habilitado, caso tenha algum problema,
aparecer uma mensagem informando que no foi possvel habilit-lo.
Se a criao do cluster tiver sido feita com sucesso a Interface Remota ser desconectada
para garantir que toda a configurao do firewall seja recarregada, assim o usurio dever
conectar novamente.
Aker Security Solutions
937
Caso o usurio deseje fazer alguma alterao nas configuraes do cluster criado, dever
acessar a Janela de Configurao de Cluster. Abaixo seguem as descries dos campos:
Informaes Gerais
Nessa parte da janela so mostradas informaes gerais do cluster criado.
Tipo de Cluster: Esta opo permite selecionar o tipo de cluster desejado ou desabilit-lo.
Interface de Controle: Essa informao definida na hora da criao do cluster, no
podendo ser alterada posteriormente. Todos os seus outros membros utilizaro essa
mesma entidade.
Informaes dos Membros
Nessa parte da Janela mostra todas as informaes sobre os membros do cluster.
938
939
Nessa janela se preenche todas as informaes do firewall que ser adicionado ao cluster.
Abaixo segue a descrio dos campos:
Informao da conexo
IP: o endereo da interface de controle a ser adicionada no cluster.
Usurio: Usurio de administrao do firewall.
Senha: Senha do usurio administrador do firewall.
Informao do Firewall
Nome: Nome do Firewall no cluster
Peso: Esse campo indica o balanceamento do trfego. O administrador poder escolher o
valor mais apropriado.
Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum.
Mestre: Requisita que durante a primeira convergncia, esta seja a mquina Mestre,
que a maquina ativa que tratar as requisies
940
Escravo: Requisita que durante a primeira convergncia esta mquina seja Escravo,
que um n que ser ativado apenas se a estao mestre cair.
Nenhum: As maquinas iro decidir entre elas quem deve ser a estao mestre e qual
estao ser escravo.
presente na barra
Estatstica do Cluster
38.3.
941
Aba Firewall 1
A janela possui dois tipos de informaes: as informaes estticas se referem ao nome do
nodo, o identificador e o peso. As outras informaes que constam na janela so estatsticas
do trfego de redes que permite, por exemplo, a visualizao da quantidade de pacotes
trafegados na rede.
Os valores so acumulativos, a cada segundo os dados so somados ao valor anterior.
Aba Grfico
Esta janela permite a visualizao grfica das informaes referentes ao tratamento dado
aos pacotes dos nodos que passam pelo Firewall. Esse grfico permite a visualizao de at
8 nodos.
As informaes do trfego de cada nodo so mostradas em porcentagem. Esta aba possui
vrios tipos de filtros, permitindo ao usurio, para uma eventual comparao de dados,
filtrar informaes em percentual, das atividades de cada firewall.
Aker Security Solutions
942
38.4.
943
Aps clicar na aba Configurao do Cluster ser aberta uma janela mostrando a seguinte
mensagem Voc mo tem um cluster configurada. Deseja criar um agora ?.
944
Interface: Esse campo permite a escolha de uma entidade que representa uma
interface de controle do firewall. Essa entidade ser usada pelo firewall para
controle do cluster.
945
Clicar no boto OK, em seguida, aparecer uma popup informando que voc ser
desconectado para recarregar as novas configuraes.
946
Figura 655 Mensagem que o usurio ser desconectado para as configuraes serem recarregadas.
Clicar no boto OK. Conecte novamente via Control Center, v em Configuraes do Sistema,
clique em Configurao do Cluster e na opo Tipo de Cluster selecione a opo Cluster
Cooperativo e clique no boto Aplicar.
947
Ser aberta uma janela informando que ao mudar o tipo de cluster, necessrio reiniciar o
servidor.
Figura 657 - Pop-up informando que ao mudar o tipo de cluster ser realizado um reincio do servidor.
948
949
950
Aps esse procedimento, acesse o servidor via SSH e colete o endereo MAC das interfaces:
Copie os quatro ltimos octetos do endereo MAC de cada interface que nesse caso
17:C6:4E:65 para cadastrar na configurao de cluster.
Na Control Center v em Configurao do Sistema, em Configurao do Cluster, clique
com o boto direito em cima da opo MAC da interface e cadastre todos os MAC de
acordo com a Interface que est sendo configurada de forma que fique configurado.
Repita todo o procedimento em todos os outros servidores que iro participar do Cluster
Cooperativo, tomando cuidado para no repetir os nomes dos servidores.
Aps esse procedimento para confirmar a montagem do cluster, conecte via Aker Control
Center v em Configurao do Sistema e abra a janela Configurao do Cluster:
Aker Security Solutions
951
952
38.5.
Aker Firewall
Uso: fwcluster [ajuda | mostra]
fwcluster tipo <off | failover | ha | coop>
fwcluster interface_controle <if>
fwcluster peso <peso>
fwcluster nome <nome>
fwcluster <habilita | desabilita> [master / slave] [ -f ]
fwcluster <inclui | remove> <if> <maquina> [ -f ]
fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast]
fwcluster limpa [ -f ]
(!) onde:
if : entidade interface
peso : peso desta maquina no cluster
maquina : endereo IP virtual a remover ou incluir (entidade maquina)
master : argumento opcional que indicara essa maquina a ser master
slave : argumento opcional que indicara essa maquina a ser slave
-f : argumento opcional que forca a aplicao da configurao mesmo
com a control center autenticada
Exemplo 1: (mostrando a configurao)
Para retornar ao nvel raiz deve-se usar o comando exit.
A segui um exemplo da topologia de uma rede com trs firewalls em cluster e duas redes
(rede 192 e rede 10).
953
Figura 664 - Interface Texto (via SSH) exemplo 1: mostrando a configurao da interface.
Antes que se inicie a montagem do cluster, primeiramente devem ser cadastradas todas as
interfaces, lembrando que diferente do cluster no firewall 4.5, aqui todos os firewalls
possuem endereos ip diferentes.
Exemplos: Firewall A - rl0 - if_externa - 10.0.0.1 Firewall B - rl0 - if_externa - 10.0.0.2
rl1 - if_interna - 192.168.1.1 rl1 - if_interna - 192.168.1.2
rl2 - if_controle - 172.16.0.1 rl2 - if_controle - 172.16.0.2
Firewall C rl0 - if_externa - 10.0.0.3
rl1 - if_interna - 192.168.1.3
rl2 - if_controle - 172.16.0.3
Em seguida crie uma entidade virtual para cada uma das placas, exceto para a interface de
controle, essas entidades tero valor igual para todos os firewalls do cluster.
Exemplos: Firewall A - externa_firewall (ip 10.0.0.4) Firewall B - externa_firewall (ip 10.0.0.4)
interna_firewall (ip 192.168.1.4) interna_firewall (ip 192.168.1.4)
Firewall C - externa_firewall (ip 10.0.0.4)
interna_firewall (ip 192.168.1.4)
Para iniciar a configurao do cluster, crie primeiro a interface de controle:
/aker/bin/firewall/fwcluster interface_controle interface_cadastrada
Depois inicie o cadastro de cada uma das interfaces participantes do firewall:
/aker/bin/firewall/fwcluster inclui interface_cadastrada mquina_virtual_cadastrada
Aker Security Solutions
954
Defina o peso de cada Firewall, se no for definido, por padro ser aplicado peso 1 para
todos:
/aker/bin/firewall/fwcluster peso numero_do_peso
Aps aplicar todas essas configuraes em todos os firewalls participantes, habilite o cluster
em cada um deles:
/aker/bin/firewall/fwcluster habilit
As mquinas do cluster no precisam ser iguais, mas as placas de rede sim.
Para o cluster failover utilize apenas 2 firewalls, j que apenas um responder por todo o
trfego.
O n Master sempre ser o n que possuir o maior nmero de IDS (no possvel visualizar o
IDS) das configuraes, ou seja, o n com menor nmero ser o n Slave e o n com maior nmero
ser o Master.
955
956
Este captulo mostra onde esto localizados e para que so usados os arquivos que fazem
parte do Aker Firewall.
Arquivos do Sistema
39.1.
Neste tpico sero mostrados quais so e onde se localizam os arquivos do sistema. Isto
muito importante na hora de fazer os backups ou para diagnosticar possveis problemas de
funcionamento.
rvore de diretrios
Programas executveis
Programas que podem ser executados pelos administradores do Aker Firewall
957
958
959
960
961
Este captulo mostra os comandos que podem ser utilizados no shell do Aker Firewall Box.
962
quit
exit
Descrio
Comando
help
?
Descrio
Comando
shutdown
Descrio
Comando
reboot
Descrio
Reinicia o firewall
Comando
Descrio
Comando
password
Descrio
963
Comando
Descrio
data
do
sistema.
Comando
Descrio
do
sistema.
964
965
A evoluo tecnolgica traz confortos e tambm cobranas. comum ouvirmos pessoas querendo
que o dia tivesse mais horas e a semana, mais dias. Com esta evoluo, a velocidade com que as
informaes chegam tambm cresceu a passos largos, criando nas pessoas a necessidade de estar
sempre a par dos acontecimentos, quase que na mesma velocidade em que eles acontecem.
Normalmente, as pessoas que mais sentem o impacto destes acontecimentos so os executivos e
profissionais que precisam ausentar-se com frequncia de seus locais de trabalho, j que em vrias
vezes ser necessrio tomar decises estratgicas, sem contar com ferramentas de apoio para
auxili-lo.
Esta prerrogativa motivou a Aker Security Solutions a desenvolver o Aker Client, ferramenta segura
e robusta, focada na necessidade de oferecer ao cliente uma soluo capaz de encurtar distncias
de maneira rpida, sem que isto represente uma vulnerabilidade para a empresa.
Com interface amigvel e de fcil utilizao, o Aker Client permite que um usurio remoto possa
acessar a rede de sua empresa, de onde quer que esteja com a mesma comodidade que teria se
estivesse em seu local de trabalho, utilizando uma conexo segura atravs da Internet sob a forma
de uma VPN. Em outras palavras o uso do Aker Client permite que, mesmo a vrios quilmetros de
distncia, os recursos para executar as tarefas dirias, sejam elas corriqueiras ou estratgicas,
estejam disponveis sempre que for preciso permitindo que qualquer usurio esteja mais prximo
das informaes que necessita para executar seu trabalho de maneira segura e eficiente.
Com o Aker Client, a sensao experimentada pelo usurio a de que sua mquina foi virtualmente
transportada para dentro da rede corporativa, como se ele realmente estivesse nas dependncias
fsicas da empresa, compartilhando switches, impressoras e outros recursos fsicos e lgicos. A
criao de perfis de acesso possibilita um maior controle no fluxo das informaes que passam pelo
tnel, permitindo que o Administrador possa identificar e contornar o uso indevido dos recursos
oferecidos.
966
Por ser a pea-chave na criao do canal encriptado que far a ponte entre a mquina do cliente e
o servidor colocado na rede interna, a preocupao com a segurana oferecida durante a
transmisso de dados deve ser maximizada, sem que isso comprometa a qualidade e facilidade de
uso da ferramenta. A segurana implementada no Aker Client agrega chaves de 256 bits,
autenticao de usurios e outros algoritmos de criptografia reconhecidos no mercado pela
robustez e dificuldade de quebra de segredo.
A ferramenta est dividida em dois componentes distintos: do lado da empresa, o Secure Roaming
do Firewall Aker permanece escutando a rede em tempo integral espera de novas conexes, a fim
de viabilizar a criao do tnel quando solicitado. J do lado do usurio, a conexo com o servidor
estabelecida atravs do Aker Client, mdulo de fcil configurao que introduz os parmetros
necessrios para que o cliente possa negociar com o servidor a criao do tnel e trfego dos
dados, sempre que necessrio.
Todas estas caractersticas fazem do Aker Client uma ferramenta totalmente segura e confivel,
ideal para as empresas que desejam qualidade e confiana na hora de disponibilizar aos seus
funcionrios um produto capaz de prover uma soluo de conexo ao mesmo tempo simples e
eficiente.
41.1.
Autenticao
967
41.2.
VPN
A evoluo tecnolgica traz confortos e tambm cobranas. comum ouvirmos pessoas querendo
que o dia tivesse mais horas e a semana, mais dias. Com esta evoluo, a velocidade com que as
informaes chegam tambm cresceu a passos largos, criando nas pessoas a necessidade de estar
sempre a par dos acontecimentos, quase que na mesma velocidade em que eles acontecem.
Normalmente, as pessoas que mais sentem o impacto destes acontecimentos so os executivos e
profissionais que precisam ausentar-se com frequncia de seus locais de trabalho, j que em vrias
vezes ser necessrio tomar decises estratgicas, sem contar com ferramentas de apoio para
auxili-lo.
Com o Aker Client, a sensao experimentada pelo usurio a de que sua mquina foi virtualmente
transportada para dentro da rede corporativa, como se ele realmente estivesse nas dependncias
fsicas da empresa, compartilhando switches, impressoras e outros recursos fsicos e lgicos. A
criao de perfis de acesso possibilita um maior controle no fluxo das informaes que passam pelo
tnel, permitindo que o Administrador possa identificar e contornar o uso indevido dos recursos
oferecidos. Isso tudo possvel por causa da VPN (Virtual Private Network) que um canal privado
que interliga dois pontos, atravs da formao de um tnel virtual entre eles, utilizando para isso a
infraestrutura de uma rede pblica j existente para o trfego de dados.
Mas por que falar sobre VPNs? O bom entendimento deste conceito e de outros que esto
relacionados a ele sero de fundamental importncia na compreenso do funcionamento do Aker
Client, j que a ferramenta baseia-se justamente na implementao destes conceitos e facilidades.
As VPNs surgiram da necessidade de baratear e facilitar a interconexo de empresas com suas filiais
e parceiros em pontos remotos, tendo em vista que estas expanses sempre esbarraram nos custos
envolvidos na manuteno de linhas privadas de dados e dos equipamentos necessrios para
garantir a comunicao de um ponto a outro.
Como consequncia ao crescimento da Internet, houve uma grande melhoria na qualidade dos
servios, implantao de novos backbones, aumento nas velocidades de transmisso e baixa
acentuada nos custos. Este crescimento acabou contribuindo tambm para a expanso no uso das
VPNs, pois mais fcil aproveitar uma boa estrutura j existente para interligar diversos pontos do
que partir do incio e criar outra, totalmente nova.
Alm do crescimento da Internet, diversos fatores contriburam para a adoo do uso das VPNs
como soluo de interconexo corporativa: a escalabilidade e o leque de servios que podem ser
implementados, aliados ao menor custo de manuteno, podem ser considerados os de maior peso
j que assim fica mais fcil acomodar o crescimento da rede interna, independente do porte da
empresa, e integrar outros servios, conforme a necessidade.
Apesar destas facilidades necessrio levar em considerao que a Internet uma rede pblica
no confivel e qualquer pessoa pode capturar os pacotes de dados e obter acesso a informaes
confidenciais e estratgicas. Esta caracterstica torna necessria a utilizao de meios que garantam
a inviolabilidade dos dados que trafegarem pelo tnel, possibilitando conexes seguras entre as
entidades envolvidas. A maneira mais confivel de fornecer esta segurana combinando
968
Todas estas caractersticas fazem do Aker Client uma ferramenta totalmente segura e confivel,
ideal para as empresas que desejam qualidade e confiana na hora de disponibilizar aos seus
funcionrios um produto capaz de prover uma soluo de conexo ao mesmo tempo simples e
eficiente.
Este manual foi desenvolvido de maneira a abordar os conceitos necessrios para o bom
entendimento do produto, ensinando como a ferramenta deve ser configurada, a fim de obter
melhor desempenho em sua utilizao. Assim, no Captulo 1 entraremos em mais detalhes sobre o
969
que VPN e quais os principais conceitos envolvidos. O Captulo 2 trata de Criptografia, sua
importncia e principais algoritmos utilizados.
J no Captulo 4 faremos um passo-a-passo relativo instalao do Aker Client em ambientes
Windows e Linux. O captulo 5 trata da configurao do Aker Client.
Recomenda-se que este manual seja lido por completo, na ordem apresentada, pelo menos uma
vez, e que seja utilizado como referncia sempre que for necessrio esclarecer dvidas acerca da
utilizao e configurao de quaisquer um dos mdulos.
VPN
As VPNs so redes virtuais que permitem o estabelecimento de canais privados de comunicao
entre dois pontos distintos, utilizando para isso toda a estrutura j previamente criada de uma rede
pblica. Desta maneira, possvel a uma empresa utilizar e disponibilizar um amplo leque de
servios a preos mais competitivos j que so reduzidos os custos com links dedicados e
equipamentos em geral.
Para a implantao de uma VPN, normalmente utilizada a estrutura de uma rede pblica j
existente, como a Internet, mas o acesso tambm pode ser feito atravs do uso de backbones de
empresas que prestam este tipo de servio. Neste caso, h garantia de maior qualidade no servio
prestado, mas ao mesmo tempo ocorre uma ligeira elevao no custo final. Devido ao grande
alcance que a Internet possui, este costuma ser o caminho mais adotado. Ainda assim,
independente da estrutura escolhida, possvel encurtar distncias, fazendo com que as empresas
possam expandir sua rea de atuao de maneira mais efetiva.
No entanto, apesar da Internet ser um meio de grande alcance, deve-se garantir que os dados que
trafeguem por um tnel no sejam interceptados, conhecidos ou mesmo alterados. Por este
motivo, uma VPN deve garantir a Confidencialidade, Integridade e Autenticidade dos dados.
Confidencialidade: tendo em vista que estaro sendo utilizados meios pblicos de
comunicao, a tarefa de interceptar uma sequncia de dados relativamente simples.
imprescindvel que os dados que trafeguem sejam absolutamente privados, de forma que, mesmo
que sejam capturados, no possam ser entendidos.
Integridade: na eventualidade dos dados serem capturados, deve-se garantir que estes no
sejam adulterados e reencaminhados, de tal forma que quaisquer tentativas nesse sentido no
tenham sucesso, permitindo que somente dados vlidos sejam recebidos pelas aplicaes
suportadas pela VPN.
Autenticidade: somente usurios e equipamentos que tenham sido autorizados a fazer parte
de uma determinada VPN que podem trocar dados entre si, ou seja, um elemento de uma VPN
somente reconhecer dados originados por um segundo elemento que seguramente tenha
autorizao para fazer parte da VPN.
A escolha para o transporte dos dados normalmente recai sobre a Internet. No entanto por ser uma
rede pblica, mais simples interceptar os dados que trafegam por ela e, por isso, torna-se
Aker Security Solutions
970
necessrio garantir que mesmo sendo interceptados, os dados no podero ser acessados por
pessoas que no estejam autorizadas a conhecer seu contedo. Para garantir a confidencialidade e
inviolabilidade dos dados deve-se implementar tcnicas de criptografia a fim de garantir que os
dados trafeguem seguramente pelo canal.
41.3.
Tunelamento
O tunelamento uma tcnica na qual um canal virtual gerado atravs da rede de comunicao
para permitir o trfego de dados entre dois pontos distintos. Nesta tcnica os dados so
encapsulados e criptografados na entrada do tnel, e quando chegam ao final, so convertidos ao
formato original tornando o acesso ao seu contedo novamente possvel. A aplicao da
criptografia garante que durante o transporte por uma rede no confivel, os dados estejam
inacessveis mesmo que sejam interceptados.
H dois tipos de tneis: os estticos e os dinmicos. Se o tnel criado apenas quando h
necessidade e finalizado quando o trfego de dados torna-se desnecessrio, chamado dinmico.
J os tneis estticos permanecem ativos por um perodo maior de tempo, com uso constante do
canal de dados. Por este motivo costumam ser mais utilizados na interligao entre empresas.
Como, na maioria dos casos os meios de transmisso no ficam alocados o tempo inteiro, ocorre
uma utilizao mais racional dos recursos disponveis, pois com o fechamento de tneis
desnecessrios os meios de transmisso ficam livres para que outros usurios tambm possam
aloc-los quando necessrio.
Figura 667 - Dados encriptados passando pelo tnel virtual atravs de uma rede pblica
Para poder trafegar pelo tnel, os dados devem ser encapsulados na origem e desencapsulados no
destino. Encapsular um dado significa acrescentar ao pacote original um cabealho que contenha as
informaes de criptografia e roteamento necessrias para que ele possa chegar ao seu destino e
ser desencapsulado de maneira correta. A estes dados encapsulados, dado o nome de payload.
Os protocolos utilizados no encapsulamento operam na camada 2 (rede) ou 3 (enlace) do Modelo
OSI, podendo ser utilizados protocolos de mesma camada ou de camadas diferentes sendo que,
neste caso, o protocolo de nvel mais baixo deve encapsular o de nvel mais alto. No caso dos
protocolos da camada 2, so utilizados frames (quadros) como unidade de troca e, nos da camada
3, so utilizados pacotes. No item 3.3 sero abordados mais detalhes quantos aos principais
protocolos utilizados para a criao de tneis.
971
Formas de Conexo
Entre as formas de realizar a conexo usando uma VPN, pode-se citar o acesso atravs da estrutura
de um provedor de acesso Internet, atravs de acesso discado direto ou utilizando um link
dedicado j existente para criar uma nova rede virtual. Classificando cada tipo de acesso a uma
VPN, chegamos s seguintes configuraes:
Client-to-LAN
Esta costuma ser a forma de acesso mais utilizada, pois permite a conexo entre um usurio
remoto e uma rede corporativa, atravs da Internet. Utilizando um software especfico para este
fim, o usurio cria um tnel (dinmico) que o ligue diretamente rede corporativa, a fim de que
possa utilizar seus recursos remotamente.
Pela facilidade de acesso, que pode acontecer atravs de acesso discado comum ou conexo xDSL,
por exemplo, bastante utilizado por usurios que precisam deslocar-se para outras localidades ou
ter acesso aos recursos da rede diretamente de casa.
