Akerfirewall 6.7.3 PT Manual 002

Verso: 10/07/2014
ndice
NDICE .......................................................................................................................................................................... 2
NDICE DE FIGURAS....................................................................................................................................................... 9
1.
INTRODUO ....................................................................................................................................................31
1.1.
1.2.
1.3.
1.4.
2.
INSTALANDO O AKER FIREWALL ........................................................................................................................35

2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
3.
COMO EST DISPOSTO ESTE MANUAL ............................................................................................................ 31

INTERFACE TEXTO (VIA SSH) E INTERFACE REMOTA ......................................................................................... 31
O FIREWALL............................................................................................................................................. 32
COPYRIGHTS DO SISTEMA ........................................................................................................................... 33
REQUISITOS DE HARDWARE E SOFTWARE ....................................................................................................... 35

INSTALANDO A INTERFACE REMOTA - WINDOWS ............................................................................................ 36
INSTALANDO O AKER FIREWALL BOX ............................................................................................................. 43
INSTALAO DO AKER FIREWALL BOX (IS/VM) .............................................................................................. 44
FIREWALL AKER - PROGRAMA DE INSTALAO - LINUX ..................................................................................... 62
COMO ALTERAR O TIPO DE INTERFACE DE REDE NO VMWARE PARA USO NO AKER FIREWALL 6.7.............................. 65
MDULO DE ADMINISTRAO DE USURIOS REMOTOS E INCLUSO DE USURIOS .................................................. 74
COMO FUNCIONA A CONTABILIZAO DE IPS NO AKER FIREWALL (LICENCIAMENTO)? ............................................ 75
COMO FUNCIONA O SISTEMA DE LICENCIAMENTO AUTOMTICO DO AKER FIREWALL? ............................................ 76
COMO ATIVAR A LICENA DO FIREWALL PELO AKER CONFIGURATION MANAGER (ACM)? ....................................... 81
RENOVAO DA LICENA ............................................................................................................................ 85
UTILIZANDO O AKER CONTROL CENTER .............................................................................................................88

3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
3.11.
3.12.
3.13.
3.14.
Aker Security Solutions
O QUE A ADMINISTRAO REMOTA DO AKER FIREWALL? ............................................................................... 88

INICIANDO A INTERFACE REMOTA ................................................................................................................. 90
FINALIZANDO A ADMINISTRAO REMOTA ................................................................................................... 107
MUDANDO SUA SENHA DE USURIO ........................................................................................................... 108
VISUALIZANDO INFORMAO DE SESSO ..................................................................................................... 110
UTILIZANDO AS FERRAMENTAS DA INTERFACE REMOTA .................................................................................. 111
CHAVES DE ATIVAO.............................................................................................................................. 112
SALVAR CONFIGURAES (BACKUP) ............................................................................................................ 113
RESTAURAR CONFIGURAES .................................................................................................................... 116
UTILIZANDO A INTERFACE TEXTO (VIA SSH-AKBACKUP) .................................................................................. 119
REINICIAR FIREWALL ................................................................................................................................ 121
ATUALIZAES ....................................................................................................................................... 122
MDULO DE ATUALIZAO AUTOMTICA AKER UPDATE SYSTEM (AUS) ......................................................... 127
REEMPACOTAR AKER CLIENT ..................................................................................................................... 131
DNS REVERSO ....................................................................................................................................... 132
SIMULAO DE REGRAS DE FILTRAGEM ....................................................................................................... 134
RELATRIOS........................................................................................................................................... 137
BUSCA DE ENTIDADES .............................................................................................................................. 139
COMMON NAME SEARCH......................................................................................................................... 143
JANELA DE ALARMES ............................................................................................................................... 144
MAPA DA REDE ...................................................................................................................................... 147
ESTATSTICAS DO SISTEMA ........................................................................................................................ 148
UTILIZANDO A JANELA DE SNIFFER DE TRFEGO DE PACOTES IP ........................................................................ 152
3.15.
3.16.
3.17.
4.
ADMINISTRANDO USURIOS DO FIREWALL ....................................................................................................166

4.1.
4.2.
5.
PLANEJANDO A INSTALAO...................................................................................................................... 376

AKER SECURE ROAMING .......................................................................................................................... 377
L2TP ................................................................................................................................................... 383
PPTP ................................................................................................................................................... 392
IPSEC CLIENT ........................................................................................................................................ 413
VPN SSL............................................................................................................................................ 429
CONFIGURANDO O PROXY SSL.........................................................................................................................443

11.1.
11.2.
12.
NAT TRANSVERSAL .................................................................................................................................. 341

VPN FAIL OVER ...................................................................................................................................... 364
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWIPSECCERT) .............................................................................. 368
CONFIGURANDO CRIPTOGRAFIA CLIENTE-FIREWALL .......................................................................................376

10.1.
10.2.
10.3.
10.4.
10.5.
10.6.
11.

UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWNAT) ...................................................................................... 327
UTILIZANDO O ASSISTENTE DE CONFIGURAO NAT ..................................................................................... 332
CRIANDO CANAIS DE CRIPTOGRAFIA ...............................................................................................................341

9.1.
9.2.
9.3.
9.4.
10.

EDITANDO UMA LISTA DE REGRAS USANDO A INTERFACE REMOTA .................................................................... 271
TRABALHANDO COM POLTICAS DE FILTRAGEM ............................................................................................. 280
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWRULE) ..................................................................................... 282
UTILIZANDO O ASSISTENTE DE REGRAS......................................................................................................... 286
UTILIZANDO REGRAS DE PIPES ................................................................................................................... 298
CONFIGURANDO A CONVERSO DE ENDEREOS .............................................................................................302

8.1.
8.2.
8.3.
9.

CADASTRANDO ENTIDADES UTILIZANDO A INTERFACE REMOTA ........................................................................ 215
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWENT) ...................................................................................... 252
UTILIZANDO O ASSISTENTE DE ENTIDADES ................................................................................................... 257
O FILTRO DE ESTADO .......................................................................................................................................265

7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
8.
UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 190

UTILIZANDO A INTERFACE TEXTO (VIA SSH-AKDATE)...................................................................................... 205
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWPAR) ...................................................................................... 206
CADASTRANDO ENTIDADES .............................................................................................................................211

6.1.
6.2.
6.3.
6.4.
7.
USURIOS ADMINISTRADORES .................................................................................................................. 166

UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWADMIN) .................................................................................. 179
CONFIGURANDO OS PARMETROS DO SISTEMA .............................................................................................190

5.1.
5.2.
5.3.
6.
VISUALIZANDO O ESTADO DOS AGENTES EXTERNOS ....................................................................................... 155

UTILIZANDO O VERIFICADOR DE CONFIGURAES .......................................................................................... 157
DIAGNSTICO ........................................................................................................................................ 159
EDITANDO OS PARMETROS DE UM CONTEXTO SSL ....................................................................................... 444

CONFIGURANDO REGRAS DE PROXY SSL ...................................................................................................... 448
INTEGRAO DOS MDULOS DO FIREWALL ....................................................................................................450
12.1.
12.2.
12.3.
13.
CONFIGURANDO A SEGURANA ......................................................................................................................455

13.1.
13.2.
13.3.
13.4.
13.5.
13.6.
13.7.
13.8.
13.9.
13.10.
14.

UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWSTAT) ..................................................................................... 519
VISUALIZANDO E REMOVENDO CONEXES .....................................................................................................524

18.1.
18.2.
19.

FORMATO E SIGNIFICADO DOS CAMPOS DAS MENSAGENS DE EVENTOS............................................................... 510
VISUALIZANDO ESTATSTICAS ..........................................................................................................................512

17.1.
17.2.
18.

FORMATO E SIGNIFICADO DOS CAMPOS DOS REGISTROS DO LOG ....................................................................... 494
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWLOG) ...................................................................................... 498
VISUALIZANDO EVENTOS DO SISTEMA ............................................................................................................502

16.1.
16.2.
17.

UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWACTION).................................................................................. 476
VISUALIZANDO O LOG DO SISTEMA .................................................................................................................482

15.1.
15.2.
15.3.
16.
PROTEO CONTRA SYN FLOOD ................................................................................................................ 455

UTILIZANDO A INTERFACE REMOTA PARA PROTEO CONTRA SYN FLOOD......................................................... 457
PROTEO DE FLOOD .............................................................................................................................. 459
UTILIZANDO A INTERFACE REMOTA PARA PROTEO DE FLOOD ....................................................................... 460
PROTEO ANTI SPOOFING ...................................................................................................................... 462
UTILIZANDO A INTERFACE REMOTA PARA ANTI SPOOFING............................................................................... 463
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWFLOOD) - SYN FLOOD ................................................................ 465
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWMAXCONN) - PROTEO DE FLOOD .............................................. 466
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWIFNET) - ANTI SPOOFING ............................................................ 467
BLOQUEIO POR EXCESSO DE TENTATIVAS DE LOGIN INVLIDAS .......................................................................... 468
CONFIGURANDO AES DE SISTEMA ..............................................................................................................471

14.1.
14.2.
15.
O FLUXO DE PACOTES NO AKER FIREWALL .................................................................................................... 450

INTEGRAO DO FILTRO COM A CONVERSO DE ENDEREOS ............................................................................ 452
INTEGRAO DO FILTRO COM A CONVERSO E A CRIPTOGRAFIA ........................................................................ 453

UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWLIST) ...................................................................................... 529
UTILIZANDO O GERADOR DE RELATRIOS .......................................................................................................533

19.1.
19.2.
19.3.
ACESSANDO RELATRIOS ......................................................................................................................... 533

CONFIGURANDO OS RELATRIOS ............................................................................................................... 534
LISTA DOS RELATRIOS DISPONVEIS ........................................................................................................... 540
........................................................................................543
20.1.
20.2.
ACESSANDO A EXPORTAO AGENDADA DE LOGS E EVENTOS.......................................................................... 543

CONFIGURANDO A EXPORTAO AGENDADA DE LOGS E EVENTOS .................................................................... 544
.....................................................................................................................549
21.1.
21.2.
21.3.
21.4.

INSTALANDO O AGENTE DE AUTENTICAO EM PLATAFORMAS UNIX ................................................................. 554
TM
INSTALANDO O AGENTE DE AUTENTICAO EM WINDOWS SERVER ................................................................ 556
TM
CONFIGURAO DO AGENTE DE AUTENTICAO PARA WINDOWS SERVER ....................................................... 557
..................................................................................562
22.1.
22.2.

UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWAUTH) .................................................................................... 579
................................................................................................................582
23.1.
23.2.
23.3.
23.4.
23.5.
23.6.
23.7.
23.8.
23.9.
23.10.
23.11.
23.12.
23.13.

CADASTRANDO PERFIS DE ACESSO .............................................................................................................. 583
GERAL .................................................................................................................................................. 586
FTP E GOPHER ..................................................................................................................................... 587
HTTP/HTTPS ....................................................................................................................................... 591
MSN MESSENGER .................................................................................................................................. 599
REGRAS DE SEGURANA ........................................................................................................................... 602
REGRAS ................................................................................................................................................ 605
REGRAS SOCKS ..................................................................................................................................... 606
VPN SSL (PROXY SSL) ............................................................................................................................ 607
SECURE ROAMING .................................................................................................................................. 610
FILTROS DE APLICAO ............................................................................................................................ 612
ASSOCIANDO USURIOS COM PERFIS DE ACESSO .......................................................................................... 614
.....................................................................................................................619
24.1.
24.2.
25.
CONFIGURANDO O PROXY SMTP .....................................................................................................................625

25.1.
26.

EDITANDO OS PARMETROS DE FILTRO WEB ................................................................................................ 676
EDITANDO OS PARMETROS DO CACHE (CACHE HIERRQUICO) ........................................................................ 722
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWCACHE) ................................................................................... 725
EDITANDO OS PARMETROS DE SESSES WEB .............................................................................................. 727
COMO CALCULAR O TEMPO DE CONEXO WEB ............................................................................................ 729
CONFIGURANDO O PROXY SOCKS....................................................................................................................738

31.1.
31.2.
32.
EDITANDO OS PARMETROS DO USO DE QUOTA ........................................................................................... 668
CONFIGURANDO O FILTRO WEB ......................................................................................................................673

30.1.
30.2.
30.3.
30.4.
30.5.
30.6.
31.
EDITANDO OS PARMETROS DE UM CONTEXTO POP3 .................................................................................... 660
UTILIZANDO AS QUOTAS .................................................................................................................................667

29.1.
30.
EDITANDO OS PARMETROS DE UM CONTEXTO FTP ....................................................................................... 655
CONFIGURANDO O PROXY POP3 .....................................................................................................................659

28.1.
29.
EDITANDO OS PARMETROS DE UM CONTEXTO TELNET................................................................................... 649
CONFIGURANDO O PROXY FTP ........................................................................................................................654

27.1.
28.
EDITANDO OS PARMETROS DE UM CONTEXTO SMTP ................................................................................... 627
CONFIGURANDO O PROXY TELNET ..................................................................................................................649

26.1.1.
27.
VISUALIZANDO E REMOVENDO USURIOS CONECTADOS NO FIREWALL.............................................................. 619

UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWLIST) ...................................................................................... 622

EDITANDO OS PARMETROS DO PROXY SOCKS ............................................................................................ 739
CONFIGURANDO O PROXY RPC E O PROXY DCE-RPC .......................................................................................742
32.1.
33.
CONFIGURANDO O PROXY MSN ......................................................................................................................750

33.1.1.
33.2.
33.3.
34.
CONFIGURAO TCP/IP .......................................................................................................................... 802

DHCP .................................................................................................................................................. 803
DNS .................................................................................................................................................... 807
INTERFACES DE REDE ............................................................................................................................... 808
ROTEAMENTO ........................................................................................................................................ 813
GERAL .................................................................................................................................................. 816
RIP ...................................................................................................................................................... 817
RIP INTERFACE TEXTO (VIA SSH) ............................................................................................................... 818
OSPF ................................................................................................................................................... 829
OSPF INTERFACE TEXTO (VIA SSH) ............................................................................................................ 831
BGP .................................................................................................................................................... 847
AVANADO............................................................................................................................................ 870
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWKEY) NAS CHAVES DE ATIVAO .................................................. 875
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWINTERFACE) NA CONFIGURAO TCP/IP ....................................... 875
UTILIZANDO A INTERFACE TEXTO (VIA SSH-AKWIRELESS) NA CONFIGURAO DE WIRELESS .................................. 883
MDULO DE WIDS ................................................................................................................................ 887
UTILIZANDO A INTERFACE TEXTO (VIA SSH-AKDDNS) NA CONFIGURAO DE DDNS ............................................ 890
CONFIGURAO DE INTERNET MVEL ......................................................................................................... 893
AGREGAO DE LINK ............................................................................................................................... 913
PADRO IEEE DE LINK AGGREGATION ........................................................................................................ 915
CRIANDO INTERFACES LINK AGGREGATION................................................................................................... 916
CUSTOMIZAO MANUAL ........................................................................................................................ 919
WIRELESS .............................................................................................................................................. 920
O QUE O WDS? ................................................................................................................................... 923
AKER FIREWALL EM MODO BRIDGE .................................................................................................................930

37.1.
38.
ACESSANDO O MDULO IPS/IDS............................................................................................................... 773

CONFIGURANDO OS PARMETROS DPI, E IDS/IPS. ....................................................................................... 784
VISUALIZANDO OS IPS BLOQUEADOS ........................................................................................................... 788
INSTALANDO O PLUGIN PARA IDS EXTERNO NO WINDOWS ............................................................................. 791
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWPORTSCAN) - PORTSCAN ............................................................ 797
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWIDS) - IDS EXTERNO .................................................................. 798
CONFIGURAES TCP/IP .................................................................................................................................802

36.1.
36.2.
36.3.
36.4.
36.5.
36.5.1.
36.6.
36.7.
36.8.
36.9.
36.10.
36.11.
36.12.
36.13.
36.14.
36.15.
36.16.
36.17.
36.18.
36.19.
36.20.
36.21.
36.22.
36.23.
37.

CRIANDO REGRAS DE FILTRAGEM DE APLICAES ......................................................................................... 763
CRIANDO FILTROS DE APLICAES .............................................................................................................. 766
CONFIGURANDO IDS/IPS .................................................................................................................................773

35.1.
35.2.
35.3.
35.4.
35.5.
35.6.
36.

EDITANDO OS PARMETROS DO PROXY MSN ............................................................................................... 751
COMO CALCULAR OS TEMPOS DE NAVEGAO DOS CHATS DO MSN MESSENGER. ............................................... 755
CONFIGURANDO O DPI DEEP PACKET INSPECTION (FILTRAGEM DE APLICAES IDS/IPS) .........................762

34.1.1.
34.1.2.
34.2.
35.
EDITANDO OS PARMETROS DE UM CONTEXTO RPC ...................................................................................... 743
CRIANDO INTERFACES BRIDGE ................................................................................................................... 930
CONFIGURANDO O FIREWALL EM CLUSTER .....................................................................................................934
38.1.
38.2.
38.3.
38.4.
38.5.
39.
PLANEJANDO A INSTALAO ..................................................................................................................... 934

CONFIGURAO DO CLUSTER .................................................................................................................... 936
ESTATSTICA DO CLUSTER ......................................................................................................................... 941
CONFIGURANDO UM CLUSTER COORPORATIVO ............................................................................................. 943
UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWCLUSTER) ................................................................................ 953
ARQUIVOS DO SISTEMA...................................................................................................................................957
39.1.
ARQUIVOS DO SISTEMA............................................................................................................................ 957
40.
AKER FIREWALL BOX ........................................................................................................................................962
41.
AKER CLIENT ....................................................................................................................................................966

41.1.
41.2.
41.3.
41.4.
41.5.
41.6.
41.7.
41.8.
41.9.
41.10.
41.11.
41.12.
41.13.
41.14.
42.
AKER WEB CONTENT ANALYZER - AWCA ....................................................................................................... 1025

42.1.
42.2.
42.3.
42.4.
42.5.
42.6.
42.7.
42.8.
42.9.
43.
INTRODUO ....................................................................................................................................... 1025

PR-REQUISITOS ................................................................................................................................... 1027
INSTALANDO O AKER WEB CONTENT ANALYZER ......................................................................................... 1027
INSTALAO EM AMBIENTE WINDOWS ..................................................................................................... 1028
INSTALAO EM AMBIENTE LINUX............................................................................................................ 1035
CONFIGURAO DO AWCA .................................................................................................................... 1040
GERENCIAMENTO DA BASE DE URLS ......................................................................................................... 1041
CATEGORIAS ........................................................................................................................................ 1046
TESTE DE URL ...................................................................................................................................... 1056
AKER SPAM METER - ASM ............................................................................................................................. 1059

43.1.
43.2.
43.3.
43.4.
43.5.
43.6.
43.7.
43.8.
43.9.
44.
AUTENTICAO ...................................................................................................................................... 967

VPN .................................................................................................................................................... 968
TUNELAMENTO ...................................................................................................................................... 971
CRIPTOGRAFIA........................................................................................................................................ 977
CERTIFICADOS DIGITAIS ............................................................................................................................ 982
CLIENTE DE AUTENTICAO ...................................................................................................................... 984
INSTALAO DO AKER CLIENT.................................................................................................................... 985
CONFIGURAO DO AKER CLIENT............................................................................................................... 998
CERTIFICADOS ...................................................................................................................................... 1007
REQUISIES DE CERTIFICADO ................................................................................................................. 1009
DISPOSITIVOS CRIPTOGRFICOS ............................................................................................................... 1012
SEGURANA......................................................................................................................................... 1014
LOGS .................................................................................................................................................. 1015
SOBRE ................................................................................................................................................ 1016
INTRODUO ....................................................................................................................................... 1059

APRESENTANDO O PRODUTO ASM........................................................................................................... 1060
COMO FUNCIONA A CLASSIFICAO .......................................................................................................... 1060
AKER CONTROL CENTER ......................................................................................................................... 1061
BANCO DE DADOS................................................................................................................................. 1063
CLASSIFICAO DE E-MAIL ...................................................................................................................... 1067
CONFIGURAES DO FILTRO ................................................................................................................... 1070
GRFICO DE NOTAS ............................................................................................................................... 1073
ANEXO PLUGINS ................................................................................................................................. 1074
AKER ANTIVRUS - AKAV ................................................................................................................................ 1076

44.1.
INTRODUO ....................................................................................................................................... 1076
44.2.
44.3.
44.4.
44.5.
44.6.
44.7.
44.8.
45.
APRESENTAO DO PRODUTO ................................................................................................................. 1077

CARACTERSTICAS PRINCIPAIS .................................................................................................................. 1078
O AKER ANTIVRUS MODULE .................................................................................................................. 1079
CONFIGURANDO O AKER ANTIVRUS MDULO ........................................................................................... 1079
CONFIGURAES .................................................................................................................................. 1081
INFORMAES DO ENGINE...................................................................................................................... 1082
GERENCIAMENTO DE ATUALIZAES ......................................................................................................... 1084
APNDICE A MENSAGENS DO SISTEMA ....................................................................................................... 1089

45.1.
45.2.
MENSAGENS DO LOG DO FIREWALL .......................................................................................................... 1089

Autenticap/Criptografia .............................................................................................................. 1089
Criptografia IPSEC ........................................................................................................................... 1089
Outros .............................................................................................................................................. 1090
MENSAGENS DOS EVENTOS DO FIREWALL .................................................................................................. 1094
Acesso no console............................................................................................................................ 1094
Analisador de URLs integrado ........................................................................................................ 1094
AntiVirus integrado ......................................................................................................................... 1095
Autenticao/Criptografia .............................................................................................................. 1095
Carregar ........................................................................................................................................... 1096
Certificado do servidor .................................................................................................................... 1097
Cluster cooperativo ......................................................................................................................... 1099
Controle de QoS ............................................................................................................................... 1100
Converso de Endereo (NAT) ......................................................................................................... 1100
Criptografia IPSEC ........................................................................................................................... 1101
Daemon CLR .................................................................................................................................... 1102
Daemon de conexo PPTP .............................................................................................................. 1102
Daemon de IPS/IDS e Anlise de aplicativos .................................................................................. 1103
Daemon de log ................................................................................................................................ 1105
Daemon de monitoramento de links .............................................................................................. 1106
Daemon de Quotas ......................................................................................................................... 1106
Daemon IPSEC-IKE ........................................................................................................................... 1107
Daemons do firewall ....................................................................................................................... 1109
Filtro de pacote ............................................................................................................................... 1113
IDS .................................................................................................................................................... 1114
Leitura e exportao de logs ........................................................................................................... 1115
Mdulo de configurao do cluster ................................................................................................ 1115
Mdulo de controle do cluster ........................................................................................................ 1116
Mdulo de estado do cluster .......................................................................................................... 1117
Protocolos de roteamento .............................................................................................................. 1117
Proxies Transparentes ..................................................................................................................... 1118
Proxy FTP ......................................................................................................................................... 1119
Proxy H323 (H225.0) ....................................................................................................................... 1120
Proxy H323 (H245)........................................................................................................................... 1121
Proxy HTTP ...................................................................................................................................... 1121
Proxy HTTPS ..................................................................................................................................... 1124
Proxy MSN Messenger .................................................................................................................... 1127
Proxy POP3 ...................................................................................................................................... 1129
Proxy Real Audio ............................................................................................................................. 1132
45.3.
45.4.
45.5.
45.6.
45.7.
45.8.
45.9.
45.10.
45.11.
46.
Proxy RTSP ....................................................................................................................................... 1132

Proxy SIP .......................................................................................................................................... 1132
Proxy SMTP...................................................................................................................................... 1133
Proxy SOCKS .................................................................................................................................... 1137
Proxy SSL.......................................................................................................................................... 1140
Proxy TELNET ................................................................................................................................... 1142
Retreinamento para Spam Meter ................................................................................................... 1143
Secure Roaming ............................................................................................................................... 1144
Servidor de Acesso .......................................................................................................................... 1144
Servidor de autenticao ................................................................................................................ 1146
SpamMeter integrado ..................................................................................................................... 1148
FORMATO DE EXPORTAO DE LOGS E EVENTOS .......................................................................................... 1148
EVENTOS GERADOS PELO FILTRO WEB ...................................................................................................... 1148
EVENTOS GERADOS PELO PROXY MSN ...................................................................................................... 1151
EVENTOS GERADOS PELO PROXY POP3 ..................................................................................................... 1155
EVENTOS GERADOS PELO PROXY SMTP .................................................................................................... 1157
EVENTOS GERADOS PELO MDULO DE IDS/IPS E FILTRO DE APLICATIVOS ........................................................ 1158
EVENTOS GERADOS PELO AKER ANTIVRUS MODULE .................................................................................... 1160
EVENTOS GERADOS PELO AKER WEB CONTENT ANALIZER ............................................................................. 1164
EVENTOS GERADOS PELO AKER SPAM METER ............................................................................................. 1169
APNDICE B - COPYRIGHTS E DISCLAIMERS.................................................................................................... 1180
Figura 1 Seleo do idioma para realizar a instalao. ......................................................... 36

Figura 2 - Mensagem de boas vindas do Assistente de Instalao do Aker Control Center 2.
.................................................................................................................................................. 37
Figura 3 - Contrato de licena do Programa. ........................................................................... 38
Figura 4 Informaes do usurio. ......................................................................................... 39
Figura 5 - Pasta de destino. ...................................................................................................... 40
Figura 6 Instalao em pasta especifica. .............................................................................. 40
Figura 7 - Pronto para instalar o aplicativo.............................................................................. 41
Figura 8 - Barra de status da instalao. .................................................................................. 42
Figura 9 - Mensagem de instalao realizada com xito. ........................................................ 43
Figura 13 - Termo de Licena. .................................................................................................. 63
Figura 14 - Editar configuraes .............................................................................................. 65
Figura 15 - Removendo Interface de rede ............................................................................... 66
Figura 16 - Inserindo uma nova interface ................................................................................ 67
Figura 17 - Escolha do tipo de hardware ................................................................................. 68
Figura 18 - Tipo de adaptador.................................................................................................. 69
Figura 19 - Interface VMxNet3................................................................................................. 70
Figura 20 - Sistema de licenciamento automtico do Aker Firewall ....................................... 76

Figura 21 - Janela de ativao de Licena ................................................................................ 78
Figura 22 - Formulrio para Solicitao de Licena ................................................................. 79
Figura 23 - Erro na Janela do Pedido de licena (DNS no configurado)................................. 80
Figura 24 Objetos gerenciveis (Status)................................................................................ 81
Figura 25 Janela Status.......................................................................................................... 82
Figura 26 Janela de ativao de licena ................................................................................ 83
Figura 27 Janela de localizao do aquivo da licena ........................................................... 84
Figura 28 Janela de ativao da licena ................................................................................ 85
Figura 29 A licena foi aplicada com sucesso ....................................................................... 85
Figura 30 Acessando o Aker Control Center 2. ..................................................................... 90
Figura 31 - Menu opes. ........................................................................................................ 91
Figura 32 - Tempo de sesso ociosa. ....................................................................................... 92
Figura 33 Esconder regras. .................................................................................................... 92
Figura 34 Desabilitar perguntas. ........................................................................................... 92
Figura 35 - Escolha do idioma que deseja acessar o Aker Control Center. ............................. 93
Figura 36 Cor de fundo do Aker Control Center. .................................................................. 93
Figura 37 Selecionar cor. ....................................................................................................... 94
Figura 38 - Boto: Padro. ....................................................................................................... 94
Figura 39 - Aviso de sair do programa. .................................................................................... 94
Figura 40 - Menu Janelas. ........................................................................................................ 95
Figura 41 - Dispositivos remotos ............................................................................................. 95
Figura 42 - Entidades............................................................................................................... 96
Figura 43 - Menu Ajuda............................................................................................................ 96
Figura 44 - Configurao Automtica de Atualizao. ............................................................. 96
Figura 45 - Notificador de Atualizaes. .................................................................................. 97
Figura 46 - Notificador de Instalao de Atualizaes............................................................. 97
Figura 47 - Atualizaes prontas. ............................................................................................. 98
Figura 48 - Informaes sobre o item: Sobre ......................................................................... 98
Figura 49 - Menu Aker Firewall. ............................................................................................... 99
Figura 50 - Caixa de descrio de entidade. .......................................................................... 100
Figura 51 Boto: Criar novo dispositivo remoto. ................................................................ 100
Figura 52 - Caixa de edio do dispositivo remoto. ............................................................... 101
Figura 53 - Informaes requeridas para Editar o Dispositivo Remoto. ............................... 102
Figura 54 cone utilizado para o carregamento de arquivo. ............................................... 103
Figura 55 - cone utilizado para mostrar informaes do certificado. .................................. 103
Figura 56 - Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo
Remoto................................................................................................................................... 104
Figura 57 Boto Conectar. .................................................................................................. 105
Figura 58 - Interface conectada ao Firewall escolhido. ......................................................... 105
Figura 59 Notificaao informando que o Firewall j esta sendo configurado. ................... 107
10
Figura 60 - Finalizador de administrao remota do Aker Firewall (Desconectar do

dispositivo remoto). ............................................................................................................... 107
Figura 61 Boto: Sair deste programa. ............................................................................... 107
Figura 62 - Dispositivos remotos (realizar mudana de senha). ............................................ 108
Figura 63 - Mudar Senha (inserir senha antiga, a nova senha e confirmao da mesma).... 109
Figura 64 - Dispositivos remotos (Visualizar Informaes da sesso). .................................. 110
Figura 65 - Informao da sesso (mostra dados do Firewall, Licena e Usurio). ............... 111
Figura 66 Boto: Carregar/Mostrar licena. ....................................................................... 112
Figura 67 - Informaes sobre ativao de licenas. ............................................................. 113
Figura 68 Boto: Salvar um backup do item selecionado. .................................................. 113
Figura 69 - Download das configuraes personalizadas e bases de treinamento............... 114
Figura 70 - Backup Informaes de log. ................................................................................. 114
Figura 71 - Tela de escolha de arquivo para salvar configuraes. ....................................... 115
Figura 72 - Salvar o backup automaticamente. ..................................................................... 116
Figura 73 - Botes para restaurao de backup. ................................................................... 116
Figura 74- Boto: Carrega backup do arquivo. ...................................................................... 117
Figura 75 - Escolha de arquivo para carregar dados de configurao................................... 117
Figura 76 - Restaurao do backup do Antivrus Module...................................................... 118
Figura 77 - Restaurao do backup do Aker Spam Meter. .................................................... 118
Figura 78 - Restaurao do backup da Web Content Analyzer. ............................................ 119
Figura 79 - Comando usado para salvar o backup ................................................................. 120
Figura 80 - Backup via FTP ..................................................................................................... 120
Figura 81 - Comando usado pra salvar o backup e envia-lo via ft ......................................... 121
Figura 82 - Reiniciar o Firewall. .............................................................................................. 121
Figura 83 - Boto: Atualizaes. ............................................................................................ 122
Figura 84 - Sistema de atualizao de dados do Firewall. ..................................................... 123
Figura 85 Boto: Carregar arquivo de atualizao.............................................................. 124
Figura 86 - Escolha do arquivo para atualizao ou correo. .............................................. 125
Figura 87 Aplicar patch ou hotfix. ....................................................................................... 125
Figura 88 Aplicar rollback. ................................................................................................... 125
Figura 89 - Visualizao de histricos de aplicao de patches e hotfixes............................ 126
Figura 90 - Acessando o Aker Firewall. .................................................................................. 127
Figura 91 - Notificao sobre atualizaes disponveis no Aker Update System. ................. 127
Figura 92 - Visualizando atualizaes disponveis por meio do Aker Update System. ......... 128
Figura 94 - Acessando as janelas do Aker Update System. ................................................... 129
Figura 96 - Menu - ajuda. ....................................................................................................... 130
Figura 97 Janela de acesso (Reempacotar Aker Client) ...................................................... 131
Figura 98 Reempacotar Aker Client .................................................................................... 132
Figura 99 - Janela de DNS reverso. ........................................................................................ 132
11
Figura 100 - DNS reverso. ...................................................................................................... 133

Figura 101 - Simulao de Regras de Filtragem. .................................................................... 134
Figura 102 - Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e
mscaras). .............................................................................................................................. 135
Figura 103 - Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e
entidade). ............................................................................................................................... 136
Figura 104 Relatrio. ........................................................................................................... 137
Figura 105 - Relatrio de configurao do firewall. .............................................................. 138
Figura 106 - Busca de Entidades. ........................................................................................... 139
Figura 107 - Busca de Entidades (procura de entidade com IP ou nome e ltimos resultados).
................................................................................................................................................ 140
Figura 108 - Busca de Entidades (Servios, protocolo e ltimos resultados). ....................... 141
Figura 109 - Busca de Entidades (Regras, entidades e ltimos resultados). ......................... 142
Figura 110 - Common Name search ...................................................................................... 143
Figura 111 - Janela de pesquisa Common Name ................................................................... 144
Figura 113 - Janela de Alarmes. ............................................................................................ 145
Figura 114 - Janela de Alarmes (Descrio). .......................................................................... 146
Figura 115 - Mapa da Rede. ................................................................................................... 147
Figura -116 - Mapa da Rede. .................................................................................................. 148
Figura 117 - Estatsticas do Sistema....................................................................................... 149
Figura 118 - Estatsticas do Sistema....................................................................................... 150
Figura 119 Relatrio de estatstica do sistema. .................................................................. 151
Figura 120 - Acesso a janela: Sniffer de trfego de pacotes IP. ............................................. 152
Figura 121 - Sniffer de Pacotes Sniffer 1. ............................................................................ 153
Figura 122 - Agentes Externos. .............................................................................................. 155
Figura 123 - Agentes Externos (nome, tipo e status). ........................................................... 156
Figura 124 - Verificador de Configurao. ............................................................................. 157
Figura 125 - Verificador de Configuraes ............................................................................ 158
Figura 126 - Diagnsticos. ...................................................................................................... 159
Figura 127 - Janela de Diagnsticos: Tudo............................................................................. 160
Figura 128 - Janela de Diagnsticos: Ping .............................................................................. 161
Figura 129 - Janela de Diagnsticos: Traceroute. .................................................................. 162
Figura 130 - Janela de Diagnsticos: Netstat. ........................................................................ 163
Figura 131 - Janela de Diagnsticos: Nslookup...................................................................... 164
Figura 132 - Acesso a janela de Usurios administradores. .................................................. 166
Figura 133 - Janela de Usurios administradores (Usurios internos). ................................. 167
Figura 134 - Usurios Administradores: Agentes externos. .................................................. 171
Figura 135 - Usurios Administradores de autenticao - X509. .......................................... 173
Figura 136 Importar certificado. ......................................................................................... 175
Figura 137 Certificado (importado). ................................................................................... 175
Figura 138 Exportar certificado........................................................................................... 176
12
Figura 139 Certificado (exportado). .................................................................................... 176

Figura 140 Detalhes do Certificado..................................................................................... 177
Figura 141 Opo de escolhas do servidor. ........................................................................ 179
Figura 142 - Execuo do programa utilizando a Interface Texto (via SSH). ......................... 180
Figura 143 - Execuo do programa para incluso de usurios como administrados do Aker
Firewall. .................................................................................................................................. 181
Figura 144 - Execuo do programa para a excluso de usurios. ........................................ 182
Figura 145 - Execuo do programa para a alterao de senha do usurio. ........................ 183
Figura 146 - Execuo do programa para exibir a listagem de usurios e permisses. ........ 184
Figura 147 Compactao do programa para exibir a compactao do arquivo de usurios.
................................................................................................................................................ 185
Figura 148 - Edio das configuraes do Aker Configuration Manager. ............................. 186
Figura 149 - Edio das configuraes do Aker Configuration Manager (Firewall habilitado).
................................................................................................................................................ 187
Figura 150 - Edio das configuraes do Aker Configuration Manager (desabilita, modifica
ou retorna). ............................................................................................................................ 188
Figura 151 - Acesso aos dispositivos remotos (Parmetros de configurao). ..................... 190
Figura 152 - Parmetros de configurao do Aker Firewall: global....................................... 191
Figura 153 - Parmetros de configurao: Log. ..................................................................... 193
Figura 154 - Parmetros de configurao: Segurana. .......................................................... 196
Figura 155 - Parmetros de configurao: SNMP. ................................................................. 199
Figura 156 - Parmetros de configurao: Monitoramento.................................................. 202
Figura 157 - Parmetros de configurao Data e hora. ...................................................... 204
Figura 158 - Janela de entidades (Aker Firewall). .................................................................. 215
Figura 159 - Tecla F5 do teclado. ........................................................................................... 215
Figura 160 - Entidades: Instncia Aker Firewall. .................................................................... 216
Figura 161 - Cadastro de entidade: Tipo Mquina. ............................................................... 217
Figura 162 - Excluso de entidade ......................................................................................... 218
Figura 163 - Cadastro de entidade Tipo Mquina IPv6. ........................................................ 219
Figura 164 - Incluso e edio de redes................................................................................. 221
Figura 165 - Incluso e edio de redes IPv6. ........................................................................ 222
Figura 166 - Incluso e edio de conjuntos.......................................................................... 224
Figura 167 - Adio de entidades. ......................................................................................... 225
Figura 168 - Edio de conjuntos IPv6. .................................................................................. 226
Figura 169 - Edio de conjuntos IPv6 (entidades a ser adicionada). ................................... 227
Figura 170 - Incluso e edio das listas de categorias. ........................................................ 228
Figura 171 - Incluso e edio dos padres de buscas. ......................................................... 229
Figura 172 - Incluso e edio de quotas. ............................................................................. 230
Figura 173 - Incluso e edio de agentes externos. ............................................................. 231
Figura 174 - Cadastro de um agente externo tipo autenticador ou autenticados token. .... 233
Figura 175 - Cadastro de um agente externo tipo Autoridade Certificadora. ....................... 235
13
Figura 176 - Definio de Pseudo-Grupos para usurios que se autenticarem por meio de
autoridade certificadora. ....................................................................................................... 236
Figura 177 - Cadastro de agente externo tipo Agente IDS. ................................................... 237
Figura 178 - Cadastro de agente externo tipo Analisador de texto. ..................................... 238
Figura 179 - Cadastro de agente externo tipo Mdulo de Antivrus. .................................... 238
Figura 180 - Cadastro de agente externo tipo Spam Meter. ................................................. 239
Figura 181 - Cadastro de agente externo Servidor Remoto. ................................................. 239
Figura 182 - Cadastro de agente externo Autenticador LDAP. .............................................. 240
Figura 183 - Cadastro de agente externo Autenticador Radius. ........................................... 242
Figura 184 - Incluso e edio de servios............................................................................. 243
Figura 185 - Incluso e edio de interfaces. ........................................................................ 245
Figura 186 - Incluso e edio de listas de e-mails. ............................................................... 247
Figura 187 - Opo para realizar uma operao sobre um e-mail ou domnio. .................... 248
Figura 188 - Lista dos tipos de arquivos................................................................................. 248
Figura 189 - Opo para realizar uma operao (Entrada da lista). ...................................... 249
Figura 190 - Acumuladores. ................................................................................................... 250
Figura 191 - Cadastro de entidade tipo Canal. ...................................................................... 251
Figura 192 - Mensagem de entrada no Assistente de criao de entidades......................... 258
Figura 193 - Escolha do tipo de entidade. ............................................................................. 259
Figura 194 - Insero do endereo de IP da mquina. .......................................................... 260
Figura 195 - Atribuio do nome da entidade. ...................................................................... 261
Figura 196 - Escolha do cone da entidade. ........................................................................... 262
Figura 197 - Mensagem de finalizao do cadastramento de entidades. ............................. 263
Figura 198 Esquema de funcionamento de um PIM .......................................................... 268
Figura 199 - Dispositivos remotos (Acesso a janela de configurao das regras). ................ 272
Figura 200 - Janelas de regras de filtragem. .......................................................................... 273
Figura 201 - Menu com opes de entidades referente ao campo. ..................................... 274
Figura 202 - cones de verificao de regras. ........................................................................ 277
Figura 203 - Verificador de regras. ........................................................................................ 278
Figura 204 - Regras de filtragem (Exemplo de canal de 10Mb - ADSL). ................................ 278
Figura 205 - Ajustes de prioridade de canal. ......................................................................... 279
Figura 206 - Exemplo de como trabalhar com polticas de filtragem.................................... 280
Figura 207 - Exemplo de regras de filtragem. ........................................................................ 281
Figura 208 - Interface regras de filtragem. ............................................................................ 281
Figura 209 - Barra de cones (Poltica). .................................................................................. 281
Figura 210 - Exibio das regras de filtragem. ....................................................................... 282
Figura 211 - Assistente de regras filtragem (janela exibida quando um nmero pequeno de
regras for detectado. ............................................................................................................. 286
Figura 212 - Mensagem de boas vindas ao Assistente de regras filtragem. ......................... 287
Figura 213 - Escolha da rede interna e configurao inicial. ................................................. 288
Figura 214 - Tela de acesso para escolha de acesso restrito ou no internet. ................... 289
14
Figura 215 - Escolha se possui ou no DMZ. .......................................................................... 290

Figura 216 - Escolha da entidade DMZ. ................................................................................. 291
Figura 217 - Mquinas DMZ (acesso restrito ou no Internet). ......................................... 292
Figura 218 - Escolha para configurar outro servidor ou no. ................................................ 297
Figura 219 - Aviso de finalizao de configurao das regras de filtragem. ......................... 298
Figura 220 - Janela com as regras de Pipes. .......................................................................... 299
Figura 221 - Exemplo 1 de configurao do Aker Firewall (interligando departamentos). .. 307
Figura 222 - Exemplo 2 de configurao do Aker Firewall (mltiplas ligaes com a Internet).
................................................................................................................................................ 309
Figura 223 - Exemplo 3 de configurao do Aker Firewall (montando regras de converso de
endereos). ............................................................................................................................. 311
Figura 224 - Janela de configurao da converso de endereos. ........................................ 312
Figura 225 Janela de configurao da converso de endereos (NAT). .............................. 313
Figura 226 - Janela de configurao de balanceamento de link. ........................................... 315
Figura 227 - Janela de configurao para adicionar entidades. ............................................ 317
Figura 228 - Janela de incluso de regras de NAT. ................................................................ 318
Figura 229 - Janela de configurao para aes que deseja ser realizada. ........................... 320
Figura 230 - Mscaras de rede da entidade de origem e virtual devem ser iguais. .............. 320
Figura 231 - Configurao dos parmetros de monitoramento a ser realizado pelo firewall.
................................................................................................................................................ 321
Figura 232 - Exemplo 1, converso de endereos. ................................................................ 324
Figura 233 - Exemplo 2, converso de servios. .................................................................... 325
Figura 234 - Balanceamento de link (primeira fase). ............................................................. 326
Figura 235 - Montagem das regras do NAT (Segunda fase). ................................................. 327
Figura 236 - Mensagem de boas vindas ao Assistente de configurao de NAT. ................. 332
Figura 237 - Seleo das redes que tem a necessidade de acessar Internet compartilhando
um endereo IP. ..................................................................................................................... 333
Figura 238 - Seleo do IP da mquina virtual para realizar a converso de N-1. ................ 334
Figura 239 - Mensagem se deseja configurar os servidores acessveis externamente. ........ 335
Figura 240 - Escolha da entidade que deseja tornar acessvel na internet. .......................... 336
Figura 241 - Escolha do endereo IP utilizados por mquinas externas a ser utilizado no
servidor. ................................................................................................................................. 337
Figura 242 - Escolha para configurar mais servidores. .......................................................... 338
Figura 243 - Finalizao do assistente de regras. .................................................................. 339
Figura 244 - Exemplo de configurao de um canal seguro firewall-firewall para uma subrede. ....................................................................................................................................... 351
Figura 245 - Canal seguro entre redes. .................................................................................. 353
Figura 246 - Dispositivos remotos (Acesso a janelas de Certificados IPSEC). ........................ 353
Figura 247 - Janela de Certificados IPSEC. ............................................................................. 354
Figura 248 - Barra de ferramentas (Certificados IPSEC). ....................................................... 355
Figura 249 - Janela de ao para Certificados IPSEC. ............................................................ 355
15
Figura 250 - Dispositivos remotos (Acesso a janela de Firewall/Firewall). ........................... 356

Figura 251 - Janela de Criptografia Firewall/Firewall. ........................................................... 357
Figura 252 - Menu de insero, copia ou excluso para definio dos fluxos de criptografia.
................................................................................................................................................ 358
Figura 253 - Menu de incluso ou alterao de fluxos. ......................................................... 358
Figura 254 - Configurao de canais IPSEC. ........................................................................... 359
Figura 255 Definio dos algoritimos de criptogrfica e autenticao permitidos pelo
firewall durante negociao das chaves IKE. ......................................................................... 361
Figura 256 - Visualizao do trfego IPSEC. ........................................................................... 362
Figura 257 - Grfico de acompanhamento (Bytes de logs transferidos). .............................. 363
Figura 258 - Exemplo de funcionamento VPN Fail over "link ativado e VPN desativada" .... 364
Figura 259 - Figura 245 - Exemplo de funcionamento VPN Fail over "link inativo e VPN
ativada" .................................................................................................................................. 365
Figura 260 - VPN fail over ...................................................................................................... 365
Figura 261 - Janela de configurao VPN Fail Over ............................................................... 366
Figura 262 - VPN Fail over ...................................................................................................... 367
Figura 263 - Dispositivos remoto (Acesso as configuraes do Security Roaming). ............. 377
Figura 264 - Configurao geral do Security Roaming ........................................................... 378
Figura 265 - Configurao do Security Roaming. ................................................................... 379
Figura 266 - Lista de controle de acesso do Security Roaming. ............................................ 380
Figura 267 - Menu com escolha das entidades a ser adicionadas ........................................ 381
Figura 268 - Conjunto de endereos do Security Roaming ................................................... 382
Figura 269 - Configurao da VPN L2TP................................................................................. 384
Figura 270 - Menu com escolhas da entidade para adicionar. .............................................. 385
Figura 271 - Configurando o cliente L2TP (Windows Vista/XP). ............................................ 386
Figura 272 - Configurando o cliente L2TP (utilizando VPN). .................................................. 387
Figura 273 - Configurando o cliente L2TP (escolha do IP e nome da conexo). ................... 388
Figura 274 - Configurando o cliente L2TP (nome do usurio e senha utilizados para
autenticar o cliente de VPN no Aker Firewall). ...................................................................... 389
Figura 275 - Configurao da VPN L2TP concluda. ............................................................... 390
Figura 276 Propriedades de Conexo VPN (edio das propriedades de conexo)........... 391
Figura 277 - Configurando a VPN PP TP. ................................................................................ 392
Figura 278 - Menu com escolhas da entidades para adicionar. ............................................ 393
Figura 279 - Configurando o Cliente PPTP para autenticao com PAP (Windows Vista/XP).
................................................................................................................................................ 395
Figura 280 - Janela de configurao da VPN no Microsoft Windows. ................................. 396
Figura 281 - Janela de configurao de rede da VPN no Microsoft Windows. ................... 397
Figura 282 - Janela de configurao de usurio e senha da VPN no Microsoft Windows. . 398
Figura 283 - Configurao da VPN no Microsoft Windows concluda. ................................ 399
Figura 284 - Configuraes do Servidor de autenticao Radius do Microsoft Windows
Server. .................................................................................................................................. 401
16
Figura 285 - Configuraes do Shared secret do servidor de autenticao Radius do

Microsoft Windows Server. ................................................................................................. 402
Figura 286 - Definio das regras de acesso remoto do servidor de autenticao Radius do
Figura 287 - Especificao das condies de conexo do servidor de autenticao Radius do
Figura 288 - Especificao das condies de conexo - Edio. ............................................ 405
Figura 289 - Especificao das condies de conexo IP.................................................... 406
Figura 290 - Especificao das condies de conexo Multilink. ....................................... 407
Figura 291 - Especificao das condies de conexo Authentication. ............................. 408
Figura 292 - Especificao das condies de conexo Encryption. .................................... 409
Figura 293 - Especificao das condies de conexo Advanced. ...................................... 410
Figura 294 - Informaes dos usurios podem efetuar autenticaes. ................................ 411
Figura 295 - Propriedades dos usurios que podem efetuar autenticaes......................... 412
Figura 296 - Clientes VPN - IPSEC........................................................................................... 415
Figura 297 - Lista de endereos que podem ser atribudos aos clientes............................... 416
Figura 298 - Lista de endereos que so redes protegidas. .................................................. 417
Figura 299 - Configuraes recomendadas para clientes de criptografia Shared Secret. .. 419
Figura 300 - Configuraes recomendadas para clientes de criptografia X.509. ............... 421
Figura 301 - Configurao da VPN General......................................................................... 422
Figura 302 - Configurao da VPN Authentication. ............................................................ 423
Figura 303 - Configurao da VPN Phase 1. ........................................................................ 423
Figura 304 - Configurao da VPN Phase 2. ........................................................................ 424
Figura 305 - Configurao da VPN Connect. ....................................................................... 424
Figura 306 - Configurao iPhone certificado. .................................................................... 425
Figura 307 - Configurao iPhone estabelecendo VPN. ...................................................... 426
Figura 308 - Configurao VPN com certificado. ................................................................... 427
Figura 309 - Configurao VPN - Authentication Local Identity. ........................................ 427
Figura 310 - Configurao VPN - Authentication Remote Identity. .................................... 428
Figura 311 - Configurao VPN - Authentication Authentication Method. ........................ 428
Figura 312 - VPN SSL. ............................................................................................................. 429
Figura 313 - VPN SSL - Portais. ............................................................................................... 430
Figura 314 - VPN SSL - Applet. ............................................................................................... 432
Figura 315 Mensagem de boas vindas ao Assistente de Instalao do Aker Authentication
Agent. ..................................................................................................................................... 434
Figura 316 Contrato de licena de instalao do programa. .............................................. 435
Figura 317 Pasta de destino de instalao.......................................................................... 436
Figura 318 Mensagem que o assistente est pronto para realizar a instalao. ............... 437
Figura 319 Barra de status da instalao. ........................................................................... 438
Figura 320 Mensagem de instalao do Aker Authentication Agent foi instalado com
sucesso. .................................................................................................................................. 439
17
Figura 321 - Perfil de acesso Permisso VPN. ..................................................................... 440

Figura 322 - VPN SSL Instrues gerais. .............................................................................. 441
Figura 323 - VPN SSL Instrues gerais. .............................................................................. 444
Figura 324 - Edio dos parmetros de um contexto SSL. .................................................... 445
Figura 325 - Exibio do certificado do proprietrio X.509. ............................................... 447
Figura 326 - Fluxo do pacote da rede interna ao atingir o firewall. ...................................... 450
Figura 327 - Fluxo do pacote da rede externa em direo rede interna. ........................... 451
Figura 328 - SYN Flood. .......................................................................................................... 457
Figura 329 - SYN Flood Ativao de proteo SYN Flood. .................................................. 458
Figura 330 - Proteo de Flood. ............................................................................................. 460
Figura 331 - Proteo de Flood - Configurao. .................................................................... 461
Figura 332 - Anti Spoofing...................................................................................................... 463
Figura 333 - Anti Spoofing Ativao do controle. ............................................................... 464
Figura 334 - Bloqueio de excesso de tentativas de login invlidas - Eventos........................ 468
Figura 335 - Aes. ................................................................................................................. 471
Figura 336 - Aes Mensagens de logs. .............................................................................. 472
Figura 337 - Aes a serem executadas para mensagens exibidas. ...................................... 473
Figura 338 - Aes: Parmetros. ............................................................................................ 474
Figura 339 - Log. ..................................................................................................................... 483
Figura 340 - Barra de ferramentas de log. ............................................................................. 483
Figura 341 Boto: Filtragem do Firewall. ............................................................................ 484
Figura 342 Boto: Interromper busca do Firewall. ............................................................. 484
Figura 343 - Boto: Exportar log. ........................................................................................... 484
Figura 344 Boto: Apagar log do Firewall. .......................................................................... 484
Figura 345 - Boto: Resoluo reversa dos IP ........................................................................ 484
Figura 346 - Boto: atualizao de telas de log. .................................................................... 484
Figura 347 - Boto: tempo de atualizao do log. ................................................................. 485
Figura 348 - Boto: percorre log. ........................................................................................... 485
Figura 349 - Boto: expandir mensagens de log.................................................................... 485
Figura 350 - Filtro de log. ....................................................................................................... 486
Figura 351 - Filtro de log. ....................................................................................................... 488
Figura 352 - Lista com vrias entradas de log. ....................................................................... 491
Figura 353 - Exportador de log. ............................................................................................. 493
Figura 354 - Barra de exportao de log porcentagem realizada....................................... 493
Figura 355 - Eventos............................................................................................................... 503
Figura 356 - Barra de ferramentas: Eventos. ......................................................................... 503
Figura 357 - Filtro de eventos. ............................................................................................... 504
Figura 358 - Descrio dos Eventos. ...................................................................................... 507
Figura 359 - Exportar log de eventos. .................................................................................... 509
Figura 360 - Janelas de eventos - Estatstica. ........................................................................ 513
Figura 361 - Regras de estatstica. ......................................................................................... 514
18
Figura 362 - Barra de ferramentas - Regras de estatstica. ................................................... 515

Figura 363 - Visualizar Estatsticas. ........................................................................................ 516
Figura 364 - Boto: grfico. .................................................................................................... 516
Figura 365 - Boto: Texto. ...................................................................................................... 516
Figura 366 - Boto: remover. ................................................................................................. 517
Figura 367 - Visualizar Estatsticas Grfico. ........................................................................ 518
Figura 368 - Boto: salvar estatstica. .................................................................................... 518
Figura 369 - Exportar Estatstica. ........................................................................................... 519
Figura 370 - Barra de ferramentas: visualizao das estatsticas. ......................................... 519
Figura 371 -: Conexes TCP.................................................................................................... 525
Figura 372 - Conexes TCP Conexes IPv4. ........................................................................ 525
Figura 373 - Conexes TCP Conexes IPv6. ........................................................................ 526
Figura 374 - Barra de ferramentas: conexes TCP. ............................................................... 527
Figura 375 - Conexes TCP Grfico de conexes IPv4. ....................................................... 528
Figura 376 - Relatrio............................................................................................................. 533
Figura 377 - Configurando relatrio - Dirio.......................................................................... 534
Figura 378 - Configurao do relatrio - geral. ...................................................................... 535
Figura 379 - Configurao do relatrio sub-relatrio. ........................................................ 536
Figura 380 - Configurao do relatrio mtodo de publicao. ......................................... 538
Figura 381 - Configurao do relatrio mtodo de SMTP. ................................................. 539
Figura 382 - Janela de acesso: Exportao Agendada de Logs e Eventos. ............................ 543
Figura 383 - Exportao Agendada de Logs e Eventos - dirio. ............................................. 544
Figura 384 - Configurao da Exportao Agendada de Logs e Eventos - geral. ................... 545
Figura 385 - Configurao da Exportao Agendada de Logs e Eventos mtodo de
publicao. ............................................................................................................................. 546
Figura 386 - Configurao da Exportao Agendada de Logs e Eventos tipo de publicao.
................................................................................................................................................ 547
Figura 387 - Funcionamento bsico de um Proxy tradicional. .............................................. 550
Figura 388 - Funcionamento bsico de um Proxy transparente. .......................................... 551
Figura 389 - Proxies transparentes e contextos. ................................................................... 551
Figura 390 - Agente de autenticao - Aker. ......................................................................... 557
Figura 391 - Agente de autenticao Firewall Aker. ........................................................... 558
Figura 392 - Agente de autenticao - Log. ........................................................................... 559
Figura 393 - Agente de autenticao - Sobre. ....................................................................... 560
Figura 394 - Autenticao. ..................................................................................................... 562
Figura 395 - Autenticao de acesso: Controle de acesso. ................................................... 563
Figura 396 - Autenticao de acesso: Listagem de grupos ou usurios. ............................... 564
Figura 397 - Autenticao de acesso: Escolha do perfil desejado. ........................................ 565
Figura 398 - Autenticao de acesso: Mtodos. .................................................................... 566
Figura 399 - Autenticao de acesso: Adicionar entidades. .................................................. 568
Figura 400 - Autenticao de acesso: Remover entidades. ................................................... 568
19
Figura 401 - Autenticao de acesso: Mtodos 1. ................................................................. 569