LAN-to-LAN
Neste caso o acesso acontece atravs de links dedicados que interligam dois locais fisicamente
distantes. Para esta estrutura deve haver um gateway seguro (roteador ou firewall) em cada ponta
do tnel para servir de interface entre o tnel e a LAN privada.
um modelo bastante utilizado para interligar filiais da empresa ou ento prover um acesso seguro
entre uma empresa e seus parceiros, por exemplo. Como estes tneis permanecem ativos por um
tempo prolongado, a conexo LAN-to-LAN encaixa-se perfeitamente na definio de tneis
estticos.
Protocolos de Tunelamento
A definio do protocolo a ser utilizado deve levar em conta o tipo de acesso, criptografia e
compresso dos dados que sero utilizados para o trfego de informaes dentro do tnel.
Os protocolos utilizados para tunelamento devem pertencer camada 2 ou 3 do Modelo OSI.
Dentre os protocolos da camada 2, podemos destacar o L2F, PPTP e L2TP. J na camada 3, o
encapsulamento de pacotes IP feito com cabealhos do prprio protocolo IP, ou utilizado o
protocolo IPSec.
Quando uma conexo estabelecida, as duas extremidades do tnel negociam os parmetros de
compresso, criptografia e endereamento. Para que isso ocorra, as duas pontas devem estar
utilizando o mesmo protocolo de tunelamento.
Nesta sesso sero definidos os principais protocolos utilizados e como ocorre o encapsulamento
dos dados.
Aker Security Solutions
972
Por ser um protocolo simples, o GRE no possui informaes suficientes para fazer um controle
efetivo da entrega do pacote transportado e a nica informao relativa rota que carrega em seu
cabealho o endereo do roteador de destino.
PPTP (Point-to-Point Tunneling Protocol)
Protocolo orientado conexo desenvolvido pelo Frum PPTP consrcio formado por vrias
empresas, entre elas US Robotics, Microsoft e 3Com e definido na RFC 2637. Tornou-se bem
popular depois que a Microsoft passou a oferecer suporte a ele no servio RAS (Remote Access
Service ), incorporando-o ao Sistema Operacional Windows NT 4 e criando patches adicionais nos
Sistemas Operacionais Windows 95 e 98.
Como o PPP ( Point-to-point Protocol ) o protocolo mais utilizado para realizar acesso remoto na
Internet, o PPTP aproveita sua estrutura para estabelecer a conexo e, em seguida, fazer o
tunelamento dos pacotes at seu destino final. Na implementao atual, o PPTP encapsula os
pacotes PPP usando uma forma modificada de um protocolo GRE, que acaba por garantir
flexibilidade para trabalhar com protocolos diferentes do IP.
973
974
975
A segurana da transmisso propriamente dita feita por meio de trocas de chaves de sesso e
certificados. Quando o datagrama chega a seu destino final, desencapsulado e entregue ao
endereo de destino indicado no campo Destination Address original.
Figura 672 - Exemplo de encapsulamento de um pacote para trfego pelo tnel (tunelamento IP).
976
41.4.
Criptografia
Certas informaes so estratgicas e, como tal, s devem ser acessadas por quem de direito. Em
tomadas de decises importantes, vence quem consegue antecipar certos comportamentos (ou
acontecimentos) e planejar as aes necessrias para tirar melhor proveito da situao. Mas como
garantir a confidencialidade e inviolabilidade dos dados? Como ter a certeza que
apenas A e B tiveram acesso a eles? Como saber se a informao final realmente corresponde
informao original?
Enviar mensagens secretas sem que elas sejam interceptadas por terceiros uma arte que j vem
de longa data. O desafio de conseguir que uma informao secreta permanea realmente secreta
consumiu o pensamento de grandes estrategistas, desde o tempo das mais antigas naes at os
dias de hoje. Alexandre, o Grande, costumava trocar a posio das letras em mensagens
confidenciais quando as enviava por seus emissrios atravs de campos inimigos. Desta maneira,
caso a mensagem fosse interceptada, s quem conhecesse o segredo para realizar as
substituies corretamente seria capaz de decifrar seu contedo.
Tal como Alexandre, vrios imperadores, governantes, estadistas, empresrios e at usurios
comuns j buscaram alguma maneira de deixar ocultas certas informaes que no deveriam
chegar ao conhecimento de terceiros, a no ser que fosse realmente necessrio. A Criptografia
justamente a cincia que busca encontrar meios eficientes para garantir este segredo em torno
da informao. A estratgia consiste em, atravs de algoritmos bem definidos e testados, criar
formas complexas de codificar a mensagem, dificultando acessos indevidos ao seu contedo.
Alm de prover confidencialidade, autenticao, integridade dos dados, a criptografia tambm
deve garantir o no repdio da informao.
As implementaes para prover confidencialidade e segurana que a Criptografia oferece, vo
desde identificao digital at operaes bem mais complexas, envolvendo dados altamente
sigilosos e estratgicos. A gama de aplicaes infinita, e sempre h aqueles que tentam tirar
proveito de brechas, buscando favorecimento prprio.
Com os recursos computacionais modernos deve tentar identificar padres ou mesmo forar
diversas combinaes (ataques de fora bruta) at conseguir chegar mensagem original ou
chave de criptografia. Quanto maior a complexidade do algoritmo utilizado, maior o tempo
necessrio para descobrir o padro utilizado e, assim, acessar o contedo encriptado. Esta fora
contrria acaba permitindo que a Criptografia nunca se transforme em uma cincia ultrapassada,
pois dever estar em constante busca por novas formas de dificultar o acesso indevido s
informaes que estiverem resguardadas por ela.
Nesta Seo, vamos abordar os principais conceitos relacionados Criptografia. Falaremos sobre os
principais algoritmos, o que PKI, certificados e outros assuntos correlatos, mas tambm
importantes para o melhor entendimento acerca dos conceitos que sero aplicados no uso do Aker
Client.
Aker Security Solutions
977
Algoritmos de Criptografia
A criptografia dos dados deve ser realizada atravs de um algoritmo que tenha a capacidade de
codific-los, de tal maneira que apenas pessoas autorizadas consigam acesso ao contedo original.
Existem diferentes tipos de algoritmos, cada um utilizando tcnicas diferentes para criptografar os
dados, normalmente baseadas na combinao de mtodos matemticos complexos. Assim, na hora
de determinar o algoritmo a ser utilizado, importante levar em considerao o valor da
informao que est sendo protegida, pois o tempo necessrio para quebra da chave deve ser
superior ao tempo necessrio guarda daquela informao.
Os algoritmos que geram as chaves criptogrficas costumam utilizar mtodos matemticos
complexos a fim de garantir robustez ao cdigo e dificuldade na quebra da chave atravs do
mtodo da fora bruta ou sobreposio. Com o poder computacional atual, deve ser levado em
conta que este tempo de quebra poderia diminuir muito, principalmente se dezenas de
computadores forem utilizados em paralelo para a decodificao da chave.
A combinao dos diferentes tipos de algoritmos mostra-se eficiente quando h a necessidade de
utilizar criptografia forte na codificao de informaes sigilosas. Sabe-se que os algoritmos de
chave simtrica so rpidos na cifragem da mensagem, mas o gerenciamento das chaves e o modo
de distribuio so considerados os pontos fracos deste modelo. J os algoritmos assimtricos so
considerados muito mais lentos no processo de codificao e decodificao da mensagem, mas so
mais simples no quesito de gerenciamento de chaves pblicas. No h um algoritmo de criptografia
que seja totalmente seguro, mas comum combinar dois ou mais tipos de algoritmos a fim de
conseguir uma melhor eficincia na codificao. Como exemplo, o usurio A pode usar um
algoritmo simtrico para criptografar uma mensagem e, em seguida, criptografar a chave e a
mensagem resultante, utilizando sua chave privada antes de envi-la para B. Quando B receber a
mensagem, dever usar a chave pblica de A para decodific-la e ter acesso primeira chave
utilizada, usando-a para chegar mensagem original.
Nesta seo vamos explicar os tipos de algoritmos existentes e os principais algoritmos conhecidos
existentes em cada categoria.
Algoritmos de Chave Simtrica
Nesta modalidade a mesma chave utilizada para criptografar uma mensagem utilizada para
descriptograf-la. O problema em haver apenas uma chave para realizar as duas tarefas que faz
com seja necessrio conseguir um meio seguro para transmitir a chave para o destinatrio, j que
sem ela fica quase impossvel decifrar o contedo da mensagem.
Pela dificuldade de distribuio e gerenciamento das chaves de criptografia, as chaves simtricas
caram em desuso para o envio de mensagens codificadas, a no ser quando combinadas com outro
mtodo de criptografia, mas so amplamente utilizadas quando tem que realizar conexes seguras
na Internet e tambm nos processos onde ocorra troca temporria de chaves. Dentre os algoritmos
disponveis para criptografia de chave simtrica, podemos destacar os seguintes:
978
979
RSA
Este algoritmo utiliza a teoria dos Nmeros Primos para escolher as chaves que sero
utilizadas. A chave pblica gerada atravs da multiplicao de dois nmeros primos muito
grandes, gerando um terceiro nmero. Partindo do princpio que muito difcil deduzir um nmero
muito grande atravs de fatorao, considerado difcil de ser quebrado, e por isso tornou-se um
dos algoritmos de chave assimtrica mais populares no mercado.
Diffie Hellman
Baseado em logaritmos discretos, no permite a criptografia ou assinatura digital da
mensagem, mas foi o primeiro algoritmo a implementar o conceito de chaves de sesso, que
quando as partes envolvidas na comunicao permutam suas chaves pblicas e, a partir do uso
conjunto com as respectivas chaves privadas, geram uma chave que ser comum a ambas as
partes. Chaves com tamanho inferior a 512 bits podem ser consideradas frgeis.
Funo HASH
As funes hash so equaes matemticas capazes de receber uma mensagem em texto de
qualquer tamanho e produzir um valor nico, de tamanho fixo, tambm conhecido como resumo
da mensagem (hash).
Na criao do resumo da mensagem, a alterao de qualquer bit faz com que o hash final tambm
seja alterado. Assim, se o destinatrio da mensagem aplicar a funo hash na mensagem recebida,
dever obter o mesmo valor associado mensagem original. Um valor dehash diferente indica que
a mensagem original foi adulterada.
Esses algoritmos costumam ser muito utilizados nas aplicaes de assinaturas digitais, em conjunto
com os algoritmos de chave pblica, onde arquivos maiores precisam ser comprimidos de maneira
segura. Como os resumos das mensagens possuem tamanho fixo, fica mais rpido utilizar uma
funo de hash e resumir a mensagem, e s ento usar a chave privada do usurio para encriptla novamente e, assim, atestar sua identidade.
MD5
Abreviao de Message Digest 5. um algoritmo, que assim como o MD2 e o MD4, cria um
cdigo numrico e exclusivo ( hash ), a partir dos caracteres existentes em uma mensagem seja
qual for o tamanho desta ltima. O resultado ser um nmero de tamanho fixo que serve para
identificar se a mensagem permanece ntegra ou no.
Foi proposto em 1991 aps a descoberta de ataques de criptoanlise contra a funo de hash no
MD4. Como seu hash de apenas 128 bits, est caindo em desuso por ser considerado vulnervel
ao mesmo tipo de ataque.
SHA-1
980
Este algoritmo gera um valor hash de 160 bits, a partir de uma mensagem de tamanho arbitrrio.
Foi originado do MD4, mas com melhorias nas vulnerabilidades que haviam sido encontradas
anteriormente.
Atualmente, no h nenhum ataque de criptoanlise conhecido contra o SHA-1 e ataques de
fora bruta possuem tempo de resposta invivel, devido ao valor do hash implementado no
algoritmo.
PKI
Com o crescimento das transaes realizadas via Internet, tornou-se necessrio instituir um
mecanismo capaz de gerenciar o uso de Certificados e Chaves Pblicas na identificao digital. O
objetivo era criar uma estrutura confivel, cujo objetivo assegurar transparncia e segurana nas
relaes virtuais.
A PKI (Public Key Infrastructure) ou, em portugus, Infra-estrutura de Chaves Pblicas um
conjunto de servios, softwares, normas e especificaes de segurana aplicado ao uso de
certificados digitais incluindo o gerenciamento de chaves pblicas e sua poltica de uso com o
intuito de garantir a autenticidade, confidencialidade, integridade e no-repdio das informaes.
Baseia-se em um sistema de confiana onde duas partes distintas possuem uma relao de
confiana mtua com uma terceira entidade, chamada Autoridade Certificadora (CA), cuja principal
atribuio atestar a identidade das partes envolvidas em uma transao.
Os principais servios que uma soluo PKI deve oferecer so o registro de chaves e emisso,
revogao e cancelamento de certificado para uma chave pblica. Por ser uma soluo recente,
ainda no h uma padronizao quanto a prticas e funcionalidades oferecidas, mas a IETF montou
um grupo denominado PKIX (Public Key Infrastructure Workgroup), cujo objetivo elaborar as
propostas para promover a interoperabilidade e uniformizao de procedimentos.
O Brasil possui sua prpria estrutura de chaves pblicas, denominada ICP Brasil. Foi estabelecida
em 2000 e tem como objetivo regulamentar as prticas e procedimentos relativos certificao
digital baseada em chave pblica que devem ser implementados pelas organizaes
governamentais e privadas brasileiras.
Autoridade Certificadora (AC)
Esta a estrutura-chave de uma soluo PKI. ela quem controla a concesso, emisso e revogao
dos Certificados Digitais. Por serem consideradas totalmente confiveis, possuem autoridade
suficiente para assegurar a identidade das partes envolvidas em uma transao a fim de afastar a
possibilidade de fraudes e garantir a transparncia na negociao. Isto significa que estas entidades
devem manter uma relao de confiana com a AC que assina seu certificado, assim, se uma
entidade confia em uma AC e na poltica adotada para controlar a emisso e gerenciamento de
certificados, quer dizer que tambm confia na validade e teor dos outros certificados emitidos por
aquela mesma AC.
981
As ACs devem disponibilizar relaes dirias e atualizadas sobre os Certificados que forem
revogados. Estas listas so chamadas CRLs (Ceritficate Revocation Lisst) e servem para controlar
Certificados cuja data de validade expirou, ou aqueles que foram revogados por outros motivos.
Uma AC podem estar encadeada a outra AC atravs de hierarquias de certificao. Neste caso, uma
CA deve validar sua assinatura atravs da assinatura de uma CA que esteja hierarquicamente acima
dela.
O controle de emisso, cancelamento e revogao de certificados feito de maneira hierrquica e
altamente organizada.
Os certificados digitais podem ser utilizados por diversas entidades, sejam elas pessoas,
computadores, departamentos, rgos, etc, como forma de garantir a idoneidade de todos as
partes envolvidas em uma transao.
Autoridade Certificadora Raiz
a CA que est localizada no topo de uma hierarquia. Por no haver outra CA acima, ela recorre a si
mesma para certificar sua chave pblica, gerando um certificado auto-assinado.
No Brasil, este papel desempenhado pelo ITI (Instituto Nacional de Tecnologia da Informao),
autarquia responsvel pela definio e atribuio de regras e papis s Autoridades Certificadoras
Brasileiras.
A Autoridade Certificadora Raiz emite, distribui, revoga e gerencia os certificados de todas as
Autoridades Certificadoras que estejam hierarquicamente situadas no nvel logo abaixo ao seu.
Como necessrio manter a confiabilidade do servio e das entidades envolvidas, outra atribuio
da AC Raiz realizar fiscalizaes e auditorias constantes em todas as entidades que estejam
envolvidas no processo de utilizao e concesso de Certificados Digitais.
41.5.
Certificados digitais
Certas atividades desempenhadas na Internet ou em uma rede corporativa necessitam que seja
feita a validao da identidade das partes envolvidas na transao. Como garantir que um usurio
realmente quem diz ser, ou que estamos realmente utilizando a pgina de servios do banco XYZ?
Os Certificados Digitais so documentos emitidos pelas ACs, que contm informaes detalhadas
sobre uma determinada entidade, a fim de atestar a identidade de quem o utiliza. O processo de
emisso de um Certificado iniciado quando uma entidade (empresas, pessoas) faz uma requisio
formal a uma AC, fornecendo dados relevantes sobre ela, que sero utilizados na emisso daquele
Certificado. A AC, por sua vez, verifica se as informaes fornecidas so verdadeiras e, neste caso,
gera o Certificado. Nessa fase, a AC assina o novo Certificado com sua chave privada e o
disponibiliza para a entidade solicitante, juntamente com um par de chaves, sendo uma privada e
uma pblica, que sero usadas para validar a identidade do proprietrio.
A autenticao feita atravs da conferncia da assinatura digital recebida, e como as informaes
codificadas com uma determinada chave privada s sero acessveis com a respectiva chave pblica
Aker Security Solutions
982
possvel garantir que apenas o detentor daquela chave privada poder gerar mensagens
assinadas digitalmente usando aquele Certificado. Os certificados provm a validao de chaves.
Uma autoridade certificadora confivel (AC) cria o certificado e o assina digitalmente utilizando sua
chave privada.
A CA assina os certificados, autenticando assim a identidade do requerente, dando garantia pblica
e notria para a assinatura e identidade de um indivduo.
983
Cliente de Autenticao
984
41.7.
Pr-requisitos
Software
Windows XP ou mais recente;
985
986
987
5 Agora necessrio definir onde o aplicativo ser instalado. O produto indica o local de
instalao padro. Se no desejar utiliz-lo, clique no boto Alterar e especifique o local da
instalao. Caso contrrio, clique no boto Avanar;
988
989
7 Nesta etapa necessrio aguardar que a instalao seja concluda. possvel conferir o
andamento atravs do aumento da
barra de progresso;
990
991
992
3 Assim que o script de instalao for iniciado, ele verifica a existncia de trs pacotes que devem
estar previamente instalados. So eles: kernel-devel (com a mesma verso do kernel do Sistema
Operacional), GCC e Make. Caso no seja encontrado algum dos 3 pacotes, a instalao ser
abortada.
993
994
995
996
997
41.8.
O Aker Client a verso utilizada pelos usurios remotos para conectar-se ao servidor atravs de
uma VPN ou para autenticao dos empregados no ambiente da empresa. uma ferramenta de
fcil configurao e a sua utilizao pelo usurio final simples e intuitiva. Neste captulo, ser
demonstrada como feita a configurao do Aker Client, explicando as telas envolvidas e
apresentando algum outro conceito que seja necessrio para o completo entendimento do
produto.
A tela inicial do produto est dividida em 6 abas, que sero descritas abaixo:
Servidores
O primeiro passo configurar a conexo com o servidor. Podem ser configuradas vrias conexes
diferentes, caso haja mais de um servidor responsvel por responder s requisies para
estabelecimento da VPN/Autenticao, ou mais de um usurio utilizando o mesmo computador.
Todas as conexes configuradas sero listadas na tela inicial do produto, informando o status da
conexo.
998
Exportar Servidores: Este campo tem a funo de salvar toda as configuraes feitas no Aker
Client em um arquivo XML. importante ressaltar que s so gravadas as configuraes globais, ou
seja, as que no so configuraes exclusivas de um determinado usurio (Essa configuraes
globais sero explicadas logo abaixo).
Essas informaes gravadas sero utilizadas na "ferramenta para reempacotar" do Aker Control
Center no Aker Firewall 6.1. (Para saber mais sobre a ferramenta de reempacotar, consulte o
manual do Fw6.1)
Conectar/Desconectar: faz ou desfaz uma conexo com o servidor. Enquanto a conexo estiver
sendo feita, ser mostrado o botoAbortar, que se for pressionado, far com que o processo de
conexo seja finalizado.
999
Para que os todos os botes de configurao, que ficam na parte superior da janela, sejam
habilitados necessrio selecionar o item que representa o servidor. Tambm possvel ter acesso
a esses botes pelo menu suspenso que surge ao clicar com o boto direito do mouse em cima do
item selecionado.
Toda configurao do Secure Roaming global. Por isso no necessrio configurar as
permisses de acesso, como feita na autenticao.
Para criar um servidor novo, clique no boto Novo Servidor localizado na parte superior da janela,
ou clique com o boto direito do mouse dentro da tela principal.
A tela de configurao est dividida em Autenticao e Secure Roaming, conforme mostrado a
seguir:
1000
Descrio: nome pelo qual a conexo ser conhecida, facilitando sua identificao.
Nome/Endereo do Servidor: neste campo deve ser inserido o nome de DNS ou o endereo IP
do servidor onde ser realizada a conexo. Esse endereo IP pode ser diferente do endereo real do
servidor caso ele se encontre atrs de um gateway que faz NAT (traduo de endereos).
Protocolo por usurio (FW 6.1 ou maior): essa opo poder ser selecionada apenas quando a
conexo a ser estabelecida for com o Aker Firewall 6.1 ou posteriores. Deve ser utilizada para
autenticao por usurios, quando mais de um usurio usar mais de um endereo IP de origem
(p.ex: quando mais de um usurio usar o mesmo endereo IP de origem).
Modo de Ativao: define quando a sesso de autenticao deve comear e terminar. Existem
duas opes possveis:
- Manual: a conexo estabelecida e encerrada manualmente, independetemente do usurio que
a iniciou ter efetuado logout.
1001
- Sincronizar com conexo dialup: o estado da conexo ser sincronizado com o adaptador dial-up.
Assim a VPN ser estabelecida quando o usurio conectar-se a um servidor dial-up, e derrubada
quando ele desconectar-se. Este mtodo o mais recomendado para aqueles usurios que no
possuem acesso permanente Internet.
Modo de login: esse campo permite definir o modo de login. O Aker Client oferece 4 tipos:
Logon do sistema, Usurio/Senha, Certificados X509 e RSA SecurID.
1002
Salvar senha: ao selecionar essa opo, permite salvar a senha informada no campo anterior.
Selecionar certificado: seleciona o certificado de uma lista.
- RSA SecurID:
Aker Security Solutions
1003
Permisses de acesso: So as permisses de acessos dos usurios do Aker Client. Para cada
servidor pode-se definir quais os usurios tero acesso a ele. Essas permisses dividem-se em dois
tipos de acesso, a global e a especfica.
Global: Todos os usurios que tm acesso mquina tero a permisso de iniciar ou encerrar a
conexo com esse servidor.