Figura 402 - Autenticao de acesso: Mtodos (habilitar autenticao do Token). ............. 570
Figura 403 - Autenticao de acesso: Autenticao para proxies. ........................................ 571
Figura 404 - Autenticao de acesso: Autenticao local. .................................................... 572
Figura 405 - Menu para incluso de usurio. ........................................................................ 572
Figura 406 - Autenticao Autenticao local. ................................................................... 573
Figura 407 - Autenticao alterao de senha ou grupo. ................................................... 573
Figura 408 - Autenticao local criar ou remover grupos. ................................................. 574
Figura 409 - Controle de acesso por IP. ................................................................................. 575
Figura 410 - Configurao NTLM. .......................................................................................... 576
Figura 411 - Segurana do Windows solicitao de usurio e senha. ................................ 578
Figura 412 - regra de liberao de consulta do certificado ................................................... 578
Figura 413 - IPS....................................................................................................................... 578
Figura 414 - Perfis. ................................................................................................................. 583
Figura 415 - Perfis Aker Firewall. ........................................................................................ 584
Figura 416 - Opes de configurao de perfil ..................................................................... 584
Figura 417 - Perfis: Geral........................................................................................................ 586
Figura 418 - Perfis: FTP e GOPHER. ........................................................................................ 587
Figura 419 - Menu de opes (Perfis). .................................................................................. 588
Figura 420 - Opes de operao .......................................................................................... 589
Figura 421 - Geral: HTTP e HTTPS. ......................................................................................... 591
Figura 422 - Janela de acesso: Bloqueio de Banners. ............................................................ 592
Figura 423 - Bloqueio de Banners (URL de banners). ............................................................ 593
Figura 424 - Perfis: bloqueio de URL. ..................................................................................... 594
Figura 425 - Barra de ferramentas (inserir ou desabilitar). ................................................... 594
Figura 426 - Perfis: Arquivos bloqueados. ............................................................................. 596
Figura 427 - Escolhas de operaes. ...................................................................................... 597
Figura 428 - Perfis MSN Messenger. ................................................................................... 599
Figura 429 - Menu (inserir/desabilitar) para executar qualquer operao sobre a regra. ... 600
Figura 430 Regras de segurana ......................................................................................... 602
Figura 431 Menu opes de plataforma ............................................................................. 603
Figura 432 Menu de opes Itens ....................................................................................... 603
Figura 433 - verificar filro por lixnus ...................................................................................... 604
Figura 434 - Regras: regras de filtragem para o perfil de acesso. ......................................... 605
Figura 435 - Perfis: Socks. ...................................................................................................... 606
Figura 436 - Perfis: VPN-SSL (Proxy SSL). ............................................................................... 607
Figura 437 - Conexo Direta: Proxy Reverso SSL. .................................................................. 608
Figura 438 - Conexo Via Apllet. ............................................................................................ 608
Figura 439 - Conexo Cliente Applet / SSL / Normal. ............................................................ 608
Figura 440 - Perfis: Secure Roaming. ..................................................................................... 610
Figura 441 - Perfis: Security Roaming (conjunto de endereos). .......................................... 611
20
Figura 442 - Perfis: Filtragem de aplicao. ........................................................................... 612

Figura 443 - Menu (inserir/desabilitar) para executar qualquer operao sobre a regra. ... 613
Figura 444 - Autenticao. ..................................................................................................... 614
Figura 445 - Autenticao: Controle de acesso. .................................................................... 615
Figura 446 - Menu de escolha do usurio. ............................................................................ 616
Figura 447 - Menu de escolha do perfil. ................................................................................ 616
Figura 448 - Controle de acesso por IP. ................................................................................. 617
Figura 449 - Usurios conectados. ......................................................................................... 619
Figura 450 - Usurios conectados (mquina, nome, domnio, perfil, inicio, TPC e n de
usurios conectados.) ............................................................................................................ 620
Figura 451 - Barra de ferramentas: usurios conectados...................................................... 620
Figura 452 - Servios: relay. ................................................................................................... 627
Figura 453 - Servios: geral. ................................................................................................... 628
Figura 454 - Servios: relay. ................................................................................................... 629
Figura 455 - Servio: regras.................................................................................................... 630
Figura 456 - Menu (inserir, copiar, editar, excluir ou renomear). ......................................... 630
Figura 457 - Edio de regra: SMTP. ...................................................................................... 632
Figura 458 - Servio: DNS. ...................................................................................................... 635
Figura 460 - Servio: DNS. ...................................................................................................... 637
Figura 461 - Servio: anexos. ................................................................................................. 638
Figura 463 - Regra: edio de regras e anexos. ..................................................................... 640
Figura 464 - Regra: edio de regras e anexos. ..................................................................... 642
Figura 465 - Servio: Spam Meter.......................................................................................... 643
Figura 466 - Servio: Avanado. ............................................................................................. 646
Figura 467 - Servio: propriedade de um contexto Telnet. ................................................... 650
Figura 468 - Menu (inserir). ................................................................................................... 651
Figura 469 - Janela de incluso de usurios ou grupos. ........................................................ 652
Figura 470 - Servios: propriedades de um contexto FTP. .................................................... 655
Figura 471 - Janela de lista de regras (aceitas ou no). ......................................................... 656
Figura 472 - Propriedades de um contexto POP3.................................................................. 660
Figura 473 - Operaes sobre determinada regra................................................................. 661
Figura 474 - Edio de regras de arquivos. ............................................................................ 663
Figura 475 - Uso de quotas. ................................................................................................... 668
Figura 476 - Uso de quotas: visualizao do usurio. ............................................................ 669
Figura 477 - Uso de quotas: visualizao da quota. .............................................................. 670
Figura 478 - Conexo (internet, rede interna, firewall e DMZ. ............................................. 674
Figura 479 - Filtro web. .......................................................................................................... 676
Figura 480 - Configurao dos parmetros do filtro web (geral). ......................................... 677
Figura 481 - Filtro Web: cliente de autenticao................................................................... 681
21
Figura 482 - Visualizao da Logotipo ................................................................................... 682

Figura 483 Aba Site de autenticao .................................................................................. 682
Figura 484 Certificado X.509 ............................................................................................... 684
Figura 485 Detalhes do certificado ..................................................................................... 684
Figura 486 - DNS..................................................................................................................... 685
Figura 487 Forar autenticao .......................................................................................... 685
Figura 488 - Regras para liberao das portas de autenticao ............................................ 685
Figura 489 - Certificado no confivel .................................................................................. 686
Figura 490 Janela de autenticao ClientLess..................................................................... 686
Figura 491 - Filtro Web: controle de contedo. .................................................................... 687
Figura 492 - Filtro Web: tipo de arquivo. ............................................................................... 689
Figura 493 - Escolha de operao. ......................................................................................... 692
Figura 494 - Filtro Web: antivrus. ......................................................................................... 693
Figura 495 - Diagrama de certificados envolvidos no acesso. ............................................... 696
Figura 496 - Filtro web: configurao. ................................................................................... 698
Figura 497 - Certificado de erro do Firefox. ........................................................................... 700
Figura 498 - Certificado assinado pela CA de erro. ................................................................ 700
Figura 499 - Erro de acesso. ................................................................................................... 701
Figura 500 - Certificado de informao. ................................................................................ 704
Figura 501 - Certificado de informao. ................................................................................ 705
Figura 502 Certification Authority. ..................................................................................... 706
Figura 503 - Certificado CA properties. ............................................................................... 706
Figura 504 - Certificado CA General. ................................................................................... 707
Figura 505 - Certificado CA Details. .................................................................................... 708
Figura 506 - Certificado CA All tasks / Back up Ca. ............................................................. 709
Figura 507 - Certificado Authority Backup Wizard. ............................................................... 709
Figura 508 - Certificado Authority Backup Wizard senha e confirmao. .......................... 710
Figura 509 - Microsoft Management Console. ...................................................................... 711
Figura 510 - Adicionar ou remover Snap-is............................................................................ 712
Figura 511 - Microsoft Management Console certificates, all task, import). ..................... 713
Figura 512 - Escolha do diretrio onde deseja importar o relatrio. .................................... 714
Figura 513 - Mozilla Firefox (importar certificado). ............................................................... 714
Figura 514 - Mozilla Firefox (criptografia). ............................................................................ 715
Figura 515 - Gerenciador de certificados autoridades. ...................................................... 716
Figura 516 - Filtro Web: avanado. ........................................................................................ 717
Figura 519 - Adio de cabealho HTTP ................................................................................. 720
Figura 520 - Mensagem de bloqueio ..................................................................................... 721
Figura 521 - Cache.................................................................................................................. 722
Figura 522 - Editando os parmetros de Filtro Web.............................................................. 723
22
Figura 523 - Configurao de um nodo de cache .................................................................. 724

Figura 524 - Sesses Web. ..................................................................................................... 728
Figura 525 Configuraes do sistema (Aes) .................................................................... 729
Figura 526 - Aes .................................................................................................................. 730
Figura 527 Criando uma nova regra.................................................................................... 731
Figura 528 Auditoria (Relotrio) ......................................................................................... 732
Figura 529 - Relatrio............................................................................................................. 733
Figura 530 Configurao de relatrio (Aba Geral) .............................................................. 734
Figura 531 - Configurao de relatrio (Sub-relatrio) ......................................................... 735
Figura 532 Log de chats ...................................................................................................... 736
Figura 533 - Proxy Socks ........................................................................................................ 739
Figura 534 - Autenticao dos usurios Socks. ...................................................................... 739
Figura 535 - Propriedades de um contexto RCP. ................................................................... 744
Figura 536 - Menu de execuo da janela RPC. ..................................................................... 745
Figura 537 - Menu de execuo da janela RPC (inserir, apagar, rejeitar ou aceitar). ........... 745
Figura 538 - Propriedades de um contexto DCE-RPC. ........................................................... 746
Figura 539 - Menu de execuo da janela DCE-RPC. ............................................................. 747
Figura 540 - Menu de execuo da janela DCE-RPC (inserir, apagar, rejeitar ou aceitar). ... 747
Figura 541 - Proxy Messenger................................................................................................ 751
Figura 542 - Proxy Messenger Aba Tipo Servio. ................................................................ 752
Figura 543 - Proxy Messenger Aba Mensagens. ................................................................. 753
Figura 544 - Proxy Messenger Controle de acesso. ............................................................ 754
Figura 545 - Proxy Messenger Configuraes..................................................................... 755
Figura 546 Criando nova entidade do tipo: Quota ............................................................. 756
Figura 547 Entidade tipo Quota .......................................................................................... 757
Figura 548 Criando uma nova regra.................................................................................... 758
Figura 549 Criando entidades de Tipo: Lista de e-mails ..................................................... 758
Figura 550 Entidade tipo Lista de e-mails ........................................................................... 759
Figura 551 Perfis.................................................................................................................. 759
Figura 552 Logs do Firewall ................................................................................................. 760
Figura 553 DPI Deep Packet Inspection (Filtragem de aplicaes IDS/IPS). ................. 763
Figura 554 - DPI Regras de Filtragem de Aplicaes ........................................................... 764
Figura 555 - Menu de operao sobre uma regra. ................................................................ 765
Figura 556 DPI (Filtragem de aplicaes IDS/IPS). ........................................................... 767
Figura 557 Filtro de Aplicaes. .......................................................................................... 767
Figura 558 - Opes de protocolos ........................................................................................ 768
Figura 559 - opes de direo .............................................................................................. 768
Figura 560 - Opes de concatenao ................................................................................... 769
Figura 561 - Opes de busca ................................................................................................ 769
Figura 562 - Opes de sequncia de bytes .......................................................................... 769
Figura 563 - Menu de operao sobre um filtro. ................................................................... 770
23
Figura 564 - Menu de operao para acessar o nome do filtro ou forma de concatenao.
................................................................................................................................................ 770
Figura 565 - Operaes de filtragem. .................................................................................... 771
Figura 566 - IPS/IDS. ............................................................................................................... 773
Figura 567 - IPS/IDS Regras IDS. .......................................................................................... 774
Figura 568 - Menu para execuo de operao de regras. ................................................... 775
Figura 569 - IPS/IDS Filtros IDS............................................................................................ 776
Figura 570 - Classificaes ..................................................................................................... 777
Figura 571 - Opes de protocolos ........................................................................................ 778
Figura 572 - Opes de concatenao ................................................................................... 778
Figura 573 - Filtros IDS Configurao do filtro. ................................................................... 779
Figura 574 - Opes de protocolo.......................................................................................... 780
Figura 575 - Classe de ameaas ............................................................................................. 780
Figura 576 - Opes de direo ............................................................................................. 780
Figura 577 - IPS/IDS - Portscan. ............................................................................................. 781
Figura 578 - IPS/IDS IDS Externo. ........................................................................................ 783
Figura 579 - IPS/IDS ................................................................................................................ 785
Figura 580 - Configurao geral ............................................................................................. 786
Figura 581 - Download das bases de filtros ........................................................................... 787
Figura 582 - Estado das bases de filtros................................................................................. 788
Figura 583 -: IPs bloqueados. ................................................................................................. 789
Figura 584 - IPs bloqueados. .................................................................................................. 790
Figura 585 - Configurao IDS configurao. ...................................................................... 792
Figura 586 - Firewalls usados. ................................................................................................ 794
Figura 587 - Configurao de IDS log. ................................................................................. 795
Figura 588 - Configurao de IDS eventos. ......................................................................... 796
Figura 589 - TCP/IP. ................................................................................................................ 802
Figura 590 - DHCP. ................................................................................................................. 803
Figura 591 - Servidor DHCP. ................................................................................................... 804
Figura 592 - Relay DHCP entre redes. .................................................................................... 805
Figura 593 - Servidor DHCP interno. ...................................................................................... 806
Figura 594 - DNS..................................................................................................................... 807
Figura 595 - TCP/IP - DNS ....................................................................................................... 808
Figura 596 - Interfaces de rede. ............................................................................................. 809
Figura 597 - Interfaces de redes. ........................................................................................... 809
Figura 598 - Menu: configurao ou modificao de endereo IP. ....................................... 810
Figura 599 - Menu de criao: VLAN. .................................................................................... 811
Figura 600 - Configurao PPPoE. .......................................................................................... 812
Figura 601 - Roteamento. ...................................................................................................... 814
Figura 602 - Janela de Roteamento. ...................................................................................... 815
Figura 603 - Roteamento - Geral. .......................................................................................... 816
24
Figura 604 - Rip via Interface Texto (via SSH) ........................................................................ 818
Figura 605 - Rip via Interface Texto (via SSH) ........................................................................ 831
Figura 606 - Acesso ao protocolo BGP ................................................................................... 848
Figura 607 - Roteamento avanado. ...................................................................................... 870
Figura 608 - Exemplo de laboratrio de teste balanceamento de rotas. ........................... 871
Figura 609 - Teste e configuraes NAT exemplo A. ....................................................... 871
Figura 610 - Teste e configuraes Balanceamento de link exemplo B. ......................... 872
Figura 611 - Teste e configuraes NAT exemplo B. .......................................................... 872
Figura 612 - Teste e configuraes Balanceamento de link exemplo B. ......................... 872
Figura 613 - Roteamento. ...................................................................................................... 873
Figura 614 - Modo de configurao para interfaces de rede. ............................................... 875
Figura 615 - Configurao de Interfaces. ............................................................................... 876
Figura 616 - Lista da interfaces de rede. ................................................................................ 877
Figura 617 - Mdulo de configurao para interfaces de rede. ............................................ 877
Figura 618 - Cadastro de VLan. .............................................................................................. 878
Figura 619 - Configurao de interfaces. ............................................................................... 879
Figura 620 - Configurao de rotas estticas......................................................................... 880
Figura 621 - Configurao de rotas estticas entrada de dados. ....................................... 881
Figura 622 - Configurao de DNS. ........................................................................................ 882
Figura 623 - Mdulo de configurao para interfaces de rede. ............................................ 882
Figura 624 Configurando o WIDS ........................................................................................ 887
Figura 625 Desabilitando o AP ............................................................................................ 888
Figura 626 Especificando o canal da interface.................................................................... 888
Figura 627 Selecionando o nome da Interface ................................................................... 889
Figura 628 Iniciando o servidor........................................................................................... 889
Figura 629 janela de monitoramento do WIDS .................................................................. 890
Figura 630 Opes ao sair do WIDS .................................................................................... 890
Figura 631 - Interfaces de rede .............................................................................................. 894
Figura 632 - Interface de rede Internet Mvel ................................................................... 894
Figura 633 - Configurao 3G................................................................................................. 895
Figura 634 Janela de acesso (Wireless)............................................................................... 921
Figura 635 Wireless aba Configuraes........................................................................... 922
Figura 636 Wireless (Avanado).......................................................................................... 923
Figura 637 WDS no Aker Firewall........................................................................................ 924
Figura 638 Wireless opo Avancado ................................................................................. 924
Figura 639 Wireless aba WDS ............................................................................................. 925
Figura 640 Wireless aba Usurios Conectados ................................................................... 926
Figura 641 Wireless aba Filtro MAC .................................................................................... 927
Figura 642 - Wireless aba WDS .............................................................................................. 928
Figura 643 - Selecionar a opo 5 Configurar interfaces Bridge ..................................... 931
Figura 644 - Selecione a opo 2 Adicionar interface ..................................................... 931
25
Figura 645 - Insira o nmero o qual a interface Bridge ser referenciada ............................ 932
Figura 646 - Aperte a tecla Enter, para concluir a insero de sua nova interface Bridge.
................................................................................................................................................ 932
Figura 647 - Configurao do cluster. .................................................................................... 936
Figura 648 - Criar cluster. ....................................................................................................... 937
Figura 649 - Configurao do cluster configuraes gerais. ............................................... 938
Figura 650 - Configurao do cluster: Adicionar membro..................................................... 940
Figura 651 - Estatsticas do cluster. ....................................................................................... 941
Figura 652 - Estatsticas do cluster: Firewall 1. ...................................................................... 942
Figura 653 - Estatsticas do cluster: Grfico. .......................................................................... 943
Figura 654 - configurao do Cluster. .................................................................................... 944
Figura 655 - Criar Cluster. ...................................................................................................... 944
Figura 656 - Preenchimento dos campos para criar cluster. ................................................. 945
Figura 657 Exemplo: criar cluster. ...................................................................................... 946
Figura 658 - Mensagem de configurao realizada com sucesso. ........................................ 946
Figura 659 Mensagem que o usurio ser desconectado para as configuraes serem
recarregadas. ......................................................................................................................... 947
Figura 660 - Escolha do cluster corporativo. ......................................................................... 947
Figura 661 - Pop-up informando que ao mudar o tipo de cluster ser realizado um reincio
do servidor. ............................................................................................................................ 948
Figura 662 - Configurao do Cluster. ................................................................................... 949
Figura 663 - Escolha Multicast. .............................................................................................. 949
Figura 664 - Adicionar entidades. .......................................................................................... 950
Figura 665 - Acesso ao servidor SSH. ..................................................................................... 951
Figura 666 - Cadastro de MAC. .............................................................................................. 951
Figura 667 - Cluster cooperativo montado. ........................................................................... 952
Figura 668 - Interface Texto (via SSH) exemplo 1: mostrando a configurao da interface.
................................................................................................................................................ 954
Figura 669 - Esquema de funcionamento do Aker Client ...................................................... 966
Figura 670 Esquema de funcionamento do Secure Roaming no Aker Client. .................... 969
Figura 671 - Dados encriptados passando pelo tnel virtual atravs de uma rede pblica . 971
Figura 672 - Encapsulamento GRE ......................................................................................... 973
Figura 673 - Formato do datagrama da mensagem de controle PPTP .................................. 974
Figura 674 - Encapsulamento de uma mensagem de dados usando PPTP. .......................... 974
Figura 675 - Arquitetura de funcionamento do protocolo L2TP. .......................................... 975
Figura 676 - Exemplo de encapsulamento de um pacote para trfego pelo tnel
(tunelamento IP). ................................................................................................................... 976
Figura 677 - Encapsulamento realizado pelo protocolo IPSec. ............................................. 976
Figura 678 - Certificado .......................................................................................................... 983
Figura 679 - Instalando o Aker Client ..................................................................................... 986
Figura 680 Contrato de licena do programa ..................................................................... 987
26
Figura 681 Informao do usurio ...................................................................................... 988

Figura 682 Pasta de destino ................................................................................................ 989
Figura 683 Aplicativo pronto para instalao ..................................................................... 989
Figura 684 Atualizando o sistema ....................................................................................... 990
Figura 685 Aker Client foi instalado com sucesso............................................................... 991
Figura 686 - Descompactao ................................................................................................ 992
Figura 687 Iniciando o instalador........................................................................................ 993
Figura 688 Verificando o Kernel .......................................................................................... 994
Figura 689 Verificando o pacote GCC ................................................................................. 994
Figura 690 Verificando a instalao da ferramenta make .................................................. 995
Figura 691 Verificando o pacote qt-aker ............................................................................ 996
Figura 692 Instalao do Aker Client .................................................................................. 997
Figura 693 Instalao finalizada .......................................................................................... 998
Figura 694 Aba Servidores .................................................................................................. 999
Figura 695 menu de opes .............................................................................................. 1000
Figura 696 Editar servidor ................................................................................................. 1001
Figura 697 Informao de Acesso ..................................................................................... 1002
Figura 698 Informaes de Acesso (Usurio /Senha) ....................................................... 1003
Figura 699 - Informaes de Acesso (Certificado X509) ...................................................... 1003
Figura 700 Informaes de Acessp (RSA SecurID) ............................................................ 1004
Figura 701 Permisses de Acesso ..................................................................................... 1004
Figura 702 Editar servidor ................................................................................................. 1005
Figura 703 Informaes de Proxy ..................................................................................... 1007
Figura 704 Aba Certificados .............................................................................................. 1008
Figura 705 Detalhes do certificado ................................................................................... 1009
Figura 706 Aba requisies de certificado ........................................................................ 1010
Figura 707 Nova requisio ............................................................................................... 1011
Figura 708 - token ................................................................................................................ 1012
Figura 709 Aba dispositivos .............................................................................................. 1013
Figura 710 - Aba segurana .................................................................................................. 1014
Figura 711 - Logs .................................................................................................................. 1015
Figura 712 - Aba Sobre ......................................................................................................... 1016
Figura 713 - Interface Remota em modo no administrativo ............................................. 1017
Figura 714 - Esquema de funcionamento do Web Content Analyzer. ................................ 1026
Figura 715 - Escolha do idioma no qual deseja realizar a instalao. ................................. 1028
Figura 716 Contrato de licena do programa. .................................................................. 1029
Figura 717 - Preenchimento de informaes do usurio. ................................................... 1030
Figura 718 - Seleo dos recursos que deseja instalar. ....................................................... 1031
Figura 719 - Mensagem de aplicativo pronto para ser instalado. ....................................... 1032
Figura 720 - Barra de progresso de instalao. ................................................................. 1033
Figura 721 - Concluindo a Instalao. .................................................................................. 1034
27
Figura 722 - Instalao Linux: Descompactao. ................................................................. 1035

Figura 723 - Instalao Linux: Execuo Script de Instalao. ............................................. 1036
Figura 724 - Termo de Licena. ............................................................................................ 1037
Figura 725 Instalao do Mdulo de Log. ......................................................................... 1038
Figura 726 Confirmao de usurio e senha. ................................................................... 1039
Figura 727 - Instalao Linux: Criao de Usurio Administrador. ...................................... 1040
Figura 728 - Opes de Configurao do Aker Web Content Analyzer. .............................. 1041
Figura 729 - Gerenciamento de base de URLs. .................................................................... 1041
Figura 730 Menu: Gerenciamento da base de URLs......................................................... 1042
Figura 731 - Gerenciamento da base de URLs: geral. .......................................................... 1043
Figura 732 Menu: Gerenciamento da base de URLs frequncia de atualizao. ............. 1044
Figura 733 Menu: Gerenciamento da base de URLs atualiza os sites. ............................. 1045
Figura 734 - Categorias. ....................................................................................................... 1046
Figura 735 Menu: Categorias cria categoria pai. .............................................................. 1047
Figura 736 - Menu: Categorias cria categoria filho. ........................................................... 1048
Figura 737 - Boto: cone. .................................................................................................... 1048
Figura 738 Escolha dos cones da categoria. .................................................................... 1049
Figura 739 Janela: Nova Categoria. ................................................................................... 1049
Figura 740 Criao das listas de expresses. .................................................................... 1050
Figura 741 Menu: categorias cria lista de expresses. ..................................................... 1051
Figura 742 Menu: Categorias define local de busca. ........................................................ 1052
Figura 743 - Boto: de pesquisa........................................................................................... 1052
Figura 744 Menu: Categorias. ........................................................................................... 1053
Figura 745 Importar arquivo. ............................................................................................ 1054
Figura 746 - Teste de URLs. .................................................................................................. 1056
Figura 747 Teste de URL.................................................................................................... 1056
Figura 748 Teste de URL j categorizado. ......................................................................... 1057
Figura 749 - Aker Spam Meter: Esquema de Funcionamento. ............................................ 1061
Figura 750 - Spam Meter. .................................................................................................... 1062
Figura 751 - Menu de o Spam Meter. .................................................................................. 1062
Figura 752 - Bancos de dados. ............................................................................................. 1063
Figura 753 - Bancos de dados. ............................................................................................. 1063
Figura 754 Menu Base de Dados: Lista das bases de Dados. ........................................... 1064
Figura 755 - Botes: Salva Backup e Restaura Backup. ....................................................... 1065
Figura 756 - Botes: Atualizar, Recalcular e Excluir. ........................................................... 1065
Figura 757 - Parmetros....................................................................................................... 1066
Figura 758 Parmetros: usando Proxy. ............................................................................. 1067
Figura 759 - Classificao de e-mail. .................................................................................... 1068
Figura 760 Menu Filtro: Classificao de e-mail. .............................................................. 1068
Figura 761 - Abrir um arquivo de e-mail. ............................................................................. 1069
Figura 762 - Configuraes do filtro. ................................................................................... 1070
28
Figura 763 - Mensagens salvas para treinamento. .............................................................. 1070

Figura 764 Configuraes do filtro.................................................................................... 1071
Figura 765 - Boto: Padro. ................................................................................................. 1072
Figura 766 - Boto: Atualizao do Servidor........................................................................ 1072
Figura 767 - Grfico de notas. .............................................................................................. 1073
Figura 768 Grfico de notas. ............................................................................................. 1073
Figura 769 Plugin de o Aker Spam Meter para Mozilla Thunderbird. .............................. 1074
Figura 770 - Aker Antivrus Module: Esquema de Funcionamento 1. ................................. 1078
Figura 771 - Esquema de Funcionamento 3. ....................................................................... 1079
Figura 772 Antivrus. .......................................................................................................... 1080
Figura 773 - Opes de Configurao do Aker Antivrus Module. ...................................... 1081
Figura 774 Configuraes avanadas. ............................................................................... 1082
Figura 775 - Menu Informaes do Engine ...................................................................... 1083
Figura 776 Gerenciamento de atualizaes...................................................................... 1084
Figura 777 - Menu Gerenciamento de atualizaes Configurao de Proxy .............. 1085
Figura 778 - Menu Gerenciamento de Atualizaes -> Atualizao da base de vrus .. 1086
29
30
Seja bem vindo ao manual do usurio do Aker Firewall.

Nos prximos captulos voc aprender como configurar esta poderosa ferramenta de
proteo s redes. Esta introduo tem como objetivo descrever a organizao deste manual
tornando sua leitura a mais simples e agradvel possvel.
1.1. Como est disposto este manual
Este manual organizado em vrios captulos. Cada captulo mostra um aspecto da

configurao do produto e todas as informaes relevantes ao aspecto tratado.
Todos os captulos comeam com uma introduo terica sobre o tema a ser tratado
seguido dos aspectos especficos de configurao do Aker Firewall. Juntamente com esta
introduo terica, alguns mdulos possuem exemplos prticos do uso do servio a ser
configurado, em situaes hipotticas, porm, bastante prximas da realidade. Buscamos
com isso tornar o entendimento das diversas variveis de configurao o mais simples
possvel.
Recomendamos que este manual seja lido, pelo menos uma vez por inteiro, na ordem
apresentada. Posteriormente, se for necessrio, pode-se us-lo como fonte de referncia.
Para facilitar seu uso como referncia, os captulos esto divididos em tpicos, com acesso
imediato pelo ndice principal. Desta forma, pode-se achar facilmente a informao
desejada.
No decorrer deste manual, aparecer o smbolo
seguido de uma frase escrita em letras
vermelhas. Isto significa que a frase em questo uma observao muito importante e deve
ser totalmente entendida antes que se prossiga com a leitura do captulo.
1.2. Interface Texto (via SSH) e Interface Remota
O Aker Firewall possui duas interfaces distintas para sua configurao: uma Interface
Remota e uma Interface Texto (via SSH) Local.
31
A Interface Remota: chamada de remota porque por meio dela possvel administrar
remotamente, via Internet, um Aker Firewall localizado em qualquer parte do mundo.
Esta administrao feita por meio de um canal seguro entre a interface e o firewall,
com um forte esquema de autenticao e criptografia, de modo a torn-la totalmente
segura.
A Interface Remota: de uso intuitivo e est disponvel para plataformas Windows e
Linux.
A Interface Texto (via SSH): totalmente orientada linha de comando que roda na
mquina onde o firewall est instalado. O seu objetivo bsico possibilitar a automao
de tarefas da administrao do Aker Firewall (por meio da criao de scripts) e
possibilitar uma interao de qualquer script escrito pelo administrador com o Firewall.
Praticamente todas as variveis que podem ser configuradas pela Interface Remota
podero ser configuradas tambm pela Interface Texto (via SSH).
Como as duas interfaces tratam das mesmas variveis, a funcionalidade, os valores e os
comentrios destas tm validade tanto para Interface Remota quanto para a Interface
Texto (via SSH). Devido a isso, os tpicos referentes Interface Texto (via SSH)
normalmente sero curtos e se limitaro a mostrar seu funcionamento. Caso tenha
dvida sobre algum parmetro, deve-se recorrer explicao do mesmo no tpico
relativo Interface Remota.
No possvel o uso simultneo de vrias interfaces grficas para um mesmo Firewall, nem o
uso da Interface Texto (via SSH) enquanto existir uma Interface Remota aberta.
1.3. O Firewall
Com a evoluo da Internet, o ambiente das aplicaes em nvel de routers, tornou-se

dinmico e constantemente oferece novos protocolos, servios e aplicaes. Os roteadores
e proxies no so suficientes para garantir a segurana necessria s diversas aplicaes da
Internet nem para cumprir as novas necessidades empresariais, alto bandwidth e as
exigncias de segurana de redes. Diante dessa necessidade das organizaes protegerem
suas redes, a Aker desenvolveu o Aker Firewall.
A segurana que envolve a rede construda por um conjunto de programas e tcnicas que
tem por finalidade liberar ou bloquear servios dentro de uma rede interligada Internet de
forma controlada. Sendo o Firewall a parte mais importante em um programa de segurana,
deve-se sempre se lembrar da importncia de utilizar ferramentas que auxiliam na deteco
de brechas e vulnerabilidades dos sistemas operacionais que esto em uso na rede, bem
como, o uso de programas que detectam intrusos ou ataques. importante tambm, saber
qual ao a ser tomada quando uma violao ou um servio importante parar.
32
1.4. Copyrights do Sistema
Copyright (c) 1997-2003 Aker Security Solutions;

Utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright 1995 Eric
Young;
Utiliza o algoritmo AES implementao do Dr. B. R. Gladman (brg@gladman.uk.net);
Utiliza o algoritmo MD5 retirado da RFC 1321. Copyright 1991-2 RSA Data Security, Inc;
Utiliza a biblioteca CMU SNMP. Copyright 1997 Carnegie Mellon University;
Utiliza a biblioteca de compresso Zlib. Copyright 1995-1998 Jean-loup Gailly and Mark
Adler;
Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright 1997;
Inclui software desenvolvido pela Universidade da Califrnia, Berkeley e seus colaboradores;
Inclui software desenvolvido por Luigi Rizzo, Universita di Pisa Portions Copyright 2000
Akamba Corp;
Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan Olsson;
Inclui software desenvolvido por Ericsson Radio Systems.
33
34
Este captulo mostra como se instala o Aker Firewall, seus requisitos de hardware, software e
instalao.
2.1. Requisitos de hardware e software
Para o firewall
O Aker Firewall roda sobre o sistema operacional proprietrio, em plataformas Intel ou
compatveis.
Para que o Aker Firewall execute todos os componentes de hardware de maneira
satisfatria, necessrio possuir as seguintes configuraes:
Computador Intel ou compatvel com 500MHz ou superior;
Para utilizar um link com alta taxa de transferncia ou aplicar criptografia em um link com
velocidade relativamente alta, recomenda-se o uso de um computador mais potente.
512 Mbytes de memria RAM;
Para fazer um melhor uso dos servios de proxy e de criptografia, ser necessrio utilizar
memria maior ou igual a 512 Mbytes.
20 Gbytes de espao em disco;
Para armazenar os logs do sistema por um grande espao de tempo recomenda-se o uso de
discos maiores.
Leitor de CD-ROM ou pen drive USB, monitor, mouse e teclado;
Isso s necessrio durante a instalao ou caso se pretenda utilizar a Interface Texto (via
SSH) a partir do console, entretanto altamente recomendado em todos os casos.
Placa(s) de rede.
No existe um nmero mximo de placas de rede que podem ser colocadas no Firewall. A
nica limitao existente a limitao do prprio hardware. Caso necessite de um grande
nmero de interfaces de rede, pode-se optar por placas com mais de uma sada na mesma
interface.
35
Para a Interface Remota

A Interface Remota de administrao do Aker Firewall roda em plataformas Windows, Linux,
em plataformas Intel ou compatveis.
Para que a Interface Remota execute de maneira satisfatria os componentes de hardware
devem possuir as seguintes configuraes:
Computador Intel ou compatvel com 500MHz ou superior;

256 Mbytes de memria RAM;
2 Gbytes de espao livre em disco;
Monitor;
Mouse;
Teclado;
Placa de rede.
Todos os componentes do hardware devem ser suportados pelo sistema operacional na qual a
interface ser instalada, em alguma das verses aceitas pelo produto.
2.2. Instalando a Interface Remota - Windows
A Interface Remota poder ser instalada nas plataformas Windows ou Linux.

Faa o download e instale Aker Control Center no site: http://www.aker.com.br.
Selecione o idioma no qual deseja realizar a instalao (Portugus ou Ingls) e clique no
boto OK.
Figura 1 Seleo do idioma para realizar a instalao.
36
Surgir a seguinte tela: Bem-vindo ao Assistente de Instalao do Aker control Center 2.

Leia as recomendaes e clique no boto Avanar.
Figura 2 - Mensagem de boas vindas do Assistente de Instalao do Aker Control Center 2.
37
Logo em seguida, surgir a tela com o Contrato de Licena do Programa. Leia todas as
informaes com ateno.
Selecionar a opo Aceito o contrato de licena e clique no boto Avanar.
Figura 3 - Contrato de licena do Programa.
38
A seguir, aparecer a tela de Informaes do usurio. Os seguintes campos devem ser

preenchidos:
Nome completo: nome do usurio;

Empresa: nome da Empresa.
Abaixo aparece um texto, dizendo que as configuraes do aplicativo podem ser instaladas
para o usurio atual ou para todos os que partilham o computador (para isso necessrio
ter direitos de administrador). Escolher uma das opes: Qualquer pessoa que usa este
computador ou Somente para mim.
Ao trmino, clique no boto Avanar.
Figura 4 Informaes do usurio.
39
A tela Pasta de destino permite ao usurio selecionar uma pasta aonde deseja instalar o
aplicativo.
Figura 5 - Pasta de destino.
Em caso de uma pasta especifica clique em Procurar e surgir a tela:
Figura 6 Instalao em pasta especifica.

40
Procure a pasta na qual deseja salvar. Clique no boto OK.
Retornando tela de destino, clique em Avanar. A mensagem Pronto para instalar o

aplicativo surge. Clique no boto Avanar.
Figura 7 - Pronto para instalar o aplicativo.
41
possvel verificar o status da instalao por meio da barra de status Atualizando o

sistema.
Figura 8 - Barra de status da instalao.
42
Ao concluir a instalao ser apresentada a mensagem que o Aker Control Center 2 foi instalado
com xito.
Figura 9 - Mensagem de instalao realizada com xito.
Para finalizar a instalao, deve-se clicar no boto Concluir.
2.3. Instalando o Aker Firewall box
O Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box. Sendo
comprado desta forma, o produto j vem instalado e pr-configurado. Caso tenha optado
por comprar apenas o software (verso IS), a instalao dever ser feita na mquina
escolhida, o que ser explicado neste tpico.
Para instal-lo deve-se iniciar a mquina com o CD-ROM de instalao ou com o PEN DRIVE
cujos downloads podem ser efetuados no site da Aker.
Para gravar o PEN DRIVE, siga os passos abaixo:
1. Efetue o download do arquivo no site da Aker (www.aker.com.br);
43
2. Verifique se o pen drive no Linux est com sdb, digite o comando como root.
#dmesg | grep sd ou #fdisk l sero mostradas as informaes de disco da
mquina e encontre o pen drive.
3. Aps identificar em qual device o Linux montou o pen drive, digite o comando
dd if=<nome do arquivo que fez o download> | gunzip | dd of=/dev/<device que se
encontra o pen drive>.
Exemplo: dd if=<aker-box-2.0-pt-installer.img.gz | gunzip | dd of=/dev/sdb
4. Pronto. Seu pen drive um instalado dos produtos da Aker.
2.4. Instalao do Aker Firewall box (IS/VM)
O Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box.
A seguir a instalao do Aker Firewall IS/VM.
Pr-requisitos
VM com pelo menos 15 GB de espao em disco disponvel.
Instalao
Ao iniciar o sistema, selecione a opo 1. Instalar Aker Firewall 6.7.
Leia com ateno o texto e digite S, e pressione a tecla <enter>.
44
Na prxima tela, digite sda para definir o disco aonde a instalao ser feita, e pressione a
tecla <enter>
Confirme a instalao do Aker Firewall 6.7,
Selecione a opo 5 no menu do instalador para sair e reiniciar o Aker Firewall.

45
Nesta tela entre com a senha padro para configurar o Aker Firewall.
Caso o usurio perca sua senha de acesso, o mesmo deve entrar em contato com o suporte.
Em seguida o as informaes do contrato de licena entre o usurio e a Aker sero exibidas.
46
47
Pressione a tecla S(sim) para continuar a instalao, ou N (no) para cancelar.
48
Nesta janela o usurio pode configurar a data e hora do sistema caso esteja incorreta.
Pressione a tecla S para configurar a data e hora, ou N para prosseguir com a instalao.
Pressione a tecla <enter> para continuar
A prxima tela permite que o usurio configure a Interface de rede, pressione a tecla S
para configurar a interface de rede ou N para prosseguir com a instalao.
49
Na tela a seguir, selecione a opo 1- Configurar interfaces de rede.
A tela abaixo ser exibida, selecione a opo 2 Configurar interface.
Na prxima tela selecione a interface de rede que a configurao ser efetuada, no exemplo
abaixo ETH0.
50
A janela a seguir ser exibida, perguntando se o usurio deseja configura uma Vlan Filha
para sua Interface, pressione a tecla S para configurar, ou N para prosseguir com a
instalao da interface de rede.
A janela a seguir ser exibida, perguntando se o usurio deseja configura uma interface
PPPoE, pressione a tecla S para configurar, ou N para prosseguir com a instalao da
interface de rede.
51
A janela a seguir ser exibida, perguntando se o usurio deseja usar DHCP nesta interface,
pressione a tecla S para configurar, ou N para prosseguir com a instalao da interface
de rede.
Nesta tela a seguir o usurio deve inserir o endereo IP e a mascara para sua rede, uma alias
ser configurada para esta interface.
52
Aps definir as configuraes para a interface de rede, o usurio retornara para a tela inicial
da configurao de interfaces de rede, pressione a tecla <enter> para retornar ao menu
principal do modulo de configurao para interfaces de rede.
Aps efetuar a configurao da interface de rede, selecione a opo 2- configurar rotas

estticas.
5.8
53
Na janela de configurao de rotas estticas, selecione a opo 2 Adicionar rotas.
Insira o endereo da rede, e pressione a tecla <enter>. Na tela de configurao de rotas

estticas selecione a opo 4 Sair para retornar ao menu principal do modulo de
configurao para interfaces de rede.
54
No menu principal do modulo de configurao para interfaces de rede selecione a opo 3

Configurar servidores DNS.
Na tela de configurao de DNS selecione a opo 2 Adicionar novo servidor.
55
Insira o/os servidores e selecione a opo 5 Sair para retornar ao menu principal do
modulo de configurao para interfaces de rede.
No menu principal do modulo de configurao para interfaces de rede selecione a opo

configurar rota padro.
56
Na tela de configura de rota padro, entre com o endereo IP para sua rota, e pressione a
tecla <enter>.
Ao retornar menu principal do modulo de configurao para interfaces de rede selecione a

opo 6 Aplicar novas configuraes.
57
Ao completar o processo de aplicao das configuraes selecione a opo 7 Sair do

programa.
Na prxima tela o usurio deve definir qual interface de rede que originar os endereos IP
do firewall em questo.
Endereos IPs originados por est interface no sero contabilizados.
58
Na prxima tela o usurio poder definir uma conta de administrador para seu firewall.
Pressione a tecla S para configurar uma conta de administrador ou N para prosseguir
com a configurao.
Ao pressionar a tecla S o usurio deve definir um login para o administrador, informar se o

administrador poder: Configurar o Firewall, Configurar Log e Gerenciar outros usurios.
Aps informar as permisses acima, o usurio deve entrar com o nome completo do
administrador e a senha de acesso para o mesmo.
59
Pressione S para confirmar a criao usurio administrador. Logo aps pressione a tecla
<enter> para prosseguir com a instalao.
Na prxima tela necessrio que o usurio cadastre um endereo de IP que ter permisso
de administrar o firewall remotamente por meio de outra. Aps inserir o endereo IP
pressione a tecla <enter> para prosseguir com a configurao.
Na prxima tela o usurio pode criar um segredo que ser usado para gerenciar seu firewall
por meio do Aker Configuration Manager.
Ao completar a instalao, e configurao inicial pressione <enter> para sair.
60
A configurao do LCD deve ser feita logo aps o termino da instalao do Aker firewall.
Para configurar o LCD do hardware siga os passos a seguir:
Aps a instalao do Aker Firewall, retorno ao menu de opes do instalador e selecione a

opo 3. Configurar display LCD.
Na tela exibida a seguir selecione o modelo do seu hardware (em caso de dvidas consulte o
datasheet do Aker Firewall: http://www.aker.com.br/sites/default/files/datasheets/dtakerFirewallUTM_hardwareEnterprise67.pdf)
Escolha o dispositivo para a instalao, no exemplo abaixo SDA.
61
O LCD foi configurado, salve as configuraes e reinicia a maquina.
2.5. Firewall Aker - Programa de Instalao - Linux
Este programa realiza a Instalao do Firewall Aker e da Interface Texto (via SSH) de
configurao local. Surgir a seguinte pergunta:
Deseja prosseguir com a Instalao do firewall (S para SIM ou N para NO)?
Aps responder Sim, o programa de instalao mostra a licena de uso do Aker Firewall.
Para prosseguir, necessrio aceitar todos os termos e condies contidas na licena.
Quando aceitos, o programa prosseguir com a instalao mostrando seu progresso por
meio de uma srie de mensagens autoexplicativas.
Aps terminar de copiar os arquivos, o programa de instalao far algumas perguntas de
modo a realizar a configurao especfica para cada sistema.
A tela a seguir ser exibida:
62
Figura 10 - Termo de Licena.
Aps responder Sim, sero instaladas todas as dependncias necessrias para que o Aker
Firewall funcione.
Configurao do sistema completada. E necessrio agora ativar a cpia instalada por meio
da digitao da chave de ativao que foi entregue ao se adquirir o produto.
A chave de ativao, o nome da empresa e o endereo IP da interface externa devem ser
digitados exatamente como constam no documento entregue pela Aker Consultoria e
Informtica ou seu representante.
Pressione Enter para continuar.
Aps digitar enter, o programa mostra uma tela solicitando o caminho onde o arquivo da
chave de ativao est salvo.
Caso a chave seja vlida, o programa prosseguir com a instalao.
necessrio definir se o nome da interface de rede externa do firewall e os endereos IP
que se originarem desta interface no sero contabilizados no nmero mximo de licenas
do produto.
A interface externa deve assumir um dos seguintes valores:
63
eth0;
eth1;
eth2.
Insira a interface externa: a configurao da interface externa usada apenas para o controle
de licenas do firewall. Deve-se informar o nome da interface que estar conectada Internet.
A especificao da interface externa no possui nenhuma implicao de segurana. Nenhum
controle de acesso feito levando-se em conta esta interface.
Ativao do sistema completada. Agora se configura alguns parmetros do Firewall Aker: Voc
pode cadastrar agora um endereo IP para possibilitar que o firewall seja administrado
remotamente a partir de outra mquina. Deseja cadastrar este IP (S/N).
Aps responder Sim, digite o endereo IP da mquina onde est instalado o Aker Control
Center.
Pode-se cadastrar automaticamente um administrador capaz de gerenciar remotamente o
firewall. Este administrador tem plenos poderes em relao ao firewall e a partir dele novos
usurios podero ser cadastrados.
Em caso de NO cadastramento de administrador, no ser possvel administrar o firewall a
partir da Interface Remota, apenas por meio da Interface Texto (via SSH) local.
Voc deseja criar este administrador (S/N)?
Para que seja possvel administrar o firewall a partir da Interface Remota necessrio cadastrar
um administrador, devendo-se responder S a esta pergunta. De qualquer forma possvel
cadastrar posteriormente outros administradores por meio das interfaces locais de
administrao. A explicao de como fazer isso, se encontra no captulo intitulado
Administrando usurios do firewall.
Caso tenha optado por incluir um novo administrador, uma tela abre pedindo os dados do
administrador a ser cadastrado. Um exemplo desta tela se encontra abaixo (cabe mencionar
que a senha do administrador a ser cadastrado no mostrada na tela).
Em caso de falta de energia eltrica, ou reinicializao do sistema, o Firewall armazenar

suas politicas e as aplicar quando o sistema for reiniciado
64
2.6. Como alterar o tipo de interface de rede no VMware para uso no Aker Firewall 6.7
Por padro ao adicionar uma interface na VmWare ele configura como E1000 ou E1000e,
mas em alguns casos este tipo de configurao no compatvel com o sistema operacional
a ser utilizado.
No firewall, por exemplo, depois de alguns testes foi constatado que por estar com a
configurao E1000 a navegao e a rede apresentam certa lentido. Aps realizar a troca
para VMxNet3 a rede e a navegao voltam ao normal.
Configurando novas interfaces no VmWare
Ao conectar na VmWare clique com o boto direito do mouse na mquina virtual a ser
alterada e entre nas configuraes, conforme apresenta a imagem abaixo:
Figura 11 - Editar configuraes
Caso seja necessrio realizar a troca do tipo de interface remova a anterior:
65
Figura 12 - Removendo Interface de rede
Para criar uma nova interface com as configuraes sugeridas neste documento, clique no
boto Add:
66
Figura 13 - Inserindo uma nova interface
Escolha o item que ir adicionar, neste caso, a interface de rede clique em Next:
67
Figura 14 - Escolha do tipo de hardware
Na prxima tela, escolha o tipo de interface que utilizar:

(Escolha a VMXNET3 e clique em Next)
68
Figura 15 - Tipo de adaptador
A tela seguinte sero confirmados o hardware adicionado, o tipo de adaptador e outras

configuraes.
69
Figura 16 - Interface VMxNet3
Adicionando a interface VMxNet3, as configuraes seguiro o uso normal do virtualizador.

Segue explicao sobre os tipos de interface.
Adaptadores de rede disponveis
Apenas os adaptadores de rede que so apropriados para a mquina virtual a qual voc esta
criando esto disponveis na janela da Rede escolhida.
Vlance: uma verso emulada do AMD 79C970 PCnet32- LANCE NIC, e uma verso antiga
do NIC 10 Mbps com drives disponveis para quase todos sistemas operacionais convidados
de 32-bit, exceto Windows Vista ou verses posteriores. Uma mquina virtual configurada
com este adaptador de rede pode usar sua rede imediatamente.
VMXNET: O adaptador de rede virtual VMXNET no possui uma verso fsica.
O VMXNET aprimorado para fornecer maior performance em mquinas virtuais, porque
os sistemas operacionais convidados dos fornecedores no oferecem drivers embutidos
para esta placa, sendo assim, voc deve instalar o VMware Tools para ter um driver para o
adaptador de rede VMXNET disponvel.
70
Flexible: O adaptador de rede Flexible se identifica com um adaptador Vlance quando uma
mquina virtual faz o boot, mas ele se inicia juntamente com suas funes como uma
Vlance ou como um adaptador VMXNET, dependendo do driver o qual o inicializou. Com o
VMware Tools instalado, o driver do VMXNET altera o adaptador Vlance para o adaptador
VMXNET de maior performance.
E1000: uma verso emulado do Intel 82545EM Gigabit Ethernet NIC. Um driver para este
NIC no incluso com todos os sistemas operacionais convidados. Tipicamente as verses
Linux 2.4.19 e verses posteriores, Windows XP Professional x64 ou verses posteriores,
Windows Server 2003 (32-bit) e verses superiores incluem o driver E1000.
Obs: O E1000 no suporta Jumbo Frames antecessores ao ESXi/ESX 4.1.
E1000e: Este recurso emula um novo modelo do Intel Gigabit NIC (nmero 82574) no
hardware virtual (Este e conhecido como vNIC E1000e). O E1000e esta disponvel apenas
em mquinas virtuais com Hardware verso 8 ( e verses mais novas) no vSphere 5. Ele o
vNIC padro para Windows 8 e verses mais novas do Windows.
Para Linux o E1000e no esta disponvel na Interface do usurio (O E1000, VMXNET
Flexible, VMXNET Enhanced, e VMXNET3 esto disponveis para Linux).
VMXNET 2 Enhanced (verso aprimorada): O adaptador VMXNET 2 baseado no adaptador
VMXNET, mas ele oferece alguns recursos de alta-performance comumente usados em
redes modernas, como o Jumbo Frames e o Hardware offloads. Este adaptador de rede
virtual esta disponvel para alguns sistemas operacionais convidados no ESXi/ESX 3.5 ou
verses posteriores.
O VMXNET 2 suportado apenas para os sistemas operacionais convidados abaixo:
Verses 32- e 64-bit Microsoft Windows 2003 (Enterprise, Datacenter, e Standard Editions)
Obs: Voc pode usar o adaptador VMXNET 2 Enhanced com outra verso do sistema
operacional Microsoft Windows 2003, mais um workaround ( Maneira paliativa de resolver
um problema ou corrigir um sistema de forma inefiente) necessrio para habilitar a opo
no VMware Infrastructure (VI) Client or vSphere Client. Se o VMXNET Enhanced no for
oferecido com uma opo, veja o tpico Habilitando adaptadores VMXNET enhanced para
Microsoft Windows Server 2003 (1007195).
32-bit version of Microsoft Windows XP Professional
32- and 64-bit versions of Red Hat Enterprise Linux 5.0
32- and 64-bit versions of SUSE Linux Enterprise Server 10
64-bit versions of Red Hat Enterprise Linux 4.0
71
64-bit versions of Ubuntu Linux
Na atualizao do ESX 3.5 verso 4 ou superior, estes sistemas operacionais tambm so

suportados:
Microsoft Windows Server 2003, Standard Edition (32-bit)
Microsoft Windows Server 2003, Standard Edition (64-bit)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Small Business Server 2003
Jumbo Frames no so suportados no Sistema Operacional Solaris para VMXNET2.
VMXNET3: O adaptador VMXNET3 uma nova gerao de um NIC Paravirtualizado que foi
desenvolvido para alta performance, e no relacionado ao VMXNET ou VMXNET2. Ele
oferece todas os recursos disponveis no VMXNET2, e adiciona vrios recursos novos como o
suporte multi filas ( tambm conhecido como Receive Side Scaling no Windows), IPv6
offloads, e MSI/MSI-X interrupt delivery.
VMXNET3 suportado apenas para mquinas virtuais de verso 7 ou posteriores, com um
lista limitada de sistemas operacionais:
32- and 64-bit versions of Microsoft Windows 7, XP, 2003, 2003 R2, 2008, 2008 R2, and
Server 2012
32- and 64-bit versions of Red Hat Enterprise Linux 5.0 and later
32- and 64-bit versions of SUSE Linux Enterprise Server 10 and later
32- and 64-bit versions of Asianux 3 and later
32- and 64-bit versions of Debian 4
32- and 64-bit versions of Ubuntu 7.04 and later
32- and 64-bit versions of Sun Solaris 10 U4 and later
No ESXi/ESX 4.1 e verses anteriores, Jumbo Frames no so suportadas no sistema

operacional Solaris
para VMXNET 2 e VMXNET 3. O recurso suportado (comeando com o ESXi 5.0) apenas
para o VMXNET 3.
72
Para mais informaes veja o tpico Habilitando Jumbo Frames no sistema operacional
Solaris (2012445) - Enabling Jumbo Frames on the Solaris guest operating system (2012445).
Toleranca a Falhas no suportado em uma mquina virtual configurada com um vNIC
VMXNET3 no vSphere 4.0, mas tem suporte completo no vSphere 4.1.
O Windows Server 2012 e suportado com o VMXNET 3 na atualizao ESXi 5.0 verso 1 ou
superior.
Adaptador Caveats
Migrando mquinas virtuais que usam o VNXNET2 enhanced.
O VMXNET 2 foi apresentado com o ESX 3.5. Mquinas Virtuais configuradas para ter o
adaptador VMXNET 2 no podem migra para Hosts ESX de verses anteriores, at mesmo
por meio de uma mquina virtual pode-se migrar livremente entre o ESX 3.0 e o ESX 3.0 x.
Caso voc tenha que migrar uma mquina virtual entre um host de verso posterior ou
anterior, no escolha VMXNET 2.
Atualizao de ESX 2.x para ESX 3.x

Quando uma atualizao de hardware virtual transforma uma mquina virtual criada em
um host ESX 2.x para um host ESX 3.x, adaptadores Vlance so automaticamente
atualizados para Flexible. Adaptadores VMXNET no so atualizados automaticamente por
que a maioria das verses de sistemas operacionais convidados Linux no preservam as
configuraes da rede de forma confivel quando um adaptador de rede substitudo.
Uma vez que o sistema operacional pensa que o adaptador Flexible ainda um Vlance, ele
retm as informaes. Se a atualizao substitui um adaptador VMXNET com um adaptador
Flexible, o sistema operacional equivocadamente descarta as configuraes.
Depois da atualizao do hardware virtual, o adaptador de rede continuara sendo VMXNET,
sem o retornar para a compatibilidade do adaptador Flexible.
ost original: se o VMware Tools for desinstalado na mquina virtual, ele no poder acessar
seus adaptadores de rede.
Adicionando discos virtuais
Adicionando um disco virtual existente (ESX 2.x) a uma mquina virtual ESX 3.x causa o
downgrade da mquina virtual para ESX 2.x. Case voc esteja usando recursos do ESX 3.x
(como: VMXNET 2 enhanced ou adaptadores de rede Flexible) a mquina virtual se tornar
inconstante. Quando voc adiciona um disco virtual ESX 2.x a uma mquina ESX 3.x, o
73
comando Upgrade Virtual Hardware usado imediatamente para restaurar a mquina

virtual para a verso ESX 3. Este problema no aparece quando voc adiciona um disco
virtual (verso mais antiga) a uma mquina virtual ESXi/ESX 4.0.
Executando o comando Upgrade Virtual Hardware altera o disco virtual ESX 2 para
que ele no seja usvel em uma mquina virtual ESX 2. Considerando que se-deve
fazer uma copia do disco antes atualizar uma das duas copias para o formato ESX 3.
Para mais informaes sobre sistemas operacionais convidados, procure o VMware
Compatibility Guide.
Para mais informaes sobre o setting flow control(configurao do controle de fluxo), veja
o tpico Configuring Flow Control on ESX e ESXi (1013413)
2.7. Mdulo de administrao de usurios remotos e Incluso de usurios
Firewall Aker
Entre o login: administrador
Entre o nome completo: Administrador do Firewall Aker
Entre a senha (6-14): digitar uma senha de 6 a 14 caracteres;
Confirme a senha: confirmar a senha digitada acima;
Confirma incluso do usurio? (S/N).
Aps ter ou no includo o administrador, mostrada uma mensagem perguntando sobre o
cadastro de um segredo compartilhado para administrao do Firewall por meio do Aker
Configuration Manager. Se voc no possui este produto, responda No, caso contrrio
consulte o manual do mesmo.
Finalmente, aparece uma mensagem indicando o trmino da instalao que solicita que a
mquina seja reinicializada para ativar o Aker Firewall. Aps reinicializar a mquina, o
firewall j funcionar automaticamente podendo ser configurado remotamente.
A senha digitada deve conter de 6 a 14 caracteres.
74
2.8. Como funciona a contabilizao de IPs no Aker Firewall (licenciamento)?
Desde de 1997 a Aker contabiliza sua licenas de firewall em software pelo nmero de
endereos IP na rede LAN do cliente.
O Aker Firewall contabiliza todos os IPs de suas redes protegidas, ou seja, todo dispositivo fsico
ou virtual existente (hosts, impressoras, telefone, tablets, mquinas virtuais, etc) conectado
sua rede local ser contabilizado ficar na tabela do Firewall por 72 horas.
Segue abaixo algumas orientaes sobre como proceder em caso de problemas de
licenciamento:
1. A licena deve ter quantidade suficiente de IP s para atender todos os dispositivos IP da

rede LAN, isto inclui alm de computadores, impressoras, celulares, tablets, cmeras, etc,
mesmo que estes NO sejam utilizados simultaneamente.
Exemplo: Uma faculdade precisa de uma licena para atender todo o campus, ela tem trs
turnos e em cada turno estudam 500 alunos, ela tem 400 dispositivos IPS em sua rede e vai
liberar acesso internet controlado para os alunos.
Neste caso deve ser cotada uma licena de no mnimo 1900 IPs, pois mesmo se os alunos no
estiverem utilizando Internet ao mesmo tempo, a rede ser usada por 1500 dispositivos
diferentes durante um dia, e mais 400 dispositivos que pertencem faculdade, isto ocorre
porque um IP pode ficar retido por at 72 horas no firewall.
2. Redes MPLS onde o cliente tem matriz e filiais, neste caso vamos atuar de da seguinte
forma:
O cliente deseja controlar todo o acesso Internet por meio da Matriz, neste caso as
licenas devem atender todos os IPs da matriz e de todas as filiais.
Qualquer caso que seja diferente dos citados acima dever ser tratado de forma especifica
junto ao suporte.
75
2.9. Como funciona o sistema de licenciamento automtico do Aker Firewall?
O Aker Firewall possui um mecanismo de licenciamento que tem proporciona a maior

segurana para seus clientes. A imagem abaixo descreve como o processo de licenciamento
feito:
Figura 17 - Sistema de licenciamento automtico do Aker Firewall
Veja a explicao da imagem acima:

76
1. Ao acessar o Firewall pela primeira vez aps sua instao (para mais informaes
sobre a instalao do Aker Firewall veja o captulo 2.2 instalao do Aker Firewall
(Is/VM), a mensagem abaixo ser exibida solicitando que o usurio escolha uma das
opes abaixo(o Firewall deve estar conectado Internet {porta HTTPS} com o DNS
devidamente configurado):
Requisio: Clique nesta opo para requisitar uma nova licena;

Status: Clique nesta opo para verificar o estado de uma requisio pendente
Carregar: Clique nesta opo para carregar uma licena que foi obtida previamente;
Tambm possvel acessar estas opes clicando no cone
, para que a janela de
Ativao de Licena seja exibida, e o cone Requisitar uma nova licena
seja
habilitado. Ao clicar no cone

a janela com o formulrio ser exibida (este formulrio
deve ser preenchido corretamente).
77
Figura 18 - Janela de ativao de Licena
78
Figura 19 - Formulrio para Solicitao de Licena
2. Ao clicar em Salvar o formulrio ser enviado ao Servidor Externo.