1004
Especfica: uma permisso de acesso exclusiva para o usurio selecionado no campo "usurio
permitido". Apenas ele ter permisso de iniciar ou encerrar a conexo com esse servidor.
Usurio permitido: Nesse campo so listados os usurios que tm acesso mquina. Podem ser
tanto usurios locais como usurios de domnio.
Descrio: nome pelo qual a conexo ser conhecida, facilitando sua identificao.
Nome/Endereo do Servidor: neste campo deve ser inserido o nome de DNS ou o endereo IP do
servidor onde ser realizada a conexo. Esse endereo IP pode ser diferente do endereo real do
servidor caso ele se encontre atrs de um gateway que faz NAT (traduo de endereos). possvel
inserir trs endereos diferentes para o estabelecimento da conexo, apenas o primeiro desses
campos de preenchimento obrigatrio.
1005
Trfego de dados: permite escolher o protocolo usado para o trfego de dados e se eles sero
enviados de forma comprimida ou no. Caso as opes UDP e TCP estejam simultaneamente
selecionadas, o Aker Client dar preferncia para o protocolo UDP e, se no conseguir, tentar usar
o protocolo TCP.
Portas: aqui devem ser selecionadas as portas TCP e UDP que sero utilizadas para o trfego de
dados e estabelecimento da conexo. Obrigatoriamente, essas portas devem ser as mesmas
constantes na configurao do servidor ou os nmeros de porta traduzidos, se o servidor estiver
com suas portas traduzidas por um gateway de NAT.
As portas padro na configurao so 1011 TCP e 1011 UDP.
Modo de ativao: define quando a conexo VPN deve comear e terminar. Existem cinco opes
possveis:
- Manual: a conexo estabelecida e encerrada manualmente, independetemente do usurio que
a iniciou ter efetuado logout.
- Sincronizar com conexo dialup: o estado da conexo ser sincronizado com o adaptador dial-up.
Assim a VPN ser estabelecida quando o usurio conectar-se a um servidor dial-up, e derrubada
quando ele desconectar-se. Este mtodo o mais recomendado para aqueles usurios que no
possuem acesso permanente Internet.
1006
Configurao de Proxy:
Certificados
Janela onde so gerenciados todos os certificados que sero usados durante a autenticao de
usurios, com as informaes pertinentes de cada certificado indentificadas nas colunas de cada
item. Desta maneira fica mais fcil realizar atualizao, remoo ou insero de novos certificados,
sempre que necessrio.
1007
Os botes localizados na parte superior da tela so teis para executar as aes de gerenciamento
de certificados, como segue abaixo. Os campos destinatrio indica o proprietrio do certificado, o
emissor quem valida o certificado, os campos Vlido a partir de e Vlido at, indicam a janela de
tempo de validade do certificado, nao pode ser utilizado nem antes e nem depois dessa data. Local
de: o local onde a chave privada correspondente ao certificado est instalada. (reescrever)
Carregar certificado: carrega um arquivo de certificado, que pode estar codificado em DER ou
Base 64. Esse arquivo gerado pela CA a partir da requisio que deve ser criada anteriormente.
Quando um certificado carregado sua requisio removida do disco, mas possvel fazer cpias
de segurana com o boto Salvar requisio localizado na aba "Requisies de Certificado, caso
deseje usar a mesma requisio para criar certificados a partir de CAs diferentes.
Ver certificado: Este campo permite uma visualizao dos detalhes do certificado, como mostra a
figura abaixo:
1008
Remover certificado: remove o certificado e a chave privada associada. Se o certificado que deve
ser deletado estiver em um token criptogrfico, ser necessrio informar a senha do token para
poder remover o certificado;
Carregar backup: carrega um certificado e seu par de chaves no formato PKCS#12;
Salvar backup: salva um certificado e seu par de chaves no formato PKCS#12, que um
documento distribudo pelo RSA Laboratories que define um formato de arquivo usado para
guardar uma chave privada e seu certificado correspondente protegidos por um senha baseada em
uma chave simtrica;
41.10.
Requisies de Certificado
As Requisies so documentos criados quando uma entidade deseja solicitar um certificado digital
a uma CA. Em um primeiro momento, um par de chave assimtrico gerado. Em seguida, a chave
pblica anexada s informaes da entidade (nome, endereo, etc.) e por fim, tudo assinado
com a chave privada do par. O documento resultante pode ento ser enviado a uma CA e as
informaes contidas nele podem ser usadas para gerar um certificado.
1009
1010
Pas: cdigo identificador de duas letras (BR para Brasil por exemplo);
Estado ou Provncia: identificao do estado (Distrito Federal, So Paulo, Minas Geris, etc.).
Nome da Localidade: nome da cidade, bairro, etc.
Nome da Organizao: nome completo ou outro identificador relativo Organizao cuja
requisio est sendo feita;
Nome da Unidade da Organizao: nome da seo, departamento, etc.
Especificaes da Chave: nessa opo deve ser especificado onde ser gerada a chave, se no
disco rgido ou em um token criptogrfico.
1011
De acordo com o meio de gerao do par de chaves assimtricas, a criao do certificado pode
demorar alguns segundos, fazendo com que durante a gerao da chave alguns botes das janelas
de criao de requisies e de certificados sejam desabilitados.
Quando o Aker Client apresentar a mensagem No encontrada na coluna Chave armazenada em,
significa que a chave pode ter sido apagada ou estar em um token criptogrfico que no est
carregado naquele momento.
41.11.
Dispositivos Criptogrficos
Os tokens utilizados pelo Aker Client so dispositivos criptogrficos externos, cuja funo
armazenar chaves e certificados de forma segura, impossibilitando que sejam copiados. Eles
permitem a utilizao de um esquema de autenticao de dois fatores, pois necessrio ter a
posse do token e tambm conhecer a senha ou pin de segurana, para que possa ser utilizado.
O suporte do Aker Client para tokens criptogrficos baseado na especificao PKCS#11, verso
2.20, do RSA Laboratories. Para que o token esteja em conformidade com o Aker Client
necessrio que tenha suporte a este padro, por meio de uma biblioteca dinmica que pode ser
obtida com o prprio fabricante do token (arquivos com extenso dll no Windows, ou so, no UNIX).
Na janela de gerenciamento de Tokens possvel verificar quais dispositivos esto fisicamente
conectados e as bibliotecas dinmicas PKCS#11 utilizadas por cada um.
1012
Procurar bibliotecas: procura bibliotecas associadas a tokens comuns e cadastra as que foram
encontradas junto ao Aker Client.
O boto Recarregar: ativa as bibliotecas selecionadas e desativa as no selecionadas, verificando
quais so os tokens conectados no sistema. Sempre que um token colocado ou retirado
necessrio clicar no boto Recarregar para ativar a biblioteca associada ao token e atualizar a lista
de certificados de acordo com os dados que se encontram no token em questo.
Se desejar cadastrar uma nova biblioteca necessrio seguir alguns passos:
Clique no boto Carregar biblioteca e procure pelo arquivo com extenso dll (Windows) ou so
(Unix) da biblioteca;
Aker Security Solutions
1013
41.12.
Segurana
Esta aba exibe os status da segurana do seu sistema. importante que o sistema em uso
esteja com a segurana ativada e atualizada, para que o Aker Client estabelea a coneo.
1014
41.13.
Logs
Tela que mostra o registro de atividade do Aker Client. As aes de conexo, desconexo e erros
ocorridos durante estas operaes ficam armazenadas no cliente, facilitando para o Administrador
o diagnstico de algum problema que esteja ocorrendo durante a conexo. A pgina possui o
seguinte formato:
Atravs do boto Salvar possvel exportar todos os registros em arquivos texto para anlise
futura. Quanto ao boto Limpar, atravs dele possvel remover todas as mensagens de registro
armazenadas pelo Aker Client. importante ressaltar que quando o log totalmente apagado
atravs do boto Limpar, a nica possibilidade de recuperao se alguma cpia de segurana que
tenha sido feita atravs do boto Salvar for restaurada.
possvel ainda determinar as prioridades que sero mostradas na tela. Cada uma possui um nvel
de criticidade diferente e todas so referenciadas por cores, a fim de facilitar a identificao visual.
Informao (cor verde): mensagens com esta prioridade acrescentam informaes teis para a
administrao do Aker Client, tais como status da conexo.
Ateno (cor amarela): mensagens com esta prioridade indicam que certas aes foram
rejeitadas ou descartadas pelo sistema, devido a algum erro ocorrido. Em algumas situaes, estas
mensagens podem ser precedidas por outras mensagens explicativas.
Erro (cor vermelha): as mensagens com esta prioridade indicam problemas importantes para a
execuo do Aker Client e so acompanhadas de uma mensagem explicativa.
1015
Erro Fatal (cor preta): as mensagens com esta prioridade indicam problemas que impossibilitam
a execuo do Aker Client e so acompanhadas de uma mensagem explicativa.
41.14.
Sobre
Esta janela mostra as informaes da verso atual do produto e sua data de compilao, que pode
ser importante ao usurio quando entrar em contato com o suporte da Aker.
Nessa janela tambm possvel mudar o idioma do produto, podendo o usurio optar entre dois
idiomas: o Portugus e o Ingls.
Interface Remota em modo no administrativo
O usurio que no tiver permisso de administrador, s ter acesso para visualizar as configuraes
relacionadas ao seu perfil. Caso necessite fazer alguma alterao dever contactar o administrador
da mquina ou do domnio.
A GUI que vai aparecer para esse tipo de usurio ter apenas dois botes habilitados: "Visualizar
Servidor" e "Conectar" conforme imagem abaixo
1016
Para o usurio ter a GUI com privilgios administrativos, ter que est cadastrado no "Domain
controllers".
Glossrio
Backbone
CHAP
IPX
IP masquerading
1017
LAN
LDAP
Modelo OSI
PAP
RFC
WAN
WINS
Links Indicados
ITI Brasil: Instituto Nacional de Tecnologia da Informao. rgo do Governo que atua como
Autoridade Certificadora Raiz da ICP Brasil. Divulgao de eventos, software livre, literatura
especfica e fruns virtuais.
http://www.iti.br/
PPTP: pgina da Microsoft com um artigo explicativo com uma viso geral do trfego PPTP.
www.technetbrasil.com.br/Downloads/ArtigosTecnicos/windows2003/CG0103.pdf
IEC (International Engineering Consortium): organizao internacional que busca, atravs de
parcerias com empresas e Universidades de renome, divulgar e desenvolver a tecnologia disponvel
no mundo. Possui cursos on-line, fruns e tutoriais sobre diversas tecnologias.
http://www.iec.org
L2TP: pgina da CISCO com as definies acerca do protocolo L2TP.
Aker Security Solutions
1018
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t1/l2tpt.h
tm
RFC 2003 - IP Encapsulation within IP: RFC que traz as especificaes necessrias para realizar o
encapsulamento de datagramas IP dentro de outro datagrama IP.
ftp://ftp.rfc-editor.org/in-notes/rfc2003.txt
RFC 2661 Layer Two Tunneling Protocol L2TP: RFC que descreve as caractersticas do
protocolo L2TP.
ftp://ftp.rfc-editor.org/in-notes/rfc2661.txt
RFC 2341 Cisco Layer Two Forwarding Protocol L2F: RFC que descreve as caractersticas do
protocolo L2F.
1019
1020
1021
Ltus note (porta 1352): Usada para administrao remota do Lotus notes.
pm-console (porta 1643): Porta console dedicada.
real-audio (porta 7070): Transmisso de audio pela internet.
UDP
echo (porta 7): Mostra o payload do datagrama que voc quer enviar..
discard (porta 9): Descarta o datagrama que voc quer enviar.
daytime (porta 13): Servidor da hora certa.
chargen (porta 19): Descarta e responde com uma string de 72 caracteres.
time (porta 37): Permitir que o horrio do servidor seja consultado pelas estaes.
domain (porta 53): Permite consulta de nome no servidor DNS.
bootps (porta 67): Permite acesso ao Servidor de protocolo Bootstrap.
bootpc (porta 68): Permitir acesso ao Cliente do protocolo Bootstrap.
tftp (porta 69): Permite transferncia de arqivos.
netbios-ns (porta 137): Permite resolver nomes.
netbios-dgm (porta 138): enviar broadcast UDP ou broadcasts direcionados.
snmp (porta 161): Protocolo de Gerenciamento da Rede.
snmptrap (porta 162): Alarmes de dispositivos de rede.
ike (porta 4500): Gerencia a troca de chaves da internet.
doom (porta 666): Porta privilegiada.
Aker CL (porta 1022): No est sendo aplicada.
radius (porta 1645): Protocolo de Autenticao.
radacct (porta 1646): Protocolo de Contabilizao.
Aker CDP (2473): No est sendo aplicada.
icp (porta 3030): Verifica se um servidor de cache possui determinada pgina.
1022
1023
1024
Introduo
42.1.
A Web permite que cada documento na rede tenha um endereo nico, que indica o nome
do arquivo, diretrio, nome do servidor e o mtodo pelo qual ele deve ser requisitado e se
esse endereo foi chamado de URL. URL (Uniform Resource Locator, numa traduo literal,
localizador uniforme de recursos). Uma URL tem a seguinte estrutura:
http://www.seed.net.tw/~milkylin/htmleasy.html . Onde: http:// o mtodo pelo qual
ocorrer a transao entre cliente e servidor. HTTP (Hypertext Transfer Protocol, ou
protocolo de transferncia de arquivos de hipertexto) o mtodo utilizado para transportar
pginas de Web pela rede. Outros mtodos comuns so: ftp:// (para transferir arquivos),
news:// (grupos de discusso) e mailto:// (para enviar correio eletrnico).
A produtividade fundamental para todas as empresas. Para isso, buscam utilizar de forma
racional seus recursos de rede. Apesar de a Web ser uma incrvel ferramenta de trabalho,
ela tambm pode causar uma enorme queda na produtividade. Definir algumas regras pode
proteger seu negcio e seus funcionrios. Pginas Web contm programas que so
usualmente inocentes e algumas vezes teis - por exemplo, animaes e menus pop-up.
Mas existem sites questionveis e maliciosos que nem sempre esto com as melhores
intenes. Ao navegar na Web, operadores de sites podem identificar seu computador na
Internet, dizer quais pginas voc acessou, de que pgina voc veio, usar cookies para criar
um perfil seu e instalar spywares em seu computador - tudo sem o seu conhecimento.
Worms destrutivos podem ainda entrar em seu sistema por meio de seu navegador:
Alm de atividades maliciosas instigadas por usurios externos, os negcios podem ser
colocados em uma posio vulnervel por funcionrios que se engajarem em uma atividade
ilegal e/ou indesejvel durante o horrio de trabalho e usando computadores da empresa.
Apresentando o produto AWCA
1025
1026
O Aker Web Control para Squid um produto parte que possibilita ao Squid aceitar ou
rejeitar acessos de acordo com o nvel de acesso de cada usurio e a categoria da pgina
desejada, de acordo com o arquivo de configurao do Squid.
O Aker Web Control para ISA Server um produto parte que possibilita ao ISA Server
aceitar ou rejeitar acessos de acordo com o nvel de acesso de cada usurio e a categoria da
pgina desejada.
Todas estas caractersticas fazem do Web Content Analyzer uma poderosa ferramenta de
controle ao acesso internet, quando trabalhando em conjunto com um Firewall ou um
servidor Proxy compatvel.
Pr-requisitos
42.2.
Software
O Analisador de URL Aker executa sobre os sistemas operacionais Windows Server e Linux
GNU em plataformas Intel 32 ou compatveis.
Ele compatvel com o Firewall Aker, MS Proxy Server e MS ISA Server, Checkpoint Firewall
1 e Squid Internet Object Cache. Com exceo do Firewall Aker, os demais produtos
necessitam de um plugin para se comunicarem com o Analisador de URLs.
Hardware
A indicao do hardware mnimo varia de acordo com o nmero de clientes simultneos e
seus respectivos links. O mnimo absoluto :
42.3.
O Aker Web Content Analyzer funciona nas seguintes verses de Sistemas Operacionais:
Aker Security Solutions
1027
42.4.
1028
1029
Informaes do usurio
Nesta fase ser realizada a insero de informaes necessrias para que a instalao seja
personalizada:
Digitar o Nome Completo do usurio;
Digitar o nome da Empresa;
Optar se as configuraes para o aplicativo ser instalada para o usurio atual Somente
para mim ou para todos que compartilham o computador Qualquer pessoa que usa este
computador;
Clicar em Avanar.
1030
no
disco
rgido
local
Esta tela permite selecionar os recursos que sero instalados. Atualmente, o Plugin de
instalao do Aker Web Content Analyzer vem acompanhado pelo Plugin do Aker Web
Control. Isto , ao instalar o AWCA, automaticamente ser instalado o AWC. Se caso desejar
instalar apenas o plugin do Aker Web Content Analyzer, deve-se clicar no cone
AkerWebControlPlugin, selecionar a opo Todo o recurso no estar disponvel e, em
seguida clicar no boto Avanar.
1031
1032
Atualizando o sistema
Mostra a barra de progresso da instalao do sistema.
1033
1034
42.5.
A instalao realizada em Linux bastante simples e requer apenas alguns passos que sero
demonstrados a seguir. Crie um diretrio e copie o arquivo AkerWebContentAnalyzerserver-br-3.0-3.fc8.tar.bz2 para dentro dele.
Descompacte o arquivo usando o seguinte comando:
tar -vzxf akerwebcontentanalyzer-3.4-pt-linux-server-012.bin.tar.gz
1035
1036
1037
1038
O prximo passo a criao do usurio que ter acesso administrao via Interface
Remota. Ao apertar ENTER sem escolher um nome, o usurio ser criado conforme o
nome informado entre colchetes (admin). Em seguida, digite a respectiva senha e confirmea.
1039
42.6.
Configurao do AWCA
1040
A configurao do Aker Web Content Analyzer simples, mas requer ateno em algumas
explicaes que sero dadas a seguir. Cada assunto foi agrupado em menus distintos.
Para acessar o AWCA no firewall, deve-se ir em Dispositivo Remoto e selecionar o item
Web Content Analyzer, conforme mostrado na figura a seguir:
42.7.
1041
1042
Aba Geral
A atualizao das assinaturas feita por meio da Internet. As informaes necessrias para
permitir esse acesso sero configuradas nessa aba, por isso para acessar Internet, o Aker
Web Content Analyzer precisa utilizar ou se autenticar em algum proxy.
1043
1044
1045
42.8.
A criao das categorias pode ser feita em dois nveis: o nvel pai e o nvel filho. Para criar
uma nova categoria pai, o administrador do produto deve clicar com o boto direito do
mouse no menu Categorias e escolha a opo "Nova Categoria". Para se criar uma
categoria filho deve-se clicar com o boto direito do mouse na categoria escolhida e escolha
a opo "Nova Categoria".
1046
1047
1048
1049
Categoria: Educao;
Descrio: Sites de organizao educacional ou que de alguma maneira contribua
para a divulgao da educao.
Poder ser utilizado um dos cones oferecidos pelo AWCA ou algum outro, desde que seja 32 por
32 pixels e que esteja em formato png.
Aps a criao da categoria necessrio criar uma lista de expresses. As categorias com
expresses cadastradas aparecem em negrito. Para criar essa lista, o administrador do
produto deve selecionar a categoria e clicar com o boto direito na parte branca do menu
Categorias e configurar as opes necessrias. As opes so duas:
Expresso: Define qual ser a string ou os parmetros que sero pesquisados na URL
acessada e qual operao a ser efetuada. A operao pode ser de vrios tipos
diferentes, alguns deles seriam *Aker* (contm), Aker (), *Aker (termina
com), Aker* (comea com).
1050
Local de Busca: Define o local especfico da busca nos sites. Nessa opo, ao clicar
com o boto direito podero ser definido quatro formas de busca. Abaixo segue um
exemplo de preenchimento desses campos, tomando como base o endereo:
http://www.aker.com.br/index.php?pag_cod=1&ling=pt_br
1051
1052
1053
1054
Texto completo: todas as URLs sero inseridas conforme esto no arquivo (para
fazer a busca em tudo que for igual a URL). Ex. <url>
Termina com: ser inserido um * (asterisco) no incio de todas as URLs importadas
do arquivo (para fazer a busca em tudo que terminar com a URL). Ex. *<url>;
Comea com: ser inserido um * (asterisco) no final de todas as URLs importadas do
arquivo (para fazer a busca em tudo que comear com a URL). Ex. <url>*;
Contm: ser inserido um * (asterisco) no incio e no final de todas as URLs
importadas do arquivo (para fazer a busca em tudo que contiver a URL). Ex. *<url>*.
1055
42.9.
Teste de URL
Esse menu constitudo de uma lista de cones com os nomes das categorias em que a URL
do teste se enquadra.
1056
1057
1058
43.1.
Introduo
O e-mail corporativo uma ferramenta indispensvel para fechar novos negcios, parcerias
e trocar informaes. No entanto, ainda uma porta de entrada para ameaas virtuais, que
podem roubar informaes estratgicas e prejudicar o ambiente de rede da empresa.
Alm de vrus, Cavalos de Tria e outras ameaas, as mensagens indesejadas, chamadas de
Spams, tambm so uma realidade incontestvel. Quando menos esperamos, oferecem
uma infinidade de produtos e servios, despejam lixos nas caixas de correio, esgotam seus
recursos e impossibilitam a chegada de correspondncias realmente necessrias. O
desperdcio de tempo enorme e pode gerar consequncias desagradveis.
Uma pesquisa realizada pelo */Nucleus Research/*, importante empresa de consultoria de
TI dos EUA, alerta que, entre 2003 e 2004, a quantidade de Spams subiu de 13 para 29,
fazendo com que a perda de produtividade dos funcionrios aumentasse de 1,4% para 3,1%.
O prejuzo anual chegou a computar US$ 1.934,00 por funcionrio, sem considerar o custo
com tcnicos, desperdcio de banda e de hardware, o que aumentaria ainda mais o valor. De
acordo com o estudo, as empresas que utilizam algum mecanismo para filtrar as mensagens
conseguem bloquear efetivamente apenas 20% do lixo eletrnico que chega diariamente.
Sob esta perspectiva, proteger a informao tornou-se uma necessidade incontestvel.
Assim, a Aker Security Solutions desenvolveu o Aker Spam Meter - ASM, uma ferramenta
capaz de afastar essas mensagens indesejadas de maneira rpida e eficiente a partir de um
filtro de anlise bayesiana que pontua os e-mails por algoritmos matemticos de estatstica.
A soluo se ajusta as mais diversas necessidades, possui Menu intuitivo e com fcil
administrao. O Aker Spam Meter agora integra o *Aker Security Suite*, fortalecendo
ainda mais essa j conhecida linha de produtos.
Ao abrir sua caixa postal para ler seus e-mails, qualquer usurio se depara diariamente com
uma grande quantidade de mensagens indesejadas, tais como propagandas, correntes,
pornografia e at mesmo programas invasores disfarados de mensagens legtimas. Uma
pesquisa realizada por empresas de Segurana da Informao constatou que o Brasil
aparece em quinto lugar na lista dos maiores emissores de lixo eletrnico na rede mundial.
Outros estudos recentes estimam que dois teros de todas as mensagens de correio
eletrnico que circulam diariamente na Internet so consideradas SPAM e este percentual
aumenta todos os meses. Como a maior parte das mensagens de SPAM so enviadas para
conjuntos aleatrios de endereos de e-mail, no h como prever se uma mensagem com
contedo imprprio ser recebida por uma determinada pessoa.
Uma das grandes dificuldades ao tentar lidar com este problema, no entanto, definir o que
so mensagens indesejadas, j que a internet possui um grande nmero de usurios
Aker Security Solutions
1059
distintos e que possuem vises diferentes sobre o tema. Um e-mail recebido e lido por uma
pessoa sobre um determinado assunto pode no interessar a outra, e assim
sucessivamente.
Em virtude desta dificuldade, a nica maneira vivel de conseguir resolver de forma
definitiva o mal causado pelo SPAM possibilitar que cada usurio, ou grupo de usurios
com caractersticas semelhantes, possa treinar o sistema Antispam para que este aprenda
seus gostos e preferncias e consiga filtrar de forma eficiente suas mensagens. O Aker
SPAM Meter foi criado tendo este princpio como ponto de partida.
43.2.
O Aker SPAM Meter permite que cada pessoa, ou grupo de pessoas, classifique seus e-mails
de acordo com seu perfil, fazendo com que o produto aprenda o que esta pessoa deseja
receber. A soluo possui tambm atualizao diria de uma base de dados, gerada pela
Aker, com informaes sobre SPAM, possibilitando identificar novas ameaas
automaticamente.
Outro ponto importante sobre o produto que ele atribui um percentual de 0 a 100% para
classificar as mensagens. Nessa escala de probabilidade, o '0%' significa que definitivamente
no spam, e '100%' a certeza absoluta de que spam. Desta forma, alm de cada
usurio ou grupo poder treinar individualmente o que o no SPAM dentro de sua tica,
possvel tambm que ele defina o que fazer com as mensagens em vrias faixas de certeza.
possvel, por exemplo, descartar as mensagens que o sistema classifica com mais de 95%
de certeza de serem SPAM, mudar o assunto das mensagens que ficarem entre 85% e 95% e
aceitar as demais.
43.3.
O produto faz uma anlise do contedo do e-mail, baseada em dados estatsticos, ou seja,
atribui uma nota para cada mensagem com base em dados estatsticos gerados a partir de
milhares de mensagens em diferentes lnguas, pr-classificadas em spam e no spam.
Quanto maior a base de mensagens utilizadas para gerar os dados estatsticos e quanto
mais especficos forem os dados, melhor o resultado do programa, que em boas condies
pode inclusive superar o resultado de um ser humano desempenhando uma classificao
manual.
Para conseguir um melhor ndice de classificao de mensagens, o produto conta com duas
bases de dados distintas: uma gerada pela Aker e atualizada diariamente, que representa
de forma genrica os conceitos de spam e no spam, e outra que produzida a partir do
treinamento realizado por cada usurio ou grupo. Com a combinao de ambas as bases, o
sistema imediatamente consegue atingir um nvel bom de classificao, utilizando para isso
os dados estatsticos da Aker, ao mesmo tempo em que permite tambm que seja refinado
pelos usurios at o ponto da quase perfeio.
Aker Security Solutions
1060
43.4.
O Aker Spam Meter controlado remotamente por meio do Aker Control Center, que um
framework integrado de gerncia multiplataforma e que controla, a partir de um ponto
central, todas as solues Aker.
A utilizao do Aker Control Center bastante til na configurao e manuteno do Aker
Spam Meter, tendo em vista sua interface amigvel e facilidade de manuseio. O produto
pode ser totalmente configurado e administrado remotamente.
Dispositivos Remotos
1061
Para comear a utilizar o programa, clique em Iniciar, Programas, Aker Control Center,
Dispositivos remotos, Aker Firewall, Spam Meter;
1062
43.5.
Banco de Dados
O Menu Bancos de dados trabalha as opes de configurao da(s) base(s) de dados de emails e suas classificaes.
Aps aberto o Bancos de Dados, surgir a seguinte tela com as abas: Estado, Lista das
bases de dados e Parmetros.
1063
Aba Estado
A aba Estado apresenta as informaes com relao ao estado atual dos downloads e
uploads das bases de dados.
Os uploads so e-mails classificados manualmente pelos usurios que podem ou no ser
enviados para a Aker de forma a melhorar a classificao dos e-mails e das bases de
assinaturas.
O boto Atualizar Agora realiza o download da base de assinaturas de e-mail mais atual
A aba parmetros permite configurar os downloads e uploads para serem realizados
automaticamente. Porm, os botes Enviar Agora e Atualizar Agora permitem que seja
feito sobre demanda.
Aba Lista das bases de dados
A aba Lista das bases de dados apresenta todas as bases de Dados existentes atualmente
no sistema, assim como seus respectivos status e tamanho da base.
1064
Esse menu possui as opes de Salvar Backup e/ou Restaura Backup de modo que o
Administrador do produto possa realizar cpias das bases de dados de e-mails/classificaes
e sua posterior restaurao caso seja necessrio. A cpia ou restaurao so feitas clicando
nos botes:
Tambm pode ser feita a atualizao da base de dados, o seu reclculo (informaes
referentes pontuao dos e-mails) ou sua excluso, selecionando a base de dados
desejada e clicando em um dos botes apresentados:
Aba Parmetros
A aba Parmetros apresenta as configuraes necessrias para a gerao e atualizao
automtica da base de dados.
1065
Gerao de base: A gerao das bases de dados podem ser efetuadas sobre
demanda (on-demand) conforme mostrado na sub-opo, Estado e Lista das
bases de Dados. Porm, podemos configurar a gerao para ser realizada
automaticamente marcando essa opo e selecionando o intervalo para a
atualizao da base.
Fazer download das atualizaes da base de dados: Essa opo permite a
configurao do servidor que fornece a base de dados para download assim como o
horrio para que o Aker Spam Meter possa efetuar o download. O download ser
feito diariamente, no horrio estipulado.
Permitir upload da Base de Dados: Caso o administrador do produto queira enviar
para a Aker a base de e-mails classificada manualmente, ele poder fazer isso
conforme visto na opo Estado ou configurando o envio automtico por meio da
marcao dessa opo e configurao do intervalo de upload (em semanas).
A atualizao das bases de e-mail/classificao feita por meio da Internet. Se para acessar
a Internet, o Aker Spam Meter precisar utilizar ou se autenticar em algum Proxy, as
informaes necessrias para permitir esse acesso sero configuradas nessa aba.
Aker Security Solutions
1066
Usar Proxy
Classificao de e-mail
1067
1068
Opes de classificao:
Deteco de SPAM aprimorada: Utiliza menos tokens, fazendo com que a classificao
seja mais rpida, mas aumenta o nmero de falsos positivos;
Reduo de Falso-positivo: Utiliza um nmero maior de tokens, fazendo com que a
classificao seja mais precisa, mas deixando o processo mais lento;
Base: Seleciona qual a base de tokens que ser utilizada na classificao do e-mail.
1069
Configuraes do Filtro
43.7.
Em Linux, o comando "du -sh" no faz a soma do tamanho de cada arquivo, ele s faz a
soma do tamanho dos blocos do HD que cada arquivo usa, variando de acordo com o HD
que foi formatado. Em um HD que foi formatado para que assim cada bloco possusse 4
KB, ou seja 4096 bytes, pode ser observado o seguinte comportamento:
Aker Security Solutions
1070
Isso se deve ao fato de que cada arquivo de 1024 bytes est consumindo fisicamente 4 KB
do disco que o tamanho de cada bloco. Assim, cada arquivo de 1024 bytes
"contabilizado" no "du -sh" como 4096 bytes.
Lembrando que este comportamento s acontece em sistemas Unix, no sendo possvel no
Windows, que o tamanho contabilizado como o esperado.
Portas
Portas do Servidor: Esse campo indica a porta de escuta do Servidor do Aker Spam
Meter que recebe e classifica os e-mails;
Porta da Interface: a porta que ficar em escuta para aceitar que as conexes para
o Aker Control Center vo poder se conectar ao Aker Spam Meter.
1071
Cache
Token Cache
O cone Padro permite retornar a quantidade mxima de tokens para 500000 Tokens,
que a configurao padro.
Observao: possvel realizar a atualizao da base de URLs manualmente, para isso siga os
passos a seguir:
1. Realizar o download do arquivo no site da Aker (www.aker.com.br);
2. Transferir o arquivo para o appliance via SFTP para o servidor;
Aker Security Solutions
1072
43.8.
Grfico de notas
1073
Anexo plugins
43.9.
O Aker Spam Meter possui plugins para alguns clientes de e-mail. Esses plugins servem para que
o cliente possa classificar manualmente seus e-mails como spam ou no spam, de maneira
integrada ao cliente de e-mail, utilizado hoje em dia por ela sem que seja necessrio que o Aker
Spam Meter insira nenhum anexo ao e-mail para realizar essa classificao. O objetivo desse
anexo apenas mostrar rapidamente como funciona o plugin e como utiliz-lo.
O Aker Spam Meter possui plugins para os seguintes clientes de e-mail:
Microsoft Outlook;
Mozilla Thunderbird.
Dessa forma, ao receber um e-mail, o usurio poder ver a classificao do e-mail recebido de
acordo com a base de anlise bayesiana do Aker Spam Meter e poder ter botes para
classificar manualmente a mensagem como sendo um Spam ou No spam.
1074
1075
44.
Introduo
44.1.
Os vrus de computador constituem uma das maiores ameaas s grandes redes. Os vrus
podem atacar quase todos os computadores, independente de sua funo ou localizao.
Os dispositivos podem ser atacados a partir da Internet, por e-mail ou por meio de mdia
infectada. Em outras palavras, os vrus podem ganhar acesso a PCs por meio de qualquer
entrada para o dispositivo. Os danos causados por vrus pode variar desde aquele que so
apenas perceptveis at os absolutamente desastrosos. Por essa razo, as solues antivrus
devem constituir uma parte essencial de todos os projetos de segurana da informao.
Existem literalmente milhares de vrus diferentes e de programas de softwares maliciosos
que podem danificar seu computador ou deix-lo mais lento. Os tipos de programas de
software maliciosos variam bastante, mas, em geral, so os seguintes:
Uma variante de vrus um vrus que foi alterado para tirar proveito de um cdigo de vrus
j criado. Fazendo isso, o vrus no imediatamente detectado pelo software antivrus, que
procura o vrus original.
Worm - Uma forma de vrus mais eficaz que localiza sistemas vulnerveis e, em
seguida, se copia para esses sistemas. Os mtodos mais frequentes de propagao
so as listas de distribuio de e-mails, os scripts de assinatura de e-mails e as pastas
compartilhadas na rede. Os worms podem ou no ter um efeito (payload)
prejudicial. Atualmente, o efeito tpico de um worm deixar o computador mais
suscetvel a outros vrus maliciosos.
Hoax - Um e-mail que normalmente declara que est prejudicando o computador,
mas na verdade no tem o efeito mencionado. Alguns hoaxes pedem ao leitor do email para tomar algum tipo de medida prejudicial, como excluir um arquivo
importante. A maioria dos hoaxes espalhada por indivduos bem intencionados
que desejam alertar outros indivduos em relao a um possvel vrus que, na
realidade, apenas um hoax.
1076
44.2.
Apresentao do produto
1077
Caractersticas Principais
44.3.
O Aker Antivrus Module um antivrus para gateways, que se integra nativamente ao Aker
Firewall, ao Aker Web Gateway e ao Aker Secure Mail Gateway, possibilitando que
mensagens de correio eletrnico e arquivos baixados via Web sejam desinfectados antes de
serem enviados s mquinas ou servidores internos.
Dentre as principais funcionalidades do produto esto:
1078
44.4.
O Aker Antivrus Module instalado juntamente com outros produtos, como por exemplo, o
Aker Firewall ou outro produto Aker, herdando funcionalidades comuns
como:
administrao de usurios, visualizao de logs, Atualizaes, etc. A figura abaixo ilustra o
funcionamento dessa instalao:
Ao tentar fazer downloads pela internet por meio de uma rede local, o Aker Firewall ir
estabelecer uma conexo com o Aker Antivrus Module, enviando os arquivos para que ele
faa uma anlise, verificando se estes esto infectados ou no. Depois de analisados, o Aker
Antivrus Module comunicar ao Firewall que ir bloquear ou liberar, dependendo da
resposta que lhe foi dada, reportando ao usurio que est conectado na rede local na qual
se deseja fazer o download (nesse exemplo est sendo utilizado o Firewall, mas poderia ser
outro produto Aker, como o Aker Web Gateway).
44.5.
O Aker Antivrus Module gerenciado remotamente por meio do Aker Control Center, que
um Framework integrado de gerncia multiplataforma e que controla, a partir de um ponto
central, todas as solues Aker.
Para facilitar a identificao visual de diferentes dispositivos, possvel personalizar os
cones e cores de apresentao dos componentes do Aker Control Center. Desta maneira, o
Administrador pode realizar diferentes arranjos dentro da tela, escolhendo uma
Aker Security Solutions
1079
1080
O usurio ter acesso ao parceiro quando adquirir a licena de uso do produto, isto , ele ir
optar em usar o software de sua preferncia.
Configuraes
44.6.
A janela Configuraes
Esta janela possui as opes de configuraes especificas do Partner Engine, atualmente em
uso. Como cada Partner Engine possui recursos e opes especficas do produto, as opes
de varredura de vrus variam de parceiro para parceiro.
1081
44.7.
Informaes do Engine
1082
1083
44.8.
Gerenciamento de atualizaes
1084
A atualizao das assinaturas feita por meio da Internet. Para isso, o sistema precisa ter
acesso a Rede Mundial de Computadores para realizar o download das assinaturas. Se para
acessar a Internet, o Aker Antivrus Module precisar utilizar ou se autenticar em algum
proxy, as informaes necessrias para permitir esse acesso sero configuradas nessa aba.
o Habilitar a Autenticao de Proxy: Ao clicar nesta opo ser permitido autenticarse no Proxy, cadastrando um usurio e uma senha.
Aker Security Solutions
1085
1086
1087
1088
45.1.
Todas as mensagens abaixo podem aparecer no log do firewall. Sempre que ocorrerem, elas
estaro precedendo um registro que contm as informaes sobre o pacote que as
produziu. As mensagens de log so separadas em trs categorias:
Autenticap/Criptografia
025 - Algoritmo de criptografia de chave SKIP invlido - Esta mensagem indica que o
algoritmo de criptografia especificado no cabealho SKIP no suportado (o Aker Firewall
somente suporta os algoritmos de criptografia DES, Triplo DES e Blowfish, com 128 e 256
bits de chaves).
Criptografia IPSEC
040 - Erro finalizando autenticao com o algoritmo escolhido Esta mensagem indica que
o Firewall no conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o
algoritmo de autenticao est com defeito.
039 - Erro iniciando autenticao para o algoritmo especificado Esta mensagem indica
que o Firewall no conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o
algoritmo de autenticao est com defeito.
034 - Header AH com formato incorreto (campo: length) Esta mensagem indica que o
Firewall recebeu um pacote cifrado com criptografia IPSEC que tem informaes de
autenticao no protocolo AH com tamanho incorreto. Veja a RFC 2402.
012 - Pacote no passou pela autenticao Esta mensagem indica que o pacote em
questo no foi validado com sucesso pelo mdulo de autenticao do Firewall. Isto pode
ser causado por uma configurao de chaves de autenticao invlida, por uma alterao
indevida no contedo do pacote durante o seu trnsito ou por uma tentativa de ataque de
falsificao de endereos IP (IP spoofing). Para maiores informaes veja as RFCs 1825 e
1827.
011 - Pacote sem informao de autenticao Esta mensagem indica que o pacote em
questo veio sem header de autenticao e a configurao do fluxo seguro correspondente
indica que ele s deveria ser aceito autenticado (ver o captulo intitulado Criando Canais de
Criptografia). Isto pode ser causado por uma configurao errada nos fluxos de
Aker Security Solutions
1089
Outros
023 - Algoritmo de autenticao do SKIP invlido Esta mensagem indica que o algoritmo
de autenticao especificado no cabealho SKIP no suportado (o Aker Firewall somente
suporta os algoritmos de autenticao MD5 e SHA-1).
026 - Algoritmo de compresso de dados no suportado Esta mensagem indica que o
algoritmo de compresso de dados especificado no cabealho SKIP no suportado (o Aker
Firewall no suporta nenhum algoritmo de compresso de dados, uma vez que estes ainda
no esto padronizados).
1090
024 - Algoritmo de criptografia do SKIP invlido Esta mensagem indica que o algoritmo
de criptografia especificado no cabealho SKIP no suportado (o Aker Firewall somente
suporta os algoritmos de criptografia DES, Triplo DES e Blowfish, com 128 e 256 bits de
chaves).
003 - Ataque de land Um ataque de land consiste em simular uma conexo de uma porta
com ela mesma. Isto provoca o travamento da mquina atacada em boa parte das
implementaes TCP/IP.
Esta mensagem indica que o filtro de pacotes recebeu um pacote cujo endereo de origem
igual ao endereo destino e cuja porta de origem igual porta destino, caracterizando um
ataque deste tipo.
031 - Autenticao de pacote de controle Aker-CDP invlida Esta mensagem indica que o
Firewall recebeu um pacote de controle do protocolo Aker-CDP com autenticao invlida.
A causa provvel uma modificao do pacote durante o trnsito ou uma possvel tentativa
de ataque.
007 - Conexo de controle no est aberta Esta mensagem indica que o firewall recebeu
um pacote de uma conexo de dados (de algum protocolo que utilize mais de uma conexo,
como por exemplo, o FTP e o Real udio/Real Vdeo) e a conexo de controle
correspondente no estava aberta.
004 - Conexo no consta na tabela dinmica Esta mensagem indica que o firewall
recebeu um pacote TCP que no era de abertura de conexo e estava endereado para uma
conexo no aberta. Isto pode ser causado por um ataque ou simplesmente por uma
conexo que ficou inativa por um tempo superior ao tempo limite para conexes TCP.
015 - Decriptao do pacote apresentou erro Esta mensagem indica que o mdulo de
criptografia, aps desencriptar o pacote e realizar os testes de consistncia no mesmo,
detectou que o mesmo invlido. Isto provavelmente causado por uma configurao
errada da tabela de criptografia ou por um possvel ataque de falsificao de endereos IP
(IP spoofing).
041 - Final de Conexo Esta mensagem apenas um registro de final de conexo e no
deve aparecer normalmente no log do firewall
008 - Flags TCP do pacote so invlidos Esta mensagem indica que o Firewall recebeu um
pacote TCP cujos flags estavam invlidos ou contraditrios (por exemplo, SYN e FIN no
mesmo pacote). Isto pode caracterizar um ataque ou uma implementao de TCP/IP
defeituosa.
028 - Identificador de espao de nome de destino invlido O protocolo SKIP permite que
sejam utilizados outros espaos de nomes, que no endereos IP, para selecionar a
associao de segurana correspondente (SA). O espao de nome pode ser especificado
Aker Security Solutions
1091
para a origem e/ou para o destino. Esta mensagem indica que o espao de nome de destino
no suportado (o Aker Firewall somente suporta endereos IP como espao de nome).
027 - Identificador de espao de nome de origem invlido O protocolo SKIP permite que
sejam utilizados outros espaos de nomes, que no endereos IP, para selecionar a
associao de segurana correspondente (SA). O espao de nome pode ser especificado
para a origem e/ou para o destino. Esta mensagem indica que o espao de nome de origem
no suportado (o Aker Firewall somente suporta endereos IP como espao de nome).
042 - Limite configurado de conexes a partir do endereo IP excedido Esta mensagem
ocorre quando o limite mximo de conexes configurado pelo mdulo de proteo contra
flood tiver sido atingido. Para verificar a configurao deste mdulo consulte a Proteo de
Flood.
032 - Nmero de licenas do firewall atingido O Aker Firewall vendido em diferentes
faixas de licenas, de acordo com o nmero de mquinas da(s) rede(s) interna(s) a serem
protegidas. Esta mensagem indica que o firewall detectou um nmero de mquinas internas
maior que o nmero de licenas adquiridas e devido a isso impediu que as mquinas
excedentes abrissem conexes por meio dele.
Soluo: Contate a Aker Security Solutions ou seu representante autorizado e solicite a
aquisio de um maior nmero de licenas.
009 - Nmero de sequncia do pacote TCP invlido Esta mensagem indica que o Firewall
recebeu um pacote TCP cujo nmero de sequncia estava fora dos valores esperados. Isto
pode caracterizar um ataque.
002 - Pacote IP direcionado Esta mensagem indica que filtro de pacotes recebeu um
pacote IP com uma das seguintes opes: Record Route, Loose Routing ou Strict Routing e
ele foi configurado de modo a no aceitar pacotes IP direcionados. Para maiores
informaes veja RFC 791.