3. Quando o Servidor Externo receber o formulrio, ele ir gerar um protocolo para a
Control Center onde o Firewall esta rodando.
4.
Ao protocolo ser gerado, o Servidor Externo o enviar de volta para a IS/VM em

questo.
5.
Ao receber o protocolo, a IS/VM o armazenar para a sua verificao. A primeira

verificao ser feita em at 5 minutos. Caso ocorra algum erro verificao ser
feita em um perodo aleatrio de at 24 horas (o usurio deve entrar em contato
com o suporte caso ativao de sua licena no seja efetuada no perodo mximo
de 72h).
Para fazer as requisies no ser necessrio que a porta 443 (HTTPS) esteja liberada no
Firewall para o servidor da Aker.
79
O procedimento no BOX muito simples, ao conectar o Box Internet, a Chave

de Hardware ser enviada automaticamente ao Servidor Externo, que ir gerar o
protocolo o reenviar para o BOX, que ento o armazenar para a verificao.
A primeira verificao ser feita em at 5 minutos. Caso ocorra algum erro,
verificao ser feita em um perodo aleatrio de at 24 horas (o usurio deve
entrar em contato com o suporte caso ativao de sua licena no seja
efetuada no perodo mximo de 72h).
Para que a ativao da licena seja efetuada com sucesso, necessrio que o DNS esteja
configurado no Firewall e na estao onde a GUI foi instalada. Caso contrrio, o Firewall no
far a requisio da licena, ou seja, a janela de solicitao de licena ficar indisponvel.
Figura 20 - Erro na Janela do Pedido de licena (DNS no configurado)
80
2.10.
Como ativar a licena do Firewall pelo Aker configuration Manager (ACM)?
Para ativar a licena de um Firewall que esteja sendo gerenciado pelo Aker Configuration
Manager ferramenta que permite o gerenciamento de vrios
Para ativar a licena siga os passos a seguir:
Figura 21 Objetos gerenciveis (Status)
Dentro do Aker Configuration Manager desejado, clique no menu Objetos

gerenciveis
Selecione a opo Status
A janela a seguir ser exibida:
81
Figura 22 Janela Status
Esta janela exibe as informaes dos Firewalls que so monitorados pelo Aker Configuration
Manager, para aplicar a licena se deve:
Clicar como boto direito do mouse sobre o Firewall desejado, e selecionar a opo
Aplicar lincea para este firewall
82
Figura 23 Janela de ativao de licena
A janela acima ser exibida informando o status da licena do produto.

Para carregar a nova licena se deve:
Clicar no icone
(Carregar informao de chave)
83
Figura 24 Janela de localizao do aquivo da licena
Nesta janela o usurio deve localizar o arquivo da licena e clicar em Abrir
84
Figura 25 Janela de ativao da licena
Ao carregar a nova licena a janela acima ser exibida, informando as informaes da

licena.
Para finalizar a ativao, clique em Aplicar licena.
Figura 26 A licena foi aplicada com sucesso
2.11.
Renovao da licena
O processo de renovao da licena similar ao processo de instalao da licena. O n

mestre ir verificar as licenas de todos os outros ns, incluindo os escravos, diariamente.
Caso algum n encontre uma licena expirada ou que v expirar em at 30 dias, a requisio
da renovao ser feita automaticamente (similar ao processo de instalao mostrado
acima). Os dados da licena que j se encontram instalados sero recuperados, e a
85
requisio da renovao da licena ser feita automaticamente ao Servidor Externo, que ir

gerar um protocolo, e o enviar de volta ao Firewall IS/VM em questo, que ento o
armazenar para a verificao. A primeira verificao ser feita em at 5 minutos. Caso
ocorra algum erro verificao ser feita em um perodo aleatrio de at 24 horas (o
usurio deve entrar em contato com o suporte caso renovao de sua licena no seja
efetuada no perodo de 72h).
Para cluster o processo de renovao ser o mesmo. O n master far a requisio ao

servidor externo enviando as informaes da licena de todos os ns do cluster. A aplicao
da primeira licena em um firewall em cluster ser feita manualmente. Esta aplicao
manual feita somente nos firewalls que estiverem em cluster.
Faltando 5 dias para que a licena se expire e a renovao da licena no foi efetuada, o
usurio deve entrar em contato com o suporte.
86
87
Este captulo lida com o funcionamento da Interface Remota de administrao do Aker

Firewall.
3.1. O que a administrao remota do Aker Firewall?
O Aker Firewall pode ser totalmente configurado e administrado remotamente a partir de

qualquer mquina que possua um sistema operacional compatvel com uma das verses da
interface remota, que tenha TCP/IP e que consiga acessar a mquina na qual o firewall est
instalado. Isto permite um alto grau de flexibilidade e facilidade de administrao,
possibilitando que um administrador monitore e configure vrios firewalls a partir de sua
estao de trabalho.
Alm dessa facilidade, a administrao remota economiza recursos na medida em que
permite que a mquina rodando o firewall no possua monitor ou quaisquer outros
perifricos.
Esta comunicao entre a interface remota e os produtos Aker criptografada com uma
chave de 256 bits.
Como funciona a administrao remota do Aker Firewall?
Para possibilitar a administrao remota existe um processo rodando na mquina do
firewall responsvel por receber as conexes, validar os usurios e executar as tarefas
solicitadas por estes usurios. Quando um usurio inicia uma sesso de administrao
remota, a Interface Remota estabelece uma conexo com o mdulo de administrao
remota do firewall e mantm esta conexo aberta at que o usurio finalize a sesso.
Toda a comunicao entre a interface remota e o firewall feita de maneira segura, novas
chaves de criptografia e autenticao so geradas no incio de cada sesso. Alm disso, so
empregadas tcnicas de segurana para impedir outros tipos de ataques, como por
exemplo: ataques de repetio de pacotes.
Seguem comentrios sobre algumas observaes importantes da administrao remota:
Para que a interface remota consiga se conectar ao firewall precisa da adio de uma regra
liberando o acesso TCP para a porta 1020 a partir da mquina da qual se deseja conectar.
1. S possvel a abertura de uma conexo de administrao remota em um determinado
instante. Se j existir uma interface conectada, pedidos subsequentes de conexo so
recusados e a interface remota informa que j h uma sesso ativa existente.
88
2. Cada um dos usurios da interface remota deve estar cadastrado no sistema. O

programa de instalao pode criar automaticamente um administrador com poderes
para cadastrar os demais administradores. Caso tenha eliminado este administrador ou
perdido sua senha necessrio o uso do mdulo local da Interface Remota ou da
Interface Texto (via SSH) para criar um novo administrador. Detalhes de como fazer isso
se encontram no captulo intitulado: Administrando Usurios do Firewall.
Como utilizar a interface
A interface bastante simples de ser utilizada, entretanto, existe uma observao que deve
ser comentada:
O boto esquerdo e direito do mouse, tem funes diferentes na interface. O boto
esquerdo usado para selecionar entradas em uma lista . O boto direito tem como funo
mostrar um menu de opes para uma determinada lista.
89
3.2. Iniciando a interface remota
Para iniciar a execuo da Interface Remota deve-se executar um dos seguintes passos:
Em mquinas Windows, clique no menu Iniciar e selecionar o Aker Control Center

2.
Ento a janela abaixo ser exibida:
Figura 27 Acessando o Aker Control Center 2.
Em Linux deve-se acessar o diretrio de instalao do Control Center e executar o

seguinte script: 'aker_control_center2_init.sh'.
A janela mostrada acima a principal do Aker Firewall e a partir dela que se tem acesso a
todas as opes de configurao, inclusive ativao da licena do Firewall. Sem ativao da
licena no possvel realizar as configuraes subsequentes.
90
No primeiro acesso, todos os dados referentes licena aparecem em branco e habilitados

para que o Administrador possa carreg-lo. A Licena de Uso consta em um arquivo, que,
ser indicado aps o boto Carregar ter sido clicado, e assim que forem confirmados, os
dados carregados, a janela abre com todos os dados da licena atual, ento, surgir uma
janela confirmando e reiniciando o firewall.
Portanto clique no boto Carregar, no canto superior direito da interface:
A Interface Remota composta de 4 menus descritos brevemente a seguir (quando existe
um firewall selecionado, um quinto menu mostrado com opes especficas para o
mesmo):
Opes
O menu Opes contm as configuraes relacionadas ao layout da Interface Remota.
Figura 28 - Menu opes.
Ao clicar neste menu, as seguintes opes aparecem:
Mostrar Tooltips: uma dica de contexto. aquela moldura pop up que abre
quando voc passa o mouse sobre um elemento HTML (normalmente uma palavra
em um texto) e que contm uma explicao adicional sobre aquele elemento que
recebeu o ponteiro do mouse sobre ele.
Sesso ociosa: Permite definir o tempo mximo, em minutos, que a interface
permanecer conectada ao firewall sem receber nenhum comando do
administrador. Assim que este tempo limite for atingido, a interface
automaticamente ser desconectada do firewall, permitindo que uma nova sesso
seja estabelecida. Seu valor pode variar entre 1 e 60. A caixa Sem limite quando
estiver marcada no desconectar a interface do firewall. O Valor padro de 1
minuto. Aps efetuar as alteraes clique no boto OK, caso no realize nenhuma
alterao, clique no boto Cancelar.
91
Figura 29 - Tempo de sesso ociosa.
Remoo: Caso deseje remover alguma regra, filtro, etc, ser enviado uma
mensagem com um a pergunta se deseja realmente remover o item selecionado;
Suprimir plugins inexistentes: caso no tenha um plugin da Aker instalado, ao clicar
nessa opo, ser mostrada a mensagem do que est faltando.
Firewall: este menu para cadastrar mais firewalls na Interface Remota de modo que
possibilite simultaneamente a administrao de diversos Aker Firewalls. Com a
interface conectada a mais de um firewall simultaneamente, possvel usar a
facilidade de arrastar e soltar as entidades e regras entre firewalls, de modo a
facilitar a replicao de determinadas configuraes entre eles. Dentro do menu
Firewall, tem-se:
Figura 30 Esconder regras.
Esconder regras: colapsa as politicas de regra.
Figura 31 Desabilitar perguntas.
Desabilitar perguntas
Assistente de regras de filtragem: assistente para a criao de regras de

filtragem;
Assistente de Nat: cria regras de Nat;
Verificador de regras: checagem das regras de filtragem para verificar se no
h regras sobrepostas.
92
Idiomas: possvel escolher em qual idioma deseja acessar a Interface Remota

(Ingls ou Portugus).
Figura 32 - Escolha do idioma que deseja acessar o Aker Control Center.
Editar cor de fundo: possvel escolher com qual cor de fundo deseja-se trabalhar.
Posteriormente sero dados maiores explicaes;
Figura 33 Cor de fundo do Aker Control Center.
o Formato: define o formato como deseja padronizar a tela do Aker Control Center:
o Pontos: podem-se alterar as cores finais e iniciais. Para isso deve-se escolher a cor e
clicar no boto OK.
93
Figura 34 Selecionar cor.
o Opo Padro: Quando selecionada est opo a tela seguir com uma configurao
padro pr-determinada pela Aker.
Figura 35 - Boto: Padro.
Aps realizar as escolhas desejadas, clique no boto OK.
Sair: Quando selecionada a opo sair surgir mensagem abaixo:
Figura 36 - Aviso de sair do programa.
Se clicar no boto Sim a Interface Remota ser fechada, se clicar no boto No, a
interface continua aberta.
94
Janelas
O Menu Janelas possui as funes de configurao das janelas abertas e da barra de
menu.
Figura 37 - Menu Janelas.
Barra de ferramentas: esta opo permite definir se a barra de ferramentas na parte

superior da janela principal ser mostrada ou no.
Janelas: mostra o item de dispositivos remotos (essa opo tambm pode ser
acessada pressionando o boto do teclado F9).
Figura 38 - Dispositivos remotos
95
Entidades: mostra as entidades (pode tambm ser acessada pressionando o boto

F9 do teclado).
Figura 39 - Entidades.
Lado a Lado: selecionando esta opo, as janelas abertas do lado direito da Interface
Remota se ajustam de forma que todas apareceram visveis.
Cascata: esta opo faz com que as janelas abertas no lado direito da Interface
Remota fiquem posicionadas em forma de cascata, uma na frente da outra.
Ajuda:
Figura 40 - Menu Ajuda.
Configurao de atualizao automtica: permite a configurao automtica. Nesta

janela possvel Habilitar atualizao automtica, Baixar atualizaes
automaticamente, e Habilitar atualizaes dos manuais.
Figura 41 - Configurao Automtica de Atualizao.
Realizado as escolhas, deve-se clicar no boto OK.
96
Janelas de Atualizaes: neste menu encontram-se os itens Janelas de Downloads

que mostram as atualizaes que se deseja baixar.
Figura 42 - Notificador de Atualizaes.
A janela Notificador de Instalao de Atualizaes' permite selecionar as atualizaes que

se deseja instalar.
Figura 43 - Notificador de Instalao de Atualizaes.
Busca por atualizaes: Quando selecionada esta opo uma busca por atualizaes
pendentes realizada, conforme mostra imagem abaixo:
97
Figura 44 - Atualizaes prontas.
Sobre: mostra informaes sobre o Aker Control Center.
Figura 45 - Informaes sobre o item: Sobre
Para encerrar, clique no boto OK.
98
Aker Firewall
Figura 46 - Menu Aker Firewall.
Inicialmente nem todas as opes dos menus se encontram habilitadas, por funcionarem
apenas quando houver uma conexo estabelecida. Para ter acesso s demais opes devem
estabelecer uma sesso de administrao remota com o firewall que deseja administrar.
Para tanto se devem seguir os seguintes passos:
Cadastrar o firewall selecionando o menu Aker Firewalls e a opo Novo dispositivo
remoto (veja o item Cadastrando Firewalls logo a seguir);
Selecionar o firewall com o qual se deseja conectar;
Clicar na opo Conectar.
Novo Dispositivo Remoto: Cadastra um novo disposto

Editar: realiza edies;
Excluir: exclui dispositivo;
Conectar ao dispositivo selecionado: conecta ao dispositivo;
Reiniciar dispositivo: reinicia o mesmo;
Desligar dispositivo: desliga o dispositivo remoto;
Salva backup automaticamente: os backups sero salvos.
Os itens descritos acima sero abordados nas prximas pginas.
99
Textos nos botes: marcando esta opo ser mostrada juntamente com cada cone
a ao correspondente do boto. Desmarcando esta opo, ser mostrado apenas o
cone.
Dicas para Entidades: quando esta opo estiver ativada, uma pequena caixa com a
descrio de cada entidade ir aparecer quando o mouse for passado sobre seu
cone.
Figura 47 - Caixa de descrio de entidade.
Mostrar cones nos botes: esta opo, se ativada, faz com que sejam mostrados
cones nos botes OK, Cancelar e Aplicar das janelas.
Janelas: esta opo permite mostrar ou no as janelas padro do sistema: ajuda,

firewalls e entidades.
Cadastrando Firewalls
Nesta seo demonstramos como cadastrar um ou mais firewalls quando selecionamos a
opo Novo dispositivo remoto dentro do menu Firewalls ou no cone Criar dispositivo
remoto.
Figura 48 Boto: Criar novo dispositivo remoto.
100
Aparecer a seguinte janela Editar Dispositivo remoto. Nessa janela, possvel escolher o
tipo de autenticao desejada. De acordo com cada opo a janela ser alterada, mostrando
os campos correspondentes.
Tipo de Autenticao: Usurio/Senha
Figura 49 - Caixa de edio do dispositivo remoto.
Modo de demonstrao: Quando selecionada essa opo, ser criado um firewall de

demonstrao com uma configurao padronizada. Nenhuma conexo real ser feita ao
tentar se conectar neste firewall, podendo-se criar quantos firewalls de demonstrao for
desejado, cada um com a configurao distinta um do outro;
Nome: cadastrar o nome pelo qual o firewall ser referenciado na Interface Remota;
Nome da mquina: Caso o servidor do Firewall no qual se deseja conectar possua um nome
associado ao IP da mquina, basta colocar este nome nesta opo para que o Control Center
resolva o DNS automaticamente e se conecte no servidor;
Endereo IPv4 e IPv6: cadastrar o endereo IP para conectar no firewall;
Usurio: esse campo identifica o usurio que acessar o firewall. Este campo grava o
usurio, onde aparecer todas as vezes que o firewall for acessado.
101
Senha: a senha do usurio. Caso deixe a caixa Salvar Senha marcada, no ser necessrio
digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos
*). Caso ela esteja desmarcada, este campo estar desabilitado.
A cada 3 tentativas invlidas, o cliente bloqueado de acessar a Control Center por 3
minutos. A cada tentativa invlida gera-se um evento Excesso de tentativas invalidas do
mdulo Daemons do Firewall.
No final basta clicar em OK e o firewall estar cadastrado, como o tipo de autenticao
selecionado. No caso de cancelar o cadastro do firewall, basta clicar em Cancelar.
Tipo de Autenticao: X.509
Figura 50 - Informaes requeridas para Editar o Dispositivo Remoto.
Essa opo permite autenticao com certificao digital X509.

Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra o
Domnio (C.N) desse certificado.
102
Ao clicar no cone mostrado abaixo, carrega-se um arquivo com extenso *.cer/*.crt que
contm o certificado.
Figura 51 cone utilizado para o carregamento de arquivo.
O cone a seguir, mostra um resumo das informaes do certificado.
Figura 52 - cone utilizado para mostrar informaes do certificado.
Certificado do Usurio: essa opo permite carregar um pacote de certificado no formato

PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado e outro com a
chave. Carrega um certificado com uma senha e a outra senha para salvar o arquivo da
chave, salvando assim, de forma encriptada.
Senha: Senha com a qual a chave primria foi salva. Se informar (cadastro), decifra a chave e
manda para o firewall fazer a autenticao. Caso deixe a caixa Salvar Senha marcada, no
ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como
vrios asteriscos *). Caso ela esteja desmarcada, este campo estar desabilitado.
Alterar Senha: Altera a senha cadastrada no campo senha.
Salvar Senha: Permite que a senha seja salva automaticamente.
103
Tipo de Autenticao: Agente externo usurio/senha
Figura 53 - Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo Remoto.
Essa opo permite autenticao por meio de Agentes Externos.

Usurio: O usurio que acessar o firewall. Este campo grava o usurio, onde aparecer
todas as vezes que o firewall for acessado.
Domnio: Nome do domnio no qual o agente externo est rodando
Senha: A senha do usurio. Caso deixe a caixa Salvar Senha marcada, no ser necessrio
digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos
*). Caso ela esteja desmarcada, este campo estar desabilitado.
Fingerprint: um resumo da identificao do certificado digital do Firewall. Essa opo
possibilita ao usurio identificar quando tem uma mudana do firewall que se costuma
conectar.
Na primeira vez que h a tentativa da conexo no haver a identificao do firewall. A
partir da segunda vez todas s vezes que conectado vai comparar com o fingerprint.
104
Apaga Fingerprint: Zera e comea do estado inicial. Se h uma troca do Firewall a

identificao ser diferente, ento no ser possvel conexo, somente se clicar no cone
apaga fingerprint
Depois de cadastrarmos o firewall, pode-se clicar duas vezes no cone do firewall criado, no
lado esquerdo da janela, ou clicar uma vez para selecion-lo e, em seguida, no boto
Conectar.
Figura 54 Boto Conectar.
Ele far com que a interface se conecte ao firewall escolhido, como mostrado na figura
abaixo:
Figura 55 - Interface conectada ao Firewall escolhido.
105
Caso no seja possvel estabelecer a sesso de administrao, ser mostrada uma janela
com o erro que impossibilitou sua abertura. Neste caso, existem vrias mensagens possveis.
Abaixo esto listadas as mensagens de erro mais comuns:
Aker j sendo utilizado por outra interface;
O Aker Firewall s permite a existncia de uma sesso de administrao em um

determinado instante. Se esta mensagem for mostrada, significa que j existe outra
interface remota conectada ou um mdulo de administrao local sendo utilizado.
Erro de rede ou conexo encerrada pelo servidor;
Este um erro genrico e pode ter uma srie de causas. A sua causa mais comum um erro
na digitao do login ou da senha. Se o login do usurio no estiver cadastrado ou sua senha
estiver errada, o servidor encerrar a conexo. Verifique primeiramente se o seu login e sua
senha foram digitados corretamente. Caso o erro continue, siga a seguinte sequncia de
passos:
1. Verifique se o usurio que est tentando se conectar est cadastrado no sistema e se a
sua senha est correta (para fazer isso, utilize o mdulo local de administrao de
usurios. Veja o captulo intitulado Administrando usurios do firewall).
2. Verifique se a rede est funcionando corretamente. possvel fazer isso de vrias
formas, uma delas utilizando o comando ping. (No se esquea de acrescentar uma
regra liberando os servios ICMP echo request e echo reply para a mquina que se
est testando em direo ao firewall, caso v utilizar o ping. Para aprender como fazer
isso, veja o captulo intitulado O Filtro de Estados). Se isso no funcionar, ento a rede
est com problemas de conectividade e isto deve ser corrigido antes de tentar a
administrao remota. Caso funcione, veja o passo 3.
3. Verifique se existe uma regra cadastrada liberando o acesso a partir da mquina que
queira conectar ao firewall, utilizando o servio Aker (TCP, porta 1020). Caso no exista,
insira esta regra (para aprender como fazer isso, veja o captulo intitulado O Filtro de
Estados).
Ao acessar o firewall e outro usurio j estiver configurando o mesmo a imagem abaixo sera
exibida, permitindo que o usurio envie um mensagem para o outro usurio, mantenha-se
conectado, ou desconectar-se.
106
Figura 56 Notificaao informando que o Firewall j esta sendo configurado.
3.3. Finalizando a administrao remota
Existem trs formas de finalizar a administrao remota do Aker Firewall:

Finalizando a sesso clicando com o boto direito do mouse no firewall conectado e
selecionando Desconectar do dispositivo remoto;
Figura 57 - Finalizador de administrao remota do Aker Firewall (Desconectar do dispositivo remoto).
Clicando em Desconectar do dispositivo remoto na barra de ferramentas ou fechando a

Interface Remota. Neste caso voc perder a conexo com todos os firewalls que estiverem
conectados.
Caso queira sair do programa, deve-se clicar no boto Sair, na barra de ferramentas da
janela principal ou clicar no x no canto superior direito da janela.
Figura 58 Boto: Sair deste programa.
107
3.4. Mudando sua senha de usurio
possvel para qualquer usurio do Aker Firewall alterar a sua senha sempre que desejado.
Para tanto se deve primeiro estabelecer uma sesso de administrao (como mostrado no
tpico Iniciando a interface remota) e aps isso se deve executar os seguintes passos:
Figura 59 - Dispositivos remotos (realizar mudana de senha).
Selecionar o firewall a ser configurado;

Clicar em Ferramentas;
Selecionar o item Mudar senha.
108
Ento a janela a seguir ser exibida:
Figura 60 - Mudar Senha (inserir senha antiga, a nova senha e confirmao da mesma).
Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos campos
Nova senha e Confirmar senha (as senhas aparecero na tela como vrios asteriscos *).
Aps preencher os campos, deve-se pressionar o boto OK, para alterar a senha ou o
boto Cancelar, caso no queira mud-la.
Os campos Senha antiga, Nova senha e Confirmar senha, devem conter de 6 a 14
caracteres.
109
3.5. Visualizando informao de sesso
possvel a qualquer momento visualizar algumas informaes sobre a sesso de

administrao ativa. Para isso existe uma janela especfica que mostra informaes teis
como: login, nome e direitos do usurio que est administrando o firewall e a verso e o
release do Aker Firewall que estiver sendo administrado. So mostradas tambm hora de
incio da conexo e h quanto tempo ela est ativa. Para abrir esta janela, execute os
seguintes passos:
Figura 61 - Dispositivos remotos (Visualizar Informaes da sesso).
Selecionar o firewall a ser configurado;

Clicar em Informao;
Selecionar o item Informaes de sesso.
110
Ser mostrada ento a seguinte janela:
Figura 62 - Informao da sesso (mostra dados do Firewall, Licena e Usurio).
3.6. Utilizando as ferramentas da Interface Remota
O que so as ferramentas da Interface Remota do Aker Firewall?

As ferramentas so um conjunto de utilitrios presentes apenas na Interface Remota do
Aker Firewall. Elas servem para facilitar a administrao do firewall, provendo uma srie de
funes bastante teis no dia-a-dia.
111
3.7. Chaves de Ativao
Esta opo permite atualizar a chave de ativao do Aker Firewall e dos demais produtos
que possam estar instalados juntos: Antivrus, Spam Meter, Secure Roaming e Web Content
Analyzer.
Para visualizar ou atualizar a licena, deve-se:
Clicar no boto Carregar/Mostrar licena na barra de tarefas do firewall que estiver
conectado.
Figura 63 Boto: Carregar/Mostrar licena.
A janela de ativao de licena
112
Figura 64 - Informaes sobre ativao de licenas.
Esta janela apenas informativa. Nela so mostrados todos os produtos que esto
instalados junto com o firewall e os dados referentes licena de cada um deles. Entre estes
dados pode-se verificar a data de expirao, nmero de licenas, ID e a data de expirao do
IDS e etc., para cada produto.
Caso se deseje inserir uma nova licena, deve-se clicar no boto Carregar, localizado na
barra de tarefas. Esta opo abrir um dilogo onde se pode especificar o arquivo de onde a
nova chave ser carregada. No caso do Firewall Box, caso exista mais de um produto
instalado junto com o firewall, as chaves dos produtos adicionais tambm sero atualizadas.
Da verso 6.0 do Aker Firewall em diante no mais possvel atualizar as chaves de
ativao do firewall digitando-as, apenas carregando-as a partir do arquivo enviado pela
Aker Security Solutions ou um de seus representantes autorizados.
3.8. Salvar configuraes (backup)
Esta opo permite salvar a configurao completa do firewall na mquina onde est
administrando. No caso de algum desastre, pode-se facilmente restaurar esta configurao
posteriormente.
Para salvar as configuraes conecte em um dispositivo remoto e clique no cone Salvar um
backup do item selecionado:
Figura 65 Boto: Salvar um backup do item selecionado.
113
Realizar o download das configuraes personalizadas e bases de treinamento dos

produtos:
Figura 66 - Download das configuraes personalizadas e bases de treinamento.
Figura 67 - Backup Informaes de log.
114
A janela para salvar configuraes:
Figura 68 - Tela de escolha de arquivo para salvar configuraes.
Aps digitar o nome do arquivo salvo, deve-se clicar no boto Salvar. Caso no queira mais
gravar a cpia de segurana, deve-se clicar no boto Cancelar.
Esta opo permite restaurar a cpia de segurana da configurao completa do firewall

realizada por meio da opo anterior.
115
Salva o backup automaticamente

Por meio de a configurao a seguir, salvo um backup completo do dispositivo remoto
todas as vezes que se conectar ao mesmo automaticamente, para ativ-la selecione a opo
Salvar o backup automaticamente conforme figura a seguir:
Figura 69 - Salvar o backup automaticamente.
Os backups so salvos na pasta de instalao do Aker Control Center.
3.9. Restaurar configuraes
Para restaurar uma cpia de segurana, deve-se:
Figura 70 - Botes para restaurao de backup.
Clicar no firewall para o qual ser carregada a cpia de segurana.

Selecionar o item Carregar configuraes na barra de ferramentas ou no menu com o
nome do firewall selecionado:
116
Figura 71- Boto: Carrega backup do arquivo.
A janela para carregar configuraes:
Figura 72 - Escolha de arquivo para carregar dados de configurao.
Esta janela permite escolher o nome do arquivo de onde a configurao ser restaurada.
Aps seu nome ser especificado, o firewall ler todo seu contedo, far vrios testes de
consistncia e se o seu contedo estiver vlido ser carregado.
O boto Abrir carregar a cpia e atualizar a configurao do firewall imediatamente.

O Boto Cancelar fechar a janela, porm a cpia de segurana no ser carregada.
possvel escolher, no momento da restaurao do backup, quais configuraes sero

aplicadas no produto, agrupadas por similaridade.
Exemplo:
Regras;
Licena;
Certificados;
117
Base de dados temporria;

TCP/IP;
Perfis de acesso.
Sendo possvel selecion-las nas janelas a seguir:
Figura 73 - Restaurao do backup do Antivrus Module.
Figura 74 - Restaurao do backup do Aker Spam Meter.
118
Figura 75 - Restaurao do backup da Web Content Analyzer.
Ser exibida a verso do sistema quando da gerao do backup e alertas podem ser
exibidos em caso de incompatibilidade.
3.1. Utilizando a Interface Texto (via SSH-akbackup)
A Interface Texto (via SSH) de configurao de parmetros bastante simples de ser utilizada.
O objetivo dessa funcionalidade permitir que o usurio salve todas as configuraes de
forma eficaz e segura para a restaurao do produto. Existem duas formas de fazer o backup
completo: salv-lo na mquina local ou via FTP. O firewall compactar as pastas: /aker, /bin,
/boot, /etc, /lib, /lib64, /sbin, /usr, /tmp, /aker_funcs.sh /hw_install.sh /recover_conf.sh,
/recover_fw.sh, /var/adm, /var/lib, /var/net-snmp, /var/state, /var/spool/var-tmp no
processo. O arquivo ser compactado utilizando o algoritmo xz e armazenado em
/var/spool/backups/Backup_verso_data(YYYY_MM_DD).xz.
Para retornar ao nvel raiz deve-se usar o comando exit.
A seguir detalhes sobre as opes de salvamento do backup:
Sintaxe:
akbackup ajuda:
119
akbackup carrega_backup <arquivo> -> Carrega o backup de um arquivo
akbackup salva_backup [ip] [usuario] [password] [pasta_remota] ->

Quando utilizado sem argumentos:
Salva
o
backup
/var/spool/backups/Backup_Produto_versao_YYYY_MM_DD_HH_MM.xz
em
Quando passado argumentos de IP, usurio, passaporte e pasta remota:

Envia para um servidor FTP com o IP, usurio, passaporte e pasta remota definida.
Fazendo o Backup na mquina local

Esta opo permite que o usurio salve o seu backup em um pasta local.
Para fazer o backup na mquina local dos binrios e configuraes e salv-lo localmente use
o comando akbackup salvar_backup sem passar argumentos
Figura 76 - Comando usado para salvar o backup
Fazendo o Backup Via FTP

Esta opo permite que o usurio salve o seu backup em um servidor FTP.
Para fazer o backup dos binrios, realizar configuraes e envi-lo via FTPpara um servidor,
use o comando akbackup salvar_backup <ip do servidor_ftp> <usurio do servidorftp>
<senha do servidor ftp> <pasta> :
Figura 77 - Backup via FTP
Fazendo o Backup na mquina local

Esta opo permite que o usurio salve o seu backup em uma pasta local.
120
Para fazer o backup na mquina local dos binrios, realizar configuraes e salv-lo
localmente, use o comando akbackup salvar_backup sem passar argumentos:
Figura 78 - Comando usado pra salvar o backup e envia-lo via ft
Ao criar o backup, ele ser enviado para o servidor FTP. Se a transferncia for realizada com
sucesso, o arquivo de backup ser apagado localmente. Se algum erro ocorrer na transferncia, o
arquivo ser mantido na pasta de backups para ser enviado manualmente pelo usurio.
O usurio receber uma mensagem caso no tenha sido possvel carregar o backup nas
seguintes situaes:
O arquivo apresenta-se corrompido;

No h espao suficiente em disco;
Caso ocorra algum outro erro (o sistema automaticamente solicitar ao usurio que tome as
devidas medidas para solucion-lo )
3.2. Reiniciar Firewall
Esta opo serve para reinicializar o firewall, porm no deve ser utilizada em condies
normais de operao. A nica operao que exige a reinicializaro do firewall a carga de
um algoritmo de criptografia externo.
Para reinicializar o firewall deve-se:
Figura 79 - Reiniciar o Firewall.
Selecionar o item Reiniciar Firewall no menu com a opo Aes do Firewall.
121
3.3. Atualizaes
O que so atualizaes e onde consegui-las?

Como todo software, o Aker Firewall pode eventualmente apresentar bugs em seu
funcionamento. medida que estes problemas so resolvidos, a Aker produz um arquivo
que permite a atualizao de seu Aker Firewall e a eliminao destes erros. Algumas vezes
tambm so adicionadas determinadas caractersticas novas em uma verso j existente, de
modo a aumentar sua performance ou aumentar sua flexibilidade.
Em ambos os casos, os arquivos de atualizao ou correo so disponibilizados de forma
gratuita no site da Aker: basta procurar o menu Download e selecionar a opo Correes
e Atualizaes. Estes arquivos so sempre cumulativos, ou seja, necessrio apenas baixar
a ltima verso disponvel e esta incluir as correes presentes nos arquivos de
correo/atualizao anteriores.
A janela de atualizaes
Esta opo permite aplicar uma atualizao ou correo do Aker Firewall remotamente, por
meio da Interface Remota. possvel tambm atualizar completamente a verso do
produto.
Para ter acesso janela de atualizaes deve-se clicar no cone localizado na barra de
ferramentas, automaticamente a janela ser aberta, para que sejam escolhidas as
atualizaes a serem aplicadas.
Figura 80 - Boto: Atualizaes.
Essa janela se divide em duas abas: Atualizao e Histrico, conforme explicadas a baixo:
122
Aba Patch
Figura 81 - Sistema de atualizao de dados do Firewall.
Por meio dessa janela possvel visualizar o status atual das atualizaes/correes
aplicadas na Web Gateway. Caso se trate de cluster a janela apresentar as informaes das
mquinas que o compem. Possui os seguintes campos:
Id: Refere-se identificao das mquinas que compe o cluster.
Nome: Refere-se ao apelido atribudo s mquinas.
Restaurao: Este campo informa se a ltima atualizao aplicada pode ser desfeita.
As atualizaes aplicadas por meio dos Patches e dos Hotfixes so alteraes que podem ser
desfeitas. Essa opo permite desfazer a ltima atualizao aplicada na mquina, seja hotfix
ou patch. Deve-se observar que as alteraes so desfeitas uma por uma, ou seja, se a
verso j estiver no Patch 3, e deseja-se voltar verso inicial, deve ser desfeito o patch 3,
depois o patch 2, e assim por diante.
ltima atualizao: Identificao do ltimo patch aplicado no membro do cluster.
123
Hotfixes: Lista de hotfixes aplicados dentro do patch. Esta lista mostra a ordem direta de
aplicao dos hotfixes.
O hotfix uma pequena atualizao ou correo feita para um patch especfico. Pode ser
aplicado independente da ordem, o que no acontece com o patch, que deve ser aplicado
na ordem sequencial de atualizao.
Caso a atualizao ou correo sejam destinados a uma verso diferente de sistema
operacional ou de verso do Aker Web Gateway, ento o boto Aplicar ficar desabilitado,
no permitindo sua aplicao.
Para carregar um arquivo de atualizao ou correo deve-se clicar no cone que se
encontra na barra de ferramentas.
Figura 82 Boto: Carregar arquivo de atualizao.
124
Com isso aberta uma janela, que permite carregar um arquivo de atualizao do patch ou
do hotfix, conforme mostra a figura abaixo.
Figura 83 - Escolha do arquivo para atualizao ou correo.
Para aplicar o arquivo de atualizao/correo, deve-se primeiramente selecionar uma

mquina na aba Patch, e logo em seguida clicar no cone para que o patch ou o hotfix seja
aplicado.
Figura 84 Aplicar patch ou hotfix.
Caso queira aplicar o rollback, pelo menos uma mquina deve ser selecionada na aba Patch,
e logo em seguida deve-se clicar no cone , sendo que essas alteraes sero desfeitas uma
a uma, na sequncia que foram atualizadas.
Figura 85 Aplicar rollback.
Para aplicar rollback em mais de uma mquina ao mesmo tempo, as mesmas devem
estar com a mesma atualizao, por exemplo: todas esto com a verso patch 3, e quer
voltar para o patch 1.
125
Aba Histrico
Figura 86 - Visualizao de histricos de aplicao de patches e hotfixes.
Essa aba permite visualizar todo o histrico das aplicaes dos patches e hotfixes.
A aba composta dos seguintes campos:
ID: Mostra a identificao da mquina de onde foi feita a atualizao.
Usurio: Indica o usurio que aplicou a atualizao.
Restaurao: Indica se pode ser ou no desfeito a atualizao.
Data: Indica a data que foi feita alguma aplicao de patch ou hotfix.
A expresso "Verso Corrente" significa que no foi aplicado nenhuma patch.
Observao: Ao clicar no boto OK, o Patch ou o Hotfix no so aplicados, somente
fechada a janela.
126
3.4. Mdulo de atualizao automtica Aker Update System (AUS)
O Aker Update System - AUS tem como funo disponibilizar os pacotes de atualizao de
todos os produtos da Aker no diretrio do Aker Control Center. O sistema funciona de
forma inteligente, onde ele trar somente a ltima verso para pacotes integrados com o
Control Center, os ltimos patches e hotfix.
Acesso s janelas de configurao
Existem 3 formas de configurar o Mdulo de Atualizao:
Primeira opo:
Selecionar o produto Aker desejado;
Figura 87 - Acessando o Aker Firewall.
Caso tenha atualizao disponvel, aparecer a seguinte notificao no canto direito inferior
da tela do Control Center: Atualizaes prontas.
Figura 88 - Notificao sobre atualizaes disponveis no Aker Update System.
127
Clicar com o boto esquerdo do mouse sobre a mensagem e aparecer a tela

Notificador de Instalao de Atualizaes. Devem-se escolher individualmente as
atualizaes a serem instaladas e clicar no boto OK.
Figura 89 - Visualizando atualizaes disponveis por meio do Aker Update System.
Em seguida aparecer a seguinte tela: Sistema de Atualizao. Na parte de Patch e

possvel assinalar os itens aos quais sero aplicadas as mudanas (a parte descrio informa
o que cada uma corresponde) e informaes sobre o PT. Para isso basta escolher a opo
desejada e clicar em OK. A atualizao ser realizada automaticamente, caso queria
realizar mais de uma, deve-se repetir o procedimento acima.
128
Segunda opo:
Clicar com o mouse no boto de Atualizaes localizado no canto inferior direito

da tela da Control Center e escolher uma das duas opes: Atualizaes para
instalar ou Atualizaes para baixar.
Figura 91 - Acessando as janelas do Aker Update System.
129
Terceira opo
Figura 93 - Menu - ajuda.
Clicar no cone Ajuda e escolher uma das trs opes:
Configurao de Atualizao Automtica: as atualizaes sero realizadas

constantemente conforme tempo estipulado;
Janelas de Atualizaes: tem a opo de abrir as Janelas de Download ou Janelas de
Instalao.
130
3.5. Reempacotar Aker Client
A opo Reempacotar Aker Client usada para criar um pacote contendo todas as
configuraes dos servidores de autenticao, desta forma, efetuar uma instalao do Aker
Client pre-configurada em uma nova rede corporativa utilizando um GPO (Group Policy
Object- Diretiva de Grupo).
Para ter acesso a janela Reempacotar Aker Client deve-se:
Figura 94 Janela de acesso (Reempacotar Aker Client)
Pacotes MSI
MSI (Microsoft System Installer) um software usado para instalao, manuteno e
remoo de softwares em sistemas Windows. Um Pacote MSI contem todas
informaes/configuraes que o Microsoft Windows Installer requer para instalar ou para
remover a instao de produtos de software.
131
Figura 95 Reempacotar Aker Client
3.6. DNS Reverso
DNS reverso utilizado para resolver nomes de mquinas a partir de endereos IP. A janela
de resoluo de DNS reverso do Aker Firewall serve para prover resoluo de endereos
sem a necessidade de utilizao de programas adicionais.
Para ter acesso a janela de resoluo de DNS reverso, deve-se:
Figura 96 - Janela de DNS reverso.

132
Clicar no menu Ferramentas da janela de administrao do firewall.

Selecionar o item DNS Reverso.
A janela de resoluo de DNS reverso
Figura 97 - DNS reverso.
Esta janela consiste de um campo para digitar o endereo IP que deseja resolver e uma lista
com os endereos IP j resolvidos anteriormente:
A opo Mostrar todos, se estiver marcada, far com sejam mostrados todos os
endereos jpa resolvidos..
O boto OK fechar a janela.
Para resolver um endereo, deve-se digit-lo no campo e pressionar o boto DNS

Reverso. Neste momento o endereo ser mostrado na lista na parte inferior da janela,
junto com o status da resoluo. Aps algum tempo, ser mostrado o nome da mquina
correspondente ao endereo ou uma indicao de que o endereo informado no possui
DNS reverso configurado.
133
3.7. Simulao de Regras de Filtragem
As varreduras de regras permitem ao administrador testar a configurao das regras de

filtragem do firewall por meio de uma simulao de tentativas de conexes. Ao analisar o
resultado desta simulao, possvel verificar se o firewall est realmente bloqueando as
conexes que no devem ser aceitas e permitindo a passagem das que devem.
Para ter acesso a janela de varreduras, deve-se:
Figura 98 - Simulao de Regras de Filtragem.

Selecionar o item Simulao de regras de filtragem.
Simulao de regras de filtragem

possvel alternar entre a varredura por endereos IP ou por entidades. A varredura por
entidades til quando j tm cadastradas no sistema todas as mquinas, redes e servios
que sero utilizados. A varredura por IP mais indicada quando deseja utilizar mquinas,
redes ou servios que no esto cadastrados e que no deseja cadastrar (por exemplo,
mquinas externas que no sero utilizadas em nenhuma regra de filtragem).
134
. possvel selecionar de entidades listadas a informao para os campos Origem do

pacote, Destino do pacote e Servios, ou digit-los. Para alternar entre os dois modos
de operao basta clicar nos cones correspondentes esquerda de cada um destes campos.
Simulao de Regras de Filtragem: Quando esta opo estiver selecionada, a janela de

varreduras tem o seguinte formato:
Figura 99 - Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e mscaras).
Os campos IP e Mscara, dentro de Origem do Pacote, especificam a faixa de mquinas

a serem utilizadas como origem das conexes simuladas. Os campos IP e Mscara,
dentro de Destino do Pacote especificam a faixa de mquinas a serem utilizadas como
destino.
O campo Servio especifica o protocolo e a faixa de portas simuladas.
No caso dos protocolos TCP e UDP, os valores dos servios so as portas destino; no caso
do ICMP, o tipo de servio. E no caso de outros protocolos, o valor do protocolo.
O campo Dia/Hora permite que o administrador teste as regras para uma determinada
hora e dia da semana.
135
Varredura por Entidades
Quando a opo Varrer por Entidades estiver selecionada, a janela de varreduras tem o
seguinte formato:
Figura 100 - Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e entidade).
O campo Origem do pacote especifica a entidade que ser usada na origem das conexes
simuladas.
O campo Destino do pacote especifica para qual entidade as conexes simuladas devem
se dirigir.
O campo Servio permite especificar o protocolo e a faixa de portas a serem simuladas,
por meio de uma entidade.
O campo Dia/Hora permite que o administrador teste as regras para uma determinada
hora e dia da semana.
S possvel selecionar uma entidade como origem, uma como destino, e uma como
servio.
136
3.8. Relatrios
Esta opo possibilita que o administrador imprima um relatrio de toda (ou de parte) da
configurao do firewall de forma fcil e rpida. Este relatrio bastante til para fins de
documentao ou de anlise da configurao.
Para ter acesso a janela de relatrios deve-se:
Na barra de ferramenta clique no dispositivo remoto que deseja gerar o relatrio e

selecione a opo Relatrio.
Figura 101 Relatrio.
137
A janela Relatrio
Figura 102 - Relatrio de configurao do firewall.
Esta janela consiste de vrias opes distintas, uma para cada parte da configurao do
firewall, que podem ser selecionadas independentemente. Para gerar um relatrio, deve-se
proceder da seguinte forma:
1. Marcar os itens que se deseja imprimir.
2. Clicar no boto Procurar e escolha o diretrio onde iro ser armazenadas as pginas
HTML.
3. Abrir o diretrio e selecionar o arquivo HTML para imprimir seu relatrio.
Caso queira cancelar a emisso do relatrio, deve-se clicar no boto Cancelar.
138
3.9. Busca de Entidades
Esta opo permite que localize entidades que contenham um determinado endereo IP,
interface ou servio, bem como regras que contenham uma determinada entidade.
Para ter acesso janela de localizao de entidades, deve-se:
Figura 103 - Busca de Entidades.

Selecionar o item Busca de entidade.
139
A janela de localizao de entidades

Esta janela consiste de trs abas onde cada uma responsvel por um tipo de pesquisa
diferente:
Aba Entidades
Figura 104 - Busca de Entidades (procura de entidade com IP ou nome e ltimos resultados).
Esta aba permite localizar entidades pelo endereo IP informado ou pelo seu nome.
Procurar: inicia a busca a partir dos dados informados.
Fechar: fecha a janela de localizao de entidades.
Ao clicar duas vezes sobre o nome de uma entidade ou regra mostrada como resultado
da pesquisa, a janela de edio correspondente ser aberta, possibilitando que os valores
sejam editados rapidamente.
140
Aba Servios
Figura 105 - Busca de Entidades (Servios, protocolo e ltimos resultados).
Esta aba permite localizar entidades do tipo servio que contenham o protocolo e o servio
especificados.
Procurar: inicia a busca a partir dos dados informados.
Fechar: fecha a janela de localizao de entidades.
Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como resultado
da pesquisa, a janela de edio correspondente ser aberta, possibilitando que edite seus
valores rapidamente.
141
Aba Regras
Figura 106 - Busca de Entidades (Regras, entidades e ltimos resultados).

Esta aba permite localizar a regra que a entidade pertence.
Procurar: Este campo inicializa a busca a partir
Fechar: Este campo fecha a janela de localizao de entidades.
dos
dados
informados.
Nesta aba sero carregadas apenas as entidades do tipo Mquina, Rede, Conjunto e Servio.
Entidade: Quando selecionada uma entidade, uma busca ser realizada retornando o
nmero da regra a qual a entidade pertence. As regras podem ser: Regras VPN, Regras de
NAT, Regras de filtragem ou Regras de Filtragem dentro dos Perfis, se a entidade
procurada for do tipo Rede ou Mquina iniciada uma busca para saber se ela est
presente em alguma entidade do tipo Conjunto. Caso esteja, as regras que contm essa
entidade Conjunto e os tipos relacionados a ela, sero mostradas e impressas no resultado
da busca, e consequentemente, as regras que contiverem estes conjuntos tambm sero
mostradas.
Ao clicar duas vezes sobre uma entidade ou regra, mostrada como resultado da pesquisa
(Entidades de Conjunto, Regras de Filtragem, Regras de NAT, Regra VPN e Perfil) a janela de
edio correspondente ser aberta, possibilitando editar os seus valores rapidamente.
142
Common Name Search
3.10.
Esta opo permite que o usurio realize pesquisas do Common Name (certificados) de
websites especficos.
Para acessar a janela Common Name Search siga os passos abaixo:
No Firewall desejado acesse o menu Ferramentas
Clique na opo Common Name Search
Figura 107 - Common Name search
A seguir mais detalhes sobre as opes da Janela Common Name Search:
143
Figura 108 - Janela de pesquisa Common Name
Alm de bloqueios fitos pelo nome do certificado pela opo Common Name
Search tambm possvel fazer bloqueios usando o HTTPS transparente (man-in-themiddle) pelo que uma forma avanada de fazer bloqueios. Para mais informaes
veja o Advanced HTTPS.
3.11.
Janela de Alarmes
Esta opo permite visualizar os alarmes gerados pelo firewall, quando esta opo estiver
marcada nas regras de filtragem ou na janela de aes.
Para ter acesso janela de alarmes, deve-se:
144
Figura 109 - Janela de Alarmes.
Clicar no menu Ferramentas na janela do firewall que queira administrar.

Selecionar o item Janela de alarmes.
145
A janela de alarmes
Figura 110 - Janela de Alarmes (Descrio).
Esta janela consiste de um campo de descrio com as entradas correspondentes a ao

executada pela regra de filtragem.
O boto Fechar fecha a janela.

A caixa No mostrar essa janela automaticamente, se estiver marcada, far com que a
janela no seja mostrada automaticamente quando ocorrer um evento.
O boto Salvar grava as entradas em um arquivo de log do tipo texto.
O boto Apagar limpa todas as entradas contidas na janela.
146
Mapa da rede
3.12.
O firewall dispe de um prtico sistema para visualizar a rede onde ele se insere de forma
grfica. Para ter acesso janela de visualizao grfica da rede, deve-se:
Figura 111 - Mapa da Rede.
Clicar no menu Informao da janela de administrao do firewall.

Selecionar o item Mapa da Rede.
A janela abaixo ser exibida:
147
Figura -112 - Mapa da Rede.
O primeiro item representa o firewall, conectado s suas interfaces de rede. A cada

interface, conectam-se uma ou mais redes e roteadores, que se conectam a mais redes
distantes. Clicando em uma rede com o boto direito do mouse, aparecer um menu
listando as entidades que fazem parte da mesma, possibilitando ao usurio edit-las.
3.13.
Estatsticas do sistema
A janela de estatsticas do sistema possui informaes sobre uso do processador e uso de

memria do sistema. Para ter acesso a essa janela, deve-se:
148
Figura 113 - Estatsticas do Sistema.

Selecionar o item Estatsticas do Sistema.
149
Figura 114 - Estatsticas do Sistema.

Na parte superior da janela so mostradas as informaes de uso do CPU. Essas informaes
esto dividas em trs partes: porcentagem ociosa, porcentagem dedicada ao sistema e
porcentagem sendo usada por programas iniciados pelo usurio. A parte inferior da janela
mostra a situao da memria do sistema em Megabytes. Tambm est divida em trs
partes: quantidade de memria livre, quantidade de memria sendo usada e quantidade de
memria armazenando informaes em forma de cache.
150
A quantidade de memria no afeta de forma significativa a performance do firewall.

Entretanto, pode ocorrer queda de desempenho se o sistema possuir rea de memria swap e
estiver fazendo muito uso dessa, o que ir afetar apenas os proxies.
importante observar que a memria cache no considerada memria usada. Ela
acessada apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda
esteja em cache, a reabertura ser mais rpida. Porm, se o sistema precisar de uma
quantidade maior de memria livre, a rea usada para cache liberada.
Figura 115 Relatrio de estatstica do sistema.
151
Utilizando a janela de Sniffer de trfego de pacotes IP
3.14.
A janela de Sniffer do Aker Firewall permite ao administrador capturar pacotes de uma ou

mais conexes que estiverem trafegando pelo firewall. A grande vantagem deste sniffer em
relao utilizao de um tradicional que possvel capturar pacotes em vrios pontos
distintos dentro de uma interface: possvel ver os pacotes como eles so recebidos (i.e.,
cifrados e com endereos convertidos) ou exatamente antes ou depois da filtragem, o que
faz com que sejam mostrados em claro e com os endereos reais.
importante observar que o comando fwpacket s captura dados a partir do header do IP.
Atualmente o sniffer de pacotes do firewall s captura dados a partir do header IP. J est
em aberto uma solicitao para implementar a funcionalidade de captura de informaes
relacionadas a camada 2..
Para ter acesso janela de sniffer, deve-se:
Figura 116 - Acesso a janela: Sniffer de trfego de pacotes IP.

Selecionar o item Sniffer de trfego de pacotes IP.
152
A janela de Sniffer de Pacotes
Figura 117 - Sniffer de Pacotes Sniffer 1.

Esta janela consiste de vrias abas. Cada uma das abas permite a captura de trfego em
uma interface distinta ou em pontos diferentes de uma mesma interface. Para criar novas
abas com sniffer deve-se clicar na ltima aba onde aparece o texto Novo sniffer.
Para iniciar a captura, devem-se preencher os seguintes campos:
Onde capturar: Definir o ponto onde a captura deve ser realizada. As seguintes opes
esto disponveis:
Interface fsica: Definir que a captura deve ser feita exatamente como os pacotes so
recebidos pelo firewall
Antes da filtragem: Definir que os pacotes devem ser capturados imediatamente antes de
serem filtrados, i.e., aps serem decriptografados e terem seus endereos convertidos, se
for o caso.
Aps filtragem: Definir que a captura ser feita apenas dos pacotes que passarem pela
filtragem e eles sero vistos decriptados e com seus endereos convertidos, se for o caso.
Interface fsica: Definir qual a interface que ser utilizada para capturar os pacotes
153
Filtro: Este define o filtro que ser utilizado na captura dos pacotes. O objetivo deste filtro
limitar os pacotes recebidos somente ao que interessa. Caso ele esteja em branco todos os
pacotes sero capturados. A sintaxe do filtro a mesma usada no popular programa
tcpdump e todas suas opes so suportadas. Um resumo das principais opes que podem
ser utilizadas no filtro :
dir
Indica a direo em que a transferncia ocorrer, para e/ou do identificador. As direes
possveis so : src, dst, src or dst e src and dst.
Exemplos:
``src foo''
``dst net 128.3''
''src or dst port ftp-data''
proto
Qualificador restrito a estipular um tipo particular de protocolo. As opes existentes de
protocolo so:
ether, ip, arp, rarp, tcp e udp.
Exemplos:
`èther src foo''
`àrp net 128.3''
``tcp port 21''
Quando no estipulado, todos os protocolos existentes em opo sero assumidos.
port
Captura pacotes com a porta de origem ou de destino do pacote igual a port. Todas as
expresses de porta podem ser precedidas de tcp ou udp, assim:
tcp src port
Capturar apenas pacotes tcp com porta de origem port.
Quando o boto Travar seleo estiver selecionado, o pacote selecionado ficar sempre
visvel na janela de captura.
O boto Iniciar captura inicia a captura de pacotes, porm envia o resultado apenas para a
janela.
O boto Capturar em arquivo inicia a captura de pacotes e grava os dados no arquivo
especificado. Este arquivo pode posteriormente ser aberto pela maioria dos Sniffers
tradicionais disponveis no mercado.
O boto OK encerra a captura e fecha a janela. Caso tenha capturado para um arquivo, ele
estar disponvel.
154
Visualizando o Estado dos Agentes Externos
3.15.
A janela de estado dos agentes externos puramente informativa e serve para indicar ao
administrador o estado dos Agentes Externos. Isso muito til quando se quer configurar
um novo agente externo ou para detectar a ocorrncia de possveis problemas.
Para ter acesso janela de estado dos agentes externos, deve-se:
Figura 118 - Agentes Externos.

Selecionar o item Agentes Externos.
155
A janela de agentes externos
Figura 119 - Agentes Externos (nome, tipo e status).