033 - Pacote descartado por uma regra de bloqueio IDS Esta mensagem indica que o
Firewall recebeu um pacote que se enquadrou em uma regra temporria acrescentada pelo
agente de deteco de intruso e devido a isso, foi descartado (para maiores informaes
veja o captulo intitulado Configurando o IPS/IDS).
000 - Pacote fora das regras No possui mensagem associada
005 - Pacote proveniente de interface invlida Esta mensagem indica que o filtro de
pacotes recebeu um pacote IP proveniente de uma interface diferente da especificada na
regra de filtragem na qual ele se encaixou. Isto pode ser causado por um ataque de
falsificao de endereos IP (IP spoofing) ou por uma configurao errada de uma regra de
filtragem.
006 - Pacote proveniente de interface no determinada Esta mensagem indica que o
filtro de pacotes recebeu um pacote, mas no conseguiu determinar a interface de origem
Aker Security Solutions
1092
1093
pacote em questo invlido. Isto pode ter duas causas distintas: ou relgio interno dos
dois firewalls se comunicando est defasado em mais de uma hora ou ocorreu uma
tentativa de ataque de repetio de sequncia.
029 - Verso do protocolo Aker-CDP invlida Esta mensagem indica que o Firewall
recebeu um pacote do protocolo Aker-CDP com verso invlida.
019 - Verso do protocolo SKIP invlida Esta mensagem indica que a verso do protocolo
SKIP indicada no pacote em questo diferente da verso suportada. O Aker Firewall
implementa a verso 1 do protocolo SKIP.
45.2.
Acesso no console
220 - Erro executando shell Esta mensagem informa que um erro grave de configurao
foi encontrado que impede o login no console do Firewall Box. Contate o suporte tcnico de
seu revendedor.
221 - Erro lendo licena Esta mensagem indica que as informaes de licena do Firewall
esto com algum problema srio que impedem sua leitura. Reinsira a chave de ativao no
Firewall.
224 - Login no console efetuado Esta mensagem registra o fato de algum operador ter
efetuado login no console do Firewall Box.
223 - Sistema com defeito irremedivel. Contate o revendedor Esta mensagem informa
que um erro grave de configurao foi encontrado que impede o login no console do
Firewall Box. Contate o suporte tcnico de seu revendedor.
222 - Tentativa de login invlida: senha incorreta Esta mensagem indica que algum
tentou efetuar login no console do Firewall Box, mas no tinha a senha correta.
313 - Aviso importante do Web Content Analyzer Esta uma mensagem com prioridade
de aviso gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informaes
312 - Informao do Web Content Analyzer Esta uma mensagem com prioridade de
informao gerada pelo Aker Web Content Analyzer. Verifique os complementos para
maiores informaes.
Aker Security Solutions
1094
314 - Mensagem de alerta do Web Content Analyzer Esta uma mensagem com
prioridade de alerta gerada pelo Aker Web Content Analyzer. Verifique os complementos
para maiores informaes.
311 - Mensagem de debug do Web Content Analyzer Esta uma mensagem com
prioridade de depurao gerada pelo Aker Web Content Analyzer. Verifique os
complementos para maiores informaes.
315 - O Web Content Analyzer encontrou um erro Esta uma mensagem com prioridade
de erro gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informaes.
AntiVirus integrado
303 - Aviso importante do Antivrus Esta uma mensagem com prioridade de aviso
gerada pelo antivrus. Verifique os complementos para maiores informaes.
302 - Informao do Antivrus Esta uma mensagem com prioridade de informao
gerada pelo antivrus. Verifique os complementos para maiores informaes.
304 - Mensagem de alerta do Antivrus Esta uma mensagem com prioridade de alerta
gerada pelo antivrus. Verifique os complementos para maiores informaes.
301 - Mensagem de debug do Antivrus Esta uma mensagem com prioridade de
depurao gerada pelo antivrus. Verifique os complementos para maiores informaes
305 - O Antivrus encontrou um erro - Esta uma mensagem com prioridade de erro gerada
pelo antivrus. Verifique os complementos para maiores informaes.
Autenticao/Criptografia
1095
142 - Erro ao carregar algoritmo de criptografia O Aker Firewall pode trabalhar com
algoritmos de criptografia desenvolvidos por terceiros, chamados de algoritmos externos.
Esta mensagem indica que o servidor de criptografia para clientes no conseguiu carregar
um destes algoritmos de criptografia externos. Isto causado por uma falha de
implementao do algoritmo.
As mensagens complementares mostram o nome da biblioteca a partir da qual o firewall
tentou carregar o algoritmo e o erro que causou o problema.
Soluo: Contate o desenvolvedor do algoritmo e repasse a mensagem completa para ele.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
141 - Erro de comunicao com cliente de criptografia Esta mensagem, que pode ter
vrias causas, indica que o servidor de criptografia para clientes recebeu um pacote
criptografado invlido de um Cliente de Criptografia Aker.
As mensagens complementares indicam qual a causa do problema e os endereos da
mquina de origem e destino (o destino o endereo da mquina atrs do firewall com a
qual o cliente tentou se comunicar).
151 - Nmero de processos excessivos no sistema Esta mensagem indica que algum dos
mdulos externos do firewall, ao tentar criar uma nova instncia de si prprio para tratar
uma conexo, detectou que o nmero de processos executando no sistema est prximo do
limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a
conexo que deveria ser tratada pelo novo processo foi abortada.
Soluo: Aumente o nmero mximo de processos no sistema.
140 - Sesso de criptografia com cliente finalizada Esta mensagem indica que um cliente
finalizou uma sesso criptografada. A mensagem complementar indica a mquina de origem
da conexo.
Carregar
1096
062 - Dados invlidos recebidos pela carga do Firewall Esta mensagem indica que foram
enviados dados invlidos para os mdulos do Firewall que rodam dentro do kernel do
FreeBSD ou Linux. Os dados invlidos devem necessariamente ter sido produzidos por um
programa rodando na mquina do firewall.
Soluo: Procure verificar qual programa produz esta mensagem ao ser executado e no
execute-o mais.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
187 - Usurio sem direito de acesso Esta mensagem indica que o usurio tentou realizar
uma operao que no lhe era permitida.
Soluo: Esta mensagem no deve ser mostrada em condies normais de funcionamento
do Aker Firewall. Se ela aparecer, contate o suporte tcnico.
Certificado do servidor
134 - Certificado invlido recebido Esta mensagem indica que o servidor de certificados
do firewall recebeu um certificado invlido. Isso pode ter uma das seguintes causas:
As mensagens complementares indicam qual destes possveis erros ocorreu e qual firewall
emitiu o certificado invlido
135 - Certificado recebido e validado corretamente Esta mensagem indica que o servidor
de certificados do firewall recebeu um certificado de negociao ou revogao vlido. As
mensagens complementares indicam que tipo de certificado foi recebido e qual firewall o
emitiu.
133 - Erro ao carregar certificados Esta mensagem indica que o firewall no conseguiu
carregar alguma lista de certificados de criptografia.
Soluo: Contate o suporte tcnico
1097
070 - Erro ao carregar tabela de criptografia Esta mensagem indica que um dos servidores
do firewall no conseguiu carregar a tabela de criptografia.
Soluo: Contate o suporte tcnico.
109 - Erro ao comunicar com servidor de autenticao Esta mensagem indica que um dos
proxies no conseguiu se comunicar com o servidor de autenticao quando tentou realizar
a autenticao de um usurio. Devido a isso, o usurio no foi autorizado a continuar e a
sua conexo foi recusada.
Soluo: Verifique se o processo do servidor de autenticao est ativo no firewall. Para
fazer isso, execute o comando
#ps -ax | grep fwauthd | grep -v grep. Caso o processo no aparea, execute-o com o
comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este problema voltar a
ocorrer, contate o suporte tcnico.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
131 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos
mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro
do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta
indicar quais informaes estavam sendo enviadas.
Soluo: Verifique se o mdulo do Aker Firewall est carregado no kernel. No FreeBSD
utilize o comando kldstat e no Linux o comando lsmod. Em ambos os casos dever aparecer
um mdulo com o nome aker_firewall_mod.
132 - Erro ao salvar certificados Esta mensagem indica que o firewall no conseguiu salvar
alguma lista de certificados de criptografia no disco.
Soluo: Verifique se o existe espao disponvel no diretrio '/' do firewall. Isto pode ser
feito por meio do comando "$df -k". Se este comando mostrar o diretrio '/' com 100% de
espao utilizado, ento isto a causa do problema. Caso exista espao disponvel e ainda
assim este erro aparea, consulte o suporte tcnico.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
1098
Cluster cooperativo
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
1099
Controle de QoS
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
217 - Pedido de fluxo inexistente Esta mensagem indica que uma inconsistncia interna
ocorreu, de forma que um fluxo de dados para controle de banda (QoS), no foi encontrado
218 -Pedido de pipe inexistente Esta mensagem indica que uma inconsistncia interna
ocorreu, de forma que um pipe para controle de banda (QoS), no foi encontrado.
131 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos
mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro
do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta
indicar quais informaes estavam sendo enviadas.
Soluo: Verifique se o mdulo do Aker Firewall est carregado no kernel. No FreeBSD
utilize o comando kldstat e no Linux o comando lsmod. Em ambos os casos dever aparecer
um mdulo com o nome aker_firewall_mod.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
152 - Mquina de converso 1-N fora do ar Essa mensagem indica que uma das mquinas
participantes de uma converso 1-N (balanceamento de canal) se encontra fora do ar. A
mensagem complementar mostra o endereo IP da mquina em questo.
1100
153 - Mquina de converso 1-N operacional Essa mensagem indica que uma das
mquinas participantes de uma converso 1-N (balanceamento de canal) que se encontrava
fora do ar voltou a funcionar normalmente. A mensagem complementar mostra o endereo
IP da mquina em questo.
057 - Tabela de converso TCP cheia A tabela de converso de endereos TCP encheu. A
nica soluo para esse problema diminuir o Tempo limite TCP nos parmetros de
configurao. Para maiores informaes veja o captulo Configurando os parmetros do
sistema.
058 - Tabela de converso UDP cheia A tabela de converso de endereos UDP encheu. A
nica soluo para esse problema diminuir o Tempo limite UDP nos parmetros de
configurao. Para maiores informaes veja o captulo Configurando os parmetros do
sistema.
Criptografia IPSEC
1101
situao anmala e no deve acontecer. Contate o suporte tcnico se o Firewall gerar esta
mensagem.
190 - SA no tem tipo IPSEC Esta mensagem indica que foi tentada a configurao de um
canal no IPSEC pelo mdulo IPSEC. Esta situao anmala e no deve acontecer. Por
favor contate o suporte tcnico se o Firewall gerar esta mensagem.
Daemon CLR
150 - Erro ao baixar CRL Essa mensagem indica que o firewall no conseguiu baixar a lista
de certificados revogados (CRL) de uma autoridade certificadora. As mensagens
complementares mostram a razo pela qual no foi possvel baixar a lista e a URL da qual se
tentou baix-la.
Soluo: Verifique que a URL informada na definio da entidade do tipo autoridade
certificadora est correta e que o servio est no ar. possvel fazer isso digitando-se a URL
em um browser e verificando se possvel se receber o arquivo
065 - Erro ao carregar entidades Esta mensagem indica que algum processo servidor do
firewall no conseguiu carregar a lista de entidades cadastradas no sistema.
Soluo: Contate o suporte tcnico.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
360 - Autenticao para conexo PPTP aceita Evento gerado quando uma conexo PPTP
foi realizada com sucesso.
361 - Autenticao para conexo PPTP rejeitada Evento gerado quando uma conexo
PPTP foi rejeitada por falha no logon.
Aker Security Solutions
1102
363 - Conexo PPTP encerrada Evento gerado quando uma conexo PPTP foi finalizada.
362 - Conexo PPTP estabelecida Evento gerado quando uma conexo PPTP foi realizada
com sucesso.
265 - Conexo encerrada pela filtragem de aplicativos Esta mensagem indica que uma
conexo foi encerrada devido aplicao de uma regra de filtragem de aplicativos.
264 - Conexo teve canal alterado Esta mensagem indica que uma conexo teve sua
definio de canal alterada devido a aplicao de uma regra de filtragem de aplicativos.
296 - Download das atualizaes dos filtros completo Esta mensagem indica que o
firewall conseguiu baixar uma nova atualizao das assinaturas de IDS ou da Filtragem de
Aplicativos.
064 - Erro ao carregar perfis de acesso Esta mensagem indica que o servidor de
autenticao ou o servidor de login de usurios no conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
Soluo: Contate o suporte tcnico.
244 - Erro ao enviar arquivo ao cluster Esta mensagem indica que o firewall servidor do
cluster no esta conseguindo enviar arquivo ao cluster. Verifique o segmento de rede de
troca informao dos firewalls cooperativos.
131 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos
mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro
do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta
indicar quais informaes estavam sendo enviadas.
Soluo: Verifique se o mdulo do Aker Firewall est carregado no kernel. No FreeBSD
utilize o comando kldstat e no Linux o comando lsmod. Em ambos os casos dever aparecer
um mdulo com o nome aker_firewall_mod.
243 - Erro ao replicar estado do cluster Esta mensagem indica que o firewall servidor do
cluster no esta conseguindo replicar o estado do cluster para os outros firewalls. Verifique
o segmento de rede de troca informao dos firewalls cooperativos.
272 - Erro carregando regras de IDS/IPS Esta mensagem indica que o firewall detectou um
erro ao carregar as regras de IDS/IPS. Ela no deve ocorrer nunca em condies normais.
Caso ocorra, deve-se contatar o suporte tcnico.
1103
270 - Erro carregando regras globais de filtragem de aplicativos Esta mensagem indica
que o firewall detectou um erro ao carregar as regras globais de filtragem de aplicativos. Ela
no deve ocorrer nunca em condies normais. Caso ocorra, deve-se contatar o suporte
tcnico.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
271 - Erro expandindo regras de IDS/IPS Esta mensagem indica que o firewall detectou
um erro ao expandir as regras de IDS/IPS. Ela no deve ocorrer nunca em condies
normais. Caso ocorra, deve-se contatar o suporte tcnico.
269 - Erro expandindo regras de filtragem de aplicativos Esta mensagem indica que o
firewall detectou um erro ao expandir as regras de filtragem de aplicativos. Ela no deve
ocorrer nunca em condies normais. Caso ocorra, deve-se contatar o suporte tcnico.
295 - Erro fazendo download das atualizaes dos filtros Esta mensagem indica que
ocorreu um erro quando o firewall tentou fazer o download das novas assinaturas de IDS
e/ou da Filtragem de aplicativos.Verifique o complemento para maiores informaes.
294 - Erro obtendo data de expirao do IDS No foi possvel ler a data de expirao de
uma base IDS em disco. Provvel base corrompida.
266 - Erro recebendo pacote do Kernel Esta mensagem gerada quando o mdulo de
filtragem de aplicativos no conseguir ler os pacotes enviados pelo kernel do firewall. Ela
no deve ocorrer nunca em condies normais. Caso ocorra, deve-se contatar o suporte
tcnico.
268 - Pacote truncado recebido do kernel Esta mensagem gerada quando o mdulo de
filtragem de aplicativos leu um pacote de tamanho invlido enviado pelo kernel do firewall.
Ela no deve ocorrer nunca em condies normais. Caso ocorra, deve-se contatar o suporte
tcnico.
267 - Pacotes perdidos na anlise - sistema possivelmente lento Esta mensagem indica
que o mdulo de anlise de aplicativos no conseguiu tratar em tempo hbil todos os
pacotes que deveria a fim de verificar todas as regras de filtragem de aplicativos
configuradas no firewall. Possveis aes que podem ser realizadas pelo administrador so:
Verificar se algum dos filtros est com profundidade de pesquisa muito grande. Se
tiver, tentar diminuir ao mximo este valor;
1104
No usar regras do tipo: procurar MP3 em todos os servios. Utilizar somente nos
servios nos quais este tipo de arquivo possa trafegar nos protoclos: FTP, HTTP,
SMTP, etc.
No colocar regras Internet - Internet. Sempre que possvel utilizar regras do tipo
origem Rede Interna, destino Internet ou vice-versa.
No verificar arquivos e protocolos da Rede Interna para a DMZ.
114 - Regra de bloqueio temporria acrescentada Esta mensagem indica que uma regra
de bloqueio temporria foi inserida no firewall. Como dados complementares so
mostrados o mdulo que inseriu a regra temporria (IDS, Portscan, etc) e no caso do IDS
interno, a razo pela qual a mquina foi bloqueada.
Daemon de log
219 - Apagando registros do sistema de log Esta mensagem indica que os registros do
sistema de log foram apagados. A mensagem complementar entre parnteses informa se
foram apagados logs, estatsticas ou eventos.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
210 - Erro lendo arquivo de configurao de estatsticas Esta mensagem indica que houve
um problema ao ler o arquivo de configurao de estatsticas. A soluo restaur-lo ou
remov-lo e criar as configuraes novamente. Veja a seo Arquivos do Sistema.
211 - Erro lendo tabela de entidades Esta mensagem indica que o mdulo gerador de
estatsticas do Firewall no conseguiu ler a tabela de entidades do sistema.
214 - Erro recebendo estatsticas do kernel Esta mensagem indica que o mdulo gerador
de estatsticas do Firewall teve problemas ao ler os dados necessrios ao seu clculo dos
mdulos que executam dentro do kernel do sistema operacional
215 - Erro salvando estatsticas do kernel Esta mensagem indica que o mdulo gerador de
estatsticas do Firewall teve problemas ao armazenar os dados coletados (ou envi-los ao
servidor de log remoto). Se o log for local, verifique a possibilidade de o disco estar cheio. Se
for remoto, verifique a correta conexo com o servidor de log remoto
Aker Security Solutions
1105
251 - Host no respondeu e foi marcado como inativo Esta mensagem indica que a
mquina de teste do balanceamento de link est fora ar ou no foi possvel a sua
verificao. Para maiores informaes consulte o captulo intitulado Configurando a
Converso de Endereos.
250 - Host respondeu e foi marcado como ativo Esta mensagem indica que a mquina de
teste do balanceamento de link est no ar. Para maiores informaes consulte o capitulo
intitulado Configurando a Converso de Endereos.
252 - Link foi marcado como ativo Esta mensagem indica que o balanceamento de link
esta no ar. Para maiores informaes consulte o capitulo intitulado Configurando a
Converso de Endereos.
253 - Link foi marcado como inativo Esta mensagem indica que o balanceamento de link
esta fora do ar. Para maiores informaes consulte o capitulo intitulado Configurando a
Converso de Endereos.
Daemon de Quotas
1106
065 - Erro ao carregar entidades Esta mensagem indica que algum processo servidor do
firewall no conseguiu carregar a lista de entidades cadastradas no sistema.
Soluo: Contate o suporte tcnico.
261 - Erro ao criar processo Esta mensagem indica que o firewall tentou criar um novo
processo para cuidar de uma determinada tarefa e no conseguiu. Possveis causas de erro
so memria insuficiente no firewall ou nmero de processos ativos excessivamente alto.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
263 - Processo foi interrompido Esta mensagem indica que o processo de monitoramento
do firewall detectou que um processo crtico do sistema no estava mais rodando. Se esta
mensagem aparecer frequentemente, necessrio contatar o suporte tcnico para
determinar a causa do problema.
317 - Relatrio gerado e publicado com sucesso Esta mensagem indica que um relatrio
que estava agendado foi gerado e publicado com sucesso pelo firewall.
Daemon IPSEC-IKE
201 - Algoritmo criptogrfico no suportado Esta mensagem indica que um outro Firewall
(ou qualquer equipamento que suporte IPSEC) tentou estabelecer um canal criptogrfico
com um algoritmo de cifrao no suportado pelo Aker Firewall. Escolha outros algoritmos
(veja seo Configurando canais Firewall-Firewall).
208 - Aviso do fwiked (olhar mensagens complementares) Esta mensagem uma
mensagem genrica de aviso do daemon de negociao de chaves IPSEC. Verifique as
mensagens complementares para obter mais detalhes.
198 - Erro comunicando com o kernel Esta mensagem indica que o daemon de negociao
de chaves IPSEC (fwiked) no est conseguindo se comunicar com os mdulos do Firewall
que executam dentro do kernel do sistema operacional.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
Aker Security Solutions
1107
1108
Daemons do firewall
166 - Alterao da configurao de SNMP Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta alterou os parmetros de configurao do
agente SNMP
181 - Alterao da configurao de TCP/IP Esta mensagem indica que o administrador
que estava com a sesso de administrao aberta alterou a configurao de TCP/IP do
firewall (hostname, configurao de DNS, configurao de interfaces ou rotas).
172 - Alterao da configurao do proxy SOCKS Esta mensagem indica que o
administrador que estava com a sesso de administrao aberta alterou algum dos
parmetros de configurao do proxy SOCKS.
162 - Alterao de converso Esta mensagem indica que o administrador que estava com
a sesso de administrao aberta alterou algum parmetro da converso de endereos ou a
tabela de converso de servidores. A mensagem complementar indica exatamente o que foi
alterado.
168 - Alterao da lista de controle de acesso Esta mensagem indica que o administrador
que estava com a sesso de administrao aberta alterou a lista de controles de acesso.
163 - Alterao da tabela de criptografia Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta alterou a tabela de criptografia do firewall.
161 - Alterao das regras de filtragem Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta alterou a tabela de regras de filtragem do
firewall.
165 - Alterao de contextos Esta mensagem indica que o administrador que estava com
a sesso de administrao aberta alterou contextos de um dos proxies transparentes do
Firewall. A mensagem complementar indica qual o proxy que teve seus contextos
modificados.
170 - Alterao de entidades Esta mensagem indica que o administrador que estava com
a sesso de administrao aberta alterou a lista de entidades do sistema.
160 - Alterao de parmetro Esta mensagem indica que o administrador que estava com
a sesso de administrao aberta alterou algum parmetro de configurao do sistema. A
mensagem complementar indica o nome do parmetro que foi alterado.
171 - Alterao de parmetros WWW Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta alterou os parmetros WWW.