Esta janela consiste de uma lista com o nome de todos os agentes externos ativos que sejam
um dos seguintes tipos: Agentes de Antivrus, Agentes IDS, Analisadores de URL,
Autenticadores (Usurio/Senha, Token, RADIUS e LDAP), e Spam Meter.
Para cada agente listado sero mostradas as seguintes informaes:
Nome: Nome da entidade do agente externo.
Tipo: Tipo do agente externo.
Status: Informa o estado atual da conexo com o agente externo. Os seguintes estados
podem ser mostrados nesta coluna:
Estado indefinido: Ainda no existem informaes disponveis sobre o estado deste

agente.
Conectado ao principal: O firewall conectou-se com sucesso ao IP principal do agente
externo.
Conectado ao primeiro backup: O firewall conectou-se com sucesso ao IP do 1 backup
do agente externo. Por alguma razo, a conexo inicial ao IP principal no foi possvel.
Conectado ao segundo backup. O firewall conectou-se com sucesso ao IP do 2 backup do
agente externo. Por alguma razo, a conexo inicial ao IP do 1 backup no foi possvel.
Erro de conexo: Devido a um problema de comunicao com o agente externo,
nenhuma conexo foi estabelecida. Verifique os eventos para maiores informaes.
Erro interno: No foi possvel conectar-se ao agente externo por um problema interno.
Verifique os eventos para maiores informaes.
Vrus no detectado: Este estado s aparece nos agentes de antivrus e indica que
embora o firewall tenha conseguido se conectar corretamente ao agente, ele no foi
156
capaz de detectar o vrus de teste que o firewall enviou. Verifique a configurao do

antivrus.
IP do servidor. Um ou mais Endereos IPs do agente externo no qual (ou nos quais), o
firewall conectou-se.
Para os servidores de log, alm de o estado Conectado ou Erro, haver mais um estado:
Parcialmente Conectado, isso ocorre quando mais de um servidor est disponvel (primeiro e
segundo backup), porm o agente no est conectado a todos eles.
Utilizando o Verificador de configuraes
3.16.
O Verificador de Configuraes uma janela que mostrada sempre que o firewall

iniciado e suas configuraes iniciais ainda no esto completas. Ele serve para chamar de
forma simples os assistentes que realizam cada uma das etapas principais de configurao
do produto.
possvel tambm, a qualquer momento chamar o Verificador de Configurao. Para isso
deve-se executar a seguinte sequncia de passos:
Figura 120 - Verificador de Configurao.

Selecionar o item Verificador de Configuraes.
157
A janela do verificador de configuraes
Figura 121 - Verificador de Configuraes

Esta janela consiste de 5 grupos de configuraes distintas. Cada um dos grupos mostrado
em azul, caso sua configurao j tenha sido realizada ou em laranja caso no tenha sido
realizada. Em cada um dos grupos possvel clicar no link assistente para invocar a
execuo do assistente responsvel pela configurao do grupo. No caso em que alguma
configurao no venha a ser realizada nunca (por exemplo, no caso de um firewall que no
realizar VPN) possvel desabilitar a checagem desta configurao marcando a caixa Parar
a checagem automtica das configuraes de VPN do grupo desejado.
O boto Aplicar salva as opes de checagem e mantem a janela aberta.

O boto OK far com que a janela seja fechada e as alteraes salvas.
O boto Cancelar fechar a janela e descartar as modificaes efetuadas.
158
importante observar que a memria cache no considerada memria usada. Ela acessada
apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda esteja em cache,
a reabertura ser mais rpida. Porm, se o sistema precisar de uma quantidade maior de memria
livre, a rea usada para cache liberada.
Recomenda-se que a configurao seja feita na ordem em que os grupos se encontram de cima
para baixo.
Diagnstico
3.17.
O Aker Firewall realiza testes bsicos de conectividade:
Ping na rota padro;

Ping em lugares conhecidos (Ex. DNS da Google);
Testes de DNS;
Teste de HTTP;
Comando traceroute;
Comando Netstat;
Comando Nslookup.
Figura 122 - Diagnsticos.
159
Aba Tudo
retornado ao usurio o status do acesso Internet.
Figura 123 - Janela de Diagnsticos: Tudo

Para ter acesso, basta clicar no boto Testar Tudo. Em seguida surgem os dados.
160
Aba Ping
A aba Ping, realiza um teste de ICMP (Ping) no endereo IP ou nome DNS digitado. Este teste
valida conectividade do Aker Firewall com o endereo testado.
Figura 124 - Janela de Diagnsticos: Ping

Para acessar, basta digitar o endereo IP desejado e clicar no boto ping. Em seguida os
dados so mostrados na tela.
161
Aba Traceroute
A aba Traceroute realiza um trace entre o Aker Firewall e o endereo IP ou nome digitado.
Figura 125 - Janela de Diagnsticos: Traceroute.

Para acessar, basta digitar o endereo IP ou nome e clicar no boto traceroute. Em
seguida os dados sero mostrados na tela.
162
Aba Netstat
A aba Netstat retorna o status de todas as conexes pertencentes ao Aker Firewall.
Figura 126 - Janela de Diagnsticos: Netstat.

Deve-se clicar no boto Netstat. Em seguida os dados so mostrados na tela.
163
Aba Nslookup
A aba Nslookup realiza a resoluo do nome digitado para seu respectivo endereo IP, este
teste importante para validar a configurao DNS do Aker Firewall.
Figura 127 - Janela de Diagnsticos: Nslookup.

Para acessar, basta digitar o nome do servidor para seu respectivo endereo IP e em seguida
clicar no boto Nslookup. Os dados sero mostra dos na tela.
164
165
Este captulo mostra como criar os usurios para administrar remotamente o Aker Firewall.
O que so usurios do Aker Firewall?

Para que alguma pessoa consiga administrar remotamente o Aker Firewall preciso ser
reconhecida e validada pelo sistema. Esta validao feita na forma de senhas, assim, para
que ela seja possvel, cada um dos administradores dever ser previamente cadastrado com
um login e uma senha.
Alm disso, o Aker Firewall permite a existncia de vrios administradores distintos, cada
um responsvel por uma determinada tarefa da administrao. Isso, alm de facilitar a
administrao, permite um maior controle e uma maior segurana. no cadastro de
usurios que define as respectivas atribuies de cada administrador.
4.1. Usurios Administradores
Para ter acesso janela de Usurios administradores, na interface remota, deve-se:
Figura 128 - Acesso a janela de Usurios administradores.
Clicar em Configuraes do Sistema da janela do firewall que quer administrar.
166
Selecionar o item Usurios administradores.

Esta opo s habilitada quando o usurio que est com a sesso aberta na interface
remota tem autoridade para gerenciar usurios. Isso ser comentado em detalhes no
prximo tpico.
A janela de Usurios administradores
Aba Usurios internos
Figura 129 - Janela de Usurios administradores (Usurios internos).
Esta janela consiste de uma lista de todos os usurios atualmente definidos para acesso
administrao do firewall, alm de um segredo compartilhado (ou senha), para
administrao centralizada pelo Aker Configuration Manager. No havendo o segredo
compartilhado, a configurao ser apenas efetuada pelos usurios cadastrados.
mostrado o login, o nome completo e as permisses de cada usurio.
O boto OK fecha a janela de administrao de usurios e salva as modificaes.
167
O boto Aplicar aplica permanentemente as alteraes realizadas sobre um

determinado usurio sem fechar a janela.
O boto Cancelar fecha a janela de administrao de usurios e descarta todas as
alteraes efetuadas.
Quando um usurio for selecionado, os seus atributos completos so mostrados nos
campos Permisses.
Para alterar os atributos de um usurio, deve-se proceder da seguinte forma:

1. Selecionar o usurio a ser alterado clicando sobre seu nome. Neste momento so
mostrados os seus atributos nos campos aps a listagem de usurios.
2. Alterar o valor dos atributos desejados e clicar no boto Aplicar ou no boto OK. A partir
deste momento as alteraes sero efetivadas.
Para incluir um usurio na lista, deve-se proceder da seguinte forma:
1. Clicar com o boto direito do mouse em qualquer lugar da rea reservada para mostrar
a lista (aparece o boto Inserir) e selecionar a opo Incluir no menu pop-up ou clicar no
cone
que representa a incluso na barra de ferramentas.
2. Preenche os campos do usurio a ser includo e clicar no boto Aplicar ou no boto OK.
Para remover um usurio da lista, deve-se proceder da seguinte forma:
1. Selecionar o usurio a ser removido, clicar sobre seu nome e clicar no cone
que
representa a remoo na barra de ferramentas, ou clicar com o boto direito do mouse
sobre o nome do usurio a ser removido e selecionar a opo Excluir no menu pop-up.
Significado dos atributos de um usurio
Login
a identificao do usurio para o firewall. No podem existir dois usurios com o mesmo
login. Este login ser pedido ao administrador do firewall quando este for estabelecer uma
sesso de administrao remota.
O login deve ter entre 1 e 14 caracteres. No h diferenas entre letras maisculas e
minsculas neste campo.
Nome
Este campo contm o nome completo do usurio associado ao login. Os seus objetivos so
de informao, no sendo usado para qualquer validao.
Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.
168
Senha
Este campo ser usado em conjunto com o campo login para identificar um usurio perante
o Aker Firewall. Ao digitar a senha, sero mostrados na tela asteriscos "*" ao invs das
letras.
O campo senha deve ter no mximo 14 caracteres. Seu tamanho mnimo configurvel por
meio da janela de parmetros da interface (para maiores informaes veja o tpico
Utilizando a interface remota). Neste campo, letras maisculas e minsculas so
consideradas diferentes.
extremamente importante que as senhas usadas tenham um comprimento grande, o mais
prximo possvel do limite de 14 caractres. Alm disso, deve-se sempre utilizar uma
combinao de letras minsculas, maisculas, nmeros e caracteres especiais nas senhas
(caracteres especiais so aqueles encontrados no teclado dos computadores e que no so
nmeros nem letras: "$","&",]", etc.). Nunca use como senhas palavras em qualquer idioma ou
apenas nmeros.
Confirmao
Este campo serve para confirmar a senha digitada no campo anterior, uma vez que
aparecem asteriscos na tela, ao invs dos caracteres propriamente ditos.
Permisses
Este campo define o que um usurio pode fazer dentro do Aker Firewall. Ele consiste de trs
opes que podem ser marcadas independentemente.
O objetivo destas permisses possibilitar a criao de uma administrao descentralizada
para o firewall. possvel, por exemplo, numa empresa que possua vrios departamentos e
vrios firewalls, deixar um administrador responsvel pela configurao de cada um dos
firewalls e um responsvel central com a tarefa de supervisionar a administrao. Este
supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos
dos firewalls. Desta forma, apesar de cada departamento ter autonomia de administrao
possvel ter um controle central do que cada administrador alterou na configurao e
quando ele realizou cada alterao. Isto um recurso muito importante para realizar
auditorias internas e aumenta a segurana da administrao.
Caso um usurio no possua nenhum atributo de autoridade, ento, esse ter permisso
apenas para visualizar a configurao do firewall e compactar os arquivos de log e de eventos.
169
Configurao do Firewall
Quando esta permisso est marcada, o usurio em questo pode administrar o firewall,
isto , altera a configurao das entidades, regras de filtragem, converso de endereos,
criptografia, proxies e parmetros de configurao que no estejam relacionados ao log.
Configurao do Log
Quando esta opo est marcada, o usurio em questo tem poderes para alterar os
parmetros relacionados ao log (como por exemplo, tempo de permanncia do log), alterar
a configurao da janela de aes (tanto as mensagens quanto os parmetros) e apagar
permanentemente o log e os eventos.
Administrar Usurios
Quando esta opo est marcada, o usurio em questo tem acesso janela de
administrao de usurios, podendo incluir, editar e excluir outros usurios.
Um usurio com este nvel de autoridade somente poder criar, editar ou excluir
usurios com autoridades de nveis iguais ou menores aos que ele possuir (por exemplo, se
um usurio tiver poderes de gerenciar outros usurios e configurar log, ento ele poder
criar usurios que no possuam nenhuma autoridade, que somente possam configurar o
log, que somente possam criar novos usurios ou que possam gerenciar usurios e
configurar log. Ele no poder nunca criar, nem editar ou excluir, um usurio que possa
configurar o firewall).
Conecta o Configuration Manager

Essa opo habilita/desabilita acessos ao Aker Firewall pelo Configuration Manager. Ao
habilitar conexes a senha comum ao firewall e ao gerenciador (shared secret) deve ser
informada.
170
Aba Agentes Externos
Figura 130 - Usurios Administradores: Agentes externos.
Esta aba consiste na configurao dos agentes externos que so utilizados para a
autenticao dos usurios que administram o firewall, definindo, assim, regras de
autenticao para o acesso destes.
Habilitar autenticao via agentes externos
Selecionar essa opo permite a autenticao dos usurios, por meio de agentes externos
previamente cadastrados no firewall. Tambm permite definir o autenticador externo, qual
o usurio/grupo que ele pertence, quais as suas permisses de acesso e a definio das
entidades que o usurio utilizar para conectar ao firewall.
Autenticador
Ao clicar com o boto direito em cima da opo autenticador, poder selecionar um
autenticador (agente externo) habilitado na aba Mtodos da Janela Autenticao. Esse
autenticador responsvel por intermediar o processo de autenticao da interface com o
firewall.
171
Usurio/Grupo
Os usurios e os grupos estaro relacionados ao autenticador escolhido. Pode-se associar
um usurio somente ou um grupo deles.
Permisses
Este campo define o que um usurio pode fazer dentro do Aker Firewall. Ele consiste de trs
opes que podem ser marcadas independentemente.
O objetivo destas permisses possibilitar a criao de uma administrao descentralizada
para o firewall. possvel, por exemplo, numa empresa que possua vrios departamentos e
vrios firewalls, deixar um administrador responsvel pela configurao de cada um dos
firewalls e um responsvel central com a tarefa de supervisionar a administrao. Este
supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos
dos firewalls. Desta forma, apesar de cada departamento ter certa autonomia de
administrao possvel ter um controle central que grave o que cada administrador altere
a configurao e quando ele realizou cada alterao. Isto um recurso muito importante
para realizar auditorias internas, alm de aumentar a segurana da administrao.
Entidades
As Entidades so representaes de objetos do mundo real para o Aker Firewall. Por meio
delas, podem-se representar mquinas, redes, servios a serem disponibilizados, entre
outros. Essa opo permite definir de qual entidade o usurio se conectar ao firewall.
Servidor Fingerprint
um resumo da identificao do certificado digital do Aker Firewall. Essa opo possibilita
ao usurio identificar quando tem uma mudana do firewall que se costuma conectar.
172
Aba Autenticao X.509
Figura 131 - Usurios Administradores de autenticao - X509.
Essa aba consiste no mtodo de autenticao com certificao digital X.509. O Certificado
Digital pode ser considerado como a verso eletrnica (digital) de uma cdula de
identidade, associa uma chave pblica com a identidade real de um indivduo, de um
sistema servidor, ou de alguma outra entidade. Um certificado digital normalmente usado
para ligar uma entidade a uma chave pblica. Para garantir a integridade das informaes
contidas neste arquivo ele assinado digitalmente, no caso de uma infraestrutura de
Chaves Pblicas (ICP), o certificado assinado pela Autoridade Certificadora (AC) que o
emitiu e no caso de um modelo de Teia de Confiana (Web of trust) como o PGP o
certificado assinado pela prpria entidade e assinado por outros que dizem confiar
naquela entidade. Em ambos os casos as assinaturas contidas em um certificado so
atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele
certificado.
173
Um certificado normalmente inclui:
Informaes referentes entidade para o qual o certificado foi emitido (nome, email, CPF/CNPJ, PIS etc.);
A chave pblica referente chave privada de posse da entidade especificada no
certificado;
O perodo de validade
A localizao do "centro de revogao" (uma URL para download da CRL, ou local
para uma consulta OCSP);
A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pblica contida
naquele certificado confere com as informaes contidas no mesmo.
Um certificado padro X.509 outro formato de certificado muito comum. Todos os

certificados X.509 obedecem ao padro internacional ITU-T X.509; assim (teoricamente)
certificados X.509 criados para uma aplicao podem ser usados por qualquer aplicao que
obedece X.509.
Um certificado exige algum para validar que uma chave pblica e o nome do dono da
chave vo juntos. Com certificados de PGP, qualquer um pode representar o papel de
validador. Com certificados X.509, o validador sempre uma Autoridade de Certificao ou
algum designado por uma CA.
Um certificado X.509 uma coleo de um conjunto padro de campos contendo
informaes sobre um usurio ou dispositivo e sua correspondente chave pblica. O padro
X.509 define qual informao vai ao certificado, e descreve como codificar isto (o formato
dos
dados).
Todos
os
certificados
X.509
tm
os
seguintes
dados:
O nmero da verso do X.509 que identifica o padro aplicado na verso do X.509 para este
certificado, o que afeta e qual informao pode ser especificada neste.
A chave pblica do possuidor do certificado junto com um algoritmo de identificao,
especifica qual sistema de criptografia pertence chave e quaisquer parmetros associados.
Abaixo, seguem os campos que contm na aba:
Habilitar autenticao X.509:
Quando selecionada, essa opo habilita a autenticao do usurio via certificado digital
X.509.
CN do certificado do firewall:
Essa opo mostra qual certificado o Aker Firewall est utilizando na sua autenticao.
Importar Certificado:
174
Clicar nesse cone, permite a incluso de um novo certificado, ou seja, carrega-se o

certificado cadastrado no arquivo, incluindo-o no firewall.
Figura 132 Importar certificado.
Ao selecionar o certificado e clicar no boto Abrir, a tela seguinte apresentar 3

solicitaes: Senha do certificado, Senha para salvar a chave privada e Confirmao da
senha da chave privada. Clicar no boto OK.
Figura 133 Certificado (importado).
Exporta Certificado: Gravam os dados do certificado, para transport-lo para uma futura
aplicao desse certificado. Tira uma cpia do certificado.
175
Figura 134 Exportar certificado.
Escolher e clicar no boto Salvar.
A tela seguinte apresentar 4 solicitaes: Senha para salvar o certificado, Confirme a

senha do certificado, Senha para salvar a chave privada e Confirmao da senha da
chave privada. Clicar no boto OK.
Figura 135 Certificado (exportado).

176
Remove Certificado: Ao clicar nesse cone, o certificado previamente includo removido.

Com isso o Aker Firewall fica sem nenhum certificado.
Mostra detalhes dos certificados: Mostra todas as informaes contidas no certificado

habilitado.
Figura 136 Detalhes do Certificado.
Autoridade Certificadora:
A autoridade certificadora (CA - certificate authority) deve garantir ao usurio, por meio da
assinatura de seus certificados, que tais entidades so realmente quem dizem ser. Ento, a
CA tem um papel bsico de garantir a correspondncia entre a identidade e a chave pblica
de uma determinada entidade, sabendo que tal chave pblica corresponde a uma chave
privada que permanece sob guarda exclusiva dessa entidade.
Para tanto, a CA deve ser capaz de realizar todos os processos de emisso de certificados,
verificao de validade, armazenamento, publicao ou acesso on-line, revogao e
arquivamento para verificao futura.
Em consequncia, uma autoridade certificadora constitui-se de um sistema computacional
completo, capaz de comunicar, processar e armazenar. Alm disso, tanto as comunicaes
envolvendo esse sistema, quanto o prprio sistema, devem ser tambm protegidas e a
prpria identidade do sistema deve ser garantida, necessidades esta que so atendidas por
intermdio da publicao de uma chave pblica pertencente prpria autoridade
177
certificadora. Como tal chave deve tambm ser garantida com um certificado digital, ento,
em geral, uma autoridade certificadora deposita sua chave pblica junto
outra autoridade certificadora, formando uma estrutura de certificao onde algumas CA
funcionam como autoridades certificadoras para outras CAs.
Essa opo seleciona uma autoridade certificadora qual o usurio est vinculado.
Pseudo Group
Corresponde aos grupos de certificados, relacionados autoridade certificadora selecionada
na opo acima. O campo Pseudo Group no editvel.
Permisses
O campo Permisses editvel, podendo, para cada CA selecionada relacionar as
permisses para cada grupo.
Esta opo, uma vez escolhida uma Autoridade Certificadora e definidos os
nveis/permisses de acesso para cada grupo, ao trocar de CA todas as permisses
relacionadas outra CA sero perdidos.
178
Figura 137 Opo de escolhas do servidor.
4.2. Utilizando a Interface Texto (via SSH-fwadmin)
Alm da Interface Remota de administrao de usurios, existe uma interface local,

orientada a caracteres, que possui praticamente as mesmas capacidades da Interface
Remota (E possvel usar todos os comandos sem o prefixo FW, para isso execute o
comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW). A
nica funo no disponvel a de alterao das permisses dos usurios. Essa Interface
Texto (via SSH), ao contrrio da maioria das demais interfaces orientadas a caracteres do
Firewall Aker, interativa e no recebe parmetros da linha de comando.
Localizao do programa: /etc/firewall/fwadmin

179
Ao ser executado, o programa exibir a tela a seguir.:
Figura 138 - Execuo do programa utilizando a Interface Texto (via SSH).
Para executar qualquer uma das opes mostradas, digite a letra mostrada em negrito.
Cada opo mostrada abaixo em detalhes:
180
Inclui um novo usurio: Esta opo inclui um novo usurio que poder administrar o
Aker Firewall remotamente. Ao ser selecionada, mostrada uma tela pedindo as
diversas informaes do usurio. Aps todas as informaes serem preenchidas
pedida uma confirmao para a incluso do usurio.
Figura 139 - Execuo do programa para incluso de usurios como administrados do Aker
Firewall.
Para prosseguir com a incluso, digite S. Para abortar, digite N.
181
Remoo de usurio cadastrado: Esta opo, remove um usurio cadastrado no

sistema. O login do usurio a ser removido necessrio. A seguir, haver uma
confirmao para realizar a operao.
Figura 140 - Execuo do programa para a excluso de usurios.

Para prosseguir com a remoo, digite S. Para abortar, digite N.
182
Alterao de senha de usurio: Esta opo altera a senha de um usurio j

cadastrado no sistema. O login do usurio cuja senha ser alterada necessrio.
Digite a nova senha. A seguir, haver uma confirmao para realizar a operao.
Figura 141 - Execuo do programa para a alterao de senha do usurio.
183
Listagem de usurios: Esta lista de usurios cadastrados tem os nomes e as

permisses de todos os usurios autorizados a administrar remotamente o firewall.
Um exemplo de uma possvel listagem de usurios a seguinte:
Figura 142 - Execuo do programa para exibir a listagem de usurios e permisses.

O campo permisses consiste de 3 possveis valores: CF, CL, e GU, que correspondem
respectivamente s permisses de: Configura Firewall, Configura Log e Gerencia Usurios.
Se um usurio possuir uma permisso, ela ser mostrada com o cdigo acima, caso
contrrio ser mostrado o valor --, indicando que o usurio no a possui.
184
Compacta arquivo de usurios: Esta opo no est presente na Interface Remota e

no possui uso frequente. Ela serve para compactar o arquivo de usurios,
removendo entradas no mais usadas. Ele somente deve ser usado quando for
removido um grande nmero de usurios do sistema.
Ao ser selecionada, o arquivo ser compactado e ao final ser mostrada uma mensagem
indicando que a operao foi completada (a compactao do arquivo costuma ser uma
operao bastante rpida, durando poucos segundos).
Figura 143 Compactao do programa para exibir a compactao do arquivo de usurios.
185
Edita as opes do Configuration Manager: Esta opo permite alterar as

configuraes do Aker Configuration Manager. possvel habilitar/desabilitar
acessos ao Aker Firewall pelo Configuration Manager e modificar a shared secret. Se
o acesso ao firewall no estiver habilitado, ser mostrada uma tela pedindo a criao
da shared secret. necessrio preencher a senha e sua confirmao.
Figura 144 - Edio das configuraes do Aker Configuration Manager.
186
Se o acesso ao firewall j estiver habilitado, sero mostradas novas opes de configurao:
Figura 145 - Edio das configuraes do Aker Configuration Manager (Firewall habilitado).
Desabilita acesso pelo Configuration Manager: Quando selecionada essa opo no

ser mais possvel acessar o Aker Firewall pelo Configuration Manager at que o
usurio habilite o acesso novamente.
Modifica shared secret do Configuration Manager: Permite alterao da shared

secret. necessrio entrar com a nova senha e com a sua confirmao.
187
Figura 146 - Edio das configuraes do Aker Configuration Manager (desabilita, modifica
ou retorna).
Sai do fwadmin: Esta opo encerra o programa fwadmin e retorna para a linha de
comando.
188
189
5.
Configurando os parmetros do sistema

Este captulo mostra como configurar as variveis que iro influenciar nos resultados de todo
o sistema. Estes parmetros de configurao atuam em aspectos como a segurana, log do
sistema e tempos de inatividade das conexes.
5.1. Utilizando a Interface Remota
Para ter acesso a janela de configurao de parmetros, deve-se:
Figura 147 - Acesso aos dispositivos remotos (Parmetros de configurao).
Clicar no menu Configuraes do Sistema da janela do firewall que quer administrar;

Selecionar o item Parmetros de Configurao.
A janela de Parmetros de configurao
O boto OK far com que a janela de configurao de parmetros seja fechada e as
alteraes que foram efetuadas sejam aplicadas.
O boto Cancelar far com que a janela seja fechada, porm as alteraes efetuadas no
sejam aplicadas;
O boto Aplicar enviar para o firewall todas as alteraes feitas, porm manter a janela
aberta.
190
Significado dos parmetros

Aba Global
Figura 148 - Parmetros de configurao do Aker Firewall: global.
Nesta janela, estes parmetros so utilizados pelo filtro de estados e pelo conversor de
endereos. Eles consistem dos seguintes campos:
Interface Externa (Por motivo de controle de licena): Define o nome da interface externa
do firewall. Conexes que vierem por esta interface no contam, na licena.
Valor padro: Configurado durante a instalao do firewall pelo administrador.
Tempo limite TCP: Define o tempo mximo, em segundos, que uma conexo TCP pode
permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar
de 0 a 259200 (72 horas).
Valor padro: 900 segundos.
Tempo limite UDP: Define o tempo mximo, em segundos, que uma conexo UDP pode
permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar
de 0 a 259200 (72 horas).
191

Estes campos so de vital importncia para o correto funcionamento do firewall: valores
muito altos podero causar problemas de segurana para servios baseados no protocolo
UDP, faro com que o sistema utilize mais memria e o tornaro mais lento. Valores muito
baixos podero causar constantes quedas de sesso e o mau funcionamento de alguns
servios.
Tamanho mnimo de senha: Define o nmero mnimo de caracteres que as senhas dos
administradores devem ter para serem aceitas pelo sistema. Seu valor pode variar entre 4 e
14 caracteres.
Valor padro: 6 caracteres.
importante que este valor seja o maior possvel, de modo a evitar a utilizao de senhas
que possam ser facilmente quebradas.
Endereos fixos de configurao remota: So endereos que, independentemente de
regras e de extrapolao dos limites de licenas, podem administrar o firewall (isto
conectar na porta 1020). Eles servem como medida de preveno anti-bloqueio do firewall,
uma vez que s podem ser configurados via Interface Texto (via SSH).
192
Aba Log
Figura 149 - Parmetros de configurao: Log.
Local: Indica que o log/eventos/estatsticas deve ser salvos em um disco local, na mquina
onde o firewall estiver rodando.
Tempo de vida no log / eventos / estatstica: Os registros de log, eventos e estatsticas do
firewall so mantidos em arquivos dirios. Esta configurao define o nmero mximo de
arquivos que sero mantidos pelo sistema, em caso de log local. Os valores possveis vo de 1
a 365 dias.
Valor padro: 7 dias
Tamanho (GB) / eventos / log / estatsticas: Os arquivos (log ou evento ou estatstica) sero
limitados em tamanho total em disco, ou seja, caso o total de logs em disco ultrapasse o
valor estipulado, os logs mais antigos sero apagados.
193
Exemplo da nova rotao de logs do firewall
Perodo
rotao
Controles
excluso
arquivos
ANTES
ATUAL
de
01 vez por dia
01 vez por hora ou arquivo atual

atingindo o tamanho mximo
configurado.
para
dos
Ultrapassando
tempo
configurado.
o
limite
Ultrapassando o tempo ou
tamanho limite configurado.
Exemplo:
Configurao do ambiente:
Tempo limite: 07 dias tamanho mximo de log de 2,4 GB
So gerados 100 MB de arquivos de log por hora.
s 11:59 do 1 dia, haver aproximadamente 2,4 GB de arquivos de log.
meia-noite do 2 dia, o firewall rotacionar os logs.
Isso far com que o primeiro arquivo de log de 100 MB, criado no 1 dia, seja excludo do
HD, fazendo com que este fique com 2,3 GB de arquivos de log.
Depois disso, o firewall recebeu um ataque de flood e comeou a gerar 3,4 GB de log por
hora.
Quando o arquivo de log (APENAS O ARQUIVO QUE EST SENDO ESCRITO, SEM CONTAR OS
OUTROS) alcanar 2,4 GB (neste momento o diretrio ter 4,7 GB de log), o firewall
rotacionar os logs, excluindo TODOS os registros de log, inclusive o arquivo de 2,4 GB. Na
sequncia, criar outro arquivo zerado e comear a gravar os logs nele.
O evento acima aconteceu um pouco antes do natal, em uma sexta-feira, e a empresa
resolveu dar folga a semana toda para emendar com o ano novo. O arquivo de log, aps o
ataque de flood, ficou um 01 GB de tamanho e o firewall passou a produzir 1 KB de log por
hora.
06 dias, 23 horas e 59 minutos se passaram e o firewall criou vrios arquivos de log,
completando um tamanho total de 1,000160217 GB. meia-noite, aps 07 dias, o firewall
194
rotacionou os logs excluindo apenas o arquivo de 1 GB, criado uma semana atrs, e
deixando apenas 0,000160217 GB de arquivos de log.
No exemplo, foi utilizado o log, mas o funcionamento igual em relao a eventos e
estatsticas. O rotacionamento no instantneo. Ele ocorre de duas maneiras: de hora em
hora ou quando o arquivo em que os registros so gravados ultrapassar o tamanho
configurado.
O Aker Firewall suporta at 3 endereos de servidores Syslog simultneamente.
Logar Converso de Endereo (NAT): Habilita o registro no log do sistema das converses
de endereos feitas pelo firewall.
Valor padro: Converses de endereo no devem ser logadas
Mesmo com esta opo ativa, somente sero logados os pacotes convertidos por meio das
converses 1: N e N: 1. As converses por outros tipos de regras no sero registradas.
A ativao desta opo no traz nenhuma informao importante e deve ser utilizada
apenas para fim de testes ou para tentar resolver problemas.
Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o daemon de log
do Unix, o syslogd.
Valor padro: No envia log para o syslogd
Ao habilitar essa opo, os registros de log sero enviados para a fila local0 e os de eventos
para a fila local1.
Esta opo no altera em nada o registro interno do log e dos eventos realizado pelo
prprio firewall.
195
Aba Segurana
Figura 150 - Parmetros de configurao: Segurana.
Parmetros de Segurana
Permitir pacotes com rota para origem: Habilita a passagem de pacotes que tenham a
opo de registro de rota ou de roteamento dirigido. Se esta opo estiver desmarcada, os
pacotes com alguma destas opes no podero trafegar.
Valor padro: Pacotes IP direcionados no so permitidos.
Cabe ressaltar que a aceitao de pacotes com rota para a origem pode causar uma falha
sria de segurana. A no ser que se tenha uma razo especfica para deix-los passar, esta
opo deve ser mantida desmarcada.
Suporte FTP: Habilita o suporte especfico para o protocolo FTP.
Valor padro: Suporte FTP est habilitado

Este parmetro faz com que o firewall trate o protocolo FTP de forma especial, de modo a
permitir que ele funcione transparentemente para todas as mquinas clientes e servidoras,
196
internas ou externas. A no ser que se pretenda usar FTP por meio do firewall, esta opo
deve estar marcada.
Suporte ao Real Audio: Habilita o suporte para os protocolos Real Audio e Real
Video.
Valor padro: Suporte Real Audio est habilitado

Este parmetro faz com que o firewall trate o protocolo Real Audio / Real Video de forma
especial, de modo que permita ele funcionar transparentemente usando conexes TCP e
UDP. A no ser que pretenda usar o Real Audio ou se pretenda utiliz-lo apenas com
conexes TCP, esta opo deve estar marcada.
Suporte RTSP: Habilita o suporte para o protocolo RTSP.
Valor padro: Suporte RTSP est habilitado

O RTSP (Real Time Streaming Protocol) um protocolo que atua no nvel de aplicao que
permite a entrega controlada de dados em tempo real, como udio e vdeo. Fontes de
dados podem incluir programas ao vivo (com udio e vdeo) ou algum contedo
armazenado (eventos pr-gravados). Ele projetado para trabalhar com protocolos como o
RTP, HTTP e/ou outro que de suporte a mdia contnua sobre a Internet. Ele suporta trfego
multicast bem como unicast. E tambm suporta interoperabilidade entre clientes e
servidores de diferentes fabricantes. Este parmetro faz com que o firewall trate o
protocolo de forma especial, de modo a permitir que ele funcione transparentemente
usando conexes TCP e UDP.
Suporte PPTP: Habilita o suporte para o protocolo PPTP da Microsoft.
Valor padro: Suporte PPTP est habilitado

O PPTP um protocolo criado pela Microsoft para possibilitar acesso seguro de mquinas
clientes a redes corporativas, por meio de VPN. Este parmetro faz com que o firewall trate
o PPTP (GRE) de forma especial possibilitando que ele trafegue normalmente por meio dele,
mesmo com a converso de endereos (NAT) habilitada.
Suporte H323: Habilita o suporte para o protocolo H.323
Valor padro: Suporte H.323 est habilitado

O H.323 um protocolo que permite a implementao de voz sobre IP (VOIP) e suportado
pela maioria dos dispositivos com esse fim. Este parmetro faz com que o firewall trate o
H.323 de forma especial possibilitando que ele trafegue normalmente por meio dele,
mesmo com a converso de endereos (NAT) habilitada.
Algumas aplicaes podem no funcionar com o suporte H323 habilitado.
197
Suporte ao MSN: Habilita o suporte para o MSN Messenger
Valor padro: Suporte ao MSN Messenger est habilitado.

O MSN Messenger um protocolo de mensagens instantneas que permite a comunicao
entre duas ou mais pessoas ao mesmo tempo. Este parmetro faz com que o firewall trate o
Messenger de forma especial possibilitando que seu uso seja controlado por meio dos perfis
de acesso.
Suporte SIP: habilita o suporte para o protocolo SIP.
Valor padro: Suporte SIP est habilitado.

O Protocolo de Iniciao de Sesso (Session Initiation Protocol - SIP) um protocolo de
aplicao, que utiliza o modelo requisio-resposta, similar ao HTTP, para iniciar
chamadas e conferncias por meio de redes via protocolo IP.
Algumas aplicaes podem no funcionar com o suporte SIP habilitado.
Suporte DCE-RPC TCP: habilita o suporte o para protocolo DCE-RPC TCP.
Valor padro: Suporte DCE-RPC TCP est habilitado.

O DCE/RPC TCP um tipo de protocolo RPC, Chamada de Procedimento Remoto (Remote
Procedure Call), que tem como objetivo permitir o desenvolvimento de aplicaes
cliente/servidor. muito utilizado em administrao de domnio e gerenciamento remoto
do servidor.
Manter conexes das regras expiradas: mantm a conexo mesmo aps o prazo de
validade de a regra ter sido expirada.
Valor padro: manter conexes de regras expiradas.

Esta opo permite ao usurio permanecer conectado mesmo aps o trmino do perodo
definido para o fim da conexo.
Ex.: o usurio inicia um download via FTP dentro do horrio definido por regra. Caso esta
opo esteja marcada, a conexo (download) no ser finalizada no horrio definido e sim
aps o trmino de transferncia dos arquivos.
198
Aba SNMP
Figura 151 - Parmetros de configurao: SNMP.
Comunidade de leitura: Este parmetro indica o nome da comunidade que est

autorizada a ler dados do firewall via SNMP. Caso este campo esteja em branco,
nenhuma mquina estar autorizada a l-los.
Valor padro: campo em branco
Comunidade de escrita: Este parmetro indica o nome da comunidade que est

autorizada a alterar dados do firewall via SNMP. Caso este campo esteja em branco,
nenhuma mquina estar autorizada a alter-los
Valor padro: campo em branco
199
Mesmo com uma comunidade de escrita definida, por razes de segurana, somente
podero ser alterados algumas variveis do grupo system.
Descrio: Tipo de servio que a mquina disponibiliza para o usurio.

Contato: Tipo de contato (e-mail, homepage) que o administrador disponibiliza para
o usurio.
Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS.
Local: Local fsico onde a mquina est instalada.
O SNMPv3 inclui trs importantes servios: autenticao (authentication), privacidade

(privacy) e controle de acesso (access control).
Habilita SNMPv3: Quando selecionada essa opo permite definir o tipo de

permisso de um usurio e qual o nvel de segurana que ele estar relacionado.
Nome do usurio: Nome do usurio que ter permisso para conferir ou modificar
as informaes.
Tipo de permisso: Permite a escolha do tipo de permisso do usurio. Poder ter
acesso de somente leitura dos dados ou de leitura e escrita.
Nvel de segurana: Permite a escolha do tipo de segurana dos dados. Pode-se
optar por nenhuma autenticao, com autenticao ou autenticao com cifragem.
Caso a escolha seja com autenticao, as opes Mtodo de autenticao e senha de
autenticao sero habilitadas. Caso a escolha seja autenticao com cifragem, as
opes Mtodo de cifragem e senha de cifragem sero habilitadas.
Lista de MIBs suportadas para coletas SNMP
AGENTX-MIB.txt
IANA-RTPROTO-MIB.txt
BRIDGE-MIB.txt
IANAifType-MIB.txt
DISMAN-EVENT-MIB.txt
IF-INVERTED-STACK-MIB.txt
DISMAN-SCHEDULE-MIB.txt
IF-MIB.txt
DISMAN-SCRIPT-MIB.txt
INET-ADDRESS-MIB.txt
EtherLike-MIB.txt
IP-FORWARD-MIB.txt
HCNUM-TC.txt
IP-MIB.txt
HOST-RESOURCES-MIB.txt
IPV6-FLOW-LABEL-MIB.txt
HOST-RESOURCES-TYPES.txt
IPV6-ICMP-MIB.txt
IANA-ADDRESS-FAMILY-NUMBERS-MIB.txt
IPV6-MIB.txt
IANA-LANGUAGE-MIB.txt
IPV6-TC.txt
200
IPV6-TCP-MIB.txt
NOTIFICATION-LOG-MIB.txt
IPV6-UDP-MIB.txt
RFC-1215.txt
NET-SNMP-AGENT-MIB.txt
RFC1155-SMI.txt
NET-SNMP-EXAMPLES-MIB.txt
RFC1213-MIB.txt
NET-SNMP-EXTEND-MIB.txt
RMON-MIB.txt
NET-SNMP-MIB.txt
SCTP-MIB.txt
NET-SNMP-PASS-MIB.txt
SMUX-MIB.txt
NET-SNMP-TC.txt
SNMP-COMMUNITY-MIB.txt
NET-SNMP-VACM-MIB.txt
Aba Monitoramento
201
Figura 152 - Parmetros de configurao: Monitoramento.
Quando utiliza converso 1-N, ou seja, balanceamento de canal possvel configurar o tipo
de monitoramento a ser realizado pelo firewall para verificar se as mquinas participantes
do balanceamento esto no ar. Os parmetros de monitoramento permitem modificar os
intervalos de tempo de monitoramento, de modo a ajust-los melhor a cada ambiente.
Monitoramento via ping
Esses parmetros configuram os tempos utilizados pelo firewall para realizar o
monitoramento via pacotes ICMP Echo Request e Echo Reply. So eles:
Intervalo de ping: Esse campo define de quantos em quantos segundos, ser enviado um
ping para as mquinas sendo monitoradas. Seu valor pode variar entre 1 e 60 segundos.
202
Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma
mquina pode permanecer sem responder aos pacotes de ping enviados pelo firewall e
ainda ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos.
Tempo de ativao: Esse campo define o tempo, em segundos, que o firewall ir esperar,
aps receber um pacote de resposta de uma mquina anteriormente fora do ar, at
consider-la novamente ativa. Esse intervalo de tempo necessrio, pois normalmente uma
mquina responde a pacotes ping antes de estar com todos os seus servios ativos. Seu
valor pode variar entre 1 e 60 segundos.
Monitoramento via HTTP
Esses parmetros configuram os tempos utilizados pelo firewall para realizar o
monitoramento via requisies HTTP. So eles:
Tempo limite dos pedidos: Esse campo define de quantos em quantos segundos, o firewall
requisitar a URL especificada pelo administrador para cada mquina sendo monitorada.
Seu valor pode variar entre 1 e 300 segundos.
Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma
mquina sendo monitorada poder levar para responder requisio do firewall e ainda ser
considerada ativa. Seu valor pode variar entre 2 e 300 segundos.
203
Aba Data e Hora
Figura 153 - Parmetros de configurao Data e hora.
Esta opo permite ao administrador verificar e alterar a data e a hora do firewall. A data e
hora configuradas corretamente so essenciais para o funcionamento da tabela de horrio
das regras e dos perfis de acesso WWW, das trocas de chaves por meio do protocolo SKIP e
dos sistemas de log e eventos.
Data e hora
Esta janela consiste de dois campos que mostram o valor da data e hora configurado no
firewall. Para alterar qualquer um destes valores, basta colocar o valor desejado no
campo correspondente. Para escolher o ms podem-se utilizar as setas de navegao.
Fuso Horrio
Escolha o fuso horrio que mais se aproxima da regio aonde o firewall ser instalado.
O boto Aplicar alterar a data e hora e manter a janela aberta.

O boto Cancelar fechar a janela e descartar as modificaes efetuadas.
204
Servidor NTP (Network Time Protocol)

Define o servidor de tempo que ser utilizado pelo firewall para sincronizar seu relgio
interno. O NTP suporta at 3 servidores distintos.
5.2. Utilizando a Interface Texto (via SSH-akdate)
A Interface Texto (via SSH) de configurao de parmetros bastante simples de ser

utilizada e possui exatamente as mesmas capacidades da Interface Remota. O objetivo
desta funcionalidade permite que o administrador configure os parmetros
relacionados Hora/Data.
Localizao do programa: /aker/bin/firewall # akdate

Sintaxe:
Uso: date mostra
date dd/mm/[aa]aa
mostra:
Mostra a data atual.
dd/mm/[aa]aa:
Esta opcao configura a data atual. Entre com o dia, mes e ano
separados pelo caracter '/'.
Uso: time mostra

time hh:mm[:ss]
mostra:
Mostra a hora atual.
hh:mm[:ss]:
205
Esta opcao configura a hora atual. Entre com a hora, minuto e

segundo separados pelo caracter ':'. O valor do segundo e
opcional.
Uso: tmzone [mostra|seleciona] areas <area> <subarea>

mostra:
Mostra o fuso horario atual.
mostra areas:
Mostra as zone de tempo agrupadas por areas
mostra <area>:
Mostra a lista de subareas das areas mostradas com o comando acima
seleciona <area> <subarea>:
Altera a zone de tempo do sistema para a correspondente area e
subrea
Exemplo:(configurando o fuso horrio via ssh)
kdate tmzone seleciona America Sao_Paulo
5.3. Utilizando a Interface Texto (via SSH-fwpar)
A Interface Texto (via SSH) de configurao de parmetros bastante simples de ser

utilizada e possui exatamente as mesmas capacidades da Interface Remota(E possvel usar
todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos
os comando podero ser acessados sem o prefixo FW). Ela possui, opes que no esto
disponveis na Interface Remota, entre elas: a opo de adicionar at trs mquinas
possveis de administrarem o firewall remotamente, mesmo sem a existncia de uma regra
liberando sua conexo. O objetivo desta funcionalidade permitir que, mesmo que um
administrador tenha feito uma configurao equivocada que impea sua conexo, ainda
206
assim ele poder continuar administrando remotamente o firewall. Este parmetro chamase end_remoto.
Localizao do programa: /aker/bin/firewall/fwpar
Sintaxe:
fwpar - mostra/altera parmetros de configurao
Uso:
fwpar [mostra | ajuda]
fwpar interface_externa <nome>
fwpar [tempo_limite_tcp | tempo_limite_udp] <segundos>
fwpar [ip_direcionado] <sim | no>
fwpar [suporte_h323 | suporte_msn | suporte_sip | suporte_dce_rpc | manter_cons_exp ]
<sim | no>
fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp] <sim | no>
fwpar [loga_converso | loga_syslog] <sim | no>
fwpar [permanncia_log | permanncia_event | permanncia_stat] <dias>
fwpar [serv_log_remoto <nome>]
fwpar [add_remoto <n> <ip_add>]
fwpar [snmp] [rocommunidade | rwcommunidade | descrio | contato | nome | local]
[nome]
mostra = mostra a configurao atual
ajuda = mostra esta mensagem
interface_externa = configura o nome da interface externa (conexes que vierem por esta
interface no contam na licena)
tempo_limite_tcp = tempo mximo de
tempo_limite_udp = tempo mximo de
ip_direcionado = aceita pacotes IP direcionados
inatividade
inatividade
para
para
conexes
conexes
TCP
UDP
suporte_ftp = habilita suporte ao protocolo FTP

207
suporte_real_audio = habilita suporte ao protocolo Real Audio

suporte_rtsp = habilita suporte ao protocolo RTSP
suporte_pptp
= habilita suporte ao protocolo Microsoft(R) PPTP
suporte_h323
= habilita suporte ao protocolo H.323
suporte_sip
= habilita suporte ao protocolo SIP
suporte_dce_rpc = habilita suporte ao protocolo DCE-RPC sobre TCP

manter_cons_exp = mantem conexes de regras expiradas
loga_converso = registra mensagens de converso de endereos
loga_syslog = envia mensagens de log e eventos para o syslogd
permanencia_log = tempo de permanncia (dias) dos registros de log
permanncia_event = tempo de permanncia (dias) dos registros de eventos;
permanncia_stat = tempo de permanncia (dias) das estatsticas;
serv_log_remoto = servidor de log remoto (nome da entidade);
end_remoto = endereo dos trs controladores remotos;
rocommunidade = nome da comunidade de leitura para SNMP
rwcommunidade = nome da comunidade de escrita para SNMP
Exemplo 1: (visualizando a configurao)

# fwpar mostra Parmetros globais:
------------------tempo_limite_tcp : 900 segundos
tempo_limite_udp : 180 segundos
interface_externa: lnc0
Parmetros de segurana:
-----------------------ip_direcionado : no
208
suporte_ftp
: sim
suporte_real_audio: sim
suporte_rtsp
: sim
end_remoto : 1) 10.0.0.1
2) 10.0.0.2
3)10.0.0.3
Parmetros de configurao de log:

---------------------------------loga_converso : no
loga_syslog
: no
permanncia_log : 7 dias
permanncia_event: 7 dias
permanncia_stat : 7 dias
Parmetros de configurao de SNMP:
-----------------------------------
Exemplo 2: (habilitando pacotes IP direcionados)

#/aker/bin/firewall/fwpar ip_direcionado sim
Exemplo 3: (configurando o nome da comunidade de leitura SNMP)
#/aker/bin/firewall/fwpar rocommunidade public
Exemplo 4: (apagando o nome da comunidade de escrita SNMP)
#/aker/bin/firewall/fwpar rwcommunidade
209
210
Este captulo mostra o que so, para que servem e como cadastrar entidades no Aker
Firewall.
6.1. Planejando a instalao
O que so e para que servem as entidades?

Entidades so representaes de objetos do mundo real para o Aker Firewall. Por meio
delas, podem-se representar mquinas, redes, servios a serem disponibilizados, entre
outros.
A principal vantagem da utilizao de entidades para representar objetos reais que a partir
do momento em que so definidas no Firewall, elas podem ser referenciadas como se
fossem os prprios objetos, propiciando uma maior facilidade de configurao e operao.
Todas as alteraes feitas em uma entidade sero automaticamente propagadas para todos
os locais onde ela referenciada.
Pode-se definir, por exemplo, uma mquina chamada de Servidor WWW, com o endereo
IP de 10.0.0.1. A partir deste momento, no mais necessrio se preocupar com este
endereo IP. Em qualquer ponto onde seja necessrio referenciar esta mquina, a referncia
ser feita pelo nome. Caso futuramente seja necessrio alterar seu endereo IP, basta
alterar a definio da prpria entidade que o sistema automaticamente propagar esta
alterao para todas as suas referncias.
Definindo entidades
Antes de explicar como cadastrar entidades no Aker Firewall necessria uma breve
explicao sobre os tipos de entidades possveis e o que caracteriza cada uma delas.
Existem 9 tipos diferentes de entidades no Aker Firewall: mquinas, mquinas IPv6, redes,
redes IPv6, conjuntos, conjuntos IPv6, servios, autenticadores e interfaces.
As entidades do tipo mquina e rede, como o prprio nome j diz, representam
respectivamente mquinas individuais e redes. Entidades do tipo conjunto representam
uma coleo de mquinas e redes, em qualquer nmero. Entidades do tipo servio
representam um servio a ser disponibilizado por meio de um protocolo qualquer que rode
em cima do IP. Entidades do tipo autenticador representam um tipo especial de mquina
que pode ser utilizada para realizar autenticao de usurios e as entidades do tipo
interface, representam uma interface de rede do firewall.
211
Por definio, o protocolo IP, exige que cada mquina possua um endereo diferente.
Normalmente estes endereos so representados da forma byte a byte, como por exemplo,
172.16.17.3. Desta forma, pode-se caracterizar unicamente uma mquina em qualquer rede
IP, incluindo Internet, com apenas seu endereo.
Para definir uma rede deve-se utilizar uma mscara alm do endereo IP. A mscara serve
para definir quais bits do endereo IP sero utilizados para representar a rede (bits com
valor 1) e quais sero utilizados para representar as mquinas dentro da rede (bits com
valor 0). Assim, para representar a rede cujas mquinas podem assumir os endereos IP de
192.168.0.1 a 192.168.0.254, deve-se colocar como rede o valor 192.168.0.0 e como
mscara o valor 255.255.255.0. Esta mscara significa que os 3 primeiros bytes sero usados
para representar a rede e o ltimo byte ser usado para representar a mquina.
Para verificar se uma mquina pertence a uma determinada rede, basta fazer um E lgico da
mscara da rede, com o endereo desejado e comparar com o E lgico do endereo da rede
com sua mscara. Se eles forem iguais, a mquina pertence rede, se forem diferentes no
pertence. Vejamos dois exemplos:
Suponha que desejamos verificar se a mquina 10.1.1.2 pertence rede 10.1.0.0, mscara
255.255.0.0. Temos:
10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede)
10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereo)
Temos ento que os dois endereos so iguais aps a aplicao da mscara, portanto a
mquina 10.1.1.2 pertence rede 10.1.0.0.
Suponha agora que desejamos saber se a mquina 172.16.17.4 pertence rede 172.17.0.0,
mscara 255.255.0.0. Temos:
172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede)
172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereo)
Como os endereos finais so diferentes, temos que a mquina 172.16.17.4 no pertence
rede 172.17.0.0.
Caso seja necessrio definir uma rede onde qualquer mquina seja considerada como
pertencente a ela (ou para especificar qualquer mquina da Internet), deve-se colocar como
endereo IP desta rede o valor 0.0.0.0 e como mscara o valor 0.0.0.0. Isto bastante til
na hora de disponibilizar servios pblicos, onde todas as mquinas da Internet tero
acesso.
Toda a vez que ocorre uma comunicao entre duas mquinas, usando o protocolo IP, esto
envolvidos no apenas os endereos de origem e destino, mas tambm um protocolo de
nvel mais alto (nvel de transporte) e algum outro dado que identifique a comunicao
212
unicamente. No caso dos protocolos TCP e UDP (que so os dois mais utilizados sobre o IP),
uma comunicao identificada por dois nmeros: a Porta Origem e a Porta Destino.
A porta destino um nmero fixo que est associado, geralmente, a um servio nico.
Assim, temos que o servio Telnet est associado com o protocolo TCP na porta 23, o
servio FTP com o protocolo TCP na porta 21 e o servio SNMP com o protocolo UDP na
porta 161, por exemplo.
A porta origem um nmero sequencial escolhido pelo cliente de modo a possibilitar que
exista mais de uma sesso ativa de um mesmo servio em um dado instante. Assim, uma
comunicao completa nos protocolos TCP e UDP pode ser representada da seguinte forma:
10.0.0.1
Endereo origem
1024
Porta origem
10.4.1.2
Endereo destino
23
Porta destino
TCP
Protocolo
Para um firewall, a porta de origem no importante, uma vez que ela randmica. Devido
a isso, quando se define um servio, leva-se em considerao apenas a porta de destino.
Alm dos protocolos TCP e UDP existem outro protocolo importante: o ICMP. Este protocolo
utilizado pelo prprio IP para enviar mensagens de controle, informar sobre erros e testar
a conectividade de uma rede.
O protocolo ICMP no utiliza o conceito de portas. Ele usa um nmero que varia de 0 a 255
para indicar um Tipo de Servio. Como o tipo de servio caracteriza unicamente um servio
entre duas mquinas, ele pode ser usado como se fosse porta destino dos protocolos, TCP
e UDP, na hora de definir um servio.
Por ltimo, existem outros protocolos que podem rodar sobre o protocolo IP e que no so
TCP, UDP ou ICMP. Cada um destes protocolos tem formas prprias para definir uma
comunicao e nenhum deles utilizado por um grande nmero de mquinas. Ainda assim,
o Aker Firewall optou por adicionar suporte para possibilitar ao administrador o controle
sobre quais destes protocolos podem ou no passar por meio do firewall.
Para entender como isso feito, basta saber que cada protocolo tem um nmero nico que
o identifica para o protocolo IP. Este nmero varia de 0 a 255. Desta forma, podemos definir
servios para outros protocolos usando o nmero do protocolo como identificao do
servio.
213
O que Qualidade de Servio (QoS)?