1109
1110
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
158 - Erro de confirmao de sesso de administrao Esta mensagem indica que um
usurio cadastrado no sistema tentou estabelecer uma sesso de administrao remota,
porm sua senha estava incorreta. A mensagem complementar mostra o nome do usurio
em questo.
186 - Erro na operao anterior Esta mensagem indica que a ltima operao executada
pelo servidor de comunicao remota no foi executada com sucesso.
Soluo: Verifique se o existe espao disponvel no diretrio '/' do firewall. Isto pode ser
feito por meio do comando "$df -k". Se este comando mostrar o diretrio '/' com 100% de
espao utilizado, ento isto a causa do problema. Caso exista espao disponvel e ainda
assim este erro aparea, consulte o suporte tcnico.
351 - Excesso de tentativas invlidas. IP bloqueado Por padro, o firewall bloqueia
durante cinco minutos todas tentativas de conexo de um determinado IP caso ele possua
trs tentativas consecutivas invlidas. O complemento dessa mensagem o IP que foi
bloqueado.
159 - Firewall sendo administrado por outro usurio Esta mensagem indica que um
usurio conseguiu se autenticar corretamente para estabelecer uma sesso de
administrao remota, porm j existia um outro usurio com uma sesso aberta para a
mesma mquina e por isso a conexo foi recusada. A mensagem complementar indica qual
o usurio que teve sua sesso recusada.
176 - Operao sobre o arquivo de eventos Esta mensagem indica que o administrador
que estava com a sesso de administrao aberta realizou uma operao sobre o arquivo de
eventos. As operaes possveis so Compactar e Apagar. A mensagem complementar
indica qual destas operaes foi executada.
175 - Operao sobre o arquivo de log Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta realizou uma operao sobre o arquivo de log.
As operaes possveis so Compactar e Apagar. A mensagem complementar indica qual
destas operaes foi executada.
177 - Operao sobre o arquivo de usurio Esta mensagem indica que o administrador
que estava com a sesso de administrao aberta realizou uma operao sobre o arquivo de
usurios. As operaes possveis so Incluir, Excluir e Alterar. A mensagem complementar
indica qual destas operaes foi executada e sobre qual usurio
1111
1112
CF - Configura Firewall
CL - Configura Log
GU - Gerencia usurios
Filtro de pacote
055 - Aker Firewall 6.5 Inicializao completa Esta mensagem tem carter puramente
informativo, servindo para determinar os horrios que o Firewall entrou em funcionamento.
Ela ser produzida a cada reinicializao da mquina.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
Aker Security Solutions
1113
IDS
112 - Erro ao conectar com agente IDS Esta mensagem indica que o firewall no
conseguiu se conectar ao agente IDS que estaria rodando em uma determinada mquina. A
mensagem complementar indica o nome do agente IDS que no pode ser conectado e o
endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est correto
na definio da entidade (para maiores informaes, veja o captulo intitulado Cadastrando
Entidades) e que o agente est realmente sendo executado na mquina em questo.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
131 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos
mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro
do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta
indicar quais informaes estavam sendo enviadas.
Soluo: Verifique se o mdulo do Aker Firewall est carregado no kernel. No FreeBSD
utilize o comando kldstat e no Linux o comando lsmod. Em ambos os casos dever aparecer
um mdulo com o nome aker_firewall_mod.
063 - Erro ao ler o arquivo de parmetros Esta mensagem produzida por qualquer um
dos mdulos externos ao tentar ler o arquivo de parmetros do sistema e constatar que
este no existe ou no pode ser lido.
Soluo: Reinicialize a mquina, que o programa de inicializao ir recriar o arquivo de
parmetros. Se isso no funcionar, contate o suporte tcnico.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
Aker Security Solutions
1114
113 - Erro de comunicao com agente IDS Esta mensagem indica que o firewall
conseguiu se conectar ao agente IDS, porm no conseguiu estabelecer uma comunicao.
A mensagem complementar indica o nome do agente IDS que provocou o problema e o
endereo IP da mquina onde ele est rodando.
Soluo: Verifique se a senha de acesso na definio da entidade est igual senha colocada
na configurao do agente IDS. Para maiores informaes, veja o captulo intitulado
Cadastrando Entidades.
114 - Regra de bloqueio temporria acrescentada Esta mensagem indica que uma regra
de bloqueio temporria foi inserida no firewall. Como dados complementares so
mostrados o mdulo que inseriu a regra temporria (IDS, Portscan, etc) e no caso do IDS
interno, a razo pela qual a mquina foi bloqueada.
356 - Erro criando arquivo local para ser exportado No foi possvel criar arquivos para
export-los. Verifique a permisso do diretrio temporrio e o espao em disco. O ttulo do
relatrio est no complemento.
353 - Exportao de evento finalizada com sucesso Gerado ao final da exportao de
eventos e nenhum erro foi detectado. O ttulo do relatrio e o ip da mquina/diretrio
esto no complemento.
352 - Exportao de log finalizada com sucesso Gerado ao final da exportao de log e
nenhum erro foi detectado. O ttulo do relatrio e o ip da mquina/diretrio esto no
complemento
354 - Falha ao conectar no servidor FTP para exportar logs ou eventos No foi possvel
conectar-se no servidor FTP para exportar logs ou ventos. O ttulo e o motivo da falha esto
no complemento.
355 - Falha ao copiar log ou eventos para pasta local No foi possvel copiar os relatrios
na mquina local. Verifique a permisso do diretrio de destino e espao em disco. O ttulo
do relatrio est no complemento.
242 - Erro alterando a configurao do firewall Esta mensagem indica que o firewall
servidor do cluster no esta conseguindo alterar as configuraes dos outros firewalls.
Verifique o segmento de rede de troca informao dos firewalls cooperativos.
1115
241 - Erro de processamento no firewall servidor Esta mensagem indica que o firewall
servidor do cluster no esta processando os dados corretamente. Verifique o firewall
servidor quanto a espao em disco e processador.
240 - Erro enviando dados do firewall servidor Esta mensagem indica que o firewall
servidor do cluster no est enviando os dados corretamente. Verifique o segmento de rede
de troca informao dos firewalls cooperativos.
239 - Erro recebendo dados do firewall servidor Esta mensagem indica que o firewall
servidor do cluster no esta recebendo os dados corretamente. Verifique o segmento de
rede de troca informao dos firewalls cooperativos
125 - Chave de ativao do firewall repetida Esta mensagem indica que dois firewalls
possuem a mesma licena instalada. Para o trabalho dos firewalls cooperativos e necessrio
que cada um dos firewalls possua a sua prpria licena.
124 - Convergncia do cluster completada com sucesso Esta mensagem indica que todos
os firewalls do cluster esto funcionando corretamente.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
131 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos
mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro
do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta
indicar quais informaes estavam sendo enviadas.
Soluo: Verifique se o mdulo do Aker Firewall est carregado no kernel. No FreeBSD
utilize o comando kldstat e no Linux o comando lsmod. Em ambos os casos dever aparecer
um mdulo com o nome aker_firewall_mod.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
1116
330 - Interface de rede conectada Interface do heart beat ficou ativa. O complemento a
interface.
329 - Interface de rede desconectada Interface do heart beat ficou inativa. O
complemento a interface.
122 - Mquina participante do cluster fora do ar Esta mensagem indica que uma das
mquinas participantes do cluster esta fora do ar. Verifique a situao da mquina de modo
a solucionar o problema da mesma.
121 - Nova mquina detectada no cluster Esta mensagem indica que uma nova mquina
foi anexada ao sistema de cluster do firewall.
123 - Pacote de heartbeat invlido Esta mensagem indica que um pacote de verificao
do cluster foi recebido incorretamente. Verifique se o segmento de comunicao dos
firewall esta funcionando corretamente.
245 - Erro ao agrupar dados do cluster Esta mensagem indica que o firewall servidor do
cluster no est conseguindo agrupar os dados do cluster. Verifique o segmento de rede de
troca informao dos firewalls cooperativos.
244 - Erro ao enviar arquivo ao cluster Esta mensagem indica que o firewall servidor do
cluster no esta conseguindo enviar arquivo ao cluster. Verifique o segmento de rede de
troca informao dos firewalls cooperativos.
131 - Erro ao enviar dados para o kernel do firewall Esta mensagem indica que algum dos
mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro
do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta
indicar quais informaes estavam sendo enviadas.
Soluo: Verifique se o mdulo do Aker Firewall est carregado no kernel. No FreeBSD
utilize o comando kldstat e no Linux o comando lsmod. Em ambos os casos dever aparecer
um mdulo com o nome aker_firewall_mod.
243 - Erro ao replicar estado do cluster Esta mensagem indica que o firewall servidor do
cluster no esta conseguindo replicar o estado do cluster para os outros firewalls. Verifique
o segmento de rede de troca informao dos firewalls cooperativos.
Protocolos de roteamento
1117
243 - Erro ao replicar estado do cluster Esta mensagem indica que o firewall servidor do
cluster no esta conseguindo replicar o estado do cluster para os outros firewalls. Verifique
o segmento de rede de troca informao dos firewalls cooperativos.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
333 - Erro de comunicao com o servio de rotas Ocorreu um erro de comunicao do
firewall com o processo Zebrad. Verifique o status do processo e tente novamente.
331 - Rota adicionada O Zebrad adicionou uma rota no firewall.
332 - Rota removida O Zebrad removeu uma rota no firewall.
Proxies Transparentes
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
Proxy DCE-RPC
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
131 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos
mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro
Aker Security Solutions
1118
Proxy FTP
342 - Contabilidade de trfego FTP (downloads) Dados de download foram enviados por
meio do proxy FTP.
343 - Contabilidade de trfego FTP (uploads) Dados de uploads foram enviados por meio
do proxy FTP.
072 - DNS direto e reverso conflitantes Quando um proxy do Firewall configurado para
somente aceitar conexes a partir de mquinas com DNS reverso vlido, ele utiliza uma
tcnica que consiste em tentar resolver o nome para o endereo IP de origem da conexo.
Caso ele no consiga, ele indica erro mostrando a mensagem anterior e no permite a
realizao da conexo. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir do
nome retornado, buscando seu endereo IP. Se ele no conseguir realizar esta segunda
pesquisa ou se o endereo IP retornado for diferente do endereo de origem, a conexo
abortada e esta mensagem produzida.
071 - DNS reverso no configurado Esta mensagem produzida por algum dos proxies se
ele tiver sido configurado para somente receber conexes a partir de mquinas com DNS
Aker Security Solutions
1119
reverso vlido e no tiver conseguido resolver o nome para o endereo IP de origem de uma
conexo. A mensagem complementar indica o endereo IP de origem da conexo.
069 - Erro ao carregar contexto Esta mensagem indica que um dos proxies transparentes
no conseguiu carregar o contexto especificado.
Soluo: Contate o suporte tcnico.
151 - Nmero de processos excessivo no sistema Esta mensagem indica que algum dos
mdulos externos do firewall, ao tentar criar uma nova instncia de si prprio para tratar
uma conexo, detectou que o nmero de processos executando no sistema est prximo do
limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a
conexo que deveria ser tratada pelo novo processo foi abortada.
Soluo: Aumente o nmero mximo de processos no sistema.
073 - Possvel ataque de simulao de protocolo Esta mensagem indica que o firewall
durante o monitoramento de uma sesso de algum protocolo com vrias conexes (por
exemplo, FTP e Real udio / Real Vdeo) detectou uma tentativa de abertura de conexo
para uma porta menor que 1024 ou para um endereo diferente do esperado. Isso
provavelmente causado por um ataque ou por uma implementao defeituosa do
protocolo.
A mensagem complementar indica os endereos de origem e destino da conexo.
068 - Tamanho de linha excessivo Esta mensagem indica que algum proxy do Aker
Firewall recebeu uma linha com um nmero excessivo de caracteres e devido a isso,
derrubou a conexo. A informao complementar entre parnteses indica o endereo IP da
mquina que causou o problema.
Soluo: Esta mensagem causada por um servidor ou cliente fora dos padres das RFCs. A
nica soluo possvel para o problema contatar o administrador da mquina causadora
da mensagem.
151 - Nmero de processos excessivo no sistema Esta mensagem indica que algum dos
mdulos externos do firewall, ao tentar criar uma nova instncia de si prprio para tratar
uma conexo, detectou que o nmero de processos executando no sistema est prximo do
limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a
conexo que deveria ser tratada pelo novo processo foi abortada.
1120
151 - Nmero de processos excessivos no sistema Esta mensagem indica que algum dos
mdulos externos do firewall, ao tentar criar uma nova instncia de si prprio para tratar
uma conexo, detectou que o nmero de processos executando no sistema est prximo do
limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a
conexo que deveria ser tratada pelo novo processo foi abortada.
Soluo: Aumente o nmero mximo de processos no sistema.
Proxy HTTP
101 - ActiveX removido O Proxy HTTP encontrou um objeto ActiveX que foi removido.
247 - Arquivo com vrus bloqueado Esta mensagem indica que um arquivo estava com
vrus e no pode ser removido, por isso o arquivo foi bloqueado.
246 - Arquivo com vrus desinfectado Esta mensagem indica que um arquivo analisado
pelo firewall estava com vrus mas foi desinfectado.
249 - Arquivo no pode ser analisado pois estava cifrado Esta mensagem indica que o
antivrus do firewall no pode analisar o arquivo pois o mesmo estava cifrado.
248 - Arquivo no pode ser analisado estava corrompido Esta mensagem indica que o
antivrus do firewall no pode analisar o arquivo pois o mesmo estava corrompido.
098 - Banner removido Esta mensagem indica que o Filtro Web substitui uma requisio
por uma imagem em branco, visto que a URL se encaixou nas regras de filtragem de
banners. A mensagem complementar entre parnteses indica o nome do usurio que fez a
requisio. A linha de mensagem seguinte indica o endereo IP da mquina da qual a
requisio se originou e a terceira linha indica qual URL que o usurio tentou acessar.
340 - Contabilidade de trfego HTTP (WWW) Evento de contabilizao HTTP, utilizado
normalmente para a gerao de relatrios, por padro vem desabilitado.
341 - Contabilidade de trfego HTTP (downloads) Evento de contabilizao de downloads
HTTP, utilizado normalmente para a gerao de relatrios, por padro vem desabilitado.
096 - Download de arquivo local aceito Esta mensagem indica que o Filtro Web aceitou
um pedido de uma URL feito por um usurio. A mensagem complementar entre parnteses
indica o nome do usurio que fez a requisio. A linha de mensagem seguinte indica o
Aker Security Solutions
1121
endereo IP da mquina da qual a requisio se originou e a terceira linha indica qual URL
foi acessada.
Esta mensagem se refere a um arquivo armazenado localmente no firewall, que foi
requisitado utilizando-se o Filtro Web como um servidor WEB.
064 - Erro ao carregar perfis de acesso Esta mensagem indica que o servidor de
autenticao ou o servidor de login de usurios no conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
Soluo: Contate o suporte tcnico.
109 - Erro ao comunicar com servidor de autenticao Esta mensagem indica que um dos
proxies no conseguiu se comunicar com o servidor de autenticao quando tentou realizar
a autenticao de um usurio. Devido a isso, o usurio no foi autorizado a continuar e a
sua conexo foi recusada.
Soluo: Verifique se o processo do servidor de autenticao est ativo no firewall. Para
fazer isso, execute o comando
119 - Erro ao conectar com Web Content Analyzer Esta mensagem indica que o firewall
no conseguiu se conectar ao Web Content Analyzer que estaria rodando em uma
determinada mquina. A mensagem complementar indica o nome do analisador que no
pode ser conectado e o endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o analisador estaria rodando est
correto na definio da entidade (para maiores informaes, veja o captulo intitulado
Cadastrando Entidades) e que ele est realmente sendo executado na mquina em
questo.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
318 - Erro conectando ao servio de quotas Algum proxy no conseguiu comunicar-se
com o processo responsvel pelas quotas. Verifique se o fwquotad est executando e/ou
reinicie o seu equipamento.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
Aker Security Solutions
1122
120 - Erro de comunicao com Web Content Analyzer Esta mensagem indica que o
firewall conseguiu se conectar ao Web Content Analyzer, porm no conseguiu estabelecer
uma comunicao. A mensagem complementar indica o nome do analisador que provocou
o problema e o endereo IP da mquina onde ele est rodando.
Soluo: Verifique se a senha de acesso na definio da entidade est igual senha colocada
na configurao do Web Content Analyzer. Para maiores informaes, veja o captulo
intitulado Cadastrando Entidades.
324 - Erro de comunicao com o servio de quotas Erro ao se comunicar com o servidor
de quotas. O complemento da mensagem mostra detalhes sobre o erro.
126 - Falha de autenticao para proxy Esta mensagem indica que um usurio informou
uma senha invlida ao tentar autenticar-se em um determinado proxy. As mensagens
complementares indicam o nome do usurio e as mquinas de origem e destino (no caso de
proxy transparente) da conexo.
099 - Java removido O Proxy HTTP encontrou uma linha de cdigo Java e foi removida.
100 - Javascript removido O Proxy HTTP encontrou uma linha de cdigo Javascript e foi
removida.
151 - Nmero de processos excessivo no sistema Esta mensagem indica que algum dos
mdulos externos do firewall, ao tentar criar uma nova instncia de si prprio para tratar
uma conexo, detectou que o nmero de processos executando no sistema est prximo do
limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a
conexo que deveria ser tratada pelo novo processo foi abortada.
Soluo: Aumente o nmero mximo de processos no sistema.
325 - Quota de bytes expirada Quota de bytes foi consumida pelo usurio
326 - Quota de bytes insuficiente para a operao No existem bytes suficientes para
finalizar uma requisio ainda no iniciada. O incio da transferncia no foi permitido.
327 - Quota de tempo expirada Informao sobre uma quota de tempo que foi expirada.
095 - URL aceita Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL
feito por um usurio. A mensagem complementar entre parnteses indica o nome do
usurio que fez a requisio. A linha de mensagem seguinte indica o endereo IP da
mquina da qual a requisio se originou e a terceira linha indica qual URL foi acessada.
Esta mensagem somente ser produzida para URLs do protocolo HTTP quando elas
resultarem em cdigo HTML. Para os protocolos FTP e Gopher, ela ser gerada para cada
requisio aceita, independente do seu tipo.
Formato do evento para exportao:
Aker Security Solutions
1123
187 - Usurio sem direito de acesso Esta mensagem indica que o usurio tentou realizar
uma operao que no lhe era permitida.
Soluo: Esta mensagem no deve ser mostrada em condies normais de funcionamento
do Aker Firewall. Se ela aparecer, contate o suporte tcnico.
Proxy HTTPS
101 - ActiveX removido O Proxy HTTP encontrou um objeto ActiveX que foi removido.
098 - Banner removido Esta mensagem indica que o Filtro Web substitui uma requisio
por uma imagem em branco, visto que a URL se encaixou nas regras de filtragem de
banners. A mensagem complementar entre parnteses indica o nome do usurio que fez a
requisio. A linha de mensagem seguinte indica o endereo IP da mquina da qual a
requisio se originou e a terceira linha indica qual URL que o usurio tentou acessar.
340 - Contabilidade de trfego HTTP (WWW) Evento de contabilizao HTTP, utilizado
normalmente para a gerao de relatrios, por padro vem desabilitado.
341 - Contabilidade de trfego HTTP (downloads) Evento de contabilizao de downloads
HTTP, utilizado normalmente para a gerao de relatrios, por padro vem desabilitado.
096 - Download de arquivo local aceito Esta mensagem indica que o Filtro Web aceitou
um pedido de uma URL feito por um usurio. A mensagem complementar entre parnteses
indica o nome do usurio que fez a requisio. A linha de mensagem seguinte indica o
Aker Security Solutions
1124
endereo IP da mquina da qual a requisio se originou e a terceira linha indica qual URL
foi acessada.
Esta mensagem se refere a um arquivo armazenado localmente no firewall, que foi
requisitado utilizando-se o Filtro Web como um servidor WEB.
064 - Erro ao carregar perfis de acesso Esta mensagem indica que o servidor de
autenticao ou o servidor de login de usurios no conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
Soluo: Contate o suporte tcnico.
109 - Erro ao comunicar com servidor de autenticao Esta mensagem indica que um dos
proxies no conseguiu se comunicar com o servidor de autenticao quando tentou realizar
a autenticao de um usurio. Devido a isso, o usurio no foi autorizado a continuar e a
sua conexo foi recusada.
Soluo: Verifique se o processo do servidor de autenticao est ativo no firewall. Para
fazer isso, execute o comando
119 - Erro ao conectar com Web Content Analyzer Esta mensagem indica que o firewall
no conseguiu se conectar ao Web Content Analyzer que estaria rodando em uma
determinada mquina. A mensagem complementar indica o nome do analisador que no
pode ser conectado e o endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o analisador estaria rodando est
correto na definio da entidade (para maiores informaes, veja o captulo intitulado
Cadastrando Entidades) e que ele est realmente sendo executado na mquina em
questo.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
318 - Erro conectando ao servio de quotas Algum proxy no conseguiu comunicar-se
com o processo responsvel pelas quotas. Verifique se o fwquotad est executando e/ou
reinicie o seu equipamento.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
Aker Security Solutions
1125
120 - Erro de comunicao com Web Content Analyzer Esta mensagem indica que o
firewall conseguiu se conectar ao Web Content Analyzer, porm no conseguiu estabelecer
uma comunicao. A mensagem complementar indica o nome do analisador que provocou
o problema e o endereo IP da mquina onde ele est rodando.
Soluo: Verifique se a senha de acesso na definio da entidade est igual senha colocada
na configurao do Web Content Analyzer. Para maiores informaes, veja o captulo
intitulado Cadastrando Entidades.
324 - Erro de comunicao com o servio de quotas Erro ao se comunicar com o servidor
de quotas. O complemento da mensagem mostra detalhes sobre o erro.
126 - Falha de autenticao para proxy Esta mensagem indica que um usurio informou
uma senha invlida ao tentar autenticar-se em um determinado proxy. As mensagens
complementares indicam o nome do usurio e as mquinas de origem e destino (no caso de
proxy transparente) da conexo.
099 - Java removido O Proxy HTTP encontrou uma linha de cdigo Java e foi removida.
100 - Javascript removido O Proxy HTTP encontrou uma linha de cdigo Javascript e foi
removida.
151 - Nmero de processos excessivo no sistema Esta mensagem indica que algum dos
mdulos externos do firewall, ao tentar criar uma nova instncia de si prprio para tratar
uma conexo, detectou que o nmero de processos executando no sistema est prximo do
limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a
conexo que deveria ser tratada pelo novo processo foi abortada.
Soluo: Aumente o nmero mximo de processos no sistema.
325 - Quota de bytes expirada Quota de bytes foi consumida pelo usurio
326 - Quota de bytes insuficiente para a operao No existem bytes suficientes para
finalizar uma requisio ainda no iniciada. O incio da transferncia no foi permitido.
327 - Quota de tempo expirada Informao sobre uma quota de tempo que foi expirada.
095 - URL aceita Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL
feito por um usurio. A mensagem complementar entre parnteses indica o nome do
usurio que fez a requisio. A linha de mensagem seguinte indica o endereo IP da
mquina da qual a requisio se originou e a terceira linha indica qual URL foi acessada.
Esta mensagem somente ser produzida para URLs do protocolo HTTP quando elas
resultarem em cdigo HTML. Para os protocolos FTP e Gopher, ela ser gerada para cada
requisio aceita, independente do seu tipo.
Formato do evento para exportao:
1126
127 - Usurio no cadastrado para proxy Esta mensagem indica que um usurio no
cadastrado tentou se autenticar em um determinado proxy. A mensagem complementar
indica as mquinas de origem e destino (no caso de proxy transparente) da conexo.
187 - Usurio sem direito de acesso Esta mensagem indica que o usurio tentou realizar
uma operao que no lhe era permitida.
Soluo: Esta mensagem no deve ser mostrada em condies normais de funcionamento
do Aker Firewall. Se ela aparecer, contate o suporte tcnico.
348 - Arquivo infectado foi bloqueado Arquivo transferido por meio do proxy MSN foi
analisado e possui vrus. Arquivo bloqueado. O complemento dessa mensagem o nome do
arquivo.
349 - Arquivo no tem vrus Arquivo transferido por meio do proxy MSN foi analisado,
no possui vrus e o arquivo aceito. O complemento dessa mensagem descreve o nome do
arquivo.
286 - Conexo do MSN Messenger encerrada por timeout Esta mensagem indica que uma
conexo com um servidor do servio MSN Messenger foi encerrada por timeout. Verifique
se o acesso Internet est funcionando corretamente.
278 - Conversao do MSN Messenger bloqueada Conversa entre dois usurios foi
bloqueada pelas configuraes no proxy MSN.
279 - Conversao do MSN Messenger finalizada Esta mensagem gerada quando um
usurio fecha a janela de conversao no MSN Messenger, passando por meio do firewall.
1127
1128
Proxy POP3
090 - Anexo com vrus removido Esta mensagem indica que um anexo da mensagem
continha vrus e foi removido. O complemento da mensagem indica quem o remetente e o
destinatrio da mensagem, assim como o nome do vrus encontrado.
Aker Security Solutions
1129
093 - Anexo continha vrus e foi desinfectado Esta mensagem indica que um anexo da
mensagem continha vrus e foi desinfectado. O complemento da mensagem indica quem
so o remetente e o destinatrio da mensagem, assim como o nome do vrus encontrado.
094 - Anexo incorretamente codificado (mensagem defeituosa) Esta mensagem indica
que um anexo de mensagem est incorretamente codificado, ou seja, apresenta erro na
codificao do tipo MIME. Normalmente este arquivo pode ser descartado pelo firewall
caso o administrador configure a opo desejada. Para mais informaes leia o captulo
intitulado Configurando o proxy SMTP.
091 - Anexo removido Esta mensagem indica que um anexo da mensagem foi removido. O
complemento da mensagem indica quem so o remetente e o destinatrio da mensagem.
233 - Comando POP3 invlido ou erro de sintaxe Esta mensagem indica que o proxy POP3
transparente leu um comando incorreto do cliente e fechou a conexo sem repass-lo ao
servidor. O comando em questo encontra-se nas mensagens complementares.
238 - Entrando em modo STLS - nenhuma anlise possvel Esta mensagem indica que o
firewall entrou em modo STLS. Entre em contato com o suporte tcnico para a soluo.
234 - Erro abrindo arquivo para spool Esta mensagem indica que o proxy POP3
transparente no conseguiu abrir o arquivo temporrio para salvar a mensagem.
117 - Erro ao conectar com servidor de antivrus Esta mensagem indica que o firewall no
conseguiu se conectar ao servidor de antivrus que estaria rodando em uma determinada
mquina. A mensagem complementar indica o nome do servidor que no pode ser
conectado e o endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est correto
na definio da entidade (para maiores informaes, veja o captulo intitulado Cadastrando
Entidades) e que o agente est realmente sendo executado na mquina em questo.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
231 - Erro conectando-se ao servidor POP3 Esta mensagem indica que o proxy POP3
transparente no consegui estabelecer a conexo com o servidor. Provavelmente o
endereo est errado ou o servidor est fora do ar.
118 - Erro de comunicao com servidor de antivrus Esta mensagem indica que o firewall
conseguiu se conectar ao servidor de antivrus, porm no conseguiu estabelecer uma
1130
1131
232 - Servidor POP3 recusou a conexo Esta mensagem indica que o proxy POP3
transparente conectou-se ao servidor e este informou estar fora do ar.
073 - Possvel ataque de simulao de protocolo Esta mensagem indica que o firewall
durante o monitoramento de uma sesso de algum protocolo com vrias conexes (por
exemplo, FTP e Real udio / Real Vdeo) detectou uma tentativa de abertura de conexo
para uma porta menor que 1024 ou para um endereo diferente do esperado. Isso
provavelmente causado por um ataque ou por uma implementao defeituosa do
protocolo.
A mensagem complementar indica os endereos de origem e destino da conexo.
Proxy RTSP
073 - Possvel ataque de simulao de protocolo Esta mensagem indica que o firewall
durante o monitoramento de uma sesso de algum protocolo com vrias conexes (por
exemplo, FTP e Real udio / Real Vdeo) detectou uma tentativa de abertura de conexo
para uma porta menor que 1024 ou para um endereo diferente do esperado. Isso
provavelmente causado por um ataque ou por uma implementao defeituosa do
protocolo.
A mensagem complementar indica os endereos de origem e destino da conexo.
Proxy SIP
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
131 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos
mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro
do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta
indicar quais informaes estavam sendo enviadas.
1132
Proxy SMTP
090 - Anexo com vrus removido Esta mensagem indica que um anexo da mensagem
continha vrus e foi removido. O complemento da mensagem indica quem o remetente e o
destinatrio da mensagem, assim como o nome do vrus encontrado.
1133
093 - Anexo continha vrus e foi desinfectado Esta mensagem indica que um anexo da
mensagem continha vrus e foi desinfectado. O complemento da mensagem indica quem
so o remetente e o destinatrio da mensagem, assim como o nome do vrus encontrado.
094 - Anexo incorretamente codificado (mensagem defeituosa) Esta mensagem indica
que um anexo de mensagem est incorretamente codificado, ou seja, apresenta erro na
codificao do tipo MIME. Normalmente este arquivo pode ser descartado pelo firewall
caso o administrador configure a opo desejada. Para mais informaes leia o captulo
intitulado Configurando o proxy SMTP.
091 - Anexo removido Esta mensagem indica que um anexo da mensagem foi removido. O
complemento da mensagem indica quem so o remetente e o destinatrio da mensagem.
080 - Cliente SMTP enviou linha de tamanho excessivo O cliente SMTP enviou uma linha
de tamanho muito grande que no pode ser tratada pelo proxy SMTP. Verifique se o cliente
segue a padronizao da RFC ou ajuste o mesmo para tal.
081 - Cliente SMTP fechou conexo O cliente SMTP fechou inesperadamente a conexo.
Isto pode ter acontecido por interveno do prprio usurio ou por problemas do cliente.
Normalmente as conexes so restabelecidas automaticamente.
074 - Comando invlido Esta mensagem indica que um dos proxies recebeu um comando
considerado invlido da mquina cliente e devido a isso no o repassou para o servidor. As
mensagens complementares indicam qual o comando que tentou ser executado e quais as
mquinas de origem e destino (no caso de proxy transparente) da conexo.
078 - Conexo SMTP bloqueada por RBL Esta mensagem indica que o proxy SMTP
bloqueou uma conexo devido ao servidor SMTP de origem estar inscrito em uma lista
negra de spammers.
077 - Conexo SMTP bloqueada por regra de DNS Esta mensagem indica que o proxy
SMTP bloqueou uma conexo devido a uma regra do DNS. Para mais informaes leia o
capitulo intitulado Configurando o proxy SMTP.
079 - Conexo SMTP recusada pelo servidor ou servidor fora do ar Esta mensagem indica
que o proxy SMTP tentou uma conexo com o servidor SMTP de destino, porm o mesmo
pode ter recusado ou esta fora do ar. Verifique se o servidor destino esta no ar realizando
um telnet na porta 25 do mesmo.
072 - DNS direto e reverso conflitantes Quando um proxy do Firewall configurado para
somente aceitar conexes a partir de mquinas com DNS reverso vlido, ele utiliza uma
tcnica que consiste em tentar resolver o nome para o endereo IP de origem da conexo.
Caso ele no consiga, ele indica erro mostrando a mensagem anterior e no permite a
realizao da conexo. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir do
nome retornado, buscando seu endereo IP. Se ele no conseguir realizar esta segunda
pesquisa ou se o endereo IP retornado for diferente do endereo de origem, a conexo
abortada e esta mensagem produzida.
Aker Security Solutions
1134
071 - DNS reverso no configurado Esta mensagem produzida por algum dos proxies se
ele tiver sido configurado para somente receber conexes a partir de mquinas com DNS
reverso vlido e no tiver conseguido resolver o nome para o endereo IP de origem de uma
conexo. A mensagem complementar indica o endereo IP de origem da conexo.
085 - Endereo de e-mail invlido enviado pelo cliente SMTP Esta mensagem indica que o
cliente SMTP no forneceu um endereo de e-mail em formato vlido.
069 - Erro ao carregar contexto Esta mensagem indica que um dos proxies transparentes
no conseguiu carregar o contexto especificado.
Soluo: Contate o suporte tcnico.
117 - Erro ao conectar com servidor de antivrus Esta mensagem indica que o firewall no
conseguiu se conectar ao servidor de antivrus que estaria rodando em uma determinada
mquina. A mensagem complementar indica o nome do servidor que no pode ser
conectado e o endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est correto
na definio da entidade (para maiores informaes, veja o captulo intitulado Cadastrando
Entidades) e que o agente est realmente sendo executado na mquina em questo.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
115 - Erro de comunicao com servidor Spam Meter Esta mensagem indica que o
firewall no conseguiu se conectar ao Spam Meter que estaria rodando em uma
determinada mquina. A mensagem complementar indica o nome do servidor que no
pode ser conectado e o endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est correto
na definio da entidade (para maiores informaes, veja o captulo intitulado Cadastrando
Entidades) e que o Spam Meter est realmente sendo executado na mquina em questo.
118 - Erro de comunicao com servidor de antivrus Esta mensagem indica que o firewall
conseguiu se conectar ao servidor de antivrus, porm no conseguiu estabelecer uma
comunicao. A mensagem complementar indica o nome do agente antivrus que provocou
o problema e o endereo IP da mquina onde ele est rodando.
Soluo: Verifique se a senha de acesso na definio da entidade est igual senha colocada
na configurao do agente antivrus. Para maiores informaes, veja o captulo intitulado
Cadastrando Entidades.
1135
087 - Falta de espao (disco cheio) para analisar mensagem Esta mensagem indica que o
disco rgido do firewall est cheio. Tente esvaziar os arquivos de logs ou aumentar a
capacidade do disco para o firewall poder analisar a mensagem
075 - Mensagem SMTP aceita Esta mensagem indica que o proxy SMTP transparente
aceitou uma mensagem e a enviou para o servidor. A mensagem complementar indica quais
as mquinas de origem e destino da conexo e quem so o remetente e o destinatrio, da
mensagem.
Formato do evento para exportao:
DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> Mensagem SMTP aceita
<email_origem> <email_destino> <ip_origem> <ip_destino> <tamanho_da_mensagem>
<nome_regra>
076 - Mensagem SMTP rejeitada Esta mensagem indica que o proxy SMTP transparente
rejeitou uma mensagem recebida. Isto foi causado por ter a mensagem, se encaixado em
algum filtro que indicava que ela deveria ser rejeitada ou por ter um tamanho maior que o
tamanho mximo permitido.
Formato do evento para exportao:
1136
300 - Mensagem modificada para treinamento pelo Spam Meter Esta mensagem
gerada quando uma mensagem de e-mail modificada pelo proxy SMTP para possibilitar
seu treinamento pelo destinatrio a fim de melhorar a classificao de futuras mensagens
do Spam Meter.
298 - Mensagem rejeitada por configurao do Spam Meter Esta mensagem gerada
quando uma mensagem de e-mail rejeitada pelo proxy SMTP devido a ter recebido uma
nota do Spam Meter cuja configurao do proxy indicou ao firewall para rejeit-la.
151 - Nmero de processos excessivo no sistema Esta mensagem indica que algum dos
mdulos externos do firewall, ao tentar criar uma nova instncia de si prprio para tratar
uma conexo, detectou que o nmero de processos executando no sistema est prximo do
limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a
conexo que deveria ser tratada pelo novo processo foi abortada.
Soluo: Aumente o nmero mximo de processos no sistema.
082 - Servidor SMTP enviou linha de tamanho excessivo O servidor SMTP enviou uma
linha de tamanho muito grande que no pode ser tratada pelo proxy SMTP. Verifique se o
servidor segue a padronizao da RFC ou ajuste o mesmo para tal.
083 - Servidor SMTP fechou conexo O servidor SMTP fechou inesperadamente a
conexo. Isto pode ter acontecido por problemas de trafego excessivo ou erro no prprio
servidor. Normalmente as conexes so restabelecidas automaticamente. Se o problema
esta ocorrendo com frequncia tente aumentar os tempos de negociao do protocolo
SMTP no proxy.
086 - Tentativa de relay no permitido bloqueada Esta mensagem indica que uma
tentativa de relay foi bloqueada pelo firewall. Verifique o captulo Editando os parmetros
de um contexto SMTP para liberar domnios permitidos para relay
Proxy SOCKS
074 - Comando invlido Esta mensagem indica que um dos proxies recebeu um comando
considerado invlido da mquina cliente e devido a isso no o repassou para o servidor. As
mensagens complementares indicam qual o comando que tentou ser executado e quais as
mquinas de origem e destino (no caso de proxy transparente) da conexo.
105 - Conexo TCP estabelecida por meio do proxy SOCKS Essa mensagem indica que o
proxy SOCKS recebeu uma solicitao de estabelecimento de uma conexo TCP e a mesmo
foi estabelecida, devido a existncia de uma regra no perfil de acesso correspondente
indicando que o proxy poderia faz-lo.
1137
1138
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
126 - Falha de autenticao para proxy Esta mensagem indica que um usurio informou
uma senha invlida ao tentar autenticar-se em um determinado proxy. As mensagens
complementares indicam o nome do usurio e as mquinas de origem e destino (no caso de
proxy transparente) da conexo.
066 - Nome de perfil de acesso invlido Esta mensagem indica que o servidor de
autenticao ao procurar o perfil de acesso de um usurio constatou que o mesmo no se
encontra cadastrado no sistema.
Soluo: Contate o suporte tcnico.
151 - Nmero de processos excessivo no sistema Esta mensagem indica que algum dos
mdulos externos do firewall, ao tentar criar uma nova instncia de si prprio para tratar
uma conexo, detectou que o nmero de processos executando no sistema est prximo do
limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a
conexo que deveria ser tratada pelo novo processo foi abortada.
Soluo: Aumente o nmero mximo de processos no sistema.
103 - Pacote UDP aceito pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS
recebeu uma solicitao de envio de um pacote UDP e o mesmo foi enviado, devido a
existncia de uma regra no perfil de acesso correspondente indicando que o proxy poderia
faz-lo.
As mensagens complementares indicam o nome do usurio que enviou o pacote (se a
autenticao de usurios estiver habilitada), o endereo do cliente e o endereo destino.
104 - Pacote UDP recusado pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS
recebeu uma solicitao de envio de um pacote UDP e o mesmo foi recusado, devido a
existncia de uma regra no perfil de acesso correspondente indicando que o proxy no
deveria aceitar tal requisio.
As mensagens complementares indicam o nome do usurio que tentou enviar o pacote (se a
autenticao de usurios estiver habilitada), o endereo do cliente e o endereo destino.
102 - Pacote fora das regras do proxy SOCKS Essa mensagem indica que o proxy SOCKS
recebeu uma solicitao de abertura de conexo TCP ou de envio de pacote UDP e a mesma
no se encaixou em nenhuma regra de filtragem do perfil de acesso correspondente. Devido
a isso a solicitao foi recusada.
Aker Security Solutions
1139
Proxy SSL
275 - Conexo TCP aceita pelo proxy SSL Esta mensagem indica que o firewall recebeu
uma conexo de Proxy SSL e a aceitou.
316 - Conexo TCP em segundo endereo IP recusada pelo proxy SSL Esta mensagem
indica que um mesmo usurio tentou se conectar ao mesmo tempo na Proxy SSL a partir de
duas mquinas distintas e o firewall estava configurado para no permitir tal acesso.
276 - Conexo TCP recusada pelo proxy SSL Essa mensagem indica que o proxy SOCKS
recebeu uma solicitao de estabelecimento de uma conexo TCP e a mesmo foi recusada,
devido a existncia de uma regra no perfil de acesso correspondente indicando que o proxy
no deveria aceitar tal conexo.
As mensagens complementares indicam o nome do usurio que solicitou a conexo (se a
autenticao de usurios estiver habilitada), o endereo do cliente e o endereo de destino.
274 - Conexo fora das regras de perfil do proxy SSL Esta mensagem indica que um
usurio tentou acessar o proxy SSL mas no havia nenhuma regra autorizando seu acesso.
065 - Erro ao carregar entidades Esta mensagem indica que algum processo servidor do
firewall no conseguiu carregar a lista de entidades cadastradas no sistema.
Soluo: Contate o suporte tcnico.
Aker Security Solutions
1140
064 - Erro ao carregar perfis de acesso Esta mensagem indica que o servidor de
autenticao ou o servidor de login de usurios no conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
Soluo: Contate o suporte tcnico.
149 -Erro ao carregar pseudo-grupos Esta mensagem indica que o firewall no conseguiu
carregar a lista de pseudo-grupos das autoridades certificadoras.
Soluo: Contate o suporte tcnico
131 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos
mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro
do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta
indicar quais informaes estavam sendo enviadas.
Soluo: Verifique se o mdulo do Aker Firewall est carregado no kernel. No FreeBSD
utilize o comando kldstat e no Linux o comando lsmod. Em ambos os casos dever aparecer
um mdulo com o nome aker_firewall_mod.
243 - Erro ao replicar estado do cluster Esta mensagem indica que o firewall servidor do
cluster no esta conseguindo replicar o estado do cluster para os outros firewalls. Verifique
o segmento de rede de troca informao dos firewalls cooperativos.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
273 - Erro de rede Esta uma mensagem genrica para erros de rede. Favor verificar os
complementos para maiores informaes sobre sua causa.
126 - Falha de autenticao para proxy Esta mensagem indica que um usurio informou
uma senha invlida ao tentar autenticar-se em um determinado proxy. As mensagens
complementares indicam o nome do usurio e as mquinas de origem e destino (no caso de
proxy transparente) da conexo.
066 - Nome de perfil de acesso invlido Esta mensagem indica que o servidor de
autenticao ao procurar o perfil de acesso de um usurio constatou que o mesmo no se
encontra cadastrado no sistema.
Soluo: Contate o suporte tcnico.
1141
Proxy TELNET
072 - DNS direto e reverso conflitantes Quando um proxy do Firewall configurado para
somente aceitar conexes a partir de mquinas com DNS reverso vlido, ele utiliza uma
tcnica que consiste em tentar resolver o nome para o endereo IP de origem da conexo.
Caso ele no consiga, ele indica erro mostrando a mensagem anterior e no permite a
realizao da conexo. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir do
nome retornado, buscando seu endereo IP. Se ele no conseguir realizar esta segunda
pesquisa ou se o endereo IP retornado for diferente do endereo de origem, a conexo
abortada e esta mensagem produzida.
071 - DNS reverso no configurado Esta mensagem produzida por algum dos proxies se
ele tiver sido configurado para somente receber conexes a partir de mquinas com DNS
reverso vlido e no tiver conseguido resolver o nome para o endereo IP de origem de uma
conexo. A mensagem complementar indica o endereo IP de origem da conexo.
069 - Erro ao carregar contexto Esta mensagem indica que um dos proxies transparentes
no conseguiu carregar o contexto especificado.
Soluo: Contate o suporte tcnico.
109 - Erro ao comunicar com servidor de autenticao Esta mensagem indica que um dos
proxies no conseguiu se comunicar com o servidor de autenticao quando tentou realizar
a autenticao de um usurio. Devido a isso, o usurio no foi autorizado a continuar e a
sua conexo foi recusada.
Soluo: Verifique se o processo do servidor de autenticao est ativo no firewall. Para
fazer isso, execute o comando
#ps -ax | grep fwauthd | grep -v grep. Caso o processo no aparea, execute-o com o
comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este problema voltar a
ocorrer, contate o suporte tcnico.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico
126 - Falha de autenticao para proxy Esta mensagem indica que um usurio informou
uma senha invlida ao tentar autenticar-se em um determinado proxy. As mensagens
complementares indicam o nome do usurio e as mquinas de origem e destino (no caso de
proxy transparente) da conexo.