A qualidade de servio pode ser compreendida de duas formas: do ponto de vista da
aplicao ou da rede.
Para uma aplicao oferecer seus servios com qualidade, tem que atender s expectativas
do usurio em relao ao tempo de resposta e da qualidade do servio que est sendo
provido. Por exemplo, no caso de uma aplicao de vdeo, fidelidade adequada do som e/ou
da imagem sem rudos nem congelamentos.
A qualidade de servio da rede depende das necessidades da aplicao, ou seja, do que ela
requisita da rede a fim de que funcione bem e atenda bem s necessidades do usurio.
Estes requisitos so traduzidos em parmetros indicadores do desempenho da rede como,
por exemplo, o atraso mximo sofrido pelo trfego da aplicao entre o computador
origem e destino.
O Aker Firewall implementa um mecanismo com o qual possvel definir uma banda
mxima de trfego para determinadas aplicaes. Por meio de seu uso, determinadas
aplicaes que tradicionalmente consomem muita banda, podem ter seu uso controlado. As
entidades do tipo Canal so utilizadas para este fim e sero explicadas logo abaixo.
214
6.2. Cadastrando entidades utilizando a Interface Remota
Para ter acesso janela de cadastro de entidades, siga os passos abaixo:
Clicar no menu Configurao do Firewall da janela do firewall que se quer administrar;

Selecionar o item Entidades (a janela ser mostrada abaixo da janela com os menus de
configurao dos firewalls).
A janela de cadastro de entidades
Figura 154 - Janela de entidades (Aker Firewall).
possvel tambm acessar a janela de entidades clicando na tecla:
Figura 155 - Tecla F5 do teclado.
215
Figura 156 - Entidades: Instncia Aker Firewall.
A janela de cadastro de entidades onde so cadastradas todas as entidades do Aker

Firewall, independente do seu tipo. Esta janela, por ser constantemente utilizada em
praticamente todas as demais configuraes do firewall, normalmente mostrada sempre
aberta na horizontal, abaixo da janela com os menus de configurao de cada firewall.
Possui uma janela nica para todos os firewalls abertos. A janela continuar a
mesma, s mudar o contedo que ser referente ao firewall selecionado. Os tipos
de entidades mais usados so os nicos apresentados na aba. As entidades
menos utilizadas aparecem no menu.
possvel posicionar a janela de entidades como se fosse uma janela comum,
bastando para isso clicar sobre sua barra de ttulo e arrast-la para a posio
desejada.
Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia, deve-se
clicar em cima da aba que fica na parte inferior da janela.
Nesta janela esto desenhados oito cones, em forma de rvore, que representam os oito
tipos de entidades possveis de serem criados.
Para visualizar as entidades criadas s clicar no sinal de '+' e as entidades ficaro
listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a entidade
que se deseja visualizar.
Para cadastrar uma nova entidade, deve-se proceder da seguinte forma:
1. Clicar uma vez no cone correspondente entidade do tipo que deseja criar com o boto
direito do mouse e selecionar a opo Inserir no menu pop-up
ou
2. Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a tecla
Insert.
Para editar ou excluir uma entidade, deve-se proceder da seguinte forma:
216
1. Selecionar a entidade a ser editada ou excluda (se necessrio, expande-se a lista do tipo
de entidade correspondente);
2. Clicar com o boto direito do mouse e selecionar a opo Editar ou Apagar,
respectivamente, no menu pop-up que aparecer;
3. Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a tecla
Delete.
No caso das opes Editar ou Incluir, aparecer janela de edio de parmetros da
entidade a ser editada ou includa. Esta janela ser diferente para cada um dos tipos
possveis de entidades.
O cone
, localizado na parte inferior da janela aciona o assistente de cadastramento de
entidades que ser descrito no final deste captulo.
Incluindo / editando mquinas
Figura 157 - Cadastro de entidade: Tipo Mquina.
Para cadastrar uma entidade do tipo mquina deve-se preencher os seguintes campos:
Nome: o nome pelo qual a mquina ser sempre referenciada pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A
opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja
marcada, a atribuio ser automtica, caso contrrio, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades.
Desta forma, possvel a existncia de vrias entidades compostas de nomes com as
mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades
Aker, AKER e aker so, portanto, consideradas diferentes.
217
Ao excluir uma entidade a qual est sendo usada um alguma regra (Regra de NAT,
Regra de Filtragem, Perfil, Criptografia, Regra de Filtragem de aplicao, Regra de
IPS/IDS) no firewall, ser exibido uma mensagem informando quais aes que sero
tomadas ao excluir a entidade em questo, prevenindo maiores danos a sua rede.
Figura 158 - Excluso de entidade
cone: o cone que aparecer associado mquina em todas as referncias. Para alter-lo,
basta clicar sobre o desenho do cone atual. O Firewall ento mostra uma lista com todos os
possveis cones para representar mquinas. Para escolher entre eles basta clicar no cone
desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto
Cancelar.
Endereo IP: o endereo IP da mquina a ser criada.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a
incluso ou alterao da mquina. Para cancelar as incluses ou alteraes realizadas deve
pressionar o boto Cancelar.
Para facilitar a incluso de vrias mquinas seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a
mquina inclua os dados preenchidos e mantenha aberta a janela de incluso de mquinas
onde estar pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente
um grande nmero de mquinas.
Incluindo / editando servidor IPv6
218
Figura 159 - Cadastro de entidade Tipo Mquina IPv6.
Para cadastrar uma entidade do tipo mquina IPv6 deve-se preencher os seguintes campos:
Nome: o nome pelo qual a mquina ser sempre referenciada pelo firewall. possvel
Aker, AKER e aker so, portanto, consideradas diferentes.
cone: o cone que aparecer associado mquina em todas as referncias. Para alter-lo,
basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os
possveis cones para representar mquinas. Para escolher entre eles basta clicar no cone
Cancelar.
Endereo IPv6: o endereo IPv6 da mquina a ser criada.
incluso ou alterao da mquina. Para cancelar as incluses ou alteraes realizadas deve
Para facilitar a incluso de vrias mquinas seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a
mquina inclua os dados preenchidos e mantenha aberta a janela de incluso de mquinas
onde estar pronta para uma nova incluso. Desta forma, possvel cadastrar rapidamente
um grande nmero de mquinas.
219
A ampliao de 32 bits do endereo IPv4 para 128 bits no endereo IPv6 uma das mais
importantes caractersticas do novo protocolo. um imenso espao de endereamento,
com um nmero difcil de ser apresentado (2 elevado a 128), porque so milhares de
bilhes de endereos. O IPv6 acaba ainda com as classes de endereos e possibilita um
mtodo mais simples de autoconfigurao.
O Aker Firewall suporta as seguintes RFCs:
RFC2460 - Internet Protocol, Version 6 (IPv6) Specification;
RFC4291 - IP Version 6 Addressing Architecture;
RFC3484 - Default Address Selection for Internet Protocol version 6 (IPv6);
RFC4443 - Internet Control Message Protocol

Internet Protocol Version 6 (IPv6) Specification;
RFC4862 - IPv6 Stateless Address Autoconfiguration;
RFC1981 - Path MTU Discovery for IP version 6;
RFC4861 - Neighbor Discovery for IP version 6 (IPv6);
RFC4213 - Basic Transition Mechanisms for IPv6 Hosts and Routers.
(ICMPv6)
for
the
A notao mais usual que o endereo IPv6 representado x:x:x:x:x:x:x:x, onde os "x" so
nmeros hexadecimais, ou seja, o endereo dividido em oito partes de 16 bits, como no
seguinte exemplo: 1080:0:0:0:8:800:200C:417A
Incluindo / editando redes
220
Figura 160 - Incluso e edio de redes.
Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos:
Nome: o nome pelo qual a rede ser sempre referenciada pelo firewall. possvel
Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado rede em todas as referncias. Para alter-lo deve
clicar sobre o desenho do cone atual. O firewall ento uma lista com todos os possveis
cones para representar redes ser mostrada. Para escolher entre eles tem que clicar no
cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no
boto Cancelar.
Endereo IP: o endereo IP da rede a ser criada.
Mscara de Rede: Define quais bits do endereo IP sero utilizados para representar a rede
(bits com valor 1) e quais sero utilizados para representar as mquinas dentro da rede (bits
com valor 0)
Intervalo: Este campo mostra a faixa de endereo IP a que pertence rede e realiza uma
crtica quanto mscara que est sendo cadastrada, ou seja no permite cadastramento de
mscaras erradas.
221
Aps estarem todos os campos preenchidos, deve-se clicar no boto OK para realizar a
incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a incluso, deve-se
Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado Nova (que
no estar habilitado durante uma edio). Ao clicar neste boto far com que sejam
includos os dados preenchidos e manter aberta a janela de incluso de redes onde estar
pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande
nmero de redes.
Incluindo / editando redes IPv6
Figura 161 - Incluso e edio de redes IPv6.
Para cadastrar uma entidade do tipo rede IPv6 deve-se preencher os seguintes campos:
Nome: o nome pelo qual a rede ser sempre referenciada pelo firewall. possvel
cone: o cone que aparecer associado rede em todas as referncias. Para alter-lo deve
clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os
possveis cones para representar redes. Para escolher entre eles tem que clicar no cone
desejado e no boto OK. Caso no queira alter-lo aps ver a lista, deve-se clicar no boto
Cancelar.
Endereo IPv6: o endereo IPv6 da rede a ser criada.
222
Tamanho do prefixo da sub-rede : Define quais bits do endereo IP sero utilizados para
representar a rede.
Aps estarem todos os campos preenchidos, deve-se clicar no boto OK para realizar a
incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a incluso, deve-se
Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado Nova (que
no estar habilitado durante uma edio). Ao clicar neste boto far com que sejam
includos os dados preenchidos e manter aberta a janela de incluso de redes onde estar
pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande
nmero de redes.
Incluindo / editando conjuntos
223
Figura 162 - Incluso e edio de conjuntos.
Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes campos:
Nome: o nome pelo qual o conjunto ser sempre referenciado pelo firewall. possvel
marcada, a atribuio ser automtica se no, manual.
cone: o cone que aparecer associado ao conjunto em todas as referncias. Para alterlo, basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos
os possveis cones para representar conjuntos. Para escolher entre eles basta clicar no
boto Cancelar.
Aps preencher o nome e escolher o cone para o conjunto, deve-se definir quais mquinas
e redes faro parte do mesmo. Abaixo esto os passos que devem ser seguidos.
224
1. Clicar com o boto direito do mouse no campo em branco e selecionar a opo

Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre ela
ou clicando uma vez e logo abaixo em Adicionar).
ou
2. Clicar sobre a entidade que deseja incluir, com isso deve arrast-la e solt-la dentro da
janela de entidades do conjunto.
Figura 163 - Adio de entidades.

Para remover uma rede ou mquina do conjunto, deve-se proceder da seguinte forma:
1. Clicar com o boto direito do mouse sobre a entidade a ser removida e selecionar a
opo Remover,
ou
2. Clicar na mquina ou rede a ser removida e pressionar a tecla Delete.
225
Aps todos os campos estarem preenchidos e todas as redes e mquinas que devem fazer
parte do conjunto selecionadas, deve-se clicar no boto OK para realizar a incluso ou
alterao do conjunto. Para cancelar as alteraes realizadas ou a incluso, deve-se
Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o
conjunto cujos dados foram preenchidos seja includo e a janela de incluso de conjuntos
mantida aberta, pronta para uma nova incluso. Desta forma possvel cadastrar
rapidamente um grande nmero de conjuntos.
Editando conjuntos - IPv6
Figura 164 - Edio de conjuntos IPv6.
Para cadastrar uma entidade do tipo conjunto IPv6 deve-se preencher os seguintes campos:
Nome: o nome pelo qual o conjunto ser sempre referenciado pelo firewall. possvel
marcada, a atribuio ser automtica se no, manual.
226

cone: o cone que aparecer associado ao conjunto em todas as referncias. Para alterlo, basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos
os possveis cones para representar conjuntos. Para escolher entre eles basta clicar no
boto Cancelar.
Aps preencher o nome e escolher o cone para o conjunto, deve-se definir quais mquinas
e redes faro parte do mesmo. Abaixo esto os passos que devem ser seguidos.
1. Clicar com o boto direito do mouse no campo em branco e selecionar a opo
Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre
ela
ou
clicando
uma
vez
e
logo
abaixo
em
Adicionar).
ou
2. Clicar sobre a entidade que deseja incluir, com isso deve arrast-la e solt-la dentro
da janela de entidades do conjunto.
Figura 165 - Edio de conjuntos IPv6 (entidades a ser adicionada).
227
Para remover uma rede ou mquina do conjunto, deve-se proceder da seguinte forma:
1. Clicar com o boto direito do mouse sobre a entidade a ser removida e selecionar a
opo Remover.
ou
2. Clicar na mquina ou rede a ser removida e pressionar a tecla Delete.
Aps todos os campos estarem preenchidos e todas as redes e mquinas que devem fazer
parte do conjunto selecionadas, deve-se clicar no boto OK para realizar a incluso ou
alterao do conjunto. Para cancelar as alteraes realizadas ou a incluso, deve-se
Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto chamado Nova
conjunto cujos dados foram preenchidos seja includo e a janela de incluso de conjuntos
rapidamente um grande nmero de conjuntos.
Incluindo/Editando lista de categorias
Figura 166 - Incluso e edio das listas de categorias.

Para definir uma lista de categorias necessrio proceder da seguinte forma:
Selecionar a opo Automtico, caso queira atribuir um nome padro a lista.
228
Preencher o campo nome, onde pode definir um nome especfico para a lista de categorias.
O boto Atualizar permite buscar as categorias no firewall caso tenha havido alguma
atualizao.
Quando selecionada a opo Tentar recuperar categorias pelo critrio nome quando o
Analisador de Contexto for trocado, permite identificar as categorias pelos nomes que
foram cadastradas, pois ao trocar o analisador de contexto muitas categorias podem ser
perdidas.
Incluindo/Editando lista de padres de busca
Figura 167 - Incluso e edio dos padres de buscas.

Para definir um padro de pesquisa necessrio proceder da seguinte forma:
Selecionar a opo Automtico, caso queira atribuir um nome padro ao tipo de pesquisa.
Preencher o campo nome, onde pode definir um nome especfico para a pesquisa.
Os campos Padro e Texto permitem definir qual ser a string ou os parmetros que sero
pesquisados na URL acessada e qual operao a ser efetuada.
229
Incluindo/Editando lista de quotas
Figura 168 - Incluso e edio de quotas.

Esta janela permite definir, vrios tipos de quotas de acesso do usurio rede.
Para criar uma quota pode-se selecionar a opo Automtico para que seja atribudo um
nome padro ao tipo de quota a ser definido ou ento preencher o campo nome, onde pode
atribuir um nome especfico para a lista de quotas.
A opo Tipo da Quota permite escolher se a quota definida ser atribuda diariamente,
semanalmente ou mensalmente. Ao marcar qual o tipo de quota desejada, pode associar a
ela a checagem de tempo de acesso e/ou de volume de dados.
A checagem de tempo pode ser definida em dias e/ou horas. Por exemplo, diariamente s
vai ser liberado 3 horas de acesso internet, ou semanalmente 3 dias ou at mesmo
semanalmente liberado 7 dias.
A contagem de tempo funciona da seguinte forma: quando o usurio acessa uma

pgina, conta um relgio de 31 segundos, se o usurio acessar outra pgina, comea
230
a contar do zero, mas no deixar de contar, por exemplo, os 10 segundos que o

usurio gastou ao acessar a pgina anterior.
Para o consumo de quota, funciona da seguinte forma: no MSN, para cada janela de
conversao, o tempo contado separadamente, j na WEB ser tiver acessando 10
sites, ser contado somente o tempo de uma.
Incluindo / Editando agentes externos

Agentes externos so utilizados para a definio de programas complementares ao Aker
Firewall. So responsveis por funes especficas que podem estar rodando em mquinas
distintas. Quando houver necessidade de realizao de uma determinada tarefa por um dos
agentes externos, ou vice-versa, o firewall se comunicar com eles e requisitar sua
execuo.
Figura 169 - Incluso e edio de agentes externos.

Existem 10 diferentes tipos de agentes externos, cada um responsvel por um tipo distinto
de tarefas:
Autenticadores
Os agentes de autenticao so utilizados para fazer a autenticao de usurios no firewall
utilizando usurios/senhas de bases de dados de diversos sistemas operacionais (Windows
NT, Linux, etc).
Autoridades certificadoras
Autoridades certificadoras so utilizadas para fazer autenticao de usurios por meio de
PKI, com o uso de Smart Cards e para autenticao de firewalls com criptografia IPSEC.
Autenticadores Token
231
Os autenticadores token so utilizados para fazer autenticao de usurios no firewall

utilizando SecurID(R), Alladin e outros.
Agentes IDS
Os agentes IDS (Intrusion Detection Systems - Sistemas detectores de intruso) so sistemas
que ficam monitorando a rede em tempo real procurando por padres conhecidos de
ataques ou abusos. Ao detectar uma destas ameaas, ele pode incluir uma regra no firewall
que bloquear imediatamente o acesso do atacante.
Mdulos de Antivrus
Os agentes antivrus so utilizados pelo proxy SMTP, POP3 e Filtro Web para realizarem a
checagem e a desinfeco de vrus de forma transparente em e-mails e nos downloads FTP
e HTTP.
Analisadores de contexto
Os analisadores de contexto so utilizados pelo Filtro Web para controlar o acesso a URLs
baseados em diversas categorias pr-configuradas.
Servidores remotos de log

Os servidores de log remoto so utilizados pelo firewall para enviar o log para
armazenamento em uma mquina remota.
Autenticador Radius
O autenticador Radius utilizado para fazer autenticao de usurios no firewall a partir de
uma base Radius.
Autenticadores LDAP
O autenticador LDAP permite ao firewall autenticar usurio usando uma base LDAP
compatvel com o protocolo X500.
Spam Meter
Os servidores de o spam meter so utilizados pelo firewall para classificar e-mails e definir
quais deles sero considerados SPAM.
possvel a instalao de diversos agentes externos em uma mesma mquina, desde que
sejam distintos.
Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo o
diretrio de Agentes Externos. Independentemente de seu subtipo, todos os agentes
232
externos possuem os seguintes campos (os demais campos sero ento modificados de
acordo com o tipo do agente a ser cadastrado):
Nome: o nome pelo qual o agente ser sempre referenciado pelo firewall. possvel
cone: o cone que aparecer associado ao agente em todas as referncias. Para alter-lo,
possveis cones para representar agentes do subtipo selecionado. Para escolher entre eles
basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista,
basta clicar no boto Cancelar.
Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token,

necessrio preencher os seguintes campos adicionais:
Figura 170 - Cadastro de um agente externo tipo autenticador ou autenticados token.
IP: o endereo IP da mquina onde o agente est rodando.

Backup 1 e Backup 2: Estes campos permitem com que seja especificado at dois endereos
de outras mquinas que tambm estaro rodando o agente e que serviro como backup no
caso de queda da mquina principal.
233
A mquina principal e as de backup devem compartilhar uma mesma base de usurios,

ou seja, elas devem ser controladoras de domnio primrias e de backup (PDCs e BDCs), no
caso de redes Windows, ou vrias mquinas Unix utilizando NIS.
Senha: a senha utilizada para gerar as chaves de autenticao e criptografia usadas na
comunicao com o agente. Esta senha dever ser igual configurada no agente. Para
maiores informaes, veja o captulo intitulado: Trabalhando com proxies.
Confirmao: Este campo utilizado apenas para verificar se a senha foi digitada
corretamente. Deve-se digit-la exatamente como no campo Senha.
Tempo limite do cache: Todas as vezes que realizada uma autenticao com sucesso, o
firewall mantm em memria os dados recebidos do usurio e do agente. Nas autenticaes
seguintes, o firewall possui todos os dados necessrios e no mais precisa consultar o
agente. Isso permite um grande ganho de performance.
Este parmetro permite definir em segundos o tempo em que o firewall deve manter as
informaes de autenticao em memria. Para maiores informaes, veja o captulo
intitulado: Trabalhando com proxies.
Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-se preencher os

seguintes campos adicionais:
234
Figura 171 - Cadastro de um agente externo tipo Autoridade Certificadora.
Localizao da publicao da lista de certificados revogados (CRL): a URL da qual ser

baixada a lista de certificados revogados da CA (CRL). Esta URL deve ser obrigatoriamente do
protocolo HTTP e deve ser especificada sem o http:// sua frente.
O boto Importar certificado raiz permite carregar o certificado root da CA no firewall. Ao
ser clicado, a interface abrir uma janela para especificar o nome do arquivo com o
certificado a ser importado.
necessrio importar um certificado raiz para cada Autoridade Certificadora criada, caso
contrrio no ser possvel autenticar usurios por meio dela.
O Campo Pseudo-grupos permite definir grupos para usurios que se autenticarem por
meio da autoridade certificadora, da mesma forma como define grupos em um sistema
operacional. Desta maneira, possvel criar pseudo-grupos que representem todos os
usurios de uma determinada empresa, departamento, cidade, etc. Aps serem criados os
pseudo-grupos, eles podem ser associados a perfis de acesso, da mesma forma como se faz
com grupos de autenticadores ou autenticadores token.
Clicando com o boto direito podemos selecionar as seguintes opes:
Inserir: Esta opo permite incluir um novo pseudo-grupo;
235
Excluir:
Esta
opo
remove
da
lista
pseudo-grupo
selecionado.;
Editar: Esta opo abre a janela de edio para o pseudo-grupo selecionado;
Ao clicar no boto Inserir ou Editar, a janela ser exibida:
Figura 172 - Definio de Pseudo-Grupos para usurios que se autenticarem por meio de autoridade certificadora.
Nome: Campo de preenchimento obrigatrio que indica o nome pelo qual o pseudo-grupo
ser referenciado pelo firewall. Os demais campos representam dados que sero
comparados com os dados presentes no certificado X509 de cada usurio autenticado. Se
um determinado campo estiver em branco ento qualquer valor ser aceito no campo
correspondente do certificado, se no apenas certificados que possurem o campo igual ao
valor informado sero considerados como parte do grupo.
Domnio: Nome da pessoa certificada;
E-mail: Endereo de e-mail Empresa: Nome da empresa;
Departamento: Departamento dentro da empresa Cidade: Cidade onde se localiza a
empresa;
Estado: Estado onde se localiza a empresa;
Pas: Pas onde se localiza a empresa que a pessoa certificada trabalha;
236
Os campos: Domnio, E-mail, Empresa, Departamento, Cidade, Estado e Pas se referem

pessoa que o certificado foi emitido.
Para que um usurio autenticado por meio da autoridade certificadora seja considerado
como membro de um pseudo-grupo, todos os campos de seu certificado X509 devem ser
iguais aos valores dos campos correspondentes do pseudo-grupo. Campos em branco de um
pseudo-grupo so ignorados na comparao e, portanto, quaisquer valores do certificado
para estes campos sero aceitos.
Para cadastrar um agente externo do tipo Agente IDS, Analisador de contexto, Antivrus,
Spam Meter ou Servidor de Log Remoto, deve-se preencher os seguintes campos
adicionais:
Figura 173 - Cadastro de agente externo tipo Agente IDS.
237
Figura 174 - Cadastro de agente externo tipo Analisador de texto.
Figura 175 - Cadastro de agente externo tipo Mdulo de Antivrus.
238
Figura 176 - Cadastro de agente externo tipo Spam Meter.
Figura 177 - Cadastro de agente externo Servidor Remoto.

Backup 1 e Backup 2: Estes campos permitem especificar at dois endereos de outras
mquinas que tambm estaro rodando o agente e que serviro como backup no caso de
queda da mquina principal.
comunicao com o agente. Esta senha deve ser igual configurada no agente.
239
Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher os

seguintes campos:
Figura 178 - Cadastro de agente externo Autenticador LDAP.

Backup 1 e Backup 2: Estes campos permitem especificar at dois endereos de outras
mquinas que tambm estaro rodando o servidor LDAP e que serviro como backup no
caso de queda da mquina principal.
Tempo limite da cache: Todas as vezes que uma autenticao realizada com sucesso, o
Este parmetro permite definir em segundos o tempo que o firewall deve manter as
intitulado Trabalhando com proxies.
Configuraes LDAP: Neste conjunto de campos deve-se especificar as configuraes do
servidor LDAP que ser utilizado para a realizao das autenticaes. A descrio de cada
campo pode ser vista a seguir:
DN Root de conexo: DN do usurio utilizado pelo firewall para as consultas;
240
Senha Root de conexo: a senha deste usurio;

DN Base: DN para comear a busca;
ObjectClass da Conta: valor de objectclass que identifica objetos de contas vlidas;
Atributo nome do usurio: o atributo onde encontra o nome do usurio;
Atributo senha: o atributo onde se encontra a senha do usurio;
Atributo grupo: o atributo onde se encontra o grupo do usurio;
Permitir senha em branco: permite senhas em branco para o usurio quando marcado;
Usar a verso 3 do protocolo LDAP: Habilita a o uso da verso 3 do protocolo LDAP;
Ignorar maisculas e minsculas na comparao: Permite que maisculas e minsculas na

comparao sejam equivalentes;
Mtodo de Autenticao: Este campo especifica se o firewall deve buscar a senha ou deve
se conectar na base LDAP com as credenciais do usurio para valid-lo;
Conectar utilizando as credencias do usurio: Permite ao usurio autenticar-se utilizando
suas credenciais.
Hash (RFC2307): Permite autenticao pelo modo Hash (RFC2307);
Adicionar DN Base ao nome do usurio: Permite adicionar DN Base ao nome do usurio na
autenticao;
Conexo LDAP segura: Este campo especifica se a conexo ao servidor LDAP ser encriptada
ou no. Ele consiste das seguintes opes:
SSL: especifica que o firewall usar conexo encriptada via SSL;

TLS: especifica que o firewall usar conexo encriptada via TLS;
Nenhuma: especifica que o firewall no usar criptografia ao se conectar ao
servidor LDAP;
Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencher os

seguintes campos adicionais:
241
Figura 179 - Cadastro de agente externo Autenticador Radius.

Porta: Nmero da porta onde o servidor RADIUS estar escutando as requisies de
autenticao.
1 Backup: Este campo permite com que se especifique outra mquina que tambm estar
rodando o servidor RADIUS e que servir como backup no caso de queda da mquina
principal.
Segredo: o segredo compartilhado utilizado no servidor RADIUS.
Confirmao: Este campo utilizado apenas para se verificar se o segredo foi digitado
corretamente. Deve-se digit-lo exatamente como no campo Segredo.
Tempo limite do cache: Todas as vezes que realizada uma autenticao com sucesso, o
Este parmetro permite definir o tempo, em segundos, que o firewall deve manter as
intitulado Trabalhando com proxies.
Usurios: Este campo serve para que se possa cadastrar e posteriormente associar usurios
especficos RADIUS com perfis de acesso do firewall, uma vez que com este protocolo no
possvel para o firewall conseguir a lista completa de usurios. Somente necessrio
realizar o cadastramento dos usurios que queira se associar com perfis especficos.
Grupos: Este campo serve para cadastrar e posteriormente associar grupos especficos
RADIUS com perfis de acesso do firewall, uma vez que com este protocolo no possvel
242
para o firewall conseguir a lista completa de grupos. Somente necessrio realizar o

cadastramento dos grupos que quer associar com perfis especficos.
Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo firewall que
pode ser utilizado para a associao de usurios RADIUS com um perfil de acesso especfico.
Todos os usurios autenticados em um determinado servidor RADIUS so considerados
como pertencentes a este grupo. Desta forma, caso queira utilizar um nico perfil de acesso
para todos os usurios, no necessrio o cadastramento de nenhum usurio e/ou grupo.
incluso ou alterao do agente externo. Para cancelar as alteraes realizadas ou a
incluso, deve-se pressionar o boto Cancelar.
Para facilitar a incluso de vrios agentes seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao clicar, neste boto far com que o
dados preenchidos do agente, sejam includos e a janela de incluso de agentes mantida
aberta, pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um
grande nmero de agentes.
Incluindo / editando servios
Figura 180 - Incluso e edio de servios.
Para cadastrar uma entidade do tipo servio deve-se preencher os seguintes campos:
Nome: o nome pelo qual o servio ser sempre referenciado pelo firewall. possvel
243

cone: o cone que aparecer associado ao servio em todas as referncias. Para alter-lo,
deve-se clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos
os possveis cones para representar servios. Para escolher entre eles basta clicar no cone
Cancelar.
Protocolo: o protocolo associado ao servio. (TCP, UDP, ICMP ou OUTROS)
Servio: o nmero que identifica o servio. No caso dos protocolos TCP e UDP, este
nmero a porta destino. No caso de ICMP o tipo de servio e no caso de outros
protocolos o nmero do protocolo. Para cada protocolo, o firewall possui uma lista dos
valores mais comuns associados a ele, de modo a facilitar a criao do servio. Entretanto,
possvel colocar valores que no faam parte da lista, simplesmente digitando-os neste
campo.
Caso queira especificar uma faixa de valores, ao invs de um nico valor, deve-se clicar no
boto ao lado dos nomes De e Para e especificar o menor valor da faixa em De e o maior em
Para. Todos os valores compreendidos entre estes dois, sero considerados como fazendo
parte do servio.
Proxy: Este campo s se encontra habilitado para os protocolos TCP e UDP, e permite
especificar se a conexo que se enquadrar neste servio, ser automaticamente desviada
para um dos proxies transparentes do Firewall Aker ou no. O valor padro Sem Proxy,
que significa que a conexo no deve ser desviada para nenhum proxy. Quando o protocolo
TCP est selecionado, as outras opes so Proxy SMTP, Proxy Telnet, Proxy FTP, Proxy do
usurio, Proxy HTTP e Proxy POP3 que desviam para os proxies SMTP, Telnet, FTP, proxies
criadas pelo usurio, HTTP e POP3, respectivamente. Quando o protocolo UDP est
selecionado, as outras opes so Proxy RPC, que desvia para o proxy RPC, e Proxy do
Usurio.
Tempo(S) limite: Indica o tempo mximo permitido de inatividade de uma conexo com
este servio. Aps esse tempo de inatividade a conexo ser removida da tabela de estados
do Aker Firewall.
O servio Telnet est associado porta 23, o SMTP porta 25, o FTP porta 21, o HTTP
porta 80 e o POP3 porta 110. possvel especificar que conexes de quaisquer outras
portas sejam desviadas para um destes proxies, entretanto, isto no o comportamento
padro e no deve ser feito a no ser que tenha conhecimento de todas as possveis
implicaes.
Caso tenha especificado que a conexo deve ser desviada para um proxy, pode ser
necessrio definir os parmetros do contexto que ser utilizado pelo proxy para este
244
servio. Caso isso seja necessrio, no momento em que o proxy for selecionado, a janela
ser expandida para mostrar os parmetros adicionais que devem ser configurados.
A explicao dos parmetros de cada um dos contextos dos proxies padro, se encontra nos
captulos intitulados Configurando o proxy SMTP, Configurando o proxy Telnet,
Configurando o proxy FTP, Configurando o proxy POP3 e Configurando o Proxy RPC e o
proxy DCE-RPC. O proxy HTTP no tem parmetros configurveis e suas configuraes so
descritas no captulo Configurando o Filtro Web . Para maiores informaes sobre proxies
transparentes e contextos, veja o captulo intitulado Trabalhando com proxies. Proxies
definidos pelo usurio somente so teis para desenvolvedores e sua descrio no ser
abordada aqui.
incluso ou alterao do servio. Para cancelar as alteraes realizadas ou a incluso, devese pressionar o boto Cancelar.
Para facilitar a incluso de vrios servios seguidamente, existe um boto chamado Nova
servio, cujos dados foram preenchidos, seja includo e a janela de incluso de servios
rapidamente um grande nmero de servios.
Incluindo / editando interfaces
Figura 181 - Incluso e edio de interfaces.
Para cadastrar uma entidade do tipo interface necessrio preencher os seguintes campos:
Nome: o nome pelo qual a interface ser sempre referenciada pelo firewall. possvel
opo Automtico permite escolher entre estes dois modos de operao: se ela estiver
marcada, a atribuio ser automtica caso contrrio ser manual.
245

cone: o cone que aparecer associado interface em todas as referncias. Para alter-lo,
possveis cones para representar interfaces. Para escolher entre eles deve-se clicar no cone
Cancelar.
Interface: o nome do adaptador de rede que ser associado entidade interface. Ser
mostrada automaticamente uma lista com todos os adaptadores de rede configurados no
firewall e o endereo IP de cada um, se existir.
Comentrio: um campo texto livre usado apenas para fins de documentao.
incluso ou alterao da interface. Para cancelar as alteraes realizadas ou a incluso,
deve-se pressionar o boto Cancelar .
Para facilitar a incluso de vrias interfaces seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao clicar este boto far com que os dados
da interface que foram preenchidos sejam includos e mantida aberta a janela de incluso
de interfaces onde estar pronta para uma nova incluso. Desta forma, possvel cadastrar
rapidamente um grande nmero de interfaces.
Incluindo / editando listas de e-mails
Listas de e-mails so entidades usadas no proxy MSN com o objetivo de definir com quais
pessoas um determinado usurio pode conversar por meio do MSN Messenger.
246
Figura 182 - Incluso e edio de listas de e-mails.
Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher os seguintes
campos:
Nome: o nome pelo qual a lista de e-mails ser sempre referenciado pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual.
A lista deve ter apenas "enter ou (\n)" como separadores na lista de e-mails.
Domnio de E-mail: Este campo composto pelos e-mails ou domnios que faro parte da
lista. possvel especificar um e-mail completo ou utilizar o smbolo * para representar um
caractere qualquer. As seguintes opes so e-mails vlidos:
= *@* - Corresponde a qualquer e-mail
= *@aker.com.br - Corresponde a todos os e-mails do domnio aker.com.br
Para executar qualquer operao sobre um e-mail ou domnio, deve-se clicar sobre ele com
o boto direito e a seguir escolher a opo desejada no menu que ser mostrado. As
seguintes opes esto disponveis:
247
Figura 183 - Opo para realizar uma operao sobre um e-mail ou domnio.
Incluir: Esta opo permite incluir um novo endereo;

Excluir: Esta opo remove da lista o endereo selecionado;
Importar: Esta opo importa a lista de e-mails a partir de um arquivo .ctt (formado
de contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha);
Exportar: Esta opo exporta a lista de e-mails para um arquivo .ctt (formado de
contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha).
A lista deve ter apenas "enter ou (\n)" como separadores na lista de domnios.
Incluindo / editando listas de tipos de arquivos

Listas de tipos de arquivos so entidades usadas no proxy MSN com o objetivo de definir
quais tipos de arquivos podem ser enviados e recebidos, por meio do MSN Messenger.
Figura 184 - Lista dos tipos de arquivos.
Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os seguintes
campos:
248
Nome: o nome pelo qual a lista de tipos de arquivos ser sempre referenciado pelo
firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual.
Desta forma possvel a existncia de vrias entidades compostas de nomes com as
Para executar qualquer operao sobre uma entrada da lista, deve-se clicar sobre ela com o
boto direito e a seguir escolher a opo desejada no menu que ser mostrado. As
seguintes opes esto disponveis:
Figura 185 - Opo para realizar uma operao (Entrada da lista).
Incluir: Incluir um novo tipo de arquivo;

Excluir: Remover da lista o tipo de arquivo selecionado;
Duplicar: Criar uma nova entrada na lista, idntica entrada selecionada, sendo indicada
para criar vrios tipos com a mesma descrio;
Para cada entrada, os seguintes campos devem ser preenchidos:
Extenso: Extenso do arquivo sem o ponto. Ex.: zip, exe, etc.

Descrio: Breve descrio do tipo associado extenso.
Incluindo / editando acumuladores

Acumuladores so entidades usadas nas regras de filtragem com o objetivo de coletar
estatsticas sobre o trfego de rede. Um mesmo acumulador pode ser utilizado em vrias
regras de filtragem. O trfego que encaixar em cada uma destas regras sumarizado pelo
acumulador. A sua utilizao est descrita nos captulos: O Filtro de Estados e Visualizando
estatsticas.
249
Figura 186 - Acumuladores.
Para cadastrar uma entidade do tipo acumulador deve-se preencher os seguintes campos:
Nome: o nome pelo qual o acumulador ser sempre referenciado pelo firewall. possvel
opo Automtico permite escolher entre esses dois modos de operao: se ela estiver
marcada, a atribuio ser automtica caso contrrio ser manual.
cone: o cone que aparecer associado ao acumulador em todas as referncias. Para
alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento uma lista com todos
os possveis cones para representar interfaces ser mostrada. Para escolher entre eles
basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista,
Comentrio: um campo texto livre, usado apenas para fins de documentao.
incluso ou alterao do acumulador. Para cancelar as alteraes realizadas ou a incluso,
deve-se pressionar o boto Cancelar .
Para facilitar a incluso de vrios acumuladores seguidamente, existe um boto chamado
Nova (que no estar habilitado durante uma edio). Ao clicar neste boto far com que os
dados do acumulador que foram preenchidos sejam includos e mantida aberta a janela de
incluso de acumuladores onde estar pronta para uma nova incluso. Desta forma
possvel cadastrar rapidamente um grande nmero de acumuladores.
250
Incluindo / editando Canais

Canais so entidades usadas nas regras de filtragem com o objetivo de limitar a banda de
determinados servios, mquinas, redes e/ou usurios. Seu uso est descrito no captulo: O
Filtro de Estados.
Figura 187 - Cadastro de entidade tipo Canal.
Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes campos:
Nome: o nome pelo qual o canal ser sempre referenciado pelo firewall. possvel
opo Nome automtico permite escolher entre estes dois modos de operao: caso ela
esteja marcada, a atribuio ser automtica, caso contrrio, manual.
251
cone: o cone que aparecer associado ao Canal em todas as referncias. Para alter-lo,
possveis cones para representar interfaces. Para escolher entre eles basta clicar no cone
Cancelar.
Largura de Banda: um campo texto usado para designar a largura de banda (velocidade
mxima de transmisso em bits por segundo) deste Canal. Esta banda ser compartilhada
entre todas as conexes que usarem este Canal. Deve ser escolhida a unidade de medida
mais conveniente.
Banda de upload: velocidade mxima de transmisso em bits por segundo definida para
realizar um upload.
Banda de download: velocidade mxima de transmisso em bits por segundo definida para
realizar um download.
Buffer: um campo texto usado para designar o tamanho do buffer (espao temporrio de
dados utilizado para armazenar pacotes que sero transmitidos) utilizado por este Canal.
Deve ser escolhida a unidade de medida. possvel especificar este tamanho manualmente
ou
deixar
que
ele
seja
atribudo
automaticamente.
A opo Automtico permite escolher entre estes dois modos de operao: se ela estiver
marcada, a atribuio ser automtica, seno manual.
incluso ou alterao do Canal. Para que as alteraes e as incluses sejam canceladas devese pressionar o boto Cancelar .
Para facilitar a incluso de vrios Canais seguidamente, existe um boto chamado Nova
(que no estar habilitado durante uma edio). Ao clicar este boto far com que os dados
da canal que foram preenchidos sejam includos e mantida aberta a janela de incluso de
canais onde estar pronta para uma nova incluso. Desta forma possvel cadastrar
rapidamente um grande nmero de canais.
O Aker Firewall suporta modificaes de valores DSCP (Differentiated Services Code
Point).
Alterar Valores DiffServ DS: Esta opo permite que o usurio defina a prioridade dos
valores DiffServ DS.
6.3. Utilizando a Interface Texto (via SSH-fwent)
A utilizao da Interface Texto (via SSH) na configurao das entidades bastante simples e
possui praticamente todos os recursos da Interface Remota (E possvel usar todos os
252
comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os
comando podero ser acessados sem o prefixo FW). As nicas opes no disponveis so
a criao de servios que utilizem proxies transparentes e a edio de pseudo-grupos de
uma autoridade certificadora. importante comentar, entretanto, que na Interface Texto
(via SSH) os agentes externos so mostrados e criados diretamente pelo seu subtipo.
Localizao do programa: /aker/bin/firewall/fwent

Sintaxe:
Uso: fwent ajuda
fwent mostra
fwent remove <nome>
fwent inclui mquina <nome> <IP
fwent inclui rede <nome> <IP> <mascara>
fwent inclui conjunto <nome> [<entidade1> [<entidade2>] ...]
fwent inclui mquina_ipv6 <nome> <ipv6>
fwent inclui rede_ipv6 <nome> <ipv6> / <prefixo>
fwent conjunto_ipv6 <nome> [<entidade1> [<entidade2>] ...]
fwent inclui autenticador<nome><IP1> [<IP2>] [<IP3>] <senha> <t. cache>
fwent inclui token <nome><IP1> [<IP2>] [<IP3>] <senha><t. cache>
fwent inclui ldap <nome><IP1> [<IP2>][<IP3>]<root_dn><root_pwd>
<base_dn><act_class><usr_attr><grp_attr>
<<pwd_attr>|<-bind> >< <-ssl>|<-tls>|<-nenhuma>>
< <-no_pwd>|<-pwd> > <t.cache>
< <-append_dn> | <-no_append_dn> >
< <-ldap_v3> | <-no_ldap_v3> >
< <-case_sensitive> | <-case_insensitive> >
fwent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache>
fwent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui ids <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui spam-meter <nome> < <local> | <IP1> [<IP2> [<IP3> <senha> >
fwent inclui analisador-url <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui interface <nome> <dispositivo> [<comentario>]
fwent inclui acumulador <nome> [<comentario>]
fwent inclui servico <nome> [TCP | UDP | ICMP | OUTRO] <valor>[..<valor>
fwent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs>:
253
fwent inclui pipe <nome> <banda em Kbits/s> [<tamanho da fila> <bytes|pacts>]

fwent inclui log_remoto <nome> <IP> [IP] [IP] <senha>
fwent inclui quota <nome> [ kbytes <max kbytes> ] [ segundos <max seconds> ] <tipo>
fwent - Interface Texto (via SSH) para configurao das entidades
Ajuda do programa:
inclui = inclui uma nova entidade
remove = remove uma entidade existente
Para remove / inclui termos:
nome = nome da entidade a ser criada ou removida
Para inclui temos:
IP = endereo IP da mquina ou da rede
mascara = mscara da rede entidade = nome das entidades a serem acrescentadas no
conjunto
(OBS: Somente podem fazer parte de um conjunto entidades do tipo mquina ou rede)
senha = senha de acesso
t. cache = tempo em segundos de permanncia de uma entrada no cache de
autenticao
TCP = servio utiliza protocolo TCP
UDP = servio utiliza protocolo UDP
ICMP = servio utiliza protocolo ICMP
OUTRO = servio utiliza protocolo diferente dos acima citados
valor = Nmero que idntica o servio.
Para os protocolos TCP e UDP o valor da porta associada ao servio. No
caso de ICMP, o tipo de servio e no caso de outros protocolos o nmero do
prprio protocolo. Pode-se especificar uma faixa por meio da
notao valor1..valor2, que significa a faixa de valores
compreendida entre o valor1 e o valor2 (inclusive).
Para inclui ldap temos:
root_dn = DN do usurio utilizado pelo firewall para as consultas
root_pwd = a senha deste usurio
base_dn = DN para comear a busca
act_class= valor de objectclass que identifica objetos de contas vlidas
usr_attr = o atributo onde se encontra o nome do usurio
grp_addr = o atributo onde se encontra o grupo do usurio
254
pwd_addr = o atributo onde se encontra a senha do usurio

-bind = no tenta buscar a senha, em vez disso tenta conectar na base
-append_dn = onde se adiciona base DN ao nome de usurio
-no_append_dn = no adiciona Base DN ao nome do usurio
-ldap_v3 = atributo onde habilita ou no a verso 3 do protocolo LDAP
-no_ldap_v3
= no utiliza verso 3 do protocolo LDAP
-case_sensitive = permite a diferenciao de caracteres maisculos e minsculos
-case_insensitive = ignora maisculas e minsculas nas comparaes
LDAP com as credenciais do usurio para valid-lo
-ssl = usar conexo encriptada via ssl
-tls = usar conexo encriptada via tls
-nenhuma = no usar conexo encriptada
-no_pwd = permite senhas em branco para o usurio
-pwd = no permite senhas em branco para o usurio
Exemplo 1:(visualizando as entidades definidas no sistema)

#fwent mostra
Mquinas:
--------cache 10.4.1.12
firewall 10.4.1.11
Redes:
-----AKER 10.4.1.0 255.255.255.0
Internet 0.0.0.0 0.0.0.0
Conjuntos:
---------Mquinas Internas cache firewall
Autenticadores:
--------------Autenticador NT 10.0.0.1 10.0.0.2 600
Unix 192.168.0.1 192.168.0.2 192.168.0.3 600
Autenticadores do tipo token:
----------------------------Autenticador token 10.0.0.1 10.0.0.2 600
Agentes IDS:
-----------Agente IDS 10.10.0.1
255
Antivrus:
----------Antivrus local 127.0.0.1
Servios:
--------echo reply ICMP 8
echo request ICMP 0
FTP TCP 21
snmp UDP 161
telnet TCP 23
Interfaces:
---------Interface Externa xl0
Interface Interna de0
Exemplo 2:(cadastrando uma entidade do tipo mquina)
#/aker/bin/firewall/fwent inclui mquina Servidor_1 10.4.1.4
Entidade includa
Exemplo 3:(cadastrando uma entidade do tipo rede)
#/aker/bin/firewall/fwent inclui rede Rede_1 10.4.0.0 255.255.0.0
Entidade includa
Exemplo 4:(cadastrando uma entidade do tipo servio)
#/aker/bin/firewall/fwent inclui servico DNS UDP 53
Entidade includa
Exemplo 5:(cadastrando uma entidade do tipo autenticador)
#/aker/bin/firewall/fwent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123 900
Entidade includa
O uso de "" ao redor do nome da entidade obrigatrio quando inclui ou remove
entidades cujo nome contm espaos.
Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros so
as mquinas cache e firewall, previamente definidas)
#/aker/bin/firewall/fwent inclui conjunto "Conjunto de teste" cache firewall
Entidade includa
Exemplo 7: (incluindo uma entidade do tipo interface, sem especificar um comentrio)
#/aker/bin/firewall/fwent inclui interface "Interface DMZ" fxp0
Entidade includa
Exemplo 8: (incluindo uma entidade do tipo autenticador token, utilizando uma mquina
primria e uma secundria, como backup)
256
#/aker/bin/firewall/fwent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha 600

Entidade includa
Exemplo 9: (removendo uma entidade)
#/aker/bin/firewall/fwent remove "Autenticador Unix"
Entidade includa
6.4. Utilizando o Assistente de Entidades
O assistente de criao de entidades pode ser invocado clicando-se no cone

,
localizado na parte exterior do lado esquerda da janela de entidades. O seu intuito
simplificar a tarefa de criao das entidades, podendo ser utilizado sempre que desejado.
Ele consiste de vrias janelas mostradas em srie, dependendo do tipo de entidade a ser
criada.
Seu uso extremamente simples e o exemplificaremos para a criao de uma entidade do
tipo mquina:
1 - A primeira janela a seguir uma breve explicao dos procedimentos a serem realizados:
257
Figura 188 - Mensagem de entrada no Assistente de criao de entidades.
258
2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a ser
cadastrada:
Figura 189 - Escolha do tipo de entidade.
259
3 - Localizar o endereo IP. Para cadastrar uma mquina deve ser especificado o endereo IP
correspondente. Caso queira obter esse endereo, deve ser informado o nome da mquina
e logo em seguida clicar no boto Resolver:
Figura 190 - Insero do endereo de IP da mquina.
260
4 - Atribuio do nome da entidade. Pode-se escolher o nome ou usar a atribuio

automtica:
Figura 191 - Atribuio do nome da entidade.
261
5 -Escolha do cone da entidade. Para escolher o cone da entidade deve-se clicar em um dos
cones que aparecem na janela. Observe que o cone selecionado ir aparecer direita da
janela:
Figura 192 - Escolha do cone da entidade.
262
6 - Finalizao do cadastramento. Ser mostrado um resumo dos dados da entidade. Para

cadastr-la deve-se clicar no boto Finalizar:
Figura 193 - Mensagem de finalizao do cadastramento de entidades.
263
264
Este captulo mostra como configurar as regras que propiciaro a aceitao ou no de

conexes pelo firewall. Este mdulo o mais importante do sistema e onde normalmente
se gasta o maior tempo de configurao.
O que um filtro de pacotes?

Um filtro de pacotes o mdulo que ir decidir se um determinado pacote poder passar
por meio do firewall ou no. Deixar um pacote passar, implica em aceitar um determinado
servio. Bloquear um pacote significa impedir que este servio seja utilizado.
Para que seja decidido qual ao a ser tomada para cada pacote que chega ao firewall, o
filtro de pacotes possui um conjunto de regras configurado pelo administrador do sistema.
Para cada pacote que chega, o filtro de pacotes percorre este conjunto de regras, na ordem
em que foi criado, verificando se este, encaixa em alguma das regras. Se ele se encaixar em
uma regra ento a ao definida para ela ser executada. Caso o filtro termine a pesquisa de
todas as regras e o pacote no se encaixe em nenhuma delas ento a ao padro ser
executada.
O que o filtro de estados do Aker Firewall?
Um filtro tradicional de pacotes baseia suas aes exclusivamente no conjunto de regras
configurado pelo administrador. Para cada pacote que poder passar pelo filtro, o
administrador tem que configurar uma regra que possibilite sua aceitao. Em alguns casos
isto simples, mas em outros isto no possvel de ser feito ou pelo menos no possvel
realizar com a segurana e flexibilidade necessrias.
O filtro de pacotes do Aker Firewall chamado de filtro de estados. Armazena informaes
do estado de todas as conexes que esto fluindo por meio dele e usa estas informaes em
conjunto com as regras definidas pelo administrador na hora de tomar a deciso de permitir
ou no a passagem de um determinado pacote. Alm disso, diferentemente de um filtro de
pacotes que baseia suas decises apenas nos dados contidos no cabealho do pacote, o
filtro de estados examina dados de todas as camadas e utiliza todos estes dados ao tomar
uma deciso.
Vamos analisar como isso permite a soluo de diversos problemas apresentados pelos
filtros de pacotes tradicionais.
265
O problema do protocolo UDP:

Para usar um servio UDP, a mquina cliente inicialmente escolhe um nmero de porta (que
varivel cada vez que o servio for utilizado) e envia um pacote para a porta da mquina
servidora correspondente ao servio (esta porta na mquina servidora fixa). A mquina
servidora, ao receber a requisio, responde com um ou mais pacotes para a porta da
mquina cliente. Para que a comunicao seja efetiva o firewall deve permitir a passagem
dos pacotes de solicitao do servio e de resposta. O problema que o protocolo UDP no
orientado conexo, isto significa que se um determinado pacote for observado
isoladamente, fora de um contexto, no pode saber se ele uma requisio ou uma
resposta de um servio.
Nos filtros de pacotes tradicionais; como o administrador no pode saber inicialmente, qual
a porta ser escolhida pela mquina cliente para acessar um determinado servio, ele pode
ou bloquear todo o trfego UDP ou permitir a passagem de pacotes para todas as possveis
portas. Ambas as abordagens possuem alguns problemas.
O Aker Firewall possui a capacidade de se adaptar dinamicamente ao trfego de modo a
resolver possveis problemas. Um exemplo quando um pacote UDP aceito por uma das
regras configuradas pelo administrador, com isso adicionada uma entrada em uma tabela
interna, chamada de tabela de estados, de modo a permitir que os pacotes de resposta ao
servio correspondente possam voltar para a mquina cliente. Esta entrada s fica ativa
durante um curto intervalo de tempo, ao final do qual ela removida (este intervalo de
tempo configurado por meio da janela de configurao de parmetros, mostrada no
captulo intitulado Configurando os parmetros do sistema). Desta forma, o administrador
no precisa se preocupar com os pacotes UDP de resposta, sendo necessrio apenas
configurar as regras para permitir o acesso aos servios. Isto pode ser feito facilmente, j
que todos os servios possuem portas fixas.
O problema do protocolo FTP:
O FTP um dos protocolos mais populares da Internet, porm um dos mais complexos de
ser tratado por um firewall. Vamos analisar seu funcionamento:
Para acessar o servio FTP, inicialmente a mquina cliente abre uma conexo TCP para a
mquina servidora na porta 21. (a porta usada pelo cliente varivel). Esta conexo
chamada de conexo de controle. A partir da, para cada arquivo transferido ou para cada
listagem de diretrio, uma nova conexo estabelecida, chamada de conexo de dados.
Esta conexo de dados pode ser estabelecida de duas maneiras distintas:
1. O servidor pode iniciar a conexo a partir da porta 20 em direo a uma porta varivel,
informada pelo cliente pela conexo de controle (este chamado de FTP ativo)
2. O cliente pode abrir a conexo a partir de uma porta varivel para outra porta varivel
do servidor, informada para o cliente por meio da conexo de controle (este chamado
de FTP passivo).
266
Nos dois casos o administrador no tem como saber quais portas sero escolhidas para
estabelecer as conexes de dados e desta forma, se ele desejar utilizar o protocolo FTP por
meio de um filtro de pacotes tradicional, dever liberar o acesso para todas as possveis
portas utilizadas pelas mquinas clientes e servidores. Isto tem implicaes srias de
segurana.
O Aker Firewall tem a capacidade de vasculhar o trfego da conexo de controle FTP e desta
forma descobrir qual o tipo de transferncia que ser utilizada (ativa ou passiva) e quais
portas sero usadas para estabelecer as conexes de dados. Desta forma, todas as vezes
que o filtro de pacotes determinar que uma transferncia de arquivos seja realizada, ele
acrescenta uma entrada na tabela de estados de modo a permitir que a conexo de dados
seja estabelecida. Esta entrada s fica ativa enquanto a transferncia estiver se realizando e
caso a conexo de controle esteja aberta, propiciando o mximo de flexibilidade e
segurana. Neste caso, para configurar o acesso FTP deve-se acrescentar uma regra
liberando o acesso para a porta da conexo de controle (porta 21). Todo o resto ser feito
automaticamente.
O problema do protocolo Real udio:
O protocolo Real udio o mais popular protocolo de transferncia de som e vdeo em
tempo real por meio da Internet.
Para que seja possvel uma transmisso de udio ou vdeo necessrio que o cliente
estabelea uma conexo TCP para o servidor de Real udio. Alm desta conexo, para
conseguir uma melhor qualidade de som, o servidor pode abrir uma conexo UDP para o
cliente, para uma porta randmica informada em tempo real pelo cliente, e o cliente
tambm pode abrir outra conexo UDP para o servidor, tambm em uma porta randmica
informada pelo servidor no decorrer da conexo.
Os filtros de pacotes tradicionais no permitem o estabelecimento das conexes UDP do
servidor para o cliente e vice-versa, uma vez que as portas no so conhecidas
antecipadamente, fazendo com que a qualidade, do udio e vdeo obtida, seja bastante
inferior.
O filtro de estados do Aker Firewall acompanha toda a negociao do servidor Real udio
com o cliente de modo a determinar se as conexes UDP sero abertas e quais portas sero
usadas acrescentando esta informao em uma entrada na sua tabela de estados. Esta
entrada na tabela de estados s fica ativa enquanto a conexo de controle TCP estiver
aberta, propiciando o mximo de segurana.
O problema do protocolo Real Video (RTSP):

O protocolo Real Vdeo suportado pelo firewall. Assim como o Real udio, as transaes
so controladas pelo firewall, permitindo uma total segurana do uso de aplicaes de Real
Vdeo.
267
Roteamento Broadcast/Multicast: O objetivo principal dos algoritmos de roteamento

broadcast/multicast entregar pacotes a partir de um nodo da rede para vrios outros, mas
no todos. Este tipo de operao utilizada por aplicaes que esto separadas, mas
trabalham em cooperao. Bons exemplos so algoritmos distribudos ou clientes de um
servio de rede especfico, como por exemplo vdeo sob demanda ou vdeo-conferncia.
Esta funcionalidade suportada por meio do mrouted: O mrouted e uma implementao de
DVMRP ( Distance Vector Multicast Routing Protocol) Protocolo de roteamento de vetor de
distncias com suporte para tnel.
Localizao do programa: /usr/local/sbin/mrouted
PIM (Protocol Independent Multicast)
Figura 194 Esquema de funcionamento de um PIM
PIM o nome comum para dois protocolos de roteamento multicast
Multicast Independente (Sparse Mode > PIM-SM): a implementao USC

(netweb/catarina.usc.edu) original do protocolo de acordo com a RFC 2362.
Multicast (Dense Mode > PIM-DM): um protocolo de roteamento multicast a base
de informao de roteamento underlying unicast para inundar (flood) data gramas
multicast para todos os roteadores multicast. Mensagens Prune so usadas para
prevenir a propagao de futuros data gramas aos roteadores que no tenham
informao de grupo.
Os protocolos PIM (Protocol Independent Multicast) so chamados de independentes de

protocolos, pois usam a lgica dos protocolos de roteamento unicast como apoio, para que
268
a ocorrncia de loop na rede seja evitada). O PIM permite que redes existentes tenham a
capacidade de fazer o roteamento do IP multicast, independentemente de qual protocolo
de roteamento unicast esta sendo usado. Ele foi criado para usar as tabelas de roteamento
existentes para tomar as decises de roteamento multicast.
Localiza do programa: /usr/bin/pimd
Montando regras de filtragem em um filtro de pacotes simples

Antes de mostrar como funciona a configurao do filtro de estados do Aker Firewall
interessante explicar o funcionamento bsico de um filtro de pacotes simples:
Existem vrios critrios possveis para realizar filtragem de pacotes. A filtragem de
endereos pode ser considerada a mais simples de todas, pois ela consiste em fazer uma
comparao entre os endereos dos pacotes e os endereos das regras. Caso os endereos
sejam iguais, o pacote aprovado. Esta comparao feita da seguinte forma:
Trabalharemos com a seguinte regra: Todas as mquinas da rede 10.1.x.x podem se
comunicar com as mquinas da rede 10.2.x.x. Escreveremos esta regra utilizando o conceito
de mascaramento (para maiores informaes, veja o captulo intitulado Cadastrando
Entidades). Assim temos:
10.1.0.0
&
255.255.0.0
->
------- Origem ------
10.2.0.0
&
255.255.0.0
------- Destino -------
Vamos agora aplicar a regra a um pacote que trafega da mquina 10.1.1.2 para a mquina
10.3.7.7. Aplica-se a mscara da regra aos dois endereos, o da regra e o do pacote e
verifica se os endereos de destino e o de origem so iguais.
Para o endereo origem temos
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (para a regra)
10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (para o pacote)
Temos ento que os dois endereos origem so iguais aps a aplicao da mscara.
Veremos agora para o endereo destino:
269
10.2.0.0 AND 255.255.0.0 = 10.2.0.0 (para a regra)

10.3.7.7 AND 255.255.0.0 = 10.3.0.0 (para o pacote)
Como o endereo destino do pacote no est igual ao endereo destino da regra aps a
aplicao da mscara, por definio, esta regra no se aplicaria a este pacote.
Esta operao feita em toda a lista de endereos e mscaras destino e origem at o fim da
lista, ou at uma das regras aplicar para o pacote examinado. Uma lista de regras teria a
seguinte forma:
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0
10.1.0.0 & 255.255.0.0
-> 10.2.3.0 & 255.255.255.0

-> 10.2.0.0 & 255.255.0.0
Alm dos endereos origem e destino, cada pacote IP possui um protocolo e um servio
associado. Esta combinao de servio mais protocolo pode ser utilizado como mais um
critrio de filtragem.
Os servios no protocolo TCP, por exemplo, esto sempre associados a uma porta (para
maiores informaes, veja o captulo intitulado Cadastrando Entidades). Assim, pode-se
tambm associar uma lista de portas aos endereos.
Pegaremos como exemplo dois servios conhecidos, o POP3 e o HTTP. O POP3 est
associado porta 110 do servidor e o HTTP est associado porta 80. Assim, iremos
acrescentar estas portas no formato da regra. Teremos ento:
10.1.0.0
&
255.255.0.0
------- Origem ------
->
10.2.0.0
&
255.255.0.0
------- Destino ------- - Protocolo -
TCP
80
110
--Portas-
Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e que utiliza os
servios HTTP ou POP3 a trafegar pelo firewall.
Assim, em uma primeira etapa compara-se os endereos da regra com os do pacote. Caso
estes endereos sejam iguais aps a aplicao das mscaras, passa-se a comparar o
protocolo e a porta destino no pacote com o protocolo e a lista de portas associados
regra. Se o protocolo for o mesmo e se for encontrada uma porta da regra igual porta do
270
pacote, esta regra por definio se aplica ao pacote, caso contrrio pesquisa continua na
prxima regra.
Assim um conjunto de regras teria o seguinte formato:
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0
UDP 53
10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 80

10.1.1.0 & 255.0.0.0
10.1.0.0 & 255.255.0.0
-> 10.2.3.0 & 255.255.255.0 TCP 21 20 113

-> 10.2.0.0 & 255.255.0.0
ICMP 0 8
Montando regras de filtragem para o Aker Firewall

Configurar as regras de filtragem no Aker Firewall algo muito fcil em funo de sua
concepo inteligente. Toda a parte de endereos IP, mscaras, protocolos, portas so
interfaces e so configuradas nas entidades (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades). Com isso, ao configurar uma regra no necessrio
preocupar com qual porta um determinado servio utiliza ou qual o endereo IP de uma
rede. Tudo isso j foi previamente cadastrado. Para facilitar ainda mais, todos os servios
mais utilizados na Internet j vem previamente configurado de fbrica, no havendo a
necessidade de gastar tempo pesquisando os dados de cada um.
Basicamente, para cadastrar uma regra, o administrador deve especificar as entidades de
origem, destino e os servios que faro parte da regra. Ele pode tambm especificar uma
interface de origem para os pacotes e definir em quais horrios a regra estar ativa, em uma
tabela de horrios semanal. Com o uso desta tabela de horrios possvel liberar
determinados servios em determinadas horas do dia (por exemplo, liberar IRC, ou batepapo, apenas nos horrios fora do expediente). Se um pacote chegar a um horrio no qual a
regra no est marcado como ativa, ela ser ignorada, fazendo com que a busca continue na
prxima regra da lista.
O funcionamento do filtro simples: o firewall ir pesquisar uma a uma as regras definidas
pelo administrador, na ordem especificada, at que o pacote se encaixe em uma delas. A
partir deste momento, ele ir executar a ao associada regra, que pode ser aceita,
rejeitada ou descartada (estes valores sero explicados no prximo tpico). Caso a pesquisa
chegue ao final da lista e o pacote no se enquadre em nenhuma regra ento este ser
descartado ( possvel configurar aes para serem executadas neste caso). Isto ser
tratado no captulo intitulado: Configurando as aes do sistema.
7.2. Editando uma lista de regras usando a Interface Remota
271
Para ter acesso a janela de configurao de regras deve-se:
Figura 195 - Dispositivos remotos (Acesso a janela de configurao das

regras).
Clicar no menu Configuraes do firewall da janela principal.
Selecionar o item Regras de Filtragem.
A janela de regras de filtragem
272
Figura 196 - Janelas de regras de filtragem.

A janela de regras contm todas as regras de filtragem definidas no Aker Firewall. Cada
regra ser mostrada em uma linha separada, composta de diversas clulas. Caso uma regra
esteja selecionada, ela ser mostrada em uma cor diferente.
O boto OK far com que o conjunto de regras seja atualizado e passe a funcionar
imediatamente.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja
fechada.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela
aberta
Quando se clica sobre uma regra que tenha algum comentrio, este aparecer na parte
inferior da janela.
Para executar qualquer operao sobre uma determinada regra, deve-se clicar com o boto
direito do mouse sobre o campo que queira alterar. Aparecer um menu com as opes de
entidades referentes ao campo, como na figura abaixo:
273
Figura 197 - Menu com opes de entidades referente ao campo.
Inserir: Incluir uma nova regra na lista. A nova regra ser includa abaixo da regra existente.
Copiar: Copiar a regra selecionada.
Colar: Cola a regra copiada.
Excluir: Remover da lista a regra selecionada.
Habilitar/Desabilitar: Desabilitar/habilitar a regra selecionada.
Adicionar entidades: Adicionar uma entidade cadastrada no firewall. Veja se o ponteiro do
mouse est sobre o campo o qual se quer inserir a entidade.
Remover entidades: Remover uma entidade que foi inserida na regra.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a
nova posio desejada, soltando em seguida.
Poltica Padro: pode-se definir uma nova poltica, clicando no boto "Poltica" na barra de
ferramentas do Firewall. possvel editar um nome e uma cor para cada poltica, inclusive a
padro.
Adicionando e removendo entidades e servios na regra
Para adicionar uma entidade a um destes campos, pode-se proceder de duas formas:
274
1. Selecionar a entidade a ser includa, clicando sobre ela na tabela de entidades, e a

arraste para o campo correspondente. As teclas Insert e Delete podem inserir e remover
as entidades respectivamente.
2. Clicar com o boto direito do mouse sobre o campo onde se deseja adicionar as
entidades, ser exibida uma lista das entidades pertinentes ao campo selecionado, bem
como que tipo de ao se deseja aplicar sobre as mesmas.
- O duplo-clique na entidade ir permitir a edio da mesma.
Para remover uma entidade de um destes campos, deve-se proceder da seguinte forma:
1. Clicar com o boto direito do mouse sobre o campo onde se encontra a entidade que se
deseja remover e ser exibida uma lista das entidades participantes do campo com a
opo de remoo das entidades..
2. Pode-se utilizar a opo Remover Entidade para eliminar vrias entidades de uma vez.
Na criao de regras quando selecionada as entidades, deve-se observar a origem e o
destino destas. Se especificar um endereo ipv4 na origem, obrigatoriamente deve-se
especificar um endereo ipv4 no destino, a mesma coisa acontece caso a opo seja o
endereo ipv6.
Parmetros da regra:
Alm das especificaes bsicas de uma regra, entidades de origem, entidades de destino e
servios, deve-se levar em conta outros parmetros de configurao:
Acumulador: Define qual o acumulador para os pacotes da regra. A opo nenhum desativa
a contabilizao dos pacotes que se encaixem nesta regra. Se for escolhido um acumulador,
sero adicionados a ele a quantidade de bytes e pacotes encaixados nesta regra.
Canal: Define o canal que ser utilizado para controlar a banda para a regra. A opo
nenhum desativa a utilizao de controle de banda para esta regra.
Ao: Este campo define qual a ao a ser tomada para todos os pacotes que se encaixem
nesta regra. Ela consiste nas seguintes opes:
Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem por meio do firewall.
Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta regra.
Assim ser enviado um pacote ICMP para a mquina de origem do pacote dizendo que o
destino inatingvel. Esta opo no funciona para alguns tipos de servio ICMP, devido a
uma caracterstica inerente a este protocolo.
Descarta: Significa que os pacotes que se encaixarem nesta regra no passaro pelo firewall,
mas no ser enviado nenhum pacote para a mquina de origem.
275
Log: Definir quais tipos de aes sero executadas pelo sistema quando um pacote se
encaixar na regra. Ele consiste em vrias opes que podem ser selecionadas
independentemente uma das outras. Os valores possveis so:
Logs: Se esta opo estiver selecionada, todos os pacotes que se enquadrarem nesta
regra sero registrados no log do sistema.
Envia email: Se esta opo estiver selecionada, ser enviado um e-mail todas as
vezes que um pacote enquadrar-se nesta regra (a configurao do endereo de email ser mostrada no captulo intitulado configurando as aes do sistema).
Executar programa: Quando selecionada essa opo, ser executado um programa
definido pelo administrador todas as vezes que um pacote se enquadrar nesta regra
(a configurao do nome do programa a ser executado ser mostrada no captulo
intitulado configurando as aes do sistema).
Disparar mensagens de alarme: Quando selecionada essa opo, o firewall mostra
uma janela de alerta todas as vezes que um pacote se enquadrar nesta regra. Esta
janela de alerta ser mostrada na mquina onde a Interface Remota estiver aberta e,
se a mquina permitir, ser emitido tambm um aviso sonoro. Caso a Interface
Remota no esteja aberta, no ser mostrada nenhuma mensagem e esta opo ser
ignorada.
Enviar Trap SMNP: Se esta opo estiver selecionada, ser enviada uma Trap SNMP
para cada pacote que enquadrar nesta regra (a configurao dos parmetros para o
envio das traps ser mostrada no captulo intitulado configurando as aes do
sistema).
No caso do protocolo TCP, somente sero executadas as aes definidas na regra para o
pacote de abertura de conexo. No caso do protocolo UDP, todos os pacotes que forem
enviados pela mquina cliente e se enquadrarem na regra (exceto os pacotes de resposta)
provocaro a execuo das aes.
Tabela de horrios: Definir as horas e dias da semana em que a regra ser aplicvel. As
linhas representam os dias da semana e as colunas representam as horas. Caso queira que a
regra seja aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o
quadrado deve ser deixado em branco.
Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse sobre um
quadrado e a seguir arrast-lo, mantendo o boto pressionado. Isto faz com que a tabela
seja alterada na medida em que o mouse se move.
Perodo de validade: Permitir o cadastro de duas datas que delimitam um perodo fora do
qual a regra no tem validade. um recurso muito til para, por exemplo, liberar o trfego
276
relacionado a um evento no recorrente, como um teste. Se o perodo ainda no tiver

comeado ou estiver expirado, o nmero da regra ser mostrado sobre um fundo vermelho.
Comentrio: Inserir um comentrio sobre a regra. Muito til na documentao e
manuteno das informaes sobre a utilidade da regra.
Verificao de regras
A verificao de regras feita por meio do cone
, ou ento automaticamente, quando o
usurio aplica as regras no boto aplicar na janela de Regras de filtragem.
Figura 198 - cones de verificao de regras.
O boto verificar faz a verificao da conexo com o Aker Control Center e a verificao das
regras eclipsadas. A primeira permite checar se existe alguma regra que impea o usurio de
conectar-se
no
firewall
que
ele
est
atualmente
configurando.
Exemplo: O ip do usurio o 10.0.0.1 e o do firewall o 10.0.0.2 e a porta do control center
a 1020. Caso exista alguma regra dizendo que para rejeitar os pacotes de origem
10.0.0.1 e destino 10.0.0.2 na porta 1020, e caso esta regra seja aplicada, implicar na
impossibilidade do usurio se conectar a esse firewall. um mecanismo para impedir que o
prprio
usurio
tire
o
seu
acesso
de
conexo
no
firewall.
A segunda verificao a da regra "eclipsa", necessria essa verificao quando a regra 1
engloba completamente a regra 2, impedindo que a regra 2 seja atingida.
Exemplo: A regra 1 tem origem 0.0.0.0 (qualquer origem), destino 0.0.0.0 (qualquer destino)
e todas as portas TCP 7. A regra 2 tem origem 10.0.0.1, destino 10.0.0.2 e porta TCP 7. A
primeira regra faz tudo o que a segunda regra faz, ento a segunda regra nunca vai ser
atingida, porque a primeira regra vai ser processada primeiro e no vai deixar com que a
outra regra seja alcanada.
Obs.: Todas as regras que so verificadas, so regras que j existem ou seja, que j foram
definidas.
277
Figura 199 - Verificador de regras.
Utilizao dos Canais na Regra de Filtragem do Aker Firewall

O administrador pode definir Qualidade de Servio (QoS) diferenciada para cada tipo de
regra. No caso da figura abaixo, foi criado um canal de 10Mb - ADSL e aplicado nas regras 1
e 2. O servidor "Correio_SMTP" possui prioridade no trfego pois a prioridade para ele no
canal est como "Muito alto".
Figura 200 - Regras de filtragem (Exemplo de canal de 10Mb - ADSL).

278
Para ajustes de prioridade de canal, deve-se clicar como o boto direito na entidade Canal e
escolher a prioridade pelo boto deslizando. Veja a figura abaixo:
Figura 201 - Ajustes de prioridade de canal.
279
7.3. Trabalhando com Polticas de Filtragem
Este recurso permite que o administrador do firewall faa um agrupamento de regras

dentro de um levantamento feito dos fluxos que ocorrerem entre as suas sub redes.
Para exemplificar, suponha que o administrador possua um firewall colocado entre as redes
interna, DMZ e Internet, conforme esquema abaixo:
Figura 202 - Exemplo de como trabalhar com polticas de filtragem.
Pode-se verificar os possveis fluxos de dados que podero ocorrer entre essas redes. Para
cada fluxo foi dada uma numerao e com isso pode-se concluir que os fluxos com nmeros
mais altos (5 e 6) sero considerados os mais inseguros, pois envolvem o acesso da internet
as redes DMZ e interna, respectivamente.
Estes fluxos para o firewall sero desdobrados em regras de filtragem, com isto poderiam
ter as seguintes regras:
280
Figura 203 - Exemplo de regras de filtragem.
Figura 204 - Interface regras de filtragem.
Para criar novas Polticas deve-se clicar no cone da barra de ferramentas "Poltica".
Figura 205 - Barra de cones (Poltica).
281
A figura abaixo mostra o desdobramento das regras da poltica. Basta dar um duplo clique
na linha para exibir as regras que ela contm:
Figura 206 - Exibio das regras de filtragem.
No caso de desabilitar uma poltica, todas as regras que ela contm tambm sero
desabilitadas.
7.4. Utilizando a Interface Texto (via SSH-fwrule)
A utilizao da Interface Texto (via SSH) na configurao das regras de filtragem traz uma
dificuldade gerada pela grande quantidade de parmetros que devem ser passados pela
linha de comando (E possvel usar todos os comandos sem o prefixo FW, para isso execute
o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).
No possvel configurar a tabela de horrios nem especificar comentrios para as

regras por meio da Interface Texto (via SSH). Tambm no possvel especificar mais de
uma entidade para origem ou destino da regra. Todas as regras acrescentadas por esta
interface so consideradas aplicveis em todas as horas da semana.
282
Localizao do programa: /aker/bin/firewall/fwrule.

Sintaxe:
Uso: fwrule [ajuda | mostra]
fwrule [habilita | desabilita | remove] <pos>
fwrule inclui <pos> <origem> <destino>
<aceita | rejeita | descarta>
[pipe <pipe> <peso>] [acumulador <acumulador>]
[loga] [mail] [trap] [programa] [alerta]
[encriptado | usurio ] [<servico> ...]
Ajuda do programa:
Firewall Aker
fwrule - Configura tabela de regras do filtro de estados
Uso: fwrule [ajuda | mostra]
fwrule [habilita | desabilita | remove] <pos>
fwrule inclui <pos> <origem> <destino>
<aceita | rejeita | descarta>
[pipe <pipe> <peso>] [acumulador <acumulador>]
[loga] [mail] [trap] [programa] [alerta]
[encriptado | usurio ] [<servico> ...]
mostra = mostra todas as entradas da tabela de regras
inclui
= inclui uma nova regra de filtragem
habilita = habilita uma regra de filtragem desabilitada
desabilita = desabilita uma regra de filtragem existente
remove = remove uma regra existente
ajuda
= mostra esta mensagem
Para inclui temos:
pos
= posio onde incluir a nova regra na tabela
(Pode ser um inteiro positivo ou a palavra FIM para incluir
no final da tabela)
aceita = a regra aceita as conexes que se enquadrarem nela
rejeita = a regra rejeita as conexes que se enquadrarem nela e envia
pacote ICMP de destino inatingvel para mquina de origem
descarta = a regra descarta os pacotes recebidos (no envia pacote ICMP)
pipe
= faz com que o trfego que se encaixe nesta regra seja
direcionado ao "pipe" indicado com peso relativo dado por:
283
acumulador = faz com que o trfego que se encaixe nesta regra seja
somado a entidade acumulador especificada
peso
= "ocioso", "m_baixo" (muito baixo), "baixo", "normal",
"alto", "m_alto" (muito alto) ou "tr" (tempo real)
loga
= loga os pacotes que se enquadrarem na regra
mail
= envia e-mail para cada pacote que se enquadre na regra
trap
= gera trap SNMP para cada pacote que se enquadre na regra
programa = executa um programa para cada pacote que se enquadre na regra
alerta = abre uma janela de alerta para cada pacote que se enquadre na regra
encriptado = indica que a regra s valida se os pacotes vierem encriptados
usurio = indica que a regra s vlida se os pacotes vierem
encriptados e o usurio tiver se autenticado previamente no
firewall. Esta condio somente pode ser atendida por
conexes originadas de clientes de criptografia
servico = lista de nomes dos servios para a nova regra
Para habilita / desabilita / remove temos:
pos
= nmero da regra a ser habilitada, desabilitada ou removida
Exemplo 1: (visualizando as regras de filtragem)
#/aker/bin/firewall/fwrule mostra
Regra 01
-------Origem : Internet
Destino : firewall
cache
Ao
: Descarta
Log
: Loga Trap Alerta
Servios : todos_tcp
todos_udp
todos_icmp
Regra 02
-------Origem : cache
firewall
Destino : Internet
Ao
: Aceita
Log
: Loga
Servios : http
ftp
Regra 03
-------Origem : Internet
284
Destino
Ao
Log
Servios
: Mail server
: Aceita
: Loga
: smtp
Regra 04
-------Origem
Destino
Ao
Log
Servios
: Empresas externas
: Aker
: Aceita
: Loga
: smtp
Exemplo 2: (removendo a quarta regra de filtragem)

#/aker/bin/firewall/fwrule remove 4
Regra 4 removida
Exemplo 3: (incluindo uma nova regra no final da tabela)
#/aker/bin/firewall/fwrule inclui fim Internet "Mail server" aceita loga smtp
Regra includa na posio 4
As entidades Internet e Mail server, bem como o servio SMTP devem ter sido
previamente cadastradas no sistema. Para maiores informaes sobre como cadastrar
entidades no Aker Firewall, veja o captulo Cadastrando Entidades.
O uso de "" ao redor do nome da entidade a ser includa na regra obrigatrio quando
este contm espaos.
285
7.5. Utilizando o assistente de regras
O assistente de regras pode ser acionado pelo menu ou pela barra de tarefas. Caso o
nmero de regras for muito pequeno o prprio assistente ser acionado automaticamente.
1 - Acionando do assistente de regras. A janela abaixo aparecer quando um nmero muito
pequeno de regras for detectado.
Figura 207 - Assistente de regras filtragem (janela exibida quando um nmero pequeno de
regras for detectado.
286
2 - Tela inicial com as explicaes necessrias.
Figura 208 - Mensagem de boas vindas ao Assistente de regras filtragem.
3 - Escolha da rede interna na configurao inicial.
287
Figura 209 - Escolha da rede interna e configurao inicial.
4 - Informao necessria para saber se as mquinas tero acesso irrestrito Internet.
288
Figura 210 - Tela de acesso para escolha de acesso restrito ou no internet.
289
5 - Configurao da DMZ.
Figura 211 - Escolha se possui ou no DMZ.
290
6 - Escolha da entidade da DMZ.
Figura 212 - Escolha da entidade DMZ.
291
7 - Informa se a DMZ ter acesso irrestrito Internet.
Figura 213 - Mquinas DMZ (acesso restrito ou no Internet).
292
8 - Administrao do Firewall. Informar quem ter acesso de administrao ao mesmo.
Figura 196 - Configurao do Firewall.
293
9- Registro individual de servidor para a DMZ.
Figura 197 - Registro de configurao do servidor.
294
10 - Informao de servidor especfico para a DMZ.
Figura 198 - Escolha da entidade do servidor.
295
11 - Seleo dos servios do servidor para a DMZ.
Figura 199 - Selecionar o local onde o servidor DMZ ficar disponvel.
296
12- Pergunta se deseja configurar outro servidor.
Figura 214 - Escolha para configurar outro servidor ou no.
297
13 - Visualizao final das regras de filtragem montada pelo assistente.
Figura 215 - Aviso de finalizao de configurao das regras de filtragem.
7.6. Utilizando Regras de Pipes
Esta janela foi criada para organizar suas regras de Q.o.S, no Aker Firewall conhecida como
"canal/pipe". Ela permite que sejam visualizados em apenas uma janela, todas as suas
regras de PIPE, sem a necessidade de visualizar vrias janelas separadas como as de Regras
de filtragem Geral e/ou Regras de Filtragem nos Perfis de Acesso.
O Aker Firewall suporta modificaes de valores DSCP (Differentiated Services Code
Point).
298
Os campos so muito parecidos com a janela de Regras de Filtragem, contendo:
Origem: Determina o IP/rede de origem dos pacotes;

Destino: Determina o IP/rede de destino dos pacotes;
Servio: Permite selecionar quais os servios (TCP, UDP, ICMP ou Outros) utilizar esta
regra de PIPE;
Canal: O administrador pode definir Qualidade de Servio (QoS) diferenciada para cada
tipo de regra;
Hora: Define as horas e dias da semana em que a regra ser aplicvel. As linhas
representam os dias da semana e as colunas representam s horas. Caso queira que a
regra seja aplicvel em determinada hora o quadrado deve ser preenchido, caso
contrrio o quadrado deve ser deixado em branco.
Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse sobre um
quadrado e arrast-lo, mantendo o boto pressionado. Isto faz com que a tabela seja
alterada na medida em que o mouse se move.
Perodo de validade: Permitir o cadastro de duas datas que delimitam um perodo fora
do qual a regra no tem validade. um recurso muito til para, por exemplo, liberar o
trfego relacionado a um evento no recorrente, como um teste. Se o perodo ainda no
tiver comeado ou estiver expirado, o nmero da regra ser mostrado sobre um fundo
vermelho.
Comentrio: Inserir um comentrio sobre a regra. Muito til na documentao e
manuteno das informaes sobre a utilidade da regra.
A janela de Regras de Pipes
Figura 216 - Janela com as regras de Pipes.
299
Estas regras sobrepem s configuraes de "Canal" das Regras de Filtragem Geral e das
Regras de Filtragem nos Perfis de Acesso.
300
301
Este captulo mostra como configurar os parmetros de converso de endereos (NAT) de

modo a possibilitar que a rede interna trabalhe com endereos reservados, aumentando sua
capacidade de endereamento, ocultando as mquinas da rede interna e acessando a
Internet, de forma totalmente transparente. Nesta verso tambm ser possvel realizar um
balanceamento de carga das conexes de forma mais inteligente.
O que converso de endereos?

Qualquer rede que vai se ligar Internet necessita de um conjunto de endereos IP
atribudos por alguma autoridade designada para tal (no Brasil esta distribuio de
responsabilidade da FAPESP). Basicamente existem 3 conjuntos de endereos possveis, os
chamados classe A, que possibilitam 16.777.214 mquinas dentro da rede, os classe B, que
possibilitam 65.533 mquinas e os classe C, que possibilitam 254 mquinas.
Devido ao grande crescimento apresentado pela Internet nos ltimos anos, no existem
mais endereos classe A e B disponveis. Assim sendo, qualquer rede que venha a se
conectar receber um endereo classe C que permite o endereamento de apenas 254
mquinas. Caso o nmero de mquinas seja maior do que isso, devem-se adquirir vrios
endereos classe C o que dificulta o trabalho de administrao, ou utilizar uma soluo de
converso de endereos.
A converso de endereos uma tecnologia que permite que os endereos das mquinas da
rede interna sejam distribudos livremente, utilizando endereos classe A. Assim continua a
permitir que todas as mquinas tenham acesso internet de forma simultnea e
transparente Internet.
O seu funcionamento simples, todas as vezes que uma mquina com um endereo
reservado tenta acessar a Internet, o Firewall detecta e automaticamente traduz seu
endereo para um endereo vlido. Quando a mquina de destino responde e envia dados
para o endereo vlido, o Firewall converte de volta este endereo para o reservado e
repassa os dados para a mquina interna. Da forma que isso feito, nem as mquinas
clientes nem as mquinas servidoras sabem da existncia de tal mecanismo.
Outra vantagem, alm da apresentada acima, que com a converso de endereos todas as
mquinas da sua rede interna ficam invisveis para a rede externa, aumentando ainda mais
o nvel de segurana da instalao.
302
A converso de endereos no compatvel com servios que transmitem endereos IP

ou portas como parte do protocolo. Os nicos servios deste tipo suportados pelo Aker
Firewall so o FTP, Real udio e Real Vdeo.
Quais so as minhas redes internas?
As redes internas se constituem de todas as mquinas de uma ou mais sub-redes que esto
sendo protegidas pelo Aker Firewall. Isto inclui todos os dispositivos internos da rede, como
roteadores, switches, mquinas servidoras, mquinas clientes, etc. So os equipamentos
que guardam informaes importantes da sua rede, ou so peas chaves para seu
funcionamento.
Quais so as minhas redes externas?
As redes externas so formadas por todas as mquinas que no fazem parte da rede
interna. Elas podem estar ou no sob a responsabilidade administrativa de sua organizao.
No caso de uma rede de uma organizao se ligando Internet, a rede externa seria toda
Internet.
Endereando as minhas redes internas
Apesar de tecnicamente possvel, os endereos de suas redes internas no devem ser
escolhidos aleatoriamente. Existem alguns endereos reservados especificamente para este
fim. Estes endereos no podem ser atribudos a nenhuma mquina ligada Internet.
Os endereos reservados so:
De 10.0.0.0 10.255.255.255, mscara 255.0.0.0 (classe A)
De 172.16.0.0 172.31.0.0, mscara 255.255.0.0 (classe B)
De 192.168.0.0 192.168.255.255, mscara 255.255.255.0 (classe C).
Tipos de converso de endereos
Existem trs tipos diferentes de converso de endereos: 1-1, N-1, 1-N e N-N. Cada um deles
possui caractersticas distintas e normalmente so utilizados em conjunto para conseguir
melhores resultados.
1-1
O tipo 1-1 o mais intuitivo, porm normalmente o menos til. Ele consiste em fazer
mapeamentos binrios de um para um entre endereos reservados e endereos vlidos.
Desta forma, mquinas distintas teriam endereos convertidos distintos.
303
A grande limitao desta forma de operao que no possvel colocar um nmero de

mquinas maior que o nmero de endereos vlidos, uma vez que so sempre
convertidos na base de um para um. Em compensao, ela permite que mquinas com
endereos reservados possam ser acessadas externamente com endereos vlidos.
N-1
A converso de N-1, como o nome j diz, possibilita que vrias mquinas com endereos
reservados utilizem um mesmo endereo vlido. Para conseguir este objetivo, ela utiliza
endereos IP em combinao com portas (no caso dos protocolos TCP e UDP) ou com
nmeros de sequncia (no caso de ICMP). Este mapeamento feito dinamicamente pelo
firewall, cada vez que uma nova conexo estabelecida. Como existem 65535 portas ou
nmeros de sequncia distintos possvel existncia de at 65535 conexes
simultneas ativas utilizando o mesmo endereo.
A nica limitao desta tecnologia que ela no permite que as mquinas internas
sejam acessadas externamente. Todas as conexes devem ser iniciadas internamente.
Quando se utiliza uma converso de endereo (NAT) no Aker Firewall do tipo N: 1,
alm da converso dos endereos IP da rede interna para um nico IP vlido Internet,
tambm alterado a porta de origem da comunicao.
Toda comunicao baseada no protocolo TCP/IP, tem no mnimo os seguintes
parmetros:
IP origem;
Porta origem;
IP destino;
Porta destino.
Exemplo: O endereo IP de um computador 200.0.0.1 e o endereo IP do site do Terra

(http://www.terra.com.br) 200.176.3.142, como fica esta conexo:
IP origem: 200.0.0.1
Porta origem: Qualquer porta entre 1024 e 65535
IP destino: 200.176.3.142
Porta destino: TCP 80 (HTTP)
A partir do Aker Firewall 6.1 Patch 3 ou superior este valor de Porta origem quando se
utiliza a converso de endereo de N: 1 varia entre os valores 8176 at 63487. Pode-se
alterar esta faixa de portas, conforme demonstrado abaixo:
Soluo:
304
Edite o arquivo rc.aker no caminho /aker/bin/firewall. Altere a linha:

Insmod $MODNAME
Para: insmod $MODNAME nat_init=20000 nat_end=40000
onde:
nat_init= < inicio da porta de origem>

nat_end= <valor mximo da porta de origem>
Os valores padres so:
nat_init= 30720
nat_end=63472
1-N
Este tipo de converso tambm chamado de balanceamento de carga e possibilita que
vrios servidores sejam colocados atrs de um nico endereo IP vlido. Cada vez que
uma nova conexo aberta para esse endereo, ela redirecionada para um dos
servidores internos. A grande vantagem dessa tecnologia possibilitar que servios que
demandam uma grande quantidade de recursos possam ser separados em vrias
mquinas e serem acessados de forma transparente, por meio de um nico endereo.
No caso de quedas de algumas dessas mquinas, as novas conexes so
automaticamente repassadas para as mquinas que ainda estiverem no ar, implantando
com isso mecanismo de tolerncia a falhas.
N-N
Esta converso permite que todos os endereos de uma rede sejam convertidos para os
endereos de uma rede virtual automaticamente.
Aplicaes da converso de endereos com o Aker Firewall

O Aker Firewall permite que qualquer tipo de converso seja realizada, no se limitando
apenas ao endereo vlido da interface externa do firewall, mas sim dando total
flexibilidade ao administrador em utilizar qualquer endereo dentro da rede, inclusive
fazendo a converso entre redes invlidas.
Suponhamos que uma determinada organizao receba uma rede de endereos classe C,
com o formato A.B.C.0. Este um endereo vlido que suporta no mximo 254 mquinas
305
(os endereos A.B.C.0 e A.B.C.255 so reservados para fins especficos e no podem ser
utilizados, sobrando os valores de A.B.C.1 a A.B.C.254). Suponha ainda que esta rede possua
1000 mquinas para serem conectadas. Em virtude da impossibilidade de alocar todas as
mquinas no endereo recebido, foi decidido pelo uso da converso de endereos.
Escolheu-se ento um endereo reservado classe A para ser colocado nas mquinas da rede
interna, o 10.x.x.x com mscara 255.0.0.0.
O Aker Firewall ir ficar no limite da Internet com a rede interna, que possui endereos
reservados. Ele ser o responsvel pela converso dos endereos reservados 10.x.x.x para os
endereos vlidos A.B.C.x. Desta forma, o firewall dever possuir pelo menos dois
endereos: um endereo vlido, para que possa ser atingido pela Internet e um reservado,
para que possa ser atingido pela rede interna. (na maioria das instalaes, colocam-se duas
ou mais placas de rede no firewall: uma para a rede externa e uma ou mais para a rede
interna. Entretanto possvel, porm no recomendado, fazer esta mesma configurao
com apenas uma placa de rede, atribuindo um endereo vlido e um reservado para a
mesma placa).
Supondo que seja escolhido o endereo A.B.C.2 para o segmento vlido e o 10.0.0.2 para o
segmento reservado. Este endereo vlido ser utilizado pelo firewall para converter todas
as conexes com origem na rede interna e destino na Internet. Externamente, todas as
conexes sero vistas como se partissem dele.
Outro exemplo seria a de uma organizao que possua sadas para a Internet e trs classes
de endereos vlidos, neste caso o administrador tem a possibilidade de distribuir a
converso de endereos entre essas trs classes, obtendo muito mais flexibilidade na
configurao.
Com a converso de endereos funcionando, todas as mquinas internas conseguem
acessar qualquer recurso da Internet transparentemente, como se elas prprias possussem
endereos vlidos. Porm, no possvel para nenhuma mquina externa iniciar uma
conexo para qualquer mquina interna (devido ao fato delas no possurem endereos
vlidos). Para resolver este problema, o Aker Firewall possibilita a configurao de regras de
converso 1-1, o que permite simular endereos vlidos para quaisquer endereos
reservados.
Voltando para o caso da nossa hipottica organizao, suponha que em sua rede exista um
servidor WWW, com endereo 10.1.1.5, e que seja desejado que este servidor fornea
informaes para a rede interna bem como para a Internet. Neste caso deve-se escolher um
endereo vlido para que este possa ser utilizado pelos clientes externos para se
conectarem a este servidor. Suponha que o endereo escolhido tenha sido o A.B.C.10. Devese ento acrescentar uma regra de converso 1-1, de modo a mapear o endereo A.B.C.10
para o endereo interno 10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10
sero automaticamente mapeados novamente pelo firewall para 10.1.1.5.
Os endereos vlidos escolhidos para realizar a converso de 1-1 no podem ser
atribudos a nenhuma mquina real. Desta forma, em nosso exemplo possvel a
configurao de at 253 servidores na sua rede interna passveis de serem acessados
306
externamente (um dos 254 endereos vlidos j usado para que o firewall converta o
trfego de todas as mquinas clientes).
O Aker Firewall utiliza a tecnologia de proxy-arp para possibilitar que os servidores
virtuais sejam tratados pelas mquinas pertencentes rede vlida (por exemplo, o roteador
externo), como se fossem mquinas reais.
Exemplos de configuraes usando converso de endereos:
Se ligando Internet com uma linha dedicada
Equipamento: 1 roteador, 1 Aker Firewall, n clientes, 2 servidores na rede interna

Endereo vlido: A.B.C.x, mscara da rede 255.255.255.0
Endereo reservado: 10.x.x.x mscara da rede 255.0.0.0
Endereo dos servidores: 10.1.1.1, 10.2.1.1
Endereo dos clientes: 10.x.x.x
Endereos do roteador: Rede vlida A.B.C.1 , Internet :x.x.x.x
Configurao do Aker Firewall:

Endereos das placas: rede interna: 10.0.0.2, rede vlida A.B.C.2
IP virtual para a converso N-1: A.B.C.2
Rede privada: 10.0.0.0
Mscara da rede privada: 255.0.0.0
Regras de converso 1-1:
A.B.C.10 - 10.1.1.1
A.B.C.30 - 10.2.1.1
Figura 217 - Exemplo 1 de configurao do Aker Firewall (interligando departamentos).
Desenho do Exemplo 1
307
Interligando departamentos
Neste exemplo, iremos mostrar como interligar departamentos de uma mesma empresa,
utilizando um conversor de endereos entre estes departamentos.
Equipamento: 1 roteador, 3 Aker Firewall, n clientes, 4 servidores na rede interna
Endereo vlido: A.B.C.x, mscara da rede 255.255.255.0
Endereo reservado: 10.x.x.x mscara da rede 255.255.0.0
Endereo reservado:172.16.x.x, mscara 255.255.0.0
Endereos da sub-rede 1:
10.1.x.x
Endereo do servidor: 10.1.1.1
Endereo dos clientes: 10.1.x.x
Endereos do roteador: Rede vlida A.B.C.1 , Internet: x.x.x.x
Rede interna: 10.1.0.1, Rede vlida A.B.C.2
IP virtual para a converso N-1: A.B.C.2
Rede privada: 10.0.0.0
Externamente: 10.1.0.2
Internamente:172.16.x.x
Sub-Rede 2: 172.16.0.1, Sub-rede 1:10.1.0.2
IP Virtual para converso N-1:10.1.0.2
Rede privada (2): 172.16.0.0
10.2.1.1 - 172.16.1.1
308
Externamente: 10.1.0.3
Internamente:172.16.x.x

Sub-Rede 3: 172.16.0.1, Sub-rede 1:10.1.0.3
IP Virtual para converso N-1:10.1.0.3
Rede privada (3): 172.16.0.0
10.3.1.1 - 172.16.1.1
Na tabela de roteamento para este tipo de instalao devemos inserir rotas para as subredes 10.1.x.x, 10.2.x.x, 10.3.x.x.
Figura 218 - Exemplo 2 de configurao do Aker Firewall (mltiplas ligaes com a Internet).
309
Mltiplas ligaes com a Internet

Neste exemplo bem mais complexo, mostraremos como utilizar trs ligaes com a Internet
e duas redes internas, utilizando o conversor de endereos entre elas.
Equipamento: 3 roteadores, 1 Aker Firewall, n clientes, 2 servidores na rede DMZ
Endereos vlidos: A.B.C.x, D.E.F.x, G.H.I.x, todos com mscara de rede 255.255.255.0
Endereo reservado para a rede interna: 10.x.x.x mscara da rede 255.0.0.0
Endereo reservado para a DMZ:172.16.x.x, mscara 255.255.0.0
Endereos dos roteadores: Rede vlida A.B.C.1, D.E.F.1, G.H.I.1 , Internet :x.x.x.x
Endereos das placas: Placa 1: 10.0.0.2, Placa 2: 172.16.0.2 , Placa 3: A.B.C.2, Placa 4:
D.E.F.2, Placa 5: G.H.I.2
Redes privadas: 10.0.0.0 e 172.16.0.0
Mscara da redes privadas: 255.255.0.0
Servidores da DMZ
Servidor Web - 10.0.0.10
Servidor SMTP - 10.0.0.25
Regras de converso de Endereos
1. Origem - 10.0.0.10 converte para A.B.C.10 quando for para Internet
2. Origem - 10.0.0.25 converte para D.E.F.25 quando for para Internet
3. Origem - 172.16.x.x converte para 10.0.0.4 quando for para rede 10.0.0.0
4. Origem - 172.16.x.x converte para D.E.F.25 quando for para Internet
5. Origem - 10.x.x.x converte para A.B.C.20 quando for para Internet
310
Figura 219 - Exemplo 3 de configurao do Aker Firewall (montando regras de converso de endereos).
Com o Aker Firewall possvel realizar um balanceamento dos links para realizar um
aproveitamento mais otimizado dos links. O firewall possui mecanismos de verificao de
ativao dos links, sendo possvel dividir o trfego de forma inteligente pelos links ou
desviar totalmente o trfego daquele que estiver fora do ar.
O administrador tambm poder atribuir pesos s suas conexes, ou seja, as conexes mais
rpidas podero ter um peso maior do que as conexes mais lentas, desta forma o firewall
dar preferncia em enviar o trfego para o link com maior peso.
Montando regras de converso de endereos para o Aker Firewall
Configurar as regras de converso de endereos no Aker Firewall algo fcil em funo de
sua concepo inteligente. Toda a parte de endereos IP, mscaras, protocolos e portas so
configurados nas entidades (para maiores informaes, veja o captulo intitulado
Cadastrando Entidades). Devido a isso, ao configurar uma regra, no necessrio se
preocupar com qual porta um determinado servio utiliza ou qual o endereo IP de uma
rede ou mquina. Tudo isso j foi previamente cadastrado. Para facilitar ainda mais, todos
os servios mais utilizados na Internet j vem previamente configurado de fbrica, sendo
desnecessrio perder tempo pesquisando os dados de cada um.
Basicamente, para cadastrar uma regra de converso, deve-se especificar as entidades de

origem e destino, tipo de converso, interface virtual e servio (se for o caso).
311
O funcionamento da converso simples: o firewall pesquisar uma a uma as regras

definidas pelo administrador, na ordem especificada, at que o pacote se encaixe numa
delas. A partir deste momento, ele executar o tipo de converso associado regra. Caso a
pesquisa chegue ao final da lista e o pacote no se enquadre em nenhuma regra ento este
no ser convertido.
Utilizando a Interface Remota

Para ter acesso a janela de configurao da converso de endereos, deve-se:
Figura 220 - Janela de configurao da converso de endereos.
Clicar no menu Configurao do Firewall.

Selecionar o item NAT.
312
A janela de configurao de converso de endereos (NAT)
Figura 221 Janela de configurao da converso de endereos (NAT).
A janela de converso de endereos contm todas as regras de converso definidas no Aker

Firewall. Cada regra ser mostrada em uma linha separada, composta de diversas clulas.
Caso uma regra esteja selecionada, ela ser mostrada em uma cor diferente.
imediatamente.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a
janela aberta
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela
seja fechada.
Existe uma barra para incluso de comentrios relativo regra de converso.
A opo Ativar NAT, se estiver marcada, far com que o firewall passe a converter os
endereos de acordo com as regras cadastradas. Caso ela esteja desmarcada, nenhum
tipo de converso de endereos ser feita.
A barra de rolagem do lado direito serve para visualizar as regras que no couberem na
janela.
Ao clicar sobre uma regra e selecion-la, se ela possuir um comentrio, este aparecer
na parte inferior da janela.
A posio da regra pode ser alterada clicando e arrastando com o mouse para a nova
posio desejada.
A janela possui os seguintes campos:

313
Origem: Neste campo especifica-se a lista de todas as entidades cujos endereos sero
convertidos para o endereo da Entidade Virtual, descrita acima. A converso 1-1 ou
converso de servios permitem que apenas uma entidade seja selecionada para este
campo e esta entidade deve ser do tipo mquina.
Caso esteja utilizando Converso 1-N ou Converso de Servios 1-N, ento cada mquina
pertencente a esse campo ter um peso associado a ela, mostrado entre parnteses,
direita do nome da entidade. Para alterar o peso de uma determinada mquina, ou seja,
fazer com que ela receba mais conexes que as demais, deve-se clicar com o boto direito
sobre o nome da entidade, na lista da direita, selecionar a opo Alterar peso e escolher o
novo valor.
O campo Entidade Origem deve sempre conter os endereos internos (reservados ou no
vlidos) das mquinas participantes da converso, independentemente de seu tipo.
Destino: Este campo serve para especificar as entidades para as quais a converso de
endereos ser efetuada (no caso da converso N-1) ou as mquinas que acessaro as
mquinas internas por meio do endereo contido no campo Entidade Virtual (para os
demais tipos de converso). Ao criar vrias regras com valores distintos nesse campo, faz
com que uma mesma mquina tenha seu endereo convertido em endereos distintos
dependendo do destino da comunicao.
O valor mais comum para esse campo a especificao da entidade Internet como
destino. Isso far com que a converso de endereos selecionada na regra seja efetuada
para todas as mquinas externas.
Opes: Tipo de nat que ser utilizado.

Entidade Virtual: Neste campo deve-se configurar a entidade para a qual os endereos
internos sero convertidos ou para o qual as requisies externas devem ser direcionadas. A
entidade virtual dever sempre ser uma entidade do tipo mquina.
Servios: Este campo define quais os servios que faro parte da regra, quando for utilizado
o tipo de converso de Servios, N-1 servios ou 1-N com Servios. A janela ficar
desabilitada para os demais tipos de converso.
Servio Virtual: Servio que sofrer a converso, somente utilizado em Nat de porta.
Balanceamento de link: Este campo permite habilitar ou desabilitar o balanceamento de
link. As configuraes do balanceamento devem ter sido realizadas quando for selecionada
esta opo.
Comentrio: Reservado para colocar uma descrio sobre a regra. Muito til na
documentao e manuteno das informaes sobre sua utilidade.
314
A janela de configurao de Balanceamento de Link
Figura 222 - Janela de configurao de balanceamento de link.
imediatamente.
janela aberta
seja fechada.
Esta aba possui os seguintes campos:

Nome: Neste campo dever ser informado um nome para representar o link de acesso
Internet.
Tipo: Este campo informa qual o tipo da configurao e pode assumir dentre dois valores
possveis, "esttico" ou "dinmico".
Quando o link for esttico obrigatrio cadastrar uma entidade de rede e uma entidade
de mquina (gateway) sendo, neste, caso no permitido o cadastro de entidade de interface
de rede. Quando o link for dinmico, a situao se inverte, sendo o usurio obrigado a
cadastrar uma entidade do tipo interface, sendo que o cadastro de entidades do tipo rede e
mquina (gateway) no so permitidos.
315
Rede: Cadastre a rede que a operadora forneceu;

Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall far uma
crtica para verificar se o gateway realmente pertence rede da operadora);
Interface: Esse campo utilizado para o cadastro da entidade do tipo interface de rede, a
qual ir representar o link dinmico.
Peso: Indica um valor a ser atribudo ao link. Quando os pesos so maiores pressupe que
os links sejam mais rpidos.
Checa host 1: Nesse campo deve ser cadastrada uma entidade que tenha certeza que esteja
logo a seguir do roteador da operadora, de preferncia dentro de um ou dois saltos de seu
roteador. Esta entidade ser utilizada pelo firewall para determinar se o link est no ar ou
no. Pode ser cadastrado um servidor DNS da operadora ou mesmo roteadores prximos.
Checa host 2 e Checa host 3: Entidades de verificao tambm utilizadas pelo firewall. No
obrigatrio que estejam cadastradas as trs entidades de verificao, contudo, quanto
mais entidades cadastradas melhor para o sistema de verificao do firewall.
Para executar qualquer operao sobre uma determinada regra, basta clicar com o boto
direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre
que o boto direito for pressionado, mesmo que no exista nenhuma regra selecionada.
Neste caso, somente as opes Incluir e Colar estaro habilitadas).
316
Figura 223 - Janela de configurao para adicionar entidades.
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova
regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a
nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada
para o final da lista.
Habilita/Desabilita: Permitir habilitar/desabilitar a regra selecionada, ou seja, ela
permanecer cadastrada, mas o Firewall se comportar como se a mesma no existisse
(no caso do Disable) e prosseguir a pesquisa na regra seguinte.
Adicionar entidades: No ponto em que for feito o clique do mouse, ser possvel inserir
a entidade no campo correspondente da regra de converso. Apenas certo nmero de
entidades poder ser visualizado. Para escolher outra entidade faa a rolagem da janela
na barra correspondente.
Dica: O mtodo mais prtico para o administrador montar sua regra de converso ser
arrastando diretamente as entidades para dentro da regra.
317
Dica 2: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a
nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse
ir mudar para uma caixa pontilhada.
No caso de incluso ou edio de regras, ser mostrada a janela de propriedades, descrita
na seo abaixo:
A janela de incluso de regras de NAT
Figura 224 - Janela de incluso de regras de NAT.
Tipos de NAT: Neste campo definido o tipo de converso que a regra realizar. Ela possui
as seguintes opes:
Sem Converso: Esta opo indica ao firewall que no deve haver converso de
endereos quando qualquer uma das mquinas pertencentes s Entidades Origem for
acessar qualquer uma das mquinas pertencentes s Entidades Destino e vice-versa.
Converso 1-1: Esta opo indica ao firewall que quando a mquina listada nas
Entidades Origem for acessar qualquer uma das mquinas pertencentes s Entidades
Destino ela ter seu endereo convertido para o endereo da Entidade Virtual. Todas as
vezes que uma mquina pertencente s Entidades Destino acessar o endereo da
Entidade Virtual, esse ltimo ser automaticamente convertido para o endereo real,
318
definido pela entidade presente nas Entidades Origem. Este tipo de converso til para
possibilitar o acesso externo a servidores internos.
Nas Entidades Origem deve-se colocar uma entidade com o endereo real (interno,
reservado) da mquina para a qual se far converso de 1-1. Na Entidade Virtual deve-se
colocar uma entidade com o endereo para o qual o endereo interno ser convertido
(endereo vlido) e que ser acessado pelas mquinas externas.
Converso N-1: Esta opo indica ao firewall que quando qualquer mquina listada nas
Entidades Origem for acessar qualquer uma das mquinas pertencentes s Entidades
Destino ela ter seu endereo convertido para o endereo da Entidade Virtual. Este tipo
de converso til para possibilitar que um grande nmero de mquinas utilize apenas
um endereo IP vlido para se comunicar por meio da Internet, entretanto ela no
permite com que mquinas externas (listadas nas Entidades Destino) iniciem qualquer
comunicao com as mquinas internas (listadas nas Entidades Origem).
Quando o mdulo de Cluster Cooperativo estiver funcionado na converso de N-1, o IP

da entidade virtual no pode ser nenhum dos atribudos s interfaces do firewall.
Converso de Servios: Esta opo til para redes que dispem de apenas um
endereo IP e necessitam disponibilizar servios para Internet. Ela possibilita que
determinados servios, ao serem acessados no firewall, sejam redirecionados para
mquinas internas.
No campo Entidades Origem, deve-se colocar o endereo IP interno (real) da mquina para a
qual os servios sero redirecionados. No campo Entidades Destino, deve-se colocar as
mquinas que iro acessar os servios externamente. No campo Servios, deve-se escolher
todos os servios que sero redirecionados para a mquina presente em Entidades Origem
quando uma mquina presente nas Entidades Destino acess-los no endereo IP da Entidade
Virtual.
Quando o mdulo de Cluster Cooperativo estiver funcionado no possvel converso
de servios.
Converso 1-N: Esta opo utilizada para fazer balanceamento de carga, ou seja,
possibilitar que vrias mquinas respondam como se fossem uma nica.
No campo Entidades Origem deve-se colocar a lista de mquinas que faro parte do
balanceamento e que passaro a responder como se fossem uma nica. No campo
Entidades Destino, deve colocar as mquinas que iro acessar as mquinas internas pelo
endereo especificado na entidade presente no campo Entidade Virtual.
319
Figura 225 - Janela de configurao para aes que deseja ser realizada.
Converso 1:N para servios: Esta opo utilizada para fazer balanceamento de carga
para determinados servios, ou seja, possibilitar que vrias mquinas respondam a
requisies destes servios como se fosse uma nica.
Porta: Para efetuar converses no somente de endereos ip, mas tambm de portas
para conexo, utiliza-se este tipo de nat, que tambm conhecido com PAT (port
address translation).
1:N para Porta: Faz balanceamento de servidores efetuando converses no somente de

endereos ip, mas tambm as portas de conexo, sendo que aps a converso os
acessos so distribudos entre os servidores que fazem parte do balanceamento.
Converso N:N: Esta opo indica ao firewall que os endereos pertencentes rede
listada nas Entidades Origem, ao acessar qualquer uma das mquinas pertencentes s
Entidades Destino, sero convertidos para os endereos da rede no campo Entidade
Virtual, ou seja, nesta converso deve-se usar uma entidade de rede na coluna origem e
uma entidade de rede na coluna entidade virtual. O campo destino pode ser preenchido
da mesma maneira como feito para os demais tipos de NAT.
Alm disso, as mscaras de rede da entidade de origem e da entidade virtual precisam

ser iguais para que o NAT funcione. Por exemplo:
IP
Mscara de rede
Origem
192.168.0.0
255.255.255.0
Entidade virtual
172.16.0.0
255.255.255.0
Figura 226 - Mscaras de rede da entidade de origem e virtual devem ser iguais.
Nesse caso, todos os IPs da rede 192 sero convertidos para a 172.
320
A opo Avanado, que somente estar habilitado quando selecionar a converso de

endereos 1-N ou Converso de servios 1-N, permite configurar os parmetros do
monitoramento que ser realizado pelo firewall a fim de detectar se as mquinas
participantes do balanceamento esto no ar ou no e como o balanceamento ser
realizado. Ao clicar neste boto, a seguinte janela ser mostrada:
Figura 227 - Configurao dos parmetros de monitoramento a ser realizado pelo firewall.
O campo Tipo de monitoramento, permite definir o mtodo utilizado pelo firewall para
verificar se as mquinas participantes do balanceamento (mquinas definidas no campo
Entidades Origem) esto no ar. Ela consiste das seguintes opes:
Sem monitoramento: Se essa opo for selecionada, o firewall no monitorar as mquinas
e assumir que elas esto sempre ativas.
Pacotes Ping: Se essa opo for selecionada, o firewall monitorar as mquinas por meio de
pacotes ICMP de Echo Request e Echo Reply (que tambm so utilizados pelo comando
PING, da o nome dessa opo).
Pedidos HTTP: Se essa opo for selecionada, o firewall monitorar as mquinas por meio
de requisies HTTP. Nesse caso, deve-se especificar a URL (sem o prefixo http://) que o
firewall tentar acessar em cada mquina para verificar se ela est ativa ou no.
Algoritmo de balanceamento de carga: Esse campo permite definir o mtodo utilizado para
balancear as requisies entre as mquinas presentes no campo Entidades Origem. Ele
consiste das seguintes opes:
321
Round - Robin: Quando selecionada essa opo, o firewall distribuir sequencialmente as

requisies para as mquinas participantes do balanceamento, uma a uma. Caso as
mquinas tenham pesos diferentes, primeiro ser distribuda uma conexo para cada
mquina, a seguir uma conexo para cada mquina que recebeu um nmero de conexes
menor que seu peso e assim sucessivamente. Quando todas as mquinas receberem o
nmero de conexes equivalente a seu peso, o algoritmo se inicia.
Aleatrio: Quando selecionada essa opo, o firewall distribuir as conexes de forma
randmica entre as mquinas, ou seja, a probabilidade de uma conexo ser redirecionada
para uma determinada mquina igual razo entre seu peso e o peso total de todas as
mquinas.
Persistncia entre conexes: Esse campo permite definir o tempo de persistncia da sesso
em protocolos ou aplicativos que utilizem mais de uma conexo em tempos diferentes, ou
seja, o tempo mximo de espera por uma nova conexo aps o trmino da primeira. Neste
intervalo de tempo as novas conexes sero direcionadas pelo firewall ao mesmo servidor.
Observaes sobre a montagem das regras
altamente recomendvel que as regras de converso sejam colocadas na seguinte ordem:
1.
2.
3.
4.
5.
6.
7.
Regras de No Converso;
Regras de Converso de Servios;
Regras de Converso 1-1 e de N-N;
Regras de Converso de Servios 1-N;
Regras de Converso 1-N;
Regras de Converso N-1;
Regras de Converso N-N.
necessria a incluso de uma regra de No Converso com origem nas redes internas e
destino nas prprias redes internas caso se pretenda administrar o firewall por uma
mquina interna que participar de qualquer tipo de converso. Essa regra dever estar
antes das demais regras de converso.
Exemplos - Cenrio 1 - Converso de Endereos

Suponha que uma empresa possua as mquinas e servios abaixo e deseja implementar a
converso de endereos. A empresa possui uma conexo dedicada com Internet e seu
provedor distribuiu uma faixa de endereos IP vlidos na Internet de 200.120.210.0 at
200.120.210.63.
Na regra 1 colocamos as redes internas da empresa (DMZ e Interna) em no traduo. Esta
regra possibilita que caso alguma mquina interna da rede for administrar o firewall o seu
endereo no convertido e a administrao seja possvel. Estaria tambm correto em
322
especificar as mquinas que so administradoras (Entidade Origem) e a interface por onde

iremos administrar o firewall (Entidade de Destino) com a opo de "Sem traduo".
Na regra 2 o servidor servidor web far uma converso de 1:1 para o endereo
200.120.210.15, ou seja, caso algum da Internet procure pelo IP 200.120.210.15 ser
enviado para o servidor web (IP 10.20.0.50). Do mesmo modo caso o servidor web origine
uma conexo para Internet o seu IP ser 200.120.210.15.
A regra 3 idntica regra 2, o servidor 01 far converso de 1:1 para o endereo
200.120.210.25.
A regra 4 o exemplo de balanceamento de carga. Algum da Internet procurando pela
mquina 200.120.210.20 ser enviado para o NT3, NT2 ou NT1. Isto depender do clculo a
ser realizado pelo firewall. No caso abaixo os pesos so diferentes, portanto a mquina NT3
que possui o peso 4 a que receber a maior quantidade de conexes. Caso as mquinas NT
tenham de originar conexes para Internet, elas tambm tero seus endereos convertidos
para 200.120.210.20.
A regra 5 de converso de N:1, ou seja qualquer mquina da Rede_Interna (10.20.0.0 com
mscara 255.255.255.0) ter o seu endereo convertido para 200.120.210.16 quando as
mesmas originarem conexo para Internet. No entanto a recproca no verdadeira, caso
algum da Internet venha procurando conexo para o IP 200.120.210.16 o firewall no
enviar para nenhuma mquina da rede interna e ir descartar os pacotes para esta
conexo, pois o mesmo no sabe para qual mquina enviar a requisio.
Cabe ressaltar que a ordem das regras de extrema importncia. Vamos supor que a regra
2 seja movida para a ltima posio. Neste caso algum que viesse procurando pela
mquina 200.120.210.15 seria enviado para o sevidor web, entretanto quando o sevidor
web fosse originar uma conexo para Internet o mesmo teria seu endereo convertido
para 200.120.210.16, pois a regra da antiga posio 5 que iria atender primeira a
converso.
323
Figura 228 - Exemplo 1, converso de endereos.
Exemplos - Cenrio 2 - Converso de Servios

Suponha agora que a empresa no possua uma faixa de endereos IP da Internet e sim um
nico IP vlido. Neste caso conveniente fazer a converso de servios. Com este tipo de
configurao poder ser feito um aproveitamento deste nico IP para diversos tipos de
servios. No caso o IP o 200.120.210.15.
A regra 1, foi colocada pelos mesmos motivos citados no cenrio anterior.
Na regra 2, algum da Internet esteja procurando pela mquina 200.120.210.15 e na porta
do servidor FTP (21/TCP). Neste caso o firewall ir enviar a conexo para a mquina server1.
Na regra 3, algum da Internet est procurando pela mesma mquina 200.120.210.15,
porm na porta do SMTP (25/TCP). O firewall ir mandar esta conexo para o endereo da
entidade Correio_SMTP.
J a regra 4 possibilita que o servidor web da empresa seja acessado pela porta HTTP
(80/TCP).
A regra 5 um exemplo do balanceamento de carga utilizando uma porta de servio. Neste
caso algum da Internet est procurando acesso ao IP 200.120.210.15 para o servio web
324
seguro (443/TCP), sendo que h trs servidores para atender a requisio, no caso NT1, NT2
e NT3. Os princpios para atender estas conexes so os mesmos j explicados no cenrio
anterior.
Finalizando, a regra 6 permite que qualquer outra mquina origine conexo para Internet,
no caso sendo visualizado o IP 200.120.210.15 no destino.
Apesar de ser possvel utilizar a converso de servios no caso do cenrio 1, a Aker
recomenda que esta configurao seja utilizada no caso da empresa possuir somente um
nico endereo IP vlido para Internet.
Figura 229 - Exemplo 2, converso de servios.
Exemplos - Cenrio 3 - Balanceamento de Link

Neste cenrio ser descrito como realizar o balanceamento de links. Suponha que a
empresa possua dois prestadores de conexo IP para Internet, por exemplo, Embratel e
Intelig. No caso cada operadora forneceu sua faixa de endereo IP para a empresa.
Primeira Fase - Montagem do Balanceamento
O administrador do firewall ento ir realizar o cadastramento e informar as seguintes
entidades e campos:
325
Nome: Informe um nome para representar o link de acesso Internet;

Tipo: Este campo informa qual o tipo da configurao e pode assumir dentre dois
valores possveis, "esttico" ou "dinmico";
Rede: Cadastre a rede que a operadora forneceu;
Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall far
uma crtica para verificar se o gateway realmente pertence rede da operadora);
Interface: Esse campo utilizado para o cadastro da entidade do tipo interface de rede,
a qual ir representar o link dinmico;
Peso: Um valor a ser atribudo ao link. Quando os pesos so maiores pressupe que links
sejam mais rpidos.
Verificar mquina1: Cadastre uma entidade que tenha certeza que esteja logo a seguir
do roteador da operadora, de preferncia dentro de um ou dois saltos de seu roteador.
Esta entidade ser utilizada pelo firewall para determinar se o link est no ar ou no.
Pode ser cadastrado um servidor DNS da operadora ou mesmo roteadores prximos.
Verificar mquina2 e Verificar mquina3: Entidades de verificao tambm utilizadas
pelo firewall. No mandatrio que estejam cadastrados as trs entidades de
verificao, contudo quanto mais entidades cadastradas, melhor para o sistema de
verificao do firewall.
Figura 230 - Balanceamento de link (primeira fase).
Segunda Fase - Montagem das Regras de NAT

A segunda fase da montagem bem simples, bastando colocar em cada regra de converso
duas ou mais entidades virtuais, uma com endereo de cada prestador de servio.
326
No se esquea de habilitar na coluna Balanceamento de links o cone correspondente para

que o servio possa ser realizado pelo firewall. Cabe ressaltar que o firewall tambm
realizar uma crtica para determinar se realmente a Entidade Virtual pertence a um link
previamente cadastrado.
Uma limitao desta implementao quanto origem da conexo pela Internet. Os DNS
devem ter entradas duplas de IP e devem trabalhar em modo Round-Robin. O problema
est quando um link de determinada operadora cai, o firewall no tem como desviar as
conexes que so originadas pela Internet. Para contornar este problema o administrador
poderia utilizar de scripts para remover do DNS o IP da operadora que esteja fora do ar, pois
o firewall passa para o log de eventos desta informao.
Figura 231 - Montagem das regras do NAT (Segunda fase).
8.2. Utilizando a Interface Texto (via SSH-fwnat)
A Interface Texto (via SSH) de configurao da converso de endereos relativamente

simples e tem as mesmas capacidades da Interface Remota, exceto pelo fato de no ser
possvel configurar os parmetros de monitoramento (E possvel usar todos os comandos
sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando
podero ser acessados sem o prefixo FW).
Localizao do programa: /aker/bin/firewall/fwnat

327
Sintaxe:
Firewall Aker fwnat - Configura regras de converso de endereos (NAT)
Uso: fwnat [ajuda | mostra | ativa | desativa]
fwnat [habilita | desabilita | remove] <pos>
fwnat inclui <pos> 1-1 <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...]
fwnat inclui <pos> n-1 <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...]
fwnat inclui <pos> servios <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...] <servico1>...<servico2>
fwnat inclui <pos> portas <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...] <servico> <servico virtual>
fwnat inclui <pos> sem_conversao <origem> <destino>
fwnat inclui <pos> 1-n <origem1>...<origem2> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...] <round-robin | randomico> <persist>
nenhum | ping | HTTP <URL>>
fwnat inclui <pos> n-n <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...]
Ajuda do programa:
desativa = desativa converso de endereos
mostra = mostra todas as regras da tabela de converso
inclui = inclui uma nova regra de converso
habilita = habilita uma regra de converso desabilitada
desabilita = desabilita uma regra de converso existente
remove = remove uma regra de converso existente
ajuda = mostra esta mensagem Para inclui temos:
pos = posio onde incluir a nova regra na tabela
(Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela)
sem_converso = no realiza converso entre a origem e o destino
1-1
= realiza converso de servidores. Neste caso a origem deve

ser obrigatoriamente uma entidade do tipo mquina
n-1= realiza converso de clientes

servios = realiza converso apenas para os servios citados.
Neste caso a origem deve ser obrigatoriamente uma entidade do
tipo mquina
portas = realiza converso apenas para o servio citado.
Neste caso a origem deve ser obrigatoriamente uma entidade do
328
tipo mquina. Alm disso, o servio visvel externamente

ser o <servio virtual>
1-n = realiza balanceamento de carga, ou seja, possibilita que

as vrias mquinas origem sejam acessadas pelo endereo
IP configurado na entidade virtual, como se fossem uma s
mquina
n-n = Esta converso permite que todos os endereos de uma rede
sejam convertidos para os endereos de uma rede virtual automaticamente.
servio 1 = lista de nomes dos servios para a nova regra. So aceitos
apenas servios dos protocolos TCP ou UDP
Para habilita / desabilita / remove temos: :
pos = nmero da regra a ser habilitada, desabilitada ou removida da tabela
Para converso 1-n temos:
round-robin = Utiliza algoritmo round-robin para o balanceamento das conexes
randmico = Utiliza algoritmo randmico para o balanceamento das conexes
persist = Tempo de persistncia (mins) de servidor destino para
conexes originadas do mesmo cliente
nenhum = No monitora as mquinas origem, isto , considera que elas esto sempre ativas
ping = Monitora as mquinas origem por meio de pings
HTTP = Monitora as mquinas origem por meio de conexes HTTP
URL = Especifica qual a URL deve utilizada para monitorar as
mquinas, no caso de se utilizar monitoramento HTTP.
Exemplo 1: (Mostrando a configurao)

#/aker/bin/firewall/fwnat mostra
Parmetros Globais:
------------------Converso de endereos: Ativada
Regras de Converso:
--------------------
329
Regra 01
-------Tipo: sem_conversao
Origem: Rede Interna
Destino: Rede Interna
Regra 02
-------Tipo: servios
Origem: Server
Destino: Internet
Entidade virtual: Firewall - interface externa
Servios: MYSQL
POP3
SMTP
Regra 03
-------Tipo: 1-1
Origem: Web Server_001
Destino: Internet
Entidade virtual: External Web server
Regra 04
-------Tipo: n-n
Origem: rede1
Destino: internet
Entidade Virtual: rede2
Regra 05
-------Tipo: 1-n
Origem: server1, server2, server3
Destino: Internet
Entidade virtual: Virtual Server
Balanceamento: randmico Monitoramento: http
URL: www.aker.com.br
Regra 06
330
-------Tipo: n-1
Origem: Rede Interna
Destino: Internet
Entidade virtual: Firewall - interface externa.
Exemplo 2: (Incluindo uma regra de converso 1-1 no final da tabela. Mapeando o servidor
SMTP Server, com endereo reservado para o External Server, com endereo vlido para
todas as mquinas da Internet).
#/aker/bin/firewall/fwnat inclui fim 1-1 "SMTP Server" Internet "External Server
Exemplo 3: (Incluindo uma regra de converso n-n na posio 5).

#/aker/bin/firewall/fwnat inclui 5 n-n rede1 internet rede2.
Regra includa na posio 5.
Exemplo 4: (Incluindo uma regra de converso de servios no incio da tabela).

#/aker/bin/firewall/fwnat inclui 1 Servios "Server 2" Internet "External Server 2" Telnet FTP
Exemplo 5: (Removendo a regra 3).

#/aker/bin/firewall/fwnat remove 3
Regra 5 removida
Exemplo 6: (Incluindo uma regra de converso 1-N, balanceamento, mapeando os

servidores srv01 e srv02 em uma mquina externa chamada de srv_externo, para todas as
mquinas da Internet, e monitorando via ping).
#/aker/bin/firewall/fwnat inclui 4 1-N srv01 srv02 Internet srv_externo round-robin ping
331
8.3. Utilizando o Assistente de Configurao NAT
O assistente de configurao NAT pode ser acionado tanto pela barra de ferramentas como
pelo menu. As janelas abaixo iro solicitar diversas informaes de modo que a converso
seja configurada.
1 - A janela inicial informa sobre o que o NAT. Clique no boto Prximo para continuar
com a configurao.
Figura 232 - Mensagem de boas vindas ao Assistente de configurao de NAT.
332
2 - Informe s redes que necessitaro acessar a Internet.
Figura 233 - Seleo das redes que tem a necessidade de acessar Internet compartilhando um endereo IP.
333
3 - Escolha o IP da Mquina virtual para realizar a converso N-1.
Figura 234 - Seleo do IP da mquina virtual para realizar a converso de N-1.
334
4 - Escolha a opo Sim caso queira configurar os servidores que devem aparecer para
Internet.
Figura 235 - Mensagem se deseja configurar os servidores acessveis externamente.
335
5 - Escolha a entidade para aparecer para a Internet.
Figura 236 - Escolha da entidade que deseja tornar acessvel na internet.
336
6 - Escolha o IP da Mquina virtual o qual o servidor ser mostrado para Internet.
Figura 237 - Escolha do endereo IP utilizados por mquinas externas a ser utilizado no servidor.
337
7 - Esta tela ir permitir que mais servidores sejam configurados.
Figura 238 - Escolha para configurar mais servidores.
338
8 - Tela de finalizao do Assistente e as regras que foram criadas pelo mesmo.
Figura 239 - Finalizao do assistente de regras.
339
340
Este captulo mostra como configurar as regras que propiciaro a criao de canais seguros
de comunicao na Internet. Estes canais seguros so usados para interligar instituies pela
Internet de forma a permitir que os dados fluam entre elas sem o risco de serem lidos ou
alterados por estranhos.
9.1. Nat Transversal
Network Address Translation (NAT) a traduo do endereo IP.

Esta traduo pode ocorrer por muitos motivos, mas principalmente para que estaes
utilizando endereamento privado (RFC 1918) acessem Internet. Dessa forma, se a estao
10.10.10.1 necessita acessar um servidor na internet, ento ser necessrio traduzir o
endereo 10.10.10.1 para um endereo publicamente conhecido. Como os principais
protocolos de transporte (no caso, TCP e UDP) utilizam o conceito de multiplexao por
meio de portas de origem e destino, ento podemos utilizar somente um endereo IP
pblico para traduzir vrios endereos privados (NAT masquerade ou NAT Hide), utilizando
portas diferentes e armazenando todas estas informaes em uma tabela de conexes.
Entretanto, o protocolo ESP (utilizado no IPSEC) no utiliza o mesmo conceito de portas
utilizado nos protocolos TCP e UDP e, portanto, no possvel fazer a traduo de endereo
e utilizar a informao de portas de origem e destino como forma de multiplexao das
conexes. Para que uma conexo VPN funcione quando existe um equipamento fazendo
NAT (Hide ou muitos-para-um) entre os pontos que esto estabelecendo a VPN necessrio
que haja um mecanismo para garantir que os pacotes sero traduzidos adequadamente,
desde a origem at o destino final. Este mecanismo chamado de NAT Transversal.
De uma forma bem simples, o NAT Transversal primeiramente verifica se os dois
equipamentos que esto estabelecendo a conexo possuem suporte para NAT Transversal,
em seguida os dois equipamentos devem detectar se existe ou no a traduo de
endereos. Por fim, deve-se negociar os parmetros do protocolo (portas utilizadas para
encapsulamento, utilizao de cookies, etc) e em seguida iniciar a transmisso de dados
utilizando pacotes encapsulados. Todo este processo esta descrito no RFC 3947 Negotiation of NAT-Traversal in the IKE.
Este recurso pode ser utilizado com conexes VPN do tipo gateway-to-gateway ou client-togateway e deve ser verificado na documentao do equipamento se o mesmo suporta NAT
Transversal ou UDP Encapsulation (expresso tambm utilizada por alguns fabricantes).
341
O Aker Firewall realizar a deteco automtica da necessidade de utilizar o NAT

Transversal para o estabelecimento do tnel.
Para desativar o uso do NAT Transversal no Aker Firewall necessrio iniciar o daemon
"fwiked" com a opo -T, ficando: "aker/bin/firewall/fwiked-T".
9.2. Planejando a instalao.
O que e para que serve um canal seguro de dados?

A Internet uma rede mundial composta de milhares de mquinas espalhadas por todo o
mundo. Quando duas mquinas quaisquer esto se comunicando, todo o trfego entre elas
passa por diversas outras mquinas (roteadores, switches, etc) desde sua origem at seu
destino. Na quase totalidade das vezes, a administrao destas mquinas intermedirias
feita por terceiros e nada se pode afirmar quanto a sua honestidade (na maioria das vezes,
no nem possvel saber antecipadamente por quais mquinas os pacotes passaro at
atingir seu destino).
Qualquer uma destas mquinas que estiver no caminho dos pacotes pode visualizar seu
contedo e/ou alterar qualquer um destes. Isto um problema srio e sua importncia
aumentada ainda mais quando existe a necessidade de transmitir dados confidenciais e de
grande impacto.
Para resolver este problema, pode-se usar um canal seguro de dados. Um canal seguro de
dados pode ser visto como se fosse um tnel. De um lado so colocadas as informaes que
s podero ser lidas novamente aps sarem do outro lado.
Na prtica, o que feito dar um tratamento especial aos dados a serem transmitidos de
modo que estes no possam ser alterados durante seu caminho (autenticao), nem
visualizados (criptografia). A combinao das duas tcnicas produz dados invisveis e
imutveis para qualquer mquina que se encontre no caminho dos pacotes, da origem ao
destino.
O que criptografia?
Criptografia a combinao de uma chave com um algoritmo matemtico baseado em uma
funo unidirecional. Este algoritmo aplicado aos dados, juntamente com a chave, de
modo a torn-los indecifrveis para qualquer um que os veja. O modo que isso feito
garante que somente possvel obter os dados originais caso possua o algoritmo e a chave
usados inicialmente.
Ao manter um destes dois componentes secretos (no caso, a chave), torna impossvel a
visualizao dos dados por terceiros.
342
O que autenticao?
Autenticao tambm a combinao de uma chave com um algoritmo matemtico
baseado em uma funo unidirecional. A diferena em relao criptografia que este
algoritmo, quando aplicado sobre os dados, no produz dados indecifrveis, mas sim uma
assinatura digital para estes. Essa assinatura gerada de tal forma que qualquer pessoa que
desconhea o algoritmo ou a chave utilizado para ger-la seja incapaz de calcul-la.
Quando a assinatura digital gerada, ela passa a ser transmitida para o destino junto com
os dados. Caso estes tenham sofrido quaisquer alteraes no caminho, o recipiente quando
calcular a assinatura digital dos dados recebidos e compar-la com a assinatura recebida ir
perceber que as duas so diferentes e concluir que os dados foram alterados.
A autenticao uma operao bastante rpida quando comparada com a criptografia,
porm ela sozinha no consegue impedir que os dados sejam lidos. Ela deve ser usada
apenas nos casos onde necessita confiabilidade dos dados, mas no sigilo. Caso necessite de
ambos, usa-se autenticao em conjunto com a criptografia.
O que certificao digital?

Por meio do processo de autenticao descrito acima possvel garantir a origem das
mensagens em uma comunicao entre duas partes. Entretanto, para que isso seja possvel
necessrio que as entidades que esto se comunicando j tenham previamente trocado
informaes por meio de algum meio fora do trfego normal dos dados. Esta troca de
informaes normalmente consiste no algoritmo a ser utilizado para a autenticao e sua
chave.
O problema surge quando necessrio assegurar a origem das mensagens de uma entidade
com a qual nunca existiu comunicao prvia. A nica forma de resolver este problema
delegar a uma terceira entidade o poder de realizar estas autenticaes (ou em termos mais
tcnicos, realizar a certificao da origem de uma mensagem). Esta terceira entidade
chamada de Entidade Certificadora e para que seja possvel ela assegurar a origem de uma
mensagem, ela j deve ter realizado uma troca de informaes com a entidade que est
sendo certificada.
O que um certificado digital?

Certificado digital um documento fornecido pela Entidade Certificadora para cada uma das
entidades que ir realizar uma comunicao, de forma a garantir sua autenticidade.
Tipos de algoritmos de autenticao e criptografia
343
Atualmente existem inmeros algoritmos de autenticao e criptografia. Neste tpico sero

mostrados apenas os algoritmos suportados pelo Aker Firewall.
Cabe comentar que um dos parmetros para medir a resistncia de um algoritmo o
tamanho de suas chaves. Quanto maior o nmero de bits das chaves, maior o nmero de
possveis combinaes e, teoricamente, maior a resistncia do algoritmo contra ataques.
Algoritmos de autenticao:
MD5
MD5 a abreviatura de Message-Digest 5. Ele um algoritmo criado e patenteado pela
RSA Data Security, Inc, porm com uso liberado para quaisquer aplicaes. Ele usado
para gerar assinaturas digitais de 128 bits para mensagens de qualquer tamanho e
considerado um algoritmo bastante rpido e seguro.
SHA
SHA a abreviatura de Secure Hash Algorithm. Ele um algoritmo que gera assinaturas
digitais de 160 bits para mensagens de qualquer tamanho. Ele considerado mais
seguro que o MD5, porm tem uma performance em mdia 50% inferior (na
implementao do Aker Firewall).
A verso implementada pelo Aker Firewall o SHA-1, uma reviso no algoritmo inicial
para corrigir uma pequena falha. Entretanto ele ser chamado sempre de SHA, tanto
neste manual quanto nas interfaces de administrao.
Algoritmos de criptografia simtricos:

Os algoritmos de criptografia simtricos so utilizados para encriptar fluxos de informaes.
Eles possuem uma nica chave que utilizada tanto para encriptar quanto para
desencriptar os dados.
DES
O algoritmo DES um anagrama para Data Encription Standard, foi criado pela IBM na
dcada de 70 e foi adotado pelo governo americano como padro at recentemente. Ele
um algoritmo bastante rpido em implementaes de hardware, porm no to rpido
quando implementado em software. Suas chaves de criptografia possuem tamanho fixo
de 56 bits, nmero considerado pequeno para os padres atuais. Devido a isso, deve-se
dar preferncia a outros algoritmos em caso de aplicaes crticas.
344
Triplo DES ou 3DES

Este algoritmo consiste na aplicao do algoritmo DES trs vezes, usando trs chaves
distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo com chave de
112 bits, o que representa uma segurana extremamente maior do que a oferecida pelo
DES. O problema deste algoritmo que ele duas vezes mais lento que o DES (na
implementao utilizada no Aker Firewall).
AES
O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para substituir o j
inseguro e ineficiente DES. AES um anagrama para Advanced Encryption Standard. O
algoritmo escolhido em concurso foi o Rijndael, e ele utiliza 256 bits de chave, sendo ao
mesmo tempo muito mais seguro e rpido que o DES ou mesmo o 3DES.
O Aker Firewall trabalha com o AES utilizando chaves de 256 bits, o que garante um nvel
altssimo de segurana. Ele a escolha recomendada.
Blowfish
O algoritmo Blowfish foi criado como uma possvel substituio ao DES. Ele um
algoritmo extremamente rpido (quando comparado com outros algoritmos de
criptografia), bastante seguro e pode trabalhar com vrios tamanhos de chaves, de 40 a
438 bits.
O Aker Firewall trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o que
garante um nvel altssimo de segurana.
Algoritmos de criptografia assimtricos:

Os algoritmos de criptografia assimtricos possuem um par de chaves associadas, uma para
encriptar e outra para desencriptar os dados. Eles so bastante lentos se comparados aos
algoritmos simtricos e, devido a isso, normalmente so utilizados apenas para realizar
assinaturas digitais e no estabelecimento de chaves de sesso que sero usadas em
algoritmos simtricos.
RSA
O RSA um algoritmo baseado em aritmtica modular capaz de trabalhar com chaves de
qualquer tamanho, porm valores inferiores a 512 bits so considerados muito frgeis.
Ele pode ser utilizado para encriptar e desencriptar dados, porm, devido a sua grande
lentido se comparado aos algoritmos simtricos, seu principal uso em assinaturas
digitais e no estabelecimento de chaves de sesso.
345
Diffie-Hellman
O algoritmo Diffie-Hellman na verdade no pode ser encarado como algoritmo de
criptografia, uma vez que no serve para encriptar dados ou realizar assinaturas digitais.
Sua nica funo possibilitar a troca de chaves de sesso, feita de forma a impedir que
escutas passivas no meio de comunicao consigam obt-las. Ele tambm baseado em
aritmtica modular e pode trabalhar com chaves de qualquer tamanho, porm chaves
menores que 512 so consideradas muito frgeis.
Algoritmos de trocas de chaves

Um problema bsico que ocorre quando se configura um canal seguro como configurar as
chaves de autenticao e criptografia e como realizar trocas peridicas destas chaves.
importante realizar trocas peridicas de chaves para diminuir a possibilidade de quebra
das mesmas por um atacante e para diminuir os danos causados caso ele consiga decifrar
uma das chaves. Suponha que um atacante consiga em seis meses quebrar as chaves usadas
por um algoritmo de criptografia (este tempo totalmente hipottico, no tendo nenhuma
relao com situaes reais). Se uma empresa usar as mesmas chaves, por exemplo,
durante 1 ano, ento um atacante conseguir decifrar todo o trfego nos ltimos 6 meses
desta empresa. Em contrapartida, se as chaves forem trocadas diariamente, este mesmo
atacante, aps 6 meses, conseguir decifrar o trfego do primeiro dia e ter mais 6 meses
de trabalho para decifrar o trfego do segundo dia e assim por diante.
O Aker Firewall possui quatro mtodos para trocas de chaves: IPSEC-IKE, AKER-CDP, SKIP e
manual:
Troca de chaves via IPSEC-IKE

Esta opo estar disponvel apenas quando utilizar o conjunto completo de protocolos
IPSEC.
O IPSEC (IP Security) um conjunto de protocolos padronizados (RFC 2401- RFC 2412)
desenvolvidos pela IETF. O IPSec oferece transferncia segura de informaes por meio
de rede IP pblica ou privada. Uma conexo via IPSec envolve sempre 3 etapas:
1. Negociao do nvel de segurana;
2. Autenticao e Integridade;
3. Confidencialidade.
Para implementar essas 3 etapas o IPSec utiliza-se 3 mecanismos:
AH - Authentication Header
ESP - Encapsulation Security Payload
IKE - Internet Key Exchange Protocol
346
Recomenda-se fortemente o uso desta opo na hora de configurar os canais seguros.
Troca de chaves via SKIP

SKIP um anagrama para Simple Key Management for IP. Ele basicamente um
algoritmo que permite que as trocas de chaves sejam realizadas de forma automtica e
com uma frequncia extremamente elevada, tornando invivel a quebra destas chaves.
O funcionamento do SKIP complexo nossa abordagem ficar limitada a descrever seu
funcionamento.
Basicamente o SKIP trabalha com trs nveis diferentes de chaves:
Um segredo compartilhado pelas duas entidades que desejam comunicar-se

(configurado manualmente, no caso do Aker Firewall).
Uma chave mestre, recalculada de hora em hora, baseada no segredo
compartilhado.
Uma chave randmica, que pode ser recalculada quando se desejar.
Genericamente falando, para efetuar a comunicao, o algoritmo gera uma chave

aleatria e a utiliza para encriptar e autenticar os dados a serem enviados. A seguir ele
encripta esta chave com a chave mestre e envia isto junto com os dados encriptados. Ao
receber o pacote, o outro lado desencripta a chave, com o auxlio da chave mestra, e a
utiliza para desencriptar o restante do pacote.
Os algoritmos utilizados para autenticar o pacote e encriptar a chave so definidos pelo
remetente e informados como parte do protocolo. Desta forma, no necessrio
configurar estes parmetros no recipiente.
A principal vantagem do SKIP a possibilidade de utilizar o mesmo segredo
compartilhado por anos, sem a menor possibilidade de quebra das chaves por qualquer
atacante (uma vez que a troca de chaves efetuada em intervalos de poucos segundos a
no mximo uma hora, dependendo do trfego entre as redes comunicantes).
Troca de chaves manual

Neste caso, toda a configurao de chaves feita manualmente. Isto implica que todas
as vezes que uma chave for trocada, ambos os Firewalls participantes de um canal
seguro tero que ser reconfigurados simultaneamente.
Tipos de canais seguros

O Aker Firewall possibilita a criao de dois tipos de canais seguros distintos, chamados de
Firewall-Firewall e Cliente-Firewall. Cada um destes tipos de canais possuem objetivos e
limitaes diferentes e normalmente so combinados para atingir o mximo de segurana e
flexibilidade.
347
Canais seguros Firewall-Firewall

Este tipo de canal seguro o mais comum e suportado pelo Aker Firewall desde sua
verso 1.31. Ele consiste na utilizao de criptografia e autenticao entre dois firewalls,
interligados por meio da Internet ou de outro meio qualquer. Os pontos de entrada e
sada do canal so os dois firewalls, o que significa que toda a criptografia feita
transparentemente por eles e nenhum software adicional necessita ser instalado em
nenhuma mquina cliente.
A nica limitao desta soluo que ela exige a presena de dois firewalls, um na
entrada de cada rede, para que o canal seguro possa ser criado.
Canais seguros Cliente-Firewall (Secure Roaming)

Estes canais so suportados pelo Aker Firewall a partir da verso 3.10. Eles permitem
com que uma mquina cliente (Famlia Windows e Linux) estabelea um canal seguro
diretamente com um Aker Firewall. Portanto necessria instalao de um programa,
chamado de Aker Client, em cada uma destas mquinas.
A principal vantagem desta tecnologia possibilitar com que clientes acessem uma rede
coorporativa com total segurana e transparncia (transparncia na medida em que as
aplicaes que estejam rodando na mquina com o cliente de criptografia instalado
desconhecem sua existncia e continuam funcionando normalmente).
Apesar de ser bastante til, esta tecnologia possui algumas desvantagens e limitaes:
necessrio a instalao de um software, Aker Client, em todas as mquinas

clientes;
O cliente de criptografia no est disponvel para todas as plataformas;
Definindo um canal seguro firewall-firewall

Para definirmos um canal seguro firewall-firewall deve-se escolher primeiro dois grupos de
mquinas que iro trocar informaes entre si de forma segura. Estes grupos de mquinas
tero seus pacotes autenticados e, caso desejado, criptografados. necessrio que exista
um firewall nas duas extremidades do canal. Estes firewalls sero responsveis por
autenticar/verificar e criptografar/desencriptar os dados a serem transmitidos e recebidos,
respectivamente.
Para definir os grupos de mquinas, ser utilizado o conceito de entidades, mostrado no
captulo intitulado Cadastrando Entidades. Podem-se utilizar entidades do tipo mquina,
rede ou conjunto nesta definio.
O Aker Firewall suporta a existncia de diversos canais seguros simultneos, entre pontos
distintos. A unio destes diversos canais produz uma lista, onde cada entrada define
348
completamente os parmetros de um canal seguro. Cada uma destas entradas recebe o

nome de Associao de Segurana ou SA.
O planejamento destes canais seguros dever ser feito com bastante cuidado. A criptografia
um recurso dispendioso que demanda uma capacidade de processamento muito alta.
Desta forma, criptografar pacotes para os quais no exista uma necessidade real de
segurana ser um desperdcio de recursos. Alm disso, deve-se atentar que diferentes
algoritmos de criptografia exigem quantidades de processamento diferentes e, por
conseguinte, produzem um nvel de segurana mais elevado. Dependendo do nvel de
segurana desejado, pode-se optar por um ou outro algoritmo (a descrio da cada
algoritmo suportado pelo Aker Firewall se encontra no tpico anterior).
Uma ltima observao sobre canais de criptografia Firewall-firewall que estes so
unidirecionais, ou seja, caso deseje configurar uma comunicao segura entre duas redes, A
e B, deve-se configurar dois canais diferentes: um canal com origem na rede A e destino na
rede B e outro com origem na rede B e destino na rede A. Os pacotes que forem enviados
de A para B seguiro a configurao do primeiro canal e os pacotes de B para A seguiro a
configurao do segundo. Isto ser ilustrado com mais clareza nos exemplos abaixo:
Exemplo bsico de configurao de um canal seguro firewall-firewall
Neste exemplo ser mostrado como definir um canal seguro de comunicao entre duas
redes, por meio da Internet, usando dois Aker Firewalls. O canal ser criado de forma com
que toda a comunicao entre estas duas redes seja segura. Como o algoritmo de
autenticao foi escolhido o MD5 e como algoritmo de criptografia, o DES.
obrigatrio o uso de um algoritmo de autenticao para todos os fluxos, ou seja, no
permitida a criao de fluxos com criptografia apenas. Isto necessrio j que sem a
autenticao os algoritmos de criptografia so passveis de ataques de recortar e colar (cut
and paste).
Configurao do Aker Firewall da rede 1
Entidades:
REDE1 - Endereo IP: A1.B1.C1.0 - Mscara 255.255.255.0
Regra de criptografia 1:
Sentido do canal: envia
Entidades origem: REDE1
Entidades destino: REDE2
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X1
Chave de criptografia: X2
349
Sentido do canal: recebe
Entidades:
Note que a regra 1 do Aker Firewall 1 exatamente igual regra 1 do Aker Firewall 2,
exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2.
350
Figura 240 - Exemplo de configurao de um canal seguro firewall-firewall para uma sub-rede.
Exemplo de configurao de um canal seguro firewall-firewall para uma sub-rede

Neste exemplo o nosso canal seguro ser definido apenas para um grupo de mquinas
dentro de cada uma das duas redes. Alm disso, definiremos algoritmos diferentes para os
fluxos entre estes grupos.
Na prtica, configurar algoritmos diferentes para os dois sentidos de um canal seguro pode
ser interessante quando as informaes de um determinado sentido tiverem um valor maior
do que as do sentido oposto do fluxo. Neste caso, utiliza-se um algoritmo mais seguro no
sentido mais crtico.
Neste exemplo, vamos supor que as redes 1 e 2 possuam dois endereos classe B: A1.B1.0.0
e A2.B2.0.0, respectivamente.
Entidades:
SUB_REDE1 - Endereo IP: A1.B1.2.0 - Mscara 255.255.255.0
Entidades origem: SUB_REDE1
Entidades destino: SUB_REDE2
351
Algoritmo de criptografia: 3DES
Algoritmo de autenticao: SHA
Entidades:
Algoritmo de criptografia: 3DES
Algoritmo de autenticao:SHA
Note que neste caso as regras aparecem colocadas em uma ordem diferente nos dois
firewalls: a regra 1 no Firewall 1 igual regra 2 do Firewall 2 (com os sentidos invertidos) e
a regra 2 no Firewall 1 igual regra 1 no Firewall 2 (novamente com os sentidos trocados).
Neste exemplo, a ordem das regras no faz diferena (observe, entretanto que em alguns
casos isto pode no ser verdade).
352
Figura 241 - Canal seguro entre redes.
Certificados IPSEC
Os certificados IPSEC so certificados padro X.509 utilizados pelo firewall para
identificarem-se junto a seus pares quando do estabelecimento dos canais criptogrficos
firewall-firewall no padro IPSEC (veja a seo Configurando tneis IPSEC, logo abaixo). Seu
uso, entretanto, no obrigatrio, j que possvel estabelecer canais IPSEC usando
segredos compartilhados.
Para que um firewall aceite um certificado apresentado por outro, preciso que ele
possua o certificado da Autoridade Certificadora que o emitiu.
Para ter acesso a janela de manuteno de certificados IPSEC deve-se:
Figura 242 - Dispositivos remotos (Acesso a janelas de Certificados IPSEC).
Clicar no menu Criptografia da janela principal.

Selecionar o item Certificados IPSEC.
353
A janela de certificados e requisies IPSEC
Figura 243 - Janela de Certificados IPSEC.
A janela de certificados IPSEC contm os certificados e as requisies do Aker Firewall.

Uma requisio um formulrio a ser preenchido com seus dados para que a autoridade
certificadora gere um certificado. Um certificado uma carteira de identidade para
autenticar (reconhecer como o prprio) o seu proprietrio. O Aker Firewall utilizar estes
certificados para autenticar frente a seus pares quando da negociao de um canal IPSEC.
Desta forma cada um dos dois Firewalls envolvidos num canal IPSEC tem que gerar seu
prprio certificado.
As operaes desta janela se encontram na barra de ferramentas localizada acima da janela
de Certificados IPSEC ou clicando-se com o boto direito do mouse sobre o campo que se
deseja operar.
354
Figura 244 - Barra de ferramentas (Certificados IPSEC).
Figura 245 - Janela de ao para Certificados IPSEC.
O boto Inserir permite incluir uma nova requisio, podendo ser local ou remota, sendo
que as requisies e certificados locais ficam na janela "deste firewall" e certificados e
requisies remotas ficam na janela "outros firewalls".
O boto Copiar copia o certificado/requisio selecionado.
O boto Colar cola da memria o certificado/requisio copiado.
O boto Excluir remove da lista o certificado/requisio selecionado.
O boto Importar permite que seja carregado um certificado que foi exportado.
O boto Exportar permite que salve o certificado selecionado.
O boto Submeter permite que carregue um certificado exportado ou carregue um
certificado de acordo com uma requisio selecionada (somente aparece quando
inserindo um novo certificado).
O boto Instalar far com que a janela seja fechada e atualizada.
O boto Atualizar recarregada as informaes de certificados.
Para gerar um certificado necessrio que primeiro gere uma requisio no Aker Firewall,
com esta requisio faa um pedido a uma autoridade certificadora para gerar o certificado
e depois importe o certificado para o Aker Firewall.
Esta janela atualizada dinamicamente, ou seja, no possvel cancelar quando j feito o
pedido. Quando incluir-se uma nova requisio local, as requisies e os certificados locais
sero apagados. Da mesma forma, ao importar novo Certificado local com par de chaves
(.pfx), sero apagados as requisies e os certificados locais.
Desta maneira, a operao deve se dar da seguinte forma (para o certificado local):
1. Criar uma requisio local;
2. Enviar esta requisio a uma Autoridade Certificadora;
3. Esperar at que a Autoridade Certificadora emita o certificado correspondente;
355
4. Instalar o certificado correspondente requisio (clicar com o boto direito na

requisio e, depois selecione a opo Instalar, uma janela para carregar o arquivo
ser exibida);
Se o desejado for criar um certificado para um firewall remoto, o procedimento muda:
1.
2.
3.
4.
Criar uma requisio remota;

Enviar esta requisio a uma Autoridade Certificadora;
Esperar at que a Autoridade Certificadora emita o certificado correspondente;
Instalar o certificado correspondente requisio (clicar com o boto direito na
requisio e, depois selecione a opo Instalar, e ento uma janela para carregar o
arquivo ser exibida);
5. Exportar o certificado para um arquivo PKCS#12 (Clicar no certificado remoto
correspondente e, em seguida, em exportar);
6. Importar este certificado no firewall remoto, selecionando Deste Firewall e, em
seguida com o boto direito do mouse, Importar.
Na janela de requisies, h dois campos que podem causar confuso:
Domnio (CN): o identificador principal do dono da requisio. Este campo deve ser
preenchido com common name.
Tamanho da chave: Se o certificado for local com criao de nova chave ou remoto, este
campo conter o comprimento da chave em bits. Caso contrrio (certificado local
adicional) ele no poder ser modificado, uma vez que a chave que j existe ser
utilizada.
Configurando canais Firewall/Firewall

Para ter acesso a janela de configurao de canais Firewall/Firewall deve-se:
Figura 246 - Dispositivos remotos (Acesso a janela de Firewall/Firewall).
356

Selecionar o item Firewall/Firewall.
A janela de criptografia firewall/firewall
Figura 247 - Janela de Criptografia Firewall/Firewall.
A janela de criptografia contm a definio de todos os fluxos de criptografia do Aker

Firewall. Cada fluxo ser mostrado em uma linha separada, composta de diversas clulas.
Caso um fluxo esteja selecionado, ele ser mostrado em uma cor diferente. Esta janela
composta por quatro abas, onde cada uma delas permite a configurao de fluxos de
criptografia usando diferentes mtodos de troca de chaves.
O boto OK far com que o conjunto de fluxos seja atualizado e passe a funcionar
imediatamente.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela
seja fechada.
janela aberta
A barra de rolagem do lado direito serve para visualizar os fluxos que no couberem na
janela.
Ao clicar sobre um fluxo e selecion-lo, se ele possuir um comentrio, este aparecer na
parte inferior da janela.
Dica: A posio de cada regra pode ser alterada, bastando-se clicar e arrastar a mesma para
a nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse
ir mudar para uma mo segurando um basto.
Para executar qualquer operao sobre um determinado fluxo, basta clicar com o boto
direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre
357
que pressionar o boto direito, mesmo que no exista nenhum fluxo selecionado. Neste
caso, somente as opes Inserir e Copiar estaro habilitadas).
Figura 248 - Menu de insero, copia ou excluso para definio dos fluxos de criptografia.
Inserir: Esta opo permite incluir um novo fluxo na lista. Se algum fluxo estiver
selecionado, o novo ser inserido na posio do fluxo selecionado. Caso contrrio, o
novo fluxo ser includo no final da lista.
Copiar: Esta opo copia o fluxo selecionado para uma rea temporria.
Colar: Esta opo copia o fluxo da rea temporria para a lista. Se um fluxo estiver
selecionado, o novo ser copiado para a posio do fluxo selecionado. Caso contrrio ele
ser copiado para o final da lista.
Excluir: Esta opo apaga o fluxo selecionado.
Habilitar/Desabilitar: Esta opo permite desabilitar o fluxo selecionado.
Dica: Todas estas opes podem ser executadas a partir da barra de ferramentas localizada
na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo, clicando-o com o
boto esquerdo, e em seguida clica-se na opo desejada.
Caso queira incluir ou editar fluxos, pode-se fazer de duas formas: As entidades envolvidas
podem ser arrastadas para o fluxo que vo participar ou clicando com o boto direito do
mouse sobre o campo desejado, neste caso ser dada a opo de inserir, apagar ou editar
entidades como mostrado a seguir:
Figura 249 - Menu de incluso ou alterao de fluxos.

358
Configurando tneis IPSEC

Tneis IPSEC servem para criar uma VPN entre duas redes. A palavra tnel utilizada para
diferenciar das VPNs comuns, pois efetivamente cria um canal virtual entre os firewalls
envolvidos, possibilitando, por exemplo, que redes com endereos invlidos se comuniquem
de maneira segura por meio da Internet.
Para configurar canais IPSEC, deve-se selecionar a opo IPSEC, na janela Firewall-Firewall.
Isto provocar a alterao da janela de forma a mostrar os campos necessrios para esta
configurao.
Figura 250 - Configurao de canais IPSEC.
Os campos de configurao tm os seguintes significados:

Origem: Definir as entidades cujos endereos sero comparados com o endereo
origem dos pacotes IP que formaro o fluxo.
Destino: Definir as entidades cujos endereos sero comparados com o endereo
destino dos pacotes IP que formaro o fluxo.
Direo: Define em que sentido o fluxo ser aplicado. S existem duas opes
possveis: ou o pacote est sendo criptografado (encriptao) ou o pacote esta sendo
desencriptado (decriptao). (para maiores detalhes, veja o tpico intitulado
Planejando a instalao).
Gateway Remoto: Define a entidade do tipo mquina que ser o gateway remoto,
ou seja, na outra ponta do tnel IPSEC, possvel definir at trs gateways remotos,
359
desta forma criasse uma redundncia de link para estes tneis, ou seja, caso o link do
primeiro gateway remoto estiver inoperante ser estabelecido o tnel por meio do
segundo gateway remoto e assim por diante, na prxima troca de chaves ser
verificado se o primeiro gateway remoto est operante assim estabelecendo o tnel
com ele.
Agora possvel adicionar at trs gateways remotos na mesma regra.
Cada um dos dois firewalls envolvidos no tnel precisa ter certeza da identidade do outro,
de forma a evitar ataques de falsificao. Para isso, h dois modos selecionveis:
Autenticao: Definir qual algoritmo ser utilizado na autenticao. Os valores
possveis so: MD5 ou SHA.
Segredo Compartilhado: Uma sequncia de caracteres que funciona como uma
senha e deve ser igual de cada um dos lados do tnel.
Certificado: Utiliza certificados padro X.509 com um esquema de chaves pblicas
para a identificao dos firewalls. Este o mesmo esquema utilizado por sites
seguros na Internet, por exemplo.
Devem ser especificados:
certificado local a apresentar para a outra ponta do tnel (Remote Gateway) e dado
de identificao exigido do firewall remoto. Este dado ser um endereo de e-mail
para certificados criados com a opo USER- FQDN e nome de uma mquina (Fully
Qualified Domain Dame), se a opo for FQDN.
Avanado
A janela avanado permite definir quais so os algoritmos de criptografia e autenticao

preferidos e permitidos pelo firewall durante a negociao de chaves IKE (IKE o protocolo
usado para a troca de chaves de criptografia para efetuar comunicao criptografada
usando o IPSEC). Os campos j vm preenchidos com algoritmos padro que podem ser
alterados. Mais informaes nas RFC 2401 a RFC 2412.
A janela de avanado inclui uma escolha da ponta local do tnel, para os casos da rede de
passagem entre o firewall e o roteador ser invlida.
360
Figura 251 Definio dos algoritimos de criptogrfica e autenticao permitidos pelo firewall durante negociao das
chaves IKE.
Modo
Principal: Ao escolher este modo de autenticao a negociao de chaves IKE ser feita com
uma velocidade de processamento mais lenta, mas de forma protegida, ou seja,
criptografada.
Agressivo: Ao escolher este modo de autenticao a negociao de chaves IKE NO ser
feita de forma protegida, oferecendo maior velocidade do que o modo Principal.
Ponta do tnel local: Nesta opo o usurio deve indicar qual o IP que ir responder pelos
pacotes de requisio de troca de chaves
No possvel alterar o valor do campo kBytes para valores maiores que 0 e menores
que 100 para a Fase 1, e na Fase 2 no possvel alterar o valor do campo kBytes para
valores maiores que 0 e menores que 50.
361
Visualizando o trfego IPSEC

Clicando no item Tneis IPSEC, dentro do menu Informaes, a janela abaixo aparecer.
Figura 252 - Visualizao do trfego IPSEC.
Na janela acima, possvel visualizar quais SPIs IPSEC foram negociadas para cada um dos
tneis configurados, bastando para isso clicar sobre a regra correspondente. Se houver mais
de uma SPI, porque o firewall negocia uma nova sempre antes de a anterior acabar, de
forma a nunca interromper o trfego dentro da VPN. Descrio de cada coluna:
SPI: Nmero de identificao da poltica de segurana.

Algoritmo de criptografia: Mostra que o algoritmo de criptografia foi negociado.
Algoritmo de Hash: Mostra que o algoritmo deve ser utilizado para fazer o hash das
informaes.
Tamanho da chave de criptografia: Informa o tamanho da chave de criptografia que
ambos os lados do canal devem utilizar.
Tamanho da chave de autenticao: Informa o tamanho da chave de autenticao
negociado.
Protocolo: Conjunto de protocolos negociados para a SP.
Bytes negociados: Quantidade de bytes que devem ser transmitidos para que uma nova
poltica de segurana seja negociada.
Bytes transferidos: Quantidade de bytes trafegados pela SP.
362
Pacotes perdidos:
So pacotes que por causa de algum erro, no foram
descriptografados corretamente ento o firewall os descartam. Neste campo so
contabilizados os pacotes descartados.
Tempo total: Tempo de validade da SP.
Ocioso: Tempo de inatividade do SP.
Expirao: Data no qual a SP deixar de ser utilizada.
Ao clicar em "Bytes de lote Transferidos", pode-se ver um grfico de uso dos tneis, que
atualizado a cada cinco segundos. Ele mostra o trfego agregado de todas as SPIs de cada
regra, permitindo verificar, em tempo real o uso efetivo de banda criptografada.
Figura 253 - Grfico de acompanhamento (Bytes de logs transferidos).
Para utilizar troca de chaves manual, deve-se selecionar a opo Manual, na janela
Firewall/Firewall. Isto provocar a alterao da janela de forma a mostrar os campos
necessrios para esta configurao.
Os bytes perdidos que so apresentados nas abas Visualizao e Pacotes de Lotes

Perdidos so contabilizados quando ocorre algum erro no pacote de criptografia. Pacotes
perdidos por causa da rede no so contabilizados nestas janelas.
363
9.3. VPN fail over
Visando oferecer maior segurana e confiabilidade para as conexes de seus clientes, a Aker
Security Solutions traz uma nova funcionalidade: o
VPN fail over.
Seu principal objetivo realizar a verificao de links especficos, desta forma, possvel
que o administrador configure rotas seguras quando algum desses links ficar inativo. Alm
disso , pode-se configurar uma VPN definindo se ela ser ativa ou no quando o link em
questo estiver inativo, assim cria-se uma rota segura para ele e evita-se a perda de
conectividade de sua rede.
Como funciona o Aker VPN fail over?

Primeiramente, o link desejado deve ser configurado no VPN fail over, que passar a ser
monitorado e ter regras de VPN definidas para quando o link selecionado ficar inativo. No
caso de inatividade, a regra de VPN ser ativada e todo o trfego que era feito pelo link ser
realizado pela VPN (tambm possvel configurar a regra para que a VPN fique desabilitada
quando o link estiver inativo). Ao restabelecer a conexo do link, a VPN ser desabilitada e o
trfego, feito pelo seu link de origem, tudo de forma automatizada.
A seguir, um exemplo com o link ativado e a VPN desativada:
Figura 254 - Exemplo de funcionamento VPN Fail over "link ativado e VPN desativada"
364
A seguir o mesmo ambiente com o link inativo e a VPN ativada:
Figura 255 - Figura 245 - Exemplo de funcionamento VPN Fail over "link inativo e VPN ativada"
Configurando o VPN fail over:

Para configurar as regras de VPN fail over, siga os passos abaixo:
Figura 256 - VPN fail over

365
No firewall desejado acesse o menu Criptografia;

Clique na opo VPN fail over;
Acesse a aba Monitoramento de mquina;
Figura 257 - Janela de configurao VPN Fail Over
Nessa aba, o usurio deve criar as regras de monitoramento que sero associadas VPN. A
seguir, mais detalhes sobre as opes dessa aba:
Nome: neste campo, o usurio deve definir o nome da regra (esse nome ser exibido na aba
VPN fail over para a associao de VPN).
Gateway: Aqui o usurio deve inserir qual o Gateway de sua rede.
Verificar mquina: neste campo, o usurio deve definir que IP (IP da mquina, firewall, ou
roteador) ficar responsvel pela verificao do link, ou seja, um ponto de verificao que
informar se o link est ativo ou inativo.
366
Figura 258 - VPN Fail over
Nessa aba, o usurio pode definir qual VPN ser usada para o link desejado e que ao
dever ser tomada.
N: este campo exibe o nmero da regra de monitoramento.
Regra de monitoramento: este campo exibe o nome da regra de monitoramento.
Regra de VPN: aqui o usurio define que regra de VPN ser usada na regra de
monitoramento selecionada . A configurao da VPN feita no menu Criptografia, opo
Firewall/Firewall.
Ao: neste campo, o usurio deve definir qual a ao a ser tomada quando o link em
questo se encontrar inativo, as opes so:
Habilitar VPN: ao selecionar esta opo, a VPN ser ativada quando o link estiver inativo.
Desabilitar VPN: ao selecionar esta opo, a VPN ser desativada quando o link estiver
inativo.
367
9.4. Utilizando a Interface Texto (via SSH-fwipseccert)
Por meio da Interface Texto (via SSH) possvel realizar todas as configuraes mostradas
acima. A descrio de cada configurao distinta se encontra em um tpico separado (E
possvel usar todos os comandos sem o prefixo FW, para isso execute o comando
fwshell, ento todos os comando podero ser acessados sem o prefixo FW).
Carregando certificados IPSEC

A Interface Texto (via SSH) de configurao dos certificados IPSEC de uso simples e possui
as mesmas capacidades da Interface Remota.
Localizao do programa: /aker/bin/firewall/fwipseccert
Sintaxe:
Uso: fwipseccert ajuda
fwipseccert mostra [requisio | certificado]
fwipseccert remove [requisio | certificado] <numero>
fwipseccert requisita <local | remoto> <1024 | 2048> <email> <pais> <estado>
<cidade> <organizao> <unid org> <domnio>
[use_email] [imprime]
fwipseccert instala <local | remoto> <certificado>
fwipseccert exporta <certificado> <arquivo PKCS12> <senha>
fwipseccert importa <arquivo PKCS12> <senha>
Ajuda do programa:
Aker Firewall
fwipseccert - Criao e manejamento de requisies e certificados x.509
Uso: fwipseccert ajuda
fwipseccert mostra [requisicao | certificado]
368
fwipseccert remove [requisicao | certificado] <numero>
ajuda
mostra
= mostra uma lista contendo as requisies pendentes ou os

certificados instalados
remove
= remove uma requisio ou certificado de acordo com seu numero
Carregando certificados
A Interface Texto (via SSH) de configurao dos certificados de criptografia de uso simples
e possui as mesmas capacidades da Interface Remota.
Localizao do programa:/aker/bin/firewall/fwcert
Sintaxe:
fwcert ajuda
fwcert mostra [local | ca | negociao | revogao]
fwcert carrega [local | ca] <arquivo> [-f]
fwcert carrega revogao <arquivo>
fwcert remove <cdigo> [-f]
Ajuda do programa:
Aker Firewall
fwcert - Configura os certificados para criptografia
Uso: fwcert ajuda
fwcert mostra [local | ca | negociao | revogao]
fwcert carrega [local | ca] <arquivo> [-f]
fwcert carrega revogao <arquivo>
fwcert remove <cdigo> [-f]
mostra = mostra os certificados especificados
carrega = carrega um novo certificado no firewall
remove = remove o certificado de uma entidade certificadora
Para mostra temos:
local = mostra o certificado de negociao local
negociao = mostra os certificados de negociao de outros firewalls
369
que foram recebidos pela rede

revogao = mostra os certificados de revogao que foram carregados
localmente ou recebidos pela rede
Para remove temos:

cdigo = cdigo da entidade certificadora a ser removida
-f
= se estiver presente, faz com que o programa no confirme ao
remover um certificado
Exemplo 1: (carregando o certificado local)
#/aker/bin/firewall/fwcert carrega local /tmp/firewall.crt
Carregando certificado...OK
Exemplo 2: (mostrando os certificados de entidades certificadoras)
#/aker/bin/firewall/fwcert mostra ca
Nome: Aker Security Solutions
Cdigo: 1
Nome: Entidade certificadora autorizada
Cdigo: 2
Exemplo 3: (carregando um novo certificado de entidade certificadora)
#/aker/bin/firewall/fwcert carrega ca /tmp/novo_ca.ca
Certificado includo
Exemplo 4: (removendo um certificado de entidade certificadora, sem confirmao)
#/aker/bin/firewall/fwcert remove 2 -f
Entidade certificadora removida
Configurando canais Firewall-Firewall
A utilizao da Interface Texto (via SSH) na configurao das regras de criptografia e de
autenticao firewall-firewall traz uma dificuldade gerada pela grande quantidade de
parmetros que devem ser passados na linha de comando.
370
Esta Interface Texto (via SSH) possui as mesmas capacidades da Interface Remota com a
exceo de que por meio dela no possvel atribuir comentrios. Alm disso, no ser
possvel configurar os algoritmos a serem usados pelo IPSEC-IKE (janela avanado), eles
tero sempre os valores padro.
Localizao do programa: /aker/bin/firewall/fwcripto
Sintaxe:
Uso: fwcripto [mostra | ajuda]
fwcripto [habilita | desabilita | remove] <pos>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
ipsec <gateway> <<ss <segredo> | cert <local> <remoto>>
manual <spi> <MD5 | SHA> <chave autenticao> NENHUM
manual <spi> <MD5 | SHA> <chave autenticao>
<DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia>
3DES <tamanho_iv> <chave1> <chave2> <chave3>
fwcripto inclui <pos> <origem> <destino> envia
skip <DES | 3DES | BFISH256> <MD5 | SHA>
<NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo>
fwcripto inclui <pos> <origem> <destino> recebe
skip <segredo>
fwcripto inclui <pos> <origem> <destino> <envia | recebe> aker-cdp
Ajuda do programa:
Aker Firewall
fwcripto - Configura a tabela de autenticao e criptografia
Uso: fwcripto [mostra | ajuda]
fwcripto [habilita | desabilita | remove] <pos>
ipsec <gateway> <ss <segredo> | cert <local> <remoto>>
manual <spi> <MD5 | SHA> <chave autenticao> NENHUM
<DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia>
371
3DES <tamanho_iv> <chave1> <chave2> <chave3>

fwcripto inclui <pos> <origem> <destino> envia
skip <DES | 3DES | BFISH256> <MD5 | SHA>
<NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo>
fwcripto inclui <pos> <origem> <destino> recebe
skip <segredo>
fwcripto inclui <pos> <origem> <destino> <envia | recebe> aker-cdp
mostra = mostra todas as entradas da tabela de criptografia
inclui = inclui uma entrada na tabela
habilita = habilita uma entrada previamente desabilitada
desabilita = desabilita uma entrada existente
remove = remove uma entrada existente da tabela
Para inclui temos:

pos = posio onde a nova entrada ser includa na tabela
(Poder ser um inteiro positivo ou a palavra FIM
para incluir no final da tabela)
envia = est entrada ser usada na hora de enviar pacotes
recebe = est entrada ser usada na hora de receber pacotes
ipsec = usa troca de chave e protocolo IPSEC
gateway = a entidade que representa a ponta remota do tnel IPSEC
ss = usa segredo compartilhado como forma de autenticao
segredo = a "string" que ser usada como segredo compartilhado
cert = usa certificados X.509 para autenticao
local = o nome de domnio (FQDN) no certificado a apresentar
remoto = o nome de domnio (FQDN) no certificado esperado
manual = utiliza troca de chaves manual
skip = utiliza troca de chaves automtica via o protocolo SKIP
aker-cdp = utiliza troca de chaves automtica via o protocolo Aker-CDP
spi = ndice de parmetro de segurana
( um inteiro que identifica unicamente a associao de
segurana entre a mquina de origem e de destino. Este
nmero deve ser maior que 255)
MD5 = usa como algoritmo de autenticao o MD5
SHA = usa como algoritmo de autenticao o SHA-1
DES = usa como algoritmo de criptografia o DES
3DES = usa como algoritmo de criptografia o triplo DES
372
BFISH128 = usa como algoritmo de criptografia o Blowfish com chaves de

128 bits
BFISH256 = usa como algoritmo de criptografia o Blowfish com chaves de
256 bits
NENHUM = no usa criptografia, somente autenticao
(No caso do skip, o primeiro algoritmo selecionado
corresponde ao algoritmo de criptografia da chave e
o segundo corresponde ao de criptografia do pacote)
tamanho_iv = tamanho do vetor de inicializao, em bits, para o algoritmo
de criptografia. Deve ter o valor 32 ou 64.
As chaves de autenticao, criptografia e o segredo skip
devem ser entradas como nmeros hexadecimais.
No caso do 3DES devem ser digitadas 3 chaves separadas por brancos
Para habilita / desabilita / remove temos:
pos = posio a ser habilitada, desabilitada ou removida da tabela
(a posio o valor mostrado na esquerda da entrada ao
se usar a opo mostra)
Redundncia de link privado com VPN site to site
Este comando permite o balanceamento de link, que utiliza um link dedicado ponto a ponto
e uma VPN, para manter uma conexo segura entre dois pontos, mesmo quando o link
dedicado cair.
Esta Interface Texto (via SSH) possui as mesmas capacidades da Interface Remota com a
exceo de que por meio dela no possvel atribuir comentrios.
Usando uma regra de balanceamento de link, para monitorar o status do link, se
necessrio, o Fwlinkred habilita as regras de VPN para manter a comunicao segura entre
dois pontos.
Localizao do programa:/aker/bin/firewall/fwlinkred
Sintaxe:
/aker/bin/firewall # fwlinkred ajuda
Aker Firewall
Uso: fwlinkred ajuda
373
fwlinkred mostra
fwlinkred inclui <link> <vpn1> [vpn2] ... [vpnN]
fwlinkred remove < regra >
fwlinkred < habilita | desabilita > < regra >
Onde:
<link> e nome de regra de balanceamento
<vpnN> e numero de regra de VPN IPSEC
<rule> e numero de regra de redundncia
374
375
Este captulo mostra como configurar o firewall e o Aker Client de modo a propiciar a criao
de canais seguros entre mquinas clientes e um Aker Firewall.
10.1.
Planejando a instalao.
O que um canal seguro Cliente-Firewall?

Conforme j explicado no captulo anterior, um canal seguro cliente-firewall aquele
estabelecido diretamente entre uma mquina cliente e um Aker Firewall. Isto possvel
com a instalao de um programa, chamado de Aker Client, nas mquinas clientes.
Um canal de criptografia Cliente-Firewall utiliza as mesmas tecnologias de criptografia,
autenticao e troca de chaves j mostradas para os canais seguros Firewall-Firewall, com a
diferena de que tudo negociado automaticamente pelas partes comunicantes. Ao
administrador possvel apenas desabilitar determinados algoritmos, de forma a assegurar
que eles no sero utilizados.
Outra diferena fundamental entre os canais seguros firewall-firewall e cliente-firewall, da
forma com que so implementados no Aker Firewall, que os primeiros so sempre
realizados ao nvel de pacotes IP, onde cada pacote encriptado individualmente, enquanto
que os segundos so feitos ao nvel de fluxo de dados, onde est encriptado somente as
informaes contidas na comunicao (e no os demais dados do pacote IP).
Exigncias para a criao de canais seguros Cliente-Firewall

Para que seja possvel o estabelecimento de canais seguros entre clientes e um firewall,
necessrio que a seguinte lista de condies seja atendida:
1. O Aker Client esteja instalado em todas as mquinas que estabelecero canais seguros
com o firewall, no caso de utilizarem o Secure Roaming;
ou
2. Clientes que suportem os protocolos L2TP ou PPTP.
376
Definindo um canal seguro cliente-firewall

A definio de um canal seguro cliente-firewall bem mais simples do que a de um canal
firewall-firewall. necessrio apenas configurar no firewall quais mquinas podero
estabelecer canais seguros de clientes e se ocorrer ou no autenticao de usurios. Todo
o restante da configurao feito automaticamente, no momento em que o cliente inicia a
abertura do canal seguro.
Aker Secure Roaming
10.2.
Para ter acesso janela de configuraes do Secure Roaming deve-se:
Figura 259 - Dispositivos remoto (Acesso as configuraes do Security Roaming).
Clicar no menu Criptografia da janela principal;

Selecionar o item Clientes VPN.
377
A janela de configuraes do Secure Roaming
Figura 260 - Configurao geral do Security Roaming
O boto OK far com que a janela de configuraes do Secure Roaming seja fechada e as
alteraes efetuadas aplicadas;
O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no
sejam aplicadas;
janela aberta.
Aba Geral
Nmero mximo de conexes simultneas: Aqui voc pode configurar o nmero

mximo de clientes conectados simultaneamente no Secure Roaming, L2TP ou PPTP em
um determinado tempo. Use esta opo para evitar com que o servidor tenha uma
sobrecarga por excesso de clientes, o que pode diminuir a performance.
O nmero no pode ser superior ao de sua licena. Se estiver em 0, nenhum cliente ser
permitido.
Limite de conexes simultneas: Indica o limite mximo de conexes permitido por sua
licena.
378
Aba Secure Roaming
Figura 261 - Configurao do Security Roaming.
Mtodos de Autenticao: As opes disponveis, que podem ser marcadas

independentemente, so:
1. Usurio/senha: O usurio dever ser autenticado por meio de uma combinao de
nome e uma senha. Esses dados sero repassados a um ou mais servidores de
autenticao que devem valid-los. Esta opo a mais insegura porm no
depende de nenhum hardware adicional;
2. Token (SecurID): O usurio dever ser autenticado mediante o fornecimento de um
nome, um PIN e um cdigo presente em um Token SecurID que modificado a cada
minuto. Esses dados sero repassados para o autenticador Token cadastrado no
firewall para serem validados. Essa opo bem mais segura que a anterior, porm
exige que cada usurio possua um Token;
3. Smartcard/X.509: O usurio dever ser autenticado por meio do uso de certificados
X.509 (por exemplo, gravados em smart cards) e emitidos por uma das autoridades
certificadoras cadastradas no firewall. Essa forma de autenticao a mais segura
das trs, por exigir a senha de desbloqueio da chave privada e a posse da mesma;
Verses antigas do cliente Secure Roaming so permitidas: Permite que verses antigas
do cliente Secure Roaming se conectem.
Habilita IPSEC: Utiliza protocolo IPSEC na comunicao com o Secure Roaming.
379
Permitir compresso de dados: A compresso de dados importante para conexes

lentas, como as discadas. Quando esta opo est marcada, feita a compresso das
informaes antes de serem enviadas pela rede. Isso permite um ganho de performance
na velocidade de comunicao, porm, exige um maior processamento local. Para redes
mais rpidas, melhor no se utilizar a compresso.
Porta TCP/UDP: Este controle permite configurar a porta usada pelo servidor para
escutar conexes e dados de clientes, respectivamente. Por exemplo, voc pode
configurar o servidor para usar as portas TCP/443 e UDP/53, em ordem para burlar
firewalls e/ou outros dispositivos de filtragem entre servidores e clientes. Esses
dispositivos recusariam uma conexo VPN, mas no uma conexo HTTP segura e uma
requisio DNS, respectivamente.
Cabe ressaltar que outros servios podem estar utilizando a mesma porta do firewall
como por exemplo o clientLess o que causaria problemas de autenticao dos usurios
externos.
Para evitar este problema recomendado que o usurio use a porta padro ou use uma
porta que no esteja sendo utilizada pelo firewall.
A porta padro 1011 tanto para TCP e UDP.
Aba Acesso
Figura 262 - Lista de controle de acesso do Security Roaming.
380
Tipo da lista de controle de acesso: Aqui voc escolhe qual o tipo da Lista de controle
de acesso:
1. Nenhum: Sem controle de acesso. Todo cliente tem permisso para conectar ao
servidor.
2. Permitir entidades listadas: Somente os endereos IP listados, ou endereos que
pertenam s entidades rede e/ou conjunto listadas, podero estabelecer
conexo.
3. Proibir entidades listadas: As entidades listadas, ou que pertenam a entidades
rede e/ou conjunto listadas, no sero capazes de estabelecer conexes. As
demais entidades sero.
Lista de controle de acesso:
Para adicionar uma entidade lista, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse na lista, ou

Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo,
para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma:

Clicar com o boto direito do mouse sobre a entidade que ser removida, ou
Selecionar a entidade desejada e pressione a tecla Delete.
A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele
mostrado ao clicar com o boto direito do mouse em alguma entidade listada. No
exemplo da figura, a entidade clicada foi Host4:
Figura 263 - Menu com escolha das entidades a ser adicionadas
381
Aba Endereos
Figura 264 - Conjunto de endereos do Security Roaming
Conjunto de endereos: Lista de endereos que podem ser atribudos a clientes

remotamente conectados ao firewall. Os endereos de mquinas listados e todos os
endereos que compem as redes e conjuntos includos somam-se para definir o
conjunto
de
endereos
atribuveis
a
clientes.
Notar que as entidades listadas devem estar conectadas a algum adaptador de rede
configurado no firewall. Caso contrrio, no ser possvel estabelecer conexo com tal
entidade.
Para adicionar ou remover uma entidade do Conjunto de endereos, basta proceder como
na Lista de controle de acesso.
As redes nesse campo definem um conjunto de endereos, no uma sub-rede no sentido de
roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede
10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for includa no Pool de endereos, o
primeiro endereo atribuvel seria 10.0.0.1 e o ltimo 10.0.0.255. Se fosse a rede
10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.
382
L2TP
10.3.
L2TP uma extenso do PPP (Point-to-Point Protocol), unindo caractersticas de outros dois
protocolos proprietrios: o L2F (Layer 2 Forwarding) da Cisco e o PPTP (Point-to-Point
Tunneling Protocol) da Microsoft. um padro da IETF (Internet Engineering Task Force),
que conta com a participao da Cisco e do PPTP frum, entre outros lderes de mercado.
O L2TPv3, analisado neste trabalho uma atualizao da RFC2661 (L2TPv2), e foi
originalmente definido como um mtodo para tunelamento para quadros PPP por meio de
uma rede de comutao de pacotes. Surgiu ento a necessidade de atualizar o mtodo, para
que ele inclusse todos os encapsulamentos da camada 2 que necessitassem de
tunelamento por meio de redes de comutao de pacotes. Entre as mudanas para a verso
3, temos: retirada de todas as partes especficas ao PPP do cabealho L2TP, garantindo
assim a generalizao para outras aplicaes, e a mudana para um formato que
possibilitasse o desencapsulamento de forma mais rpida.
O L2TP fornece a flexibilidade e escalabilidade do IP com a privacidade do Frame Relay ou
ATM (Asynchronous Transfer Mode), permitindo que servios de rede sejam enviados em
redes roteadas IP. As decises so tomadas nas terminaes dos tneis ou VPNs, e
comutadas sem a necessidade de processamento nos ns intermedirios.
As seguintes vantagens so oferecidas pelo L2TP:
permite o transporte de protocolos que no o IP, como o IPX (Internetwork Packet

Exchange, da Novell/Xerox) e o SNA, assim como outros protocolos dos terminais;
mecanismo simples de tunelamento para implementar funcionalidades de LAN e IP
de forma transparente, possibilitando servios de VPN IP de forma bastante simples;
simplifica a interao entre as redes do cliente e do provedor;
fcil configurao para o cliente.
Referncias: Steven Brown, Implementing Virtual Private Networks, McGraw Hill, 1999.
383
Configurando a VPN L2TP
Figura 265 - Configurao da VPN L2TP
Habilitar L2TP: Este campo habilita o servidor de L2TP no Aker Firewall e permite
configurar outros campos como:
Servidor de DNS Primrio e secundrio: Configura dois servidores DNS a serem

usados durante a sesso criptogrfica. Usado para o caso de haver um servidor
de DNS interno na corporao;
Usar autenticao IPSEC: Habilita os modos de autenticao e encapsulamentos
dos dados em pacotes IPSEC/MPPE, os modos de autenticao so por meio de
Segredo compartilhado ou certificado X.509.
Conjunto de Endereos: Lista de endereos que podem ser atribudos a clientes

remotamente conectados ao firewall. Os endereos de mquinas listados e todos os
endereos que compem as redes e conjuntos includos somam-se para definir o
conjunto
de
endereos
atribuveis
a
clientes.
entidade.
384

para a lista.

Figura 266 - Menu com escolhas da entidade para adicionar.
As redes nesse campo definem um conjunto de endereos, no uma sub-rede no sentido

de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na subrede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for includa no Pool de endereos,
o primeiro endereo atribuvel seria 10.0.0.1 e o ltimo 10.0.0.255. Se fosse a rede
10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os
extremos.
Configurando usando Interface Texto (via SSH)
# fwl2tp ajuda
Firewall Aker
Uso: fwl2tp help
fwl2tp mostra
fwl2tp < habilita | desabilita >
fwl2tp ipsec ss < segredo >
fwl2tp ipsec cert < fqdn >
fwl2tp ipsec nenhum
385
fwl2tp dns_1 < dns_server >

fwl2tp dns_2 < dns_server >
fwl2tp inclui < rede >
fwl2tp remove < rede >
os parmetros so:
segredo : O segredo compartilhado IPSEC
fqdn : O nome domnio presente no certificado X.509 para autenticao IPSEC
dns_server : Um servidor DNS (entidade) para os clientes de VPN
rede : Entidade rede ou mquina para o conjunto de endereos IP dos clientes de VPN
Configurando o Cliente L2TP
Windows 7 / XP
No Windows 7, crie uma nova conexo de VPN, na Central de Rede e Compartilhamento. No
Windows XP, isso deve ser feito na janela Conexes de rede. Um assistente para a criao
desta conexo aparecer, e deve ser preenchido de acordo com as imagens abaixo:
Figura 267 - Configurando o cliente L2TP (Windows Vista/XP).
386
Figura 268 - Configurando o cliente L2TP (utilizando VPN).
387
Figura 269 - Configurando o cliente L2TP (escolha do IP e nome da conexo).
Na imagem acima, 192.168.0.100 o endereo do Aker Firewall com servidor L2TP visvel
pelo Cliente de VPN. Este endereo pode ser um nome, como firewall.empresa.com.br.
388
Figura 270 - Configurando o cliente L2TP (nome do usurio e senha utilizados para autenticar o cliente de VPN no Aker
Firewall).
Na imagem acima, devem ser preenchidos o nome de usurio e senha que sero utilizados
para autenticar o cliente de VPN no Aker Firewall.
389
Figura 271 - Configurao da VPN L2TP concluda.
Aps clicar em Close, ser criada uma nova conexo, que precisa ser editada, no passo
seguinte. No clique em Connect now.
Abra a janela Conexes de rede, e edite as propriedades da conexo recm-criada de acordo
com as janelas abaixo:
390
Figura 272 Propriedades de Conexo VPN (edio das propriedades de conexo).
Em propriedades de Conexo VPN, na aba Segurana, configure a janela de acordo com a

imagem acima:
Aps clicar OK, volte ao dilogo de propriedades e continue a configurao:
391
10.4.
PPTP
O Point-to-Point Tunneling Protocol (PPTP) um mtodo para execuo de redes virtuais

privadas. PPTP usa o TCP (porta 1723) e o GRE (Outros 47). PPTP usa um canal de controle
sobre TCP e GRE tnel operacional para encapsular PPP pacotes.
Configurando a VPN PPTP
Figura 273 - Configurando a VPN PP TP.
Habilitar PPTP: Este campo habilita o servidor de PPTP no Aker Firewall e permite configurar
outros campos como:
Servidor de DNS Primrio e secundrio: Configura dois servidores DNS a serem

usados durante a sesso criptogrfica. Usado para o caso de haver um servidor
de DNS interno na corporao;
Segurana: Permite especificar os mtodos de encriptao da autenticao e dos
dados trafegados, as opes so:
PAP: Autenticao no cifrada e dados no cifrados. Funciona com
qualquer tipo de autenticador que possa ser cadastrado no Firewall;
CHAP: Autenticao cifrada, dados no cifrados. Funciona somente com o
autenticador RADIUS;
392
MS-CHAPv2: Autenticao cifrada, dados no cifrados. Funciona somente

com o autenticador RADIUS;
MPPE (MS-CHAPv2 + MPPE): Autenticao cifrada, dados cifrados com
RC4 e chave de 40 a 128 bits. Funciona somente com o autenticador
RADIUS;
MPPE-128(MS-CHAPv2 + MPPE-128): Autenticao cifrada, dados
cifrados com RC4 e chave de 128 bits. Funciona somente com o
autenticador RADIUS.
Conjunto de Endereos: Lista de endereos que podem ser atribudos a clientes

remotamente conectados ao firewall. Os endereos de mquinas listados e todos
os endereos que compem as redes e conjuntos includos somam-se para
definir
o
conjunto
de
endereos
atribuveis
a
clientes.
Notar que as entidades listadas devem estar conectadas a algum adaptador de
rede configurado no firewall. Caso contrrio, no ser possvel estabelecer
conexo com tal entidade.

para a lista.

Figura 274 - Menu com escolhas da entidades para adicionar.
393

extremos.
/aker/bin/firewall # fwpptpsrv ajuda
Aker Firewall
Uso: fwpptpsrv ajuda
fwpptpsrv mostra
fwpptpsrv < habilita | desabilita >
fwpptpsrv limpa
fwpptpsrv dns_1 < dns_server >
fwpptpsrv dns_2 < dns_server >
fwpptpsrv inclui < rede >
fwpptpsrv remove < rede >
fwpptpsrv segurana < PAP | CHAP | MS-CHAPv2 | MPPE | MPPE-128 >
os parmetros so:
rede
: Entidade rede ou mquina para o conjunto de endereos IP dos

clientes de VPN
394
Configurando o Cliente PPTP para autenticao com PAP

Windows Vista / XP
No Windows Vista, crie uma nova conexo de VPN, no Network and Sharing Center. No
Windows XP, isso deve ser feito na janela Network Connections. Um assistente para a
criao desta conexo aparecer, e deve ser preenchido de acordo com as imagens abaixo:
Figura 275 - Configurando o Cliente PPTP para autenticao com PAP (Windows Vista/XP).
395
Figura 276 - Janela de configurao da VPN no Microsoft Windows.
396
Figura 277 - Janela de configurao de rede da VPN no Microsoft Windows.
Na imagem acima, 192.168.0.100 o endereo do AKER FIREWALL com servidor PPTP visvel
pelo cliente de VPN. Este endereo pode ser um nome, como firewall.empresa.com.br.
397
Figura 278 - Janela de configurao de usurio e senha da VPN no Microsoft Windows.
Na imagem acima, devem ser preenchidos o nome de usurio e senha que sero utilizados
para autenticar o cliente de VPN no AKER FIREWALL.
398
Figura 279 - Configurao da VPN no Microsoft Windows concluda.
Aps clicar em Close, ser criada uma nova conexo, que precisa ser editada, no passo
seguinte. No clique em Connect now.
Abra a janela Conexes de rede, e edite as propriedades da conexo recm-criada de acordo
com as janelas a seguir:
399
Picture 265 - Propriedades de Conexo VPN (edio das propriedades de conexo)
Em propriedades de Conexo VPN, na aba Segurana, configure a janela de acordo com a

imagem acima:
:
Configurando o servidor Radius Microsoft IAS
A seguinte configurao aceita todos os tipos de criptografia. Para iniciar a configurao
precisamos cadastrar o endereo IP do firewall e sua senha NAS:
400
Figura 280 - Configuraes do Servidor de autenticao Radius do Microsoft Windows Server.
401
Figura 281 - Configuraes do Shared secret do servidor de autenticao Radius do Microsoft Windows Server.
Aps cadastrar o(s) firewall(s), define-se as regras de acesso remoto (Remote Access
Policies), efetue suas configuraes iguais s exibidas abaixo:
402
Figura 282 - Definio das regras de acesso remoto do servidor de autenticao Radius do Microsoft Windows Server.
403
Figura 283 - Especificao das condies de conexo do servidor de autenticao Radius do Microsoft Windows Server.
Clique em Edit Profile.

404
Figura 284 - Especificao das condies de conexo - Edio.
405
Figura 285 - Especificao das condies de conexo IP.
406
Figura 286 - Especificao das condies de conexo Multilink.
407
Figura 287 - Especificao das condies de conexo Authentication.
408
Figura 288 - Especificao das condies de conexo Encryption.
409
Figura 289 - Especificao das condies de conexo Advanced.
Devido s polticas de segurana do Windows Servertm, ser necessrio informar quais

usurios podem efetuar estas autenticaes, para realizar esta etapa uma Policy em
Connection Request Policies.
410
Figura 290 - Informaes dos usurios podem efetuar autenticaes.
Tambm necessrio que no Microsoft Active Directorytm, selecione os usurios que podem
efetuar estas autenticaes e permitam que VPN e Dial-in, vejam na janela abaixo:
411
Figura 291 - Propriedades dos usurios que podem efetuar autenticaes.
Para suporte CHAP, necessrio alterar as polticas de segurana do Windows, de forma

que o mesmo salve as senhas com criptografia reversvel e, aps este passo, alterar as
senhas dos usurios. Mais informaes neste link:
http://technet.microsoft.com/en-us/library/cc782191(WS.10).asp
412
10.5.
IPSEC Client
O conjunto de protocolos IPSEC (em especial IKE e ESP) no foi projetado para o uso em
modo cliente-servidor. Por isso, diversas extenses na sua implementao original (RFC
2401 e famlia) so necessrias para que o mesmo possa ser utilizado com esta finalidade.
Diferentemente do que ocorre com as VPNs L2TP/IPSEC e PPTP, no existe um padro
devidamente normatizado para essas extenses necessrias ao funcionamento de VPNs
IPSEC modo tnel para clientes remotos. O que existe so uma srie de propostas de RFCs
(Internet Drafts) que nunca foram aceitas pelo IETF, mas mesmo assim, so utilizadas
largamente por diversos fabricantes de equipamentos e clientes de VPN.
A seguir, explicamos os diversos problemas encontrados para estabelecer esse tipo de VPN
e indicamos as solues encontradas, indicando as RFCs e drafts correspondentes, quando
for o caso.
Autenticao com usurio e senha
Originalmente, o protocolo IKE somente suporta autenticao simtrica, em especial
utilizando segredos compartilhados ou certificados digitais. Quando se trata de VPNs para
clientes remotos, o mais prtico utilizar autenticao por meio de usurio e senha.
A proposta mais aceita para extenso do IKE nesse sentido chama-se 1XAUTH, uma proposta
da Cisco cujo draft mais recente o 2draft-beaulieu-ike-xauth-02, de outubro de 2001. Essa
proposta largamente utilizada por diversos fabricantes e prope estender o protocolo IKE
incluindo uma segunda etapa de autenticao entre as fases 1 e 2 tradicionais. Com isso,
aps o estabelecimento de uma SA ISAKMP durante a fase 1, antes de estabelecer SAs de
fase 2 (ESP), uma nova troca cifrada verifica as credenciais do usurio.
Configurao de rede do cliente
Um problema importante a ser resolvido nas VPNs IPSEC para clientes a configurao de
rede do mesmo. Geralmente, uma interface virtual criada no computador onde executa o
cliente de VPN e esta interface recebe endereos e rotas da rede interna protegida pelo
gateway de VPNs. Para no precisar configurar cada um dos clientes com endereos IPs
estticos e diferentes, necessrio uma soluo que permita ao servidor de VPN informar
ao cliente quais configuraes utilizar.
A proposta mais aceita para solucionar essa questo chama-se Mode Config3, tambm
produzida pela Cisco em outubro de 2001 e que tem como draft mais recente o draftdukesike-mode-cfg-024. Essa proposta tambm largamente utilizada por diversos fabricantes de
equipamento de VPN e prope, do mesmo modo que o XAUTH, entre as fases 1 e 2,
executar uma srie de perguntas e respostas entre o cliente e o servidor de criptografia,
com o propsito de configurar aquele a partir desse.
Deteco de cliente desconectado
413
Clientes remotos tm grande probabilidade de serem desconectados do servidor de

criptografia sem aviso prvio. Um exemplo simples um dispositivo conectado por WIFI
afastar-se demais de seu access point. O protocolo IPSEC originalmente proposto no tem
nenhuma outra forma de detectar que a conectividade foi perdida que no seja pela falha
da troca de chaves, o que se d em intervalos relativamente longos, devido a seu custo
computacional.
A proposta padronizada para este fim e o suporte padro para DPD em qualquer tnel IPsec
que est descrita na RFC 3706 e consiste em permitir a ambos endpoints IPSEC enviar
pacotes de ping protegidos pela SA de fase 1 (ISAKMP) de acordo com sua necessidade.
Esses pacotes geralmente so enviados em intervalos bem mais curtos que a troca de chave,
uma vez que toda a transao de envi-los, respond-los e receb-los tem um custo muito
baixo.
DPD (Dead peer detection)

O DPD (Dead peer detection - mtodo de deteco Dead Internet Key exchange (IKE) Peer)
usa o trfego IPSec para reduzir o nmero de mensagens IKE (Internal key Exchange) que
precisam confirmar sua existncia. O DPD, como outros mecanismos keepalive, necessrio
para determinar quando se deve executar o IKE Peer Failover ( para Dead Peers), e quando
recuperar recursos que foram perdidos.
O DPD do Aker Firewall possui intervalo de 60 segundos (DPD Interval), e seu
nmero mximo de retentativas 5 (DPD Retries).
414
IPSEC
Figura 292 - Clientes VPN - IPSEC.
Habilitar Cliente IPSEC: Este campo habilita o servidor de IPSEC Client no Aker Firewall e
permite configurar outros campos como:
Servidor de DNS Primrio, secundrio e tercirio: Configura at trs servidores

DNS a serem usados durante a sesso criptogrfica. Usado para o caso de haver
um servidor de DNS interno na corporao;
Servidor WINS Primrio, secundrio e tercirio: Configura at trs servidores
WINS a serem usados durante a sesso criptogrfica. Usado para o caso de haver
um servidor de WINS interno na corporao;
Mensagem de autenticao: Mensagem de apresentao (banner) a ser
mostrada para os clientes.
Lista de endereos que podem ser atribudos a clientes - Conjunto de Endereos: Lista
de endereos que podem ser atribudos a clientes remotamente conectados ao firewall.
Os endereos de mquinas listados e todos os endereos que compem as redes e
conjuntos includos somam-se para definir o conjunto de endereos atribuveis a
clientes.
415
entidade.

para a lista.

Figura 293 - Lista de endereos que podem ser atribudos aos clientes.
.
extremos.
Lista de endereos que so redes protegidas Redes Protegidas: Lista de endereos de

hosts ou redes protegidas pela VPN IPSEC, quando utilizado os clientes da VPN IPSEC
Client recebem rotas para alcanarem estes endereos sem alterar o default gateway da
416
sua estao. Quando deixar este campo em branco os clientes da VPN IPSEC Client
recebem o endereo IP do Aker Firewall como default gateway.

para a lista.

Figura 294 - Lista de endereos que so redes protegidas.

extremos.
Grupos: Este campo permite definir as opes de autenticao do IPSEC para os clientes:
417
Nome do grupo: Identidade dos grupos, os clientes especificam o grupo e assim

qual o mtodo de autenticao ser utilizado.
Autenticao:
Segredo Compartilhado: Uma sequncia de caracteres que funciona
como uma senha e deve ser igual de cada um dos lados do tnel.
Certificado: Utiliza certificados padro X.509 com um esquema de chaves
pblicas para a identificao dos firewalls. Este o mesmo esquema
utilizado por sites seguros na Internet.

/aker/bin/firewall # fwipseccli ajuda
Aker Firewall
Uso: fwipseccli ajuda
fwipseccli mostra
fwipseccli < habilita | desabilita > [grupo]
fwipseccli dns_1 < dns_server >
fwipseccli wins_1 < wins_server >
fwipseccli mensagem < mensagem >
fwipseccli inclui < conjunto | protegida > < rede >
fwipseccli remove < conjunto | protegida > < rede >
fwipseccli grupo < inclui | remove > < grupo >
fwipseccli ss < grupo > < segredo >
fwipseccli cert < grupo > < fqdn >
os parmetros so:
418
segredo: O segredo compartilhado IPSEC

fqdn
: O nome domnio presente no certificado X.509

para autenticao IPSEC

wins_server: Um servidor WINS (entidade) para os clientes de VPN
rede
: Entidade rede ou mquina para o conjunto de endereos IP dos

clientes de VPN ou a lista de redes protegidas
grupo
: O nome do grupo de clientes
mensagem: A mensagem de autenticao dos usurios
Configurando os Clientes
De modo genrico, as configuraes recomendadas para clientes de criptografia so as
seguintes:
Shared Secret
Fase
1
1
Configurao
Forma de autenticao
Forma de identificao
Credenciais
(XAUTH)
1
1
1
2
2
2
Valor
secret + XAUTH
KEY_ID. Use o mesmo nome do grupo criado no
fwipseccli. Alguns clientes chamam essa
configurao de grupo mesmo.
de
usurio Use usurio e senha que possam ser verificados

pelo subsistema de autenticao do Aker
Firewall, os mesmos que, por exemplo, o Filtro
Web aceita para autenticao.
Algoritmos de criptografia e 3DES / SHA-1 (pode ser modificado pela Controle
hash
Center)
Grupo diffie-hellman
2 - MODP-1024 (pode ser modificado pela
Control Center)
Tempo de vida de SA
3600 segundos (pode ser modificado pela
Control Center)
Algoritmos
AES-256 / SHA-1 HMAC-96
PFS / Grupo diffie hellman
No / 0
Tempo de vida de SA
3600 segundos
Figura 295 - Configuraes recomendadas para clientes de criptografia Shared Secret.

419
420
X.509
A configurao X.509 muito parecida:
Fase
1
1
1
1
1
2
2
2
Configurao
Forma de autenticao
Forma de identificao
Valor
X.509 (RSA SIG) + XAUTH.
FQDN. Use o nome do Subject Alternative Name
do certificado. Alguns clientes exigem que esse
nome seja o mesmo do endereo IP ou domnio
de conexo.
Credenciais de usurio Use usurio e senha que possam ser verificados
(XAUTH)
pelo subsistema de autenticao do Aker
Firewall, os mesmos que, por exemplo, o Filtro
Web aceita para autenticao.
Algoritmos de criptografia e 3DES / SHA-1 (pode ser modificado pela Controle
hash
Center)
Grupo diffie-hellman
2 - MODP-1024 (pode ser modificado pela
Control Center)
Tempo de vida de SA
3600 segundos (pode ser modificado pela
Control Center)
Algoritmos
AES-256 / SHA-1 HMAC-96
PFS / Grupo diffie hellman
No / 0
Tempo de vida de SA
3600 segundos
Figura 296 - Configuraes recomendadas para clientes de criptografia X.509.
421
Exemplos:
ShrewSoft VPN Client com segredo compartilhado
Para a configurao deve ser preenchido os campos de acordo com as imagens abaixo:
Figura 297 - Configurao da VPN General.
422
Figura 298 - Configurao da VPN Authentication.
Figura 299 - Configurao da VPN Phase 1.
423
Figura 300 - Configurao da VPN Phase 2.
Figura 301 - Configurao da VPN Connect.
424
iPhone com certificado

Nesse caso, necessrio usar a ferramenta de configurao para empresas do iPhone,
que pode ser obtida gratuitamente no site da Apple. Ateno ao fato que necessrio
incluir o certificado da CA (.CER) e o certificado com chaves do cliente (.PFX) no perfil de
configurao. Para fazer isso, primeiro necessrio incluir esses certificados nas
configuraes do Windows.
Alm disso, ateno ao fato que o iPhone exige que o "Hostname or IP Address for
Server" seja igual ao Subject Alternative Name do firewall, sob pena de recusar o
certificado e impedir a conexo.
Figura 302 - Configurao iPhone certificado.
425
Figura 303 - Configurao iPhone estabelecendo VPN.
426
ShrewSoft VPN Client com certificado
Figura 304 - Configurao VPN com certificado.
Figura 305 - Configurao VPN - Authentication Local Identity.

427
Figura 306 - Configurao VPN - Authentication Remote Identity.
Figura 307 - Configurao VPN - Authentication Authentication Method.
428
VPN SSL
10.6.
A configurao do Portal VPN SSL e do Apple bastante simples, uma vez que todos os
detalhes de funcionamento do portal e do applet so responsabilidade do firewall. Ao
administrador cabe definir nome do portal, qual o certificado ser utilizado pelo firewall e
etc.
Todas estas configuraes so feitas na janela VPN SSL. Para acess-la, deve-se:
Figura 308 - VPN SSL.

Selecionar o item VPN SSL.
Quando selecionada a opo Enable VPN SSL, os campos de edio das configuraes do
portal e do applet so habilitados.
429
Portal
Figura 309 - VPN SSL - Portais.
No portal web, o cliente se autentica no firewall e como resultado recebe o applet que
implementa o tnel SSL.
Ttulo do Portal: Este campo informa o nome do portal. Possui um limite mximo de 64
caracteres e somente aceita texto simples.
Certificado CN do Firewall: Este campo informa o nome do certificado aplicado ao FW.
430
Ao clicar no cone
carrega-se um arquivo com extenso *.p12/*.pfx que contm o
certificado. O cone
mostra um resumo das informaes do certificado e o cone
permite exportar um arquivo com extenso *.p12/*.pfx contendo um certificado.
Autenticao: Este campo informa o tempo de expirao de autenticao no portal, sendo o
tempo mximo que pode levar para estabelecer a sesso, variando de 0 a 30 seg.
Mostrar campo Domnio: Quando selecionada essa opo permite mostrar o campo
domnio no formulrio de login do portal. A seleo desse campo opcional.
Usar o protocolo SSLv2: Quando selecionada essa opo, opta por utilizar a verso 2 do
protocolo SSL. Ele no utilizado por padro devido existncia de um bug de segurana.
Forar autenticao x.509: Esta opo permite forar uma autenticao x.509, pois impede
que o usurio se autentique sem ser por meio do certificado digital.
Permitir que um usurio tenha acesso por diferentes IPs ao mesmo tempo: Esta opo
permite ao usurio se logar no portal a partir de um ou mais IPs diferentes
simultaneamente.
Informao de logon: Esse campo permite incluir o texto que ser apresentado no portal
com informaes bsicas sobre o seu funcionamento. No possui tamanho definido e pode
ser escrito usando o formato HTML.
pop-up no aberto: Esse campo informativo. Caso o applet apresente erro ao carregar,
este texto ser mostrado ao usurio como resposta ao erro ocorrido.
431
Applet
Figura 310 - VPN SSL - Applet.
Usar o logo customizado: Ao habilitar essa opo, permite ao usurio apresentar o seu
logotipo no applet.
Alterar arquivo: Este boto permite trocar o logotipo apresentado. Este boto apenas
aparece quando a opo Usar o logo customizado for selecionada.
Porta: Esta opo permite definir a porta na qual o applet vai se conectar no firewall para
fazer o tnel SSL.
432
Timeout da Conexo: Este campo informa o tempo em segundos que a conexo pode ficar
sem trafegar nenhum dado no tnel SSL. Ao expirar esse tempo o tnel ser fechado.
Usando a applet: Este campo mostra informaes gerais de utilizao do applet. O texto
no pode ser em formato HTML e no possui tamanho definido.
Visualizao: Nesta rea podem ser visualizadas todas as configuraes visuais aplicadas ao
applet, sendo incluso o ttulo e os logotipos da Aker e do Cliente.
Cliente
O cliente necessita de um browser e do Java virtual Machine instalado para ter acesso, que
realizado por meio da seguinte url: https:\\ IP do Firewall a ser acessado.
Para essa funcionalidade necessrio habilitar o Filtro WEB e marcar a opo Forar
Autenticao na aba Geral.
Aps o usurio aceitar os certificados, aparecer uma tela de autenticao, onde usurio e
senha definiro qual o perfil de acesso e quais portas de comunicao tero permisso na
VPN.
433
Instalao do Aker Authentication Agent

Para realizar a instalao deve-se
Baixar o Aker Authentication Agent;

Clicar na boto Avanar;
Figura 311 Mensagem de boas vindas ao Assistente de Instalao do Aker Authentication Agent.
434
Ler o Contrato de Licena de Programa;

Clicar na opo Aceito os termos do contrato de licena;
Clicar no boto Avanar;
Figura 312 Contrato de licena de instalao do programa.
435
Surgir a tela Pasta de Destino;

Caso queria instalar o arquivo em uma pasta diferente, deve-se clicar em Alterar.
Se desejar instalar na pasta indicada, clicar no boto Avanar;
Figura 313 Pasta de destino de instalao.
436
Surgir a tela dizendo a seguinte mensagem: Pronto para instalar o programa, ou seja, o
assistente encontra-se pronto para realizar a instalao. Caso esteja tudo ok, clicar em
Instalar, se desejar realizar alguma alterao nas telas anteriores, clicar no boto
Voltar.
Figura 314 Mensagem que o assistente est pronto para realizar a instalao.
437
Surgir a tela dizendo mostrando o status de instalao. Caso deseje cancelar o processo,
Figura 315 Barra de status da instalao.
438
Aps a concluso da instalao surgir tela de concluso, informando que a instalao foi
realizada com sucesso, para encerrar, basta clicar no boto Concluir.
Figura 316 Mensagem de instalao do Aker Authentication Agent foi instalado com sucesso.
439
Figura 317 - Perfil de acesso Permisso VPN.
Aps a autenticao ser realizada com sucesso teremos o Applet rodando com as
informaes que foram configuradas na sesso Applet que vimos h pouco:
440
Figura 318 - VPN SSL Instrues gerais.
O acesso aos servios por meio da VPN so realizados por meio do IP:
127.0.0.1:<porta>
Esta porta de comunicao configurada em Configurao do Firewall, Perfis na aba VPNSSL (Proxy SSL).
441
442
Este captulo mostra para que serve e como configurar a Proxy SSL no Aker Firewall.
O que um Proxy SSL?

Um Proxy SSL uma VPN cliente-firewall, feita por meio do protocolo SSL, e que tem como
principal caracterstica a utilizao do suporte nativo a este protocolo que est presente em
vrias aplicaes: navegadores, leitores de e-mail, emuladores de terminal, etc. Devido ao
suporte nativo destas aplicaes, no necessria a instalao de nenhum cliente para o
estabelecimento da VPN.
O seu funcionamento simples: de um lado o cliente se conecta ao firewall por meio do
protocolo SSL, autenticando-se por meio de certificados X.509 (caso seja o desejo do
administrador que a autenticao seja demandada) e o firewall ento se conecta em claro
ao servidor interno. Dessa forma, o cliente enxerga uma conexo SSL com o servidor e, este,
enxerga uma conexo em claro (transparente) com o cliente.
Utilizando um Proxy SSL
Para utilizar um Proxy SSL em uma comunicao, necessrio executar uma sequncia de 2
passos:
Criar um servio que ser interceptado pelo proxy SSL e edita-se os parmetros do
contexto a ser usado por este servio (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades).
Acrescentar regras de filtragem de perfis SSL, permitindo o uso do servio criado no
passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o
item Configurando regras de Proxy SSL).
443
Figura 319 - VPN SSL Instrues gerais.
11.1.
Editando os parmetros de um contexto SSL
A janela de propriedades de um contexto SSL ser mostrada quando a opo Proxy SSL for
selecionada. Por meio dela possvel definir o comportamento do proxy SSL quando este
for lidar com o servio em questo.
444
A janela de propriedades de um contexto SSL
Figura 320 - Edio dos parmetros de um contexto SSL.
Na janela de propriedades so configurados todos os parmetros de um contexto associado

a um determinado servio. Ela consiste de duas abas distintas: a primeira permite a
configurao dos parmetros e a segunda definio do certificado que ser apresentado
ao cliente no estabelecimento da VPN.
Aba Geral
Porta do servidor: Este campo indica a porta que o servidor estar esperando receber a
conexo, em claro, para o servio em questo.
Permitir autenticao de usurio: Este campo, se estiver marcado, indica que os usurios
podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja desmarcado,
somente sesses annimas sero autorizadas, o que implica na utilizao do perfil de acesso
padro sempre.
Forar autenticao de usurio: Se este campo estiver marcado, no sero aceitas sesses
de Proxy SSL nas quais o usurio no tenha apresentado um certificado X.509 vlido.
445
Inatividade do cliente: Este campo indica o tempo mximo em segundos que o firewall
manter a sesso de Proxy SSL ativa (desde que a sesso j tenha sido estabelecida) sem o
recebimento de dados por parte do cliente.
Conexo: Este campo indica o tempo mximo em segundos que o firewall aguardar pelo
estabelecimento da conexo com o servidor.
Autenticao SSL: Este campo indica o tempo mximo em segundos que o firewall
aguardar para que o cliente realize, com sucesso, uma autenticao SSL.
Avanado: Este boto permite o acesso a parmetros de configurao que no so
normalmente
utilizados.
So eles:
Permitir um usurio acessar de IPs diferentes ao mesmo tempo: Este campo, se estiver
marcado, permite que um mesmo usurio estabelea sesses simultneas a partir de
mquinas diferentes. Caso esteja desmarcado, se um usurio j possuir uma sesso em uma
mquina, tentativas de abertura a partir de outras mquinas sero recusadas.
Tempo de manuteno de sesso: Como no existe o conceito de sesso em uma Proxy SSL,
necessrio que o proxy simule uma sesso, mantendo um usurio logado por algum
tempo aps o fechamento da ltima conexo, caso seja necessrio impedir que um mesmo
usurio acesse simultaneamente de mquinas diferentes. O que este campo especifica por
quanto tempo, em segundos, o firewall deve considerar um usurio como logado aps o
fechamento da ltima conexo.
Permitir o uso de SSL v2: Este campo indica se o firewall deve ou no aceitar uma conexo
SSL usando a verso 2 deste protocolo.
A verso 2 do protocolo SSL possui srios problemas de segurana e recomenda-se que
ela no seja utilizada, a no ser que isso seja estritamente necessrio.
446
Aba Certificado
Figura 321 - Exibio do certificado do proprietrio X.509.
Esta aba utilizada para especificar o certificado X.509 que ser apresentado ao cliente
quando ele tentar estabelecer uma Proxy SSL. possvel criar uma requisio que
posteriormente ser enviada para ser assinada por uma CA ou importar um certificado
X.509 j assinado, em formato PKCS#12.
Criar requisio:
Este boto permite que seja criada uma requisio que posteriormente ser enviada a uma
CA para ser assinada. Ao ser clicado, sero mostrados os campos do novo certificado a ser
gerado e que devem ser preenchidos.
Aps o preenchimento deve-se clicar no boto OK, que far com que a janela seja alterada
para mostrar os dados da requisio recm criada, bem como dois botes para manipul-la:
O boto Salvar em arquivo permite salvar a requisio em um arquivo para que ela seja
ento enviada a uma CA que ir assin-la. O boto Instalar esta requisio permite importar
o certificado j assinado pela CA.
Importar certificado PKCS#12:
447
Este boto provocar o aparecimento de um dilogo onde pode especificar o nome do

arquivo com o certificado X.509 que ser importado.
11.2.
Configurando regras de Proxy SSL
Aps a definio de um ou mais contextos SSL, mostrados no tpico anterior, necessrio

configurar os perfis de acesso dos usurios de modo a definir que servios eles podem
acessar por meio de sesses de VPN SSL. Esta configurao fica na aba SSL, dentro de cada
perfil de acesso.
Para maiores informaes de como realizar o cadastramento das regras, consultar o tpico
Cadastrando perfis de acesso.
448
449
Neste captulo ser mostrada a relao entre os trs grandes mdulos do Aker Firewall: o
filtro de pacotes, o conversor de endereos e o mdulo de criptografia e autenticao. Ser
mostrado tambm o fluxo pelo qual os pacotes atravessam desde sua chegada ao Firewall
at o momento de serem aceitos ou rejeitados.
12.1.
O fluxo de pacotes no Aker Firewall
Nos captulos anteriores deste manual foram mostrados separadamente os trs grandes
mdulos do Aker Firewall e todos os detalhes pertinentes configurao de cada um. Ser
mostrado agora como um pacote os atravessam e quais alteraes ele pode sofrer em cada
um deles.
Basicamente, existem dois fluxos distintos: um para pacotes que so emitidos pela rede
interna e tem como destino alguma mquina da rede externa (fluxo de dentro para fora) ou
pacotes que so gerados na rede externa e tem como destino alguma mquina da rede
interna (fluxo de fora para dentro).
O fluxo de dentro para fora
Todo o pacote da rede interna ao atingir o firewall passa pelos mdulos na seguinte ordem:
mdulo de montagem, filtro de pacotes, conversor de endereos e mdulo de encriptao.
Figura 322 - Fluxo do pacote da rede interna ao atingir o firewall.
O mdulo de montagem
O mdulo de montagem o responsvel por armazenar todos os fragmentos de pacotes IP
recebidos at que estes possam ser montados e convertidos em um pacote completo. Este
pacote ser ento entregue para os demais mdulos.
O filtro de pacotes
O filtro de pacotes possui a funo bsica de validar um pacote de acordo com as regras
definidas pelo administrador, e a sua tabela de estados, e decidir se este deve ou no ser
450
autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este ser
repassado para os demais mdulos, caso contrrio ser descartado e o fluxo terminado.
O conversor de endereos
O conversor de endereos recebe um pacote j autorizado a trafegar e verifica, de acordo
com sua configurao, se este deve ter o endereo de origem convertido. Em caso positivo,
ele o converte do contrrio o pacote no sofre quaisquer alteraes.
Independente de ter sido convertido ou no, o pacote ser repassado para o mdulo de
criptografia.
O mdulo de encriptao
O mdulo de encriptao recebe um pacote validado e com os endereos convertidos e
decide baseado em sua configurao, se este pacote deve ser encriptado ou autenticado
antes de ser enviado ao destino. Em caso positivo, o pacote ser autenticado, encriptado, e
sofrer o acrscimo de cabealhos especficos destas operaes.
Independentemente de ter sido encriptado/autenticado ou no, o pacote ser enviado pela
rede.
O fluxo de fora para dentro
Todo o pacote proveniente da rede externa, em direo rede interna, ao atingir o firewall
passa pelos mdulos na seguinte ordem: mdulo de montagem, mdulo de decriptao,
conversor de endereos e filtro de pacotes.
Figura 323 - Fluxo do pacote da rede externa em direo rede interna.
O mdulo de montagem
O mdulo de montagem o responsvel por armazenar todos os fragmentos de pacotes IP
recebidos at que estes possam ser montados e convertidos em um pacote completo. Este
pacote ser ento entregue para os demais mdulos.
451
O mdulo de decriptao
O mdulo de decriptao tem a funo de remover os cabealhos adicionados pelo mdulo
de encriptao, verificar a assinatura de autenticao do pacote e decript-lo. Caso a
autenticao ou a criptografia apresentem erro, o pacote ser descartado.
A outra funo deste mdulo assegurar que todos os pacotes que cheguem de uma rede
para a qual existe um canal seguro estejam vindo criptografados. Caso um pacote venha de
uma rede para a qual existe um canal de criptografia ou autenticao e se este pacote no
estiver autenticado ou criptografado, ele ser descartado.
Caso o pacote tenha sido validado com sucesso, este ser repassado para o conversor de
endereos.
O conversor de endereos
O conversor de endereos recebe um pacote e verifica se o endereo destino deste pacote
um dos IPs virtuais. Em caso positivo, este endereo convertido para um endereo real.
Independente de ter sido convertido ou no, o pacote ser repassado para o filtro de
pacotes.
O filtro de pacotes
O filtro de pacotes o ltimo mdulo do fluxo de fora para dentro. Ele possui a funo
bsica de validar os pacotes recebidos de acordo com as regras definidas pelo
administrador, e a sua tabela de estados, e decidir se este deve ou no ser autorizado a
trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este ser repassado para a
mquina destino, caso contrrio ele ser descartado.
12.2.
Integrao do filtro com a converso de endereos
Quando vai configurar as regras de filtragem para serem usadas com mquinas cujos
endereos sero convertidos surge seguinte dvida: Deve-se usar os endereos reais das
mquinas ou os endereos virtuais?
Esta dvida facilmente respondida ao analisar o fluxo dos pacotes:
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depois
possuem seus endereos convertidos (se for o caso), ou seja, o filtro recebe os endereos
reais das mquinas.
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversor de
endereos que converte os endereos destino dos IPs virtuais para os endereos reais. Aps
452
isso os pacotes so enviados para o filtro de pacotes, ou seja, novamente o filtro de pacotes
recebe os pacotes com os endereos reais.
Em ambos os casos, o filtro no sabe da existncia dos endereos virtuais, o que nos leva a
fazer a seguinte afirmao:
Ao criar regras de filtragem deve-se ignorar a converso de endereos. As regras devem ser
configuradas como se as mquinas origem e destino estivessem conversando diretamente entre
si, sem o uso de qualquer tipo de converso de endereos.
12.3.
Integrao do filtro com a converso e a criptografia
No tpico anterior, mostramos como configurar as regras de filtragem para mquinas cujos
endereos sero convertidos. A concluso foi de que deveria trabalhar apenas com os
endereos reais, ignorando a converso de endereos. Agora, pode-se acrescentar mais uma
pergunta: ao configurar os fluxos de criptografia para mquinas que sofrero converso de
endereos, deve-se usar os endereos reais destas mquinas ou os endereos virtuais?
Para responder esta pergunta, novamente deve-se analisar o fluxo dos pacotes:
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro, depois
possuem seus endereos convertidos (se for o caso) e por fim so repassados para o mdulo
de encriptao. Devido a isso, o mdulo de encriptao recebe os pacotes como se eles
fossem originados dos endereos virtuais.
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo mdulo de
decriptao e so decriptados (se for o caso). A seguir so enviados para o conversor de
endereos, que converte os IPs virtuais para reais, e por fim so enviados para o filtro de
pacotes. O mdulo de decriptao recebe os pacotes antes de eles terem seu endereo
convertido e, portanto, com os endereos virtuais.
Em ambos os casos, o mdulo de criptografia recebe os pacotes como se eles tivessem
origem ou destino nos IPs virtuais.
Ao se criar fluxos de criptografia, deve-se prestar ateno converso de endereos. Os
endereos de origem e destino devem ser colocados como se o fluxo se originasse ou tivesse
como destino IPs virtuais.
453
454
Este captulo mostra como configurar a proteo contra ataques no mdulo de segurana do
Aker Firewall.
13.1.
Proteo contra SYN Flood
O que um ataque de SYN flood?

SYN Flood um dos mais populares ataques de negao de servio (denial of service). Esses
ataques visam impedir o funcionamento de uma mquina ou de um servio especfico. No
caso do SYN Flood, possvel inutilizar quaisquer servios baseados no protocolo TCP.
Para entender este ataque, necessrio primeiro entender o funcionamento do protocolo
TCP, no que diz respeito ao estabelecimento de conexes:
O protocolo TCP utiliza um esquema de 3 pacotes para estabelecer uma conexo:
1. A mquina cliente envia um pacote para a mquina servidora com um flag especial,
chamado de flag de SYN. Este flag indica que a mquina cliente deseja estabelecer uma
conexo.
2. A mquina servidora responde com um pacote contendo os flags de SYN e ACK. Isto
significa que ela aceitou o pedido de conexo e est aguardando uma confirmao da
mquina cliente para marcar a conexo como estabelecida.
3. A mquina cliente, ao receber o pacote com SYN e ACK, responde com um pacote
contendo apenas o flag de ACK. Isto indica para a mquina servidora que a conexo foi
estabelecida com sucesso.
Todos os pedidos de abertura de conexes recebidas por um servidor ficam armazenadas
em uma fila especial, que tem um tamanho pr-determinado e dependente do sistema
operacional, at que o servidor receba a comunicao da mquina cliente de que a conexo
est estabelecida. Caso o servidor receba um pacote de pedido de conexo e a fila de
conexes em andamento estiver cheia, este pacote descartado.
O ataque consiste basicamente em enviar um grande nmero de pacotes de abertura de
conexo, com um endereo de origem forjado, para um determinado servidor. Este
endereo de origem forjado para o de uma mquina inexistente (muitas vezes usa um dos
endereos reservados descritos no captulo sobre converso de endereos). O servidor, ao
receber estes pacotes, coloca uma entrada na fila de conexes em andamento, envia um
pacote de resposta e fica aguardando uma confirmao da mquina cliente. Como o
endereo de origem dos pacotes falso, esta confirmao nunca chega ao servidor.
455
O que acontece que em um determinado momento, a fila de conexes em andamento do

servidor fica lotada. A partir da, todos os pedidos de abertura de conexo so descartados e
o servio inutilizado. Esta inutilizao persiste durante alguns segundos, pois o servidor ao
descobrir que a confirmao est demorando demais, remove a conexo em andamento da
lista. Entretanto, se o atacante persistir em mandar pacotes seguidamente, o servio ficar
inutilizado enquanto ele assim o fizer.
Nem todas as mquinas so passveis de serem atingidas por ataques de SYN Flood.
Implementaes mais modernas do protocolo TCP possuem mecanismos prprios para
inutilizarem ataques deste tipo.
Como funciona a proteo contra SYN flood do Aker Firewall?
O Aker Firewall possui um mecanismo que visa impedir que um ataque de SYN flood seja
bem sucedido. Seu funcionamento baseia-se nos seguintes passos:
1. Ao chegar um pacote de abertura de conexo (pacote com flag de SYN, mostrado no
tpico acima) para uma mquina servidora a ser protegida, o firewall registra isso em
uma tabela e deixa o pacote passar (evidentemente, ele s deixar o pacote passar se
este comportamento for autorizado pelas regras de filtragem configuradas pelo
administrador. Para maiores detalhes veja o captulo intitulado O filtro de estados);
2. Quando chegar a resposta do servidor dizendo que a conexo foi aceita (pacote com os
flags SYN e ACK), o firewall imediatamente enviar um pacote para o servidor em
questo confirmando a conexo e deixar o pacote de resposta passar em direo
mquina cliente. A partir deste momento, ser acionado um relgio interno no firewall
que marcar o intervalo de tempo mximo em que o pacote de confirmao do cliente
dever chegar;
3. Se a abertura de conexo for uma abertura normal, dentro de um intervalo de tempo
menor que o mximo permitido, a mquina cliente responder com um pacote
confirmando o estabelecimento da conexo. Este pacote far o firewall considerar vlido
o pedido de abertura de conexo e desligar o relgio interno;
4. Caso a mquina cliente no responda dentro do tempo mximo permitido, o firewall
mandar um pacote especial para a mquina servidora que far com que a conexo seja
derrubada.
Com estes procedimentos, o firewall consegue impedir que a fila de conexes em
andamento na mquina servidora fique cheia, j que todas as conexes pendentes sero
estabelecidas to logo os pacotes de reposta atinjam o firewall. O ataque de SYN flood,
portando, no ser efetivado.
Cabe enfatizar que todo o funcionamento desta proteo baseia-se no intervalo de tempo
mximo de espera pelos pacotes de confirmao dos clientes. Se o intervalo de tempo for muito
456
pequeno, conexes vlidas podem ser recusadas. Se o intervalo for muito grande, a mquina
servidora, no caso de um ataque, ficar com um grande nmero de conexes abertas o que poder
provocar problemas ainda maiores.
Utilizando a Interface Remota para Proteo contra SYN Flood
13.2.
Para ter acesso a janela de configurao dos parmetros de proteo contra SYN Flood,
deve-se:
Figura 324 - SYN Flood.
Clicar no menu Segurana na janela do Firewall que deseja administrar.

Selecionar o item SYN Flood.
457
A janela de configurao da proteo contra SYN flood
Figura 325 - SYN Flood Ativao de proteo SYN Flood.
O boto OK far com que os parmetros de configurao sejam atualizados e a janela

fechada.
fechada.
janela aberta.
Significado dos campos da janela:

Ativar proteo SYN flood: Esta opo deve estar marcada para ativar a proteo
contra SYN flood e desmarcada para desativ-la. (ao desabilitar a proteo contra
SYN flood, as configuraes antigas continuam armazenadas, mas no podem ser
alteradas).
Durao mxima do handshake do TCP: Esta opo define o tempo mximo, em
unidades de 500ms, que o firewall espera por uma confirmao do fechamento das
conexes por parte do cliente. Se este intervalo de tempo for atingido, ser enviado
um pacote para as mquinas servidoras derrubando a conexo.
O valor ideal deste campo pode variar para cada instalao, mas sugere-se valores entre 3 e
10, que correspondem a intervalos de tempo entre 1,5 e 5 segundos.
458
A lista de mquinas e redes a proteger

Esta lista define as mquinas ou redes que sero protegidos pelo firewall.
Para incluir uma nova entidade na lista de proteo, deve-se proceder de um dos seguintes
modos:
Executar uma operao de drag-n-drop (arrastar e soltar) da janela de entidades

diretamente para a lista de hosts e redes a proteger;
Abrir o menu de contexto na janela na lista de hosts e redes a proteger com o boto
direito do mouse ou com a tecla correspondente no teclado e seleciona-se Adicionar
entidades, para ento escolher aquelas que sero efetivamente includas na lista.
Para remover uma entidade da lista de proteo, deve-se marc-la e pressionar a tecla
delete, ou escolher a opo correspondente no menu de contexto, acionado com o boto
direito do mouse ou com a tecla correspondente:
Deve-se colocar na lista de entidades a serem protegidas todas as mquinas servidoras de
algum servio TCP passvel de ser utilizado por mquinas externas. No se deve colocar o
endereo do prprio firewall nesta lista, uma vez que o sistema operacional Linux no
suscetvel a ataques de SYN flood.
13.3.
Proteo de Flood
O que um ataque de Flood?

Os ataques de Flood se caracterizam por existir um elevado nmero de conexes abertas e
estabelecidas contra servidores web, ftp, smtp e etc, a partir de outras mquinas existentes
na Internet que foram invadidas e controladas para perpetrar ataques de negao de
servio (DoS).
A proteo tambm til para evitar abuso do uso de determinados servios (sites de
download, por exemplo) e evitar estragos maiores causados por vrus, como o NIMDA, que
fazia com que cada mquina infectada abrisse centenas de conexes simultaneamente.
459
Como funciona a proteo contra Flood do Aker Firewall?

O Aker Firewall possui um mecanismo que visa impedir que um ataque de Flood seja bem
sucedido. Seu funcionamento baseia na limitao de conexes que possam ser abertas
simultaneamente a partir de uma mesma mquina para uma entidade que est sendo
protegida.
O administrador do firewall deve estimar este limite dentro do funcionamento cotidiano de
cada servidor ou rede a ser protegida.
Utilizando a Interface Remota para Proteo de Flood
13.4.
Figura 326 - Proteo de Flood.
Clicar no menu Segurana na janela do Firewall.

Selecionar o item Proteo de Flood.
460
A janela de configurao da proteo de Flood
Figura 327 - Proteo de Flood - Configurao.

fechada.
fechada.
janela aberta.
Nmero: Corresponde ao nmero da regra de Proteo de Flood.

Origem: Neste campo pode ser uma rede ou mquina de onde poder ser originado
um ataque de DDoS.
Destino: Incluir neste campo mquinas ou redes que deseja proteger.
Servios: Portas de servios que se desejam proteger. Poder ser includo no campo
mais de uma entidade.
Conexes Mximas: Campo numrico onde deve informar o nmero mximo de
conexes que a entidade pode receber a partir de uma mesma origem.
A quantidade mxima de conexes nas regras de proteo de flood no a quantidade

agregada de conexes a partir da origem especificada, mas sim a quantidade, por endereo
IP nico que encaixa na origem informada, de conexes simultneas. Desta forma, por
exemplo, havendo a necessidade de limitar o nmero de downloads simultneos por
usurio em 2, esse nmero dever ser 2, independentemente do nmero de usurios que
faam os downloads.
461
13.5.
Proteo Anti Spoofing
O que um Spoofing?
O spoofing do IP envolve o fornecimento de informaes falsas sobre uma pessoa ou sobre
a identidade de um host para obter acesso no-autorizado a sistemas e/ou aos sistemas que
eles fornecem. O spoofing interfere na forma como um cliente e um servidor estabelecem
uma conexo. Apesar de o spoofing poder ocorrer com diversos protocolos especficos, o
spoofing do IP o mais conhecido dentre todos os ataques de spoofing.
A primeira etapa de um ataque de spoofing identificar duas mquinas de destino, que
chamaremos de A e B. Na maioria dos casos, uma mquina ter um relacionamento
confivel com a outra. esse relacionamento que o ataque de spoofing tentar explorar.
Uma vez que os sistemas de destino tenham sido identificados, o violador tentar
estabelecer uma conexo com a mquina B de forma que B acredite que tem uma conexo
com A, quando na realidade a conexo com a mquina do violador, que chamaremos de X.
Isso feito por meio da criao de uma mensagem falsa (uma mensagem criada na mquina
X, mas que contm o endereo de origem de A) solicitando uma conexo com B. Mediante o
recebimento dessa mensagem, B responder com uma mensagem semelhante