151 - Nmero de processos excessivo no sistema Esta mensagem indica que algum dos
mdulos externos do firewall, ao tentar criar uma nova instncia de si prprio para tratar
Aker Security Solutions
1142
uma conexo, detectou que o nmero de processos executando no sistema est prximo do
limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a
conexo que deveria ser tratada pelo novo processo foi abortada.
Soluo: Aumente o nmero mximo de processos no sistema.
129 - Sesso telnet estabelecida Esta mensagem indica que um usurio se autenticou
corretamente no proxy telnet e tinha permisso para efetuar a conexo desejada. Devido a
isso, a conexo foi estabelecida. As mensagens complementares indicam o nome do usurio
e as mquinas de origem e destino da conexo.
130 - Sesso telnet finalizada Esta mensagem indica que um usurio se desconectou de
uma sesso telnet. As mensagens complementares indicam o nome do usurio e as
mquinas de origem e destino da conexo.
127 - Usurio no cadastrado para proxy Esta mensagem indica que um usurio no
cadastrado tentou se autenticar em um determinado proxy. A mensagem complementar
indica as mquinas de origem e destino (no caso de proxy transparente) da conexo.
128 - Usurio sem permisso para telnet Esta mensagem indica que um usurio se
autenticou corretamente no proxy telnet porm no tinha permisso de efetuar a conexo
desejada. As mensagens complementares indicam o nome do usurio e as mquinas de
origem e destino da conexo.
069 - Erro ao carregar contexto Esta mensagem indica que um dos proxies transparentes
no conseguiu carregar o contexto especificado.
Soluo: Contate o suporte tcnico.
321 - Erro ao conectar no servidor Spam Meter Erro ao se comunicar com o processo
responsvel por treinar mensagens SMTP. Verifique suas configuraes de Spam Meter e
tente novamente.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
1143
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
320 - Finalizao de treinamento de mensagem Treinamento de mensagem SMTP
finalizada com sucesso. O complemento da mensagem mostra o tipo classificado e a nota
obtida.
Secure Roaming
256 - Aviso importante do Secure Roaming Esta uma mensagem com prioridade aviso
gerada pelo Secure Roaming. Verifique os complementos para maiores informaes.
255 - Informao do Secure Roaming Esta uma mensagem com prioridade informao
gerada pelo Secure Roaming. Verifique os complementos para maiores informaes.
254 - Mensagem de debug do Secure Roaming Esta uma mensagem com prioridade
depurao gerada pelo Secure Roaming. Verifique os complementos para maiores
informaes.
257 - O Secure Roaming encontrou um erro Esta uma mensagem com prioridade erro
gerada pelo Secure Roaming. Verifique os complementos para maiores informaes.
258 - O Secure Roaming encontrou um erro fatal Esta uma mensagem com prioridade
erro fatal gerada pelo Secure Roaming. Verifique os complementos para maiores
informaes.
Servidor de Acesso
1144
064 - Erro ao carregar perfis de acesso Esta mensagem indica que o servidor de
autenticao ou o servidor de login de usurios no conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
Soluo: Contate o suporte tcnico.
149 - Erro ao carregar pseudo-grupos Esta mensagem indica que o firewall no conseguiu
carregar a lista de pseudo-grupos das autoridades certificadoras.
Soluo: Contate o suporte tcnico
109 - Erro ao comunicar com servidor de autenticao Esta mensagem indica que um dos
proxies no conseguiu se comunicar com o servidor de autenticao quando tentou realizar
a autenticao de um usurio. Devido a isso, o usurio no foi autorizado a continuar e a
sua conexo foi recusada.
Soluo: Verifique se o processo do servidor de autenticao est ativo no firewall. Para
fazer isso, execute o comando
#ps -ax | grep fwauthd | grep -v grep. Caso o processo no aparea, execute-o com o
comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este problema voltar a
ocorrer, contate o suporte tcnico.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
131 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos
mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro
do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta
indicar quais informaes estavam sendo enviadas.
Soluo: Verifique se o mdulo do Aker Firewall est carregado no kernel. No FreeBSD
utilize o comando kldstat e no Linux o comando lsmod. Em ambos os casos dever aparecer
um mdulo com o nome aker_firewall_mod.
243 - Erro ao replicar estado do cluster Esta mensagem indica que o firewall servidor do
cluster no esta conseguindo replicar o estado do cluster para os outros firewalls. Verifique
o segmento de rede de troca informao dos firewalls cooperativos.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Aker Security Solutions
1145
Servidor de autenticao
065 - Erro ao carregar entidades Esta mensagem indica que algum processo servidor do
firewall no conseguiu carregar a lista de entidades cadastradas no sistema.
Soluo: Contate o suporte tcnico.
149 - Erro ao carregar pseudo-grupos Esta mensagem indica que o firewall no conseguiu
carregar a lista de pseudo-grupos das autoridades certificadoras.
Aker Security Solutions
1146
1147
SpamMeter integrado
308 - Aviso importante do Spam Meter Esta uma mensagem com prioridade de aviso
gerada pelo Spam Meter. Verifique os complementos para maiores informaes.
307 - Informao do Spam Meter Esta uma mensagem com prioridade de informao
gerada pelo Spam Meter. Verifique os complementos para maiores informaes.
309 - Mensagem de alerta do Spam Meter Esta uma mensagem com prioridade de
alerta gerada pelo Spam Meter. Verifique os complementos para maiores informaes.
311 - Mensagem de debug do Spam Meter Esta uma mensagem com prioridade de
depurao gerada pelo Aker Web Content Analyzer. Verifique os complementos para
maiores informaes.
310 - O Spam Meter encontrou um erro Esta uma mensagem com prioridade de erro
gerada pelo Spam Meter. Verifique os complementos para maiores informaes.
45.3.
<TAG> <MSG1> <MSG2> <DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA
MENSAGEM, MSG1, MSG2>
Exemplo de um evento gerado pelo Filtro Web:
45.4.
1148
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MDULO, TEXTO DA
MENSAGEM, MSG1, MSG2
ERRO_AUTH_PROXY Usurio/Autenticado ip Origem
16/01/2010,15:28:51,Info,340,
Proxy HTTP, Falha de autenticao para proxy ,rodrigo.aranha/AD,source: 10.4.0.186
HTTP_VIRUS_CLEANED
NOME DO VIRUS
URL do vrus
20/01/2010,10:43:17,Warning,246,Proxy HTTP, Arquivo com vrus
desinfectado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_BLOCKED
NOME DO VIRUS
URL do vrus
20/01/2010,10:43:17,Warning,247,Proxy HTTP,Arquivo com vrus
bloqueado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_NS_CRYPT
NULL URL do Virus 20/01/2010,10:43:17,Warning,249,Proxy
HTTP, Arquivo no pode ser analisado pois estava cifrado,
http://www.eicar.org/download/eicarcom2.zip
1149
QUOTA_EXPIRED_BYTES
Usurio/Autenticado - Perfil Origem IP - Destino IP e URL
19/01/2010,13:45:31, Notice,326,Proxy HTTP,Quota de bytes expirado,lidia.silva/AD
- Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
QUOTA_EXPIRED_TIME
Usurio/Autenticado - Perfil Origem IP - Destino IP e URL
19/01/2010,13:45:31,Notice,326, Proxy HTTP,Quota de tempo expirada,lidia.silva/AD
- Adminsitrativo, Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
QUOTA_INSUFFICIENT_BYTES
Usurio/Autenticado - Perfil Origem IP - Destino IP e
URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes insuficiente para a
operao,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 URL:
http://www.google.com
URL_REJEITADA
Usurio/Autenticado, Perfil ip Origem,host
19/01/2010,13:43:34,Notice,097 Proxy HTTP,URL rejeitada,lidia.silva/AD
,Adminsitrativo,10.0.0.229,http://www.google.com
ERRO_CON_ANALISADOR IP do analizador
NULL 27/01/2010,19:38:24,Error,119,
Proxy HTTP,Erro ao conectar com Web Content Analyzer,127.0.0.1,
1150
NO_LEU_ACL
NULL
carregar perfis de acesso,
19/01/2010,18:42:01,Error,64,Proxy HTTP,Erro ao
QUOTA_INIT_ERR
socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN
Messenger,Erro conectando ao servico de quotas, 7 13,
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM,
MSG1, MSG2
Cannot connect
Server : IP
27/01/2010,19:23:30,Warning,350,Proxy
Messenger, Erro no antivrus, Cant Connect, Server:xxx.xxx.xxx.xxx
Aker Security Solutions
MSN
1151
av_auth
Unable to auth
27/01/2010,19:23:30,Warning,350,Proxy
Messenger,Erro no antivrus,av_auth,Unable to auth
MSN
MSN
av_get_answer
Can't get answer from AV 27/01/2010,19:23:30,Warning,350,Proxy
MSN Messenger,Erro no antivrus,av_get_answer, Can't get answer from AV
av_get_answer
Error on answer received
27/01/2010,19:23:30,Warning,350,Proxy
MSN Messenger,Erro no antivrus, Error on answer received
IP: - TimeOut: Passaporte:
\nNome
do
Usurio\Autenticao
27/01/2010,18:18:30,Notice,286, Proxy MSN Messenger, Conexo encerrada por
timeout,IP: 10.2.0.217 - Timeout: 600 s,Passport: edilson.moura@aker.com.br Username:
edilson.moura/AD
MSN
IP Profisso Passaporte:
\nNome
do
Usurio\Autenticao
20/01/2010,12:36:44,Info,289,Proxy MSN Messenger, Usurio entrou no MSN
Messenger, IP: 10.0.0.232 - Prof: Adminsitrativo, Passport: diego.fernandes@aker.com.br
Username: recepo/AD
1152
MSN
File clean
FILENAME
20/01/2010,16:16:58,Info,349,Proxy MSN Messenger,Arquivo
no tem virus,File clean,chines.TXT
session id:
SESSION ID 25/01/2010,19:34:35,Warning,345,Proxy MSN Messenger,
Pacote de transferncia de arquivo no consta na lista de transferncias ativas, session
id:,2628610983
nome da funo
Empty File! Sess_d: ID
20/01/2010,16:16:59,Error,346,Proxy
MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Empty file!
Sess_id: 26192345
nome da funo
Out
of
order
packet!
Current:
pkg,
Expected:
pkg
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Out of order packet! Current:current_pkg Expected:
Expected_
nome da funo
"Error
on
fork!
Numero
da
Linha
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Error on fork! Line: 2736
quem
MSN
1153
IP Profisso Passaporte
do
Usurio
\nNome
do
Usurio\Autenticao
20/01/2010,11:27:44,Notice,291,Proxy MSN Messenger, Usurio sem permisso
tentou entrar no MSN Messenger,10.4.0.19 Prof: Estagirio, bruno.lobo@aker.com.br
bruno.lobo/AD
IP Profisso Passaporte
do
Usurio
\nNome
do
Usurio\Autenticao
20/01/2010,11:27:44,Notice,281,Proxy MSN Messenger, Notificao do Hotmail
bloqueada,10.4.0.19 Prof: Estagirio, bruno.lobo@aker.com.br bruno.lobo/AD
1154
MSN
45.6.
MSN
Messenger,Erro
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA
MENSAGEM, MSG1, MSG2
POP3_SRV_RCV
Source (IP) -> Destino(IP:Porta)
CMD:
recv
27/01/2010,19:23:30,Warning,226,Proxy POP3,Erro recebendo dados do servidor
POP3,10.4.0.19 -> 10.4.0.186:1080,CMD: recv
CMD: fcntl
POP3_LINE_TOO_LONG
de POP3
1155
POP3_CLI_RCV
CMD: fcntl
CMD: recv
POP3_CLI_SND
NULL
POP3_SRV_SND
POP3
POP3_SRV_INVALID_ANSWER
cliente de POP3
POP3_SRV_NOT_AVAIL
de POP3
NULL
POP3_OPEN_FILE
POP3_WRITE_FILE
nome do arquivo
POP3_OUT_OF_SPACE
nome do arquivo
errno
1156
POP3_STLS_MODE
45.7.
NULL
MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM, MSG1,
MSG2
Source:
IP
Destination:IP
\nFrom:
EMAIL
To:
EMAIL
27/01/2010,19:23:30,Warning,226,Proxy SMTP,Mensagem SMTP aceita,Mensagem
enviada,Source
10.4.0.19
Destination:
10.4.0.18\nFrom
bruno.l
bruno.lobo2@aker.com.brobo@aker.com.br - To:
Source: IP Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Aker Security Solutions
1157
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
45.8.
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM,
MSG1, MSG2
Aker Security Solutions
1158
NULL
Commit
Modulo de IDS/IPS\nRaso(STRING)
Modulo
de
filtragem
IDS
de
NULL
NULL
NULL NULL
Err: Retorno(INT) Errno(INT) NULL
Motivo (STRING)
Motivo (STRING)
1159
NULL
NULL
NULL
updates"
Err: Retorno(INT)
45.9.
Complemento 2
1160
Information
License expiration date updated successfully
NULL
02/04/2010,17:24:03,Informao do Antivrus, License expiration date updated
successfully,
Engine successfully loaded Engine(Kaspersky)
02/04/2010,17:24:03,Informao do Antivrus, Engine successfully loaded.
Update installed successfully Nome do arquivo
02/04/2010,17:24:03,Informao
do
Antivrus,
successfully,update.tar
License applied successfully NULL
Antivrus, License applied successfully,
Configuration applied NULL
Antivrus,Configuration,applied
Update
installed
02/04/2010,17:24:03,Informao
02/04/2010,17:24:03,Informao
do
do
rollback
applied
02/04/2010,17:24:03,Informao
Hora de aplicao
Antivrus, Signatures
database
already
1161
Notice
License not found
NULL
Antivrus, License not found,
02/03/2010,15:34:19,Aviso
importante
do
File is corrupted
PID do processo que esta logando
02/03/2010,15:34:19,Aviso importante do Antivrus,File is corrupted,123456
File is encrypted
PID do processo que esta logando
02/03/2010,15:34:19,Aviso importante do Antivrus,File is encrypted,123456
Virus found Nome do vrus(STRING) PID do processo que esta logando
02/03/2010,15:34:19,Aviso importante do Antivrus, Virus found,virus.txt 123465
Configuration file not found, default loaded NULL
02/03/2010,15:34:19,Aviso importante do Antivrus, Configuration file not found,
default loaded,
Update already in progress NULL
do Antivrus, Update already in progress,
Update canceled
NULL
Antivrus, Update canceled,
02/03/2010,15:34:19,Aviso
02/03/2010,15:34:19,Aviso
importante
importante
do
Error
Scan error
PID do processo que esta logando
Antivrus encontrou um erro,Scan error,123465
02/03/2010,15:34:19,O
NULL
1162
Warning
Error loading engine Engine(Kaspersky)
de alerta do Antivrus, Error loading engine, Kaspersky
Error installing update
Nome do arquivo
02/02/2010,09:24:04,Mensagem de alerta
update,update.db
Error applying configuration NULL
alerta do Antivrus, Error applying configuration,
02/02/2010,09:24:04,Mensagem
do
Antivrus,Error
installing
02/02/2010,09:24:04,Mensagem
de
authenticating
02/02/2010,09:24:04,Mensagem
1163
45.10.
Mensagem
upload: errno Error when mapping the compressed file containing the urls to be sent
upload: errno Error when mapping the undefined urls files
upload: errno Error when opening the undefined urls files
upload: errno Error when opening the compressed file containing the urls to be sent
NULL Error when opening the undefined urls files
Aker Security Solutions
1164
NULL Error when saving the file containing the urls to be uploaded
NULL Error when compressing file to upload
NULL There is no urls to be sent
Urls: NUMERO DE URLS
Upload : errno
CF: erro
NULL
NULL
NULL
Invalid URL
Invalid URL
makeindex
recv==0 header
FileName
Aker Security Solutions
1165
uncompress buffer
Md5 buffer
regs num: numero de regras Error while downloading URLs update file
No modified file of categories signature found!
NULL
NULL
CreateFile: erro
NULL
"cluster_read_st = AKERURL_REPL_URL_BASE"
Erro ao replicar URL indefinida
NULL
NULL
NULL
NULL
1166
NULL
/usr/local/akerurl/db/base.udx
/usr/local/akerurl/db/base.udx
database
replacement
/usr/local/akerurl/aker_users.cfg
nome do arquivo
NULL
NULL
NULL
NULL
NULL
NULL
NULL
1167
Upload
NULL
NULL NULL
Header len:
Ip
NULL
NULL
Upload
Header len:
select: erro
pkt: errno
Ip
NULL NULL
FileMapping: erro(INT)
NULL
MappingView: erro(INT)
NULL
decompress_buffer: NULL
NULL
Ip
NULL
NULL URL
1168
X remaining days
NULL
NULL NULL
45.11.
LOG_BAYES_AUTH_ERR
Erro de autenticao
Header
Data
LOG_BAYES_SEND_ERR
LOG_BAYES_RECV_ERR
LOG_BAYES_NEW_CONNECTION
NULL
NULL
1169
LOG_BAYES_TIMEOUT
LOG_BAYES_CONNECTION_OK
Conexo autenticada OK
LOG_BAYES_MEM_ERR
New context
NULL
Message list
Aker Security Solutions
1170
LOG_BAYES_ENGINE_ERR
LOG_BAYES_CONN_REFUSED
ESTADO
1171
LOG_BAYES_INVALID_OP
Operao invalida
LOG_BAYES_CREATE_FILE_ERR
LOG_BAYES_DOWNLOAD_ERR
data to base64
Error
converting
proxy
converting
proxy
LOG_BAYES_PROXY_AUTH_ERR
data to base64
NOME DO PROXY
LOG_BAYES_DOWNLOAD_START
Complete base
1172
LOG_BAYES_DOWNLOAD_SUCCESSFULL
LOG_BAYES_RECALC_OK
Recalculo completo OK
NOME DA BASE
LOG_BAYES_RECALC_ERR
NULL
LOG_BAYES_UPLOAD_ERR
NULL
1173
LOG_BAYES_LICENSE_EXPIRED
Licena expirou
LOG_BAYES_ACCUMULATE_ERR
LOG_BAYES_PATCH_ERR
NULL
1174
NULL
LOG_BAYES_BASE_BACKUP_ERR
erro ao tentar fazer backup de bases de treinamentos
de usurios receiving database list
generating backup file
Opening File
Reading File
error mapping file
das
bases
de
1175
1176
LOG_BAYES_MSG_TRAIN_SUCCESSFULL
sucesso na classificao de uma mensagem da
interface
Trained as TIPO - Base: BASENAME
MOTIVO
LOG_BAYES_WRITE_FILE_ERR
ERRNO
LOG_BAYES_HOST_DL_START
iniciando download do arquivo de hosts NULL
02/02/2010,11:24:14,Informao de o Spam Meter, Iniciando download da lista de
hosts (Active Node)
LOG_BAYES_HOST_DL_SUCCESSFULL
download do arquivo de hosts finalizado NULL
02/02/2010,11:24:14,Informao de o Spam Meter, Download da lista de hosts
realizado com sucesso (Active Node)
LOG_BAYES_DOWNLOAD_INFO
1177
Error
getting
NULL
1178
1179
Neste apndice esto listados os disclaimers das bibliotecas e cdigos fontes de terceiro
utilizados no Aker Firewall. Estes disclaimers se aplicam apenas s partes explicitamente
citadas e no ao Aker Firewall como um todo. Eles esto citados aqui devido a exigncias
das entidades desenvolvedoras:
Biblioteca DES
Copyright
All
This
FREE
as
(C)
FOR
long
1995
Eric
rights
Young
(eay@mincom.oz.au)
reserved.
library
and
applications
COMMERCIAL
AND
NON-COMMERCIAL
as
the
following
conditions
are
aheared
are
USE
to.
Copyright notices in
used in a product,
of the parts used.
program startup or
with
the
package.
1180
The licence and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied
and
put
under
another
distribution
licence
[including the GNU Public Licence.]
Biblioteca de criptografia libcrypto
Copyright
All
This
by
The
(C)
1995-1998
Eric
rights
package
is
Eric
implementation was
an
written
SSL
Young
so as to
Young
(eay@cryptsoft.com)
reserved.
implementation
written
(eay@cryptsoft.com).
conform with Netscapes SSL.
1181
THIS
SOFTWARE
IS
PROVIDED
BY
ERIC
YOUNG
``AS
IS''
AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
SUCH
DAMAGE.
The licence and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied
and
put
under
another
distribution
licence
[including the GNU Public Licence.]
Biblioteca SNMP
Copyright
1997
by
Carnegie
Mellon
University
All
Rights
Reserved
Permission to use, copy, modify, and distribute this software and its
documentation for any purpose and without fee is hereby granted,
provided that the above copyright notice appear in all copies and that
both
that
copyright
notice
and
this
permission
notice
appear
in
supporting
documentation,
and
that
the
name
of
CMU
not
be
used
in
advertising
or
publicity
pertaining
to
distribution
of
the
software
without
specific,
written
prior
permission.
CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE,
INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS,
IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR
CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING
FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF
CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN
CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
1182
Cdigos do FreeBSD
Copyright (c) 1982, 1986, 1993
The Regents of the University of California. All rights reserved.
Redistribution and use in source and binary forms, with or without
modification, are permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of
conditions
and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of
conditions
and the following disclaimer in the documentation and/or other materials provided with the
distribution.
3. All advertising materials mentioning features or use of this software must display the
following
acknowledgement: This product includes software developed by the University of California,
Berkeley and its contributors.
4. Neither the name of the University nor the names of its contributors may be used to
endorse or
promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS''
AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR
CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA,
OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE
USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH
DAMAGE.
Algoritmo MD5
Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
License to copy and use this software is granted provided that it is identified as the "RSA
Data
Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing this
software or this function.
License is also granted to make and use derivative works provided that such works are
identified
as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material
Aker Security Solutions
1183
1184
from this source code or any work derived from it for profit must contact Leonard Janke
(janke@unixg.ubc.ca) to work out an acceptable arrangement.
Anyone using this source code or documentation or any work derived from it, including, but
not limited to, libraries and statically linked executable, must do so at his or her own risk,
and with understanding that Leonard Janke will not be held responsible for any damages or
losses that may result.
1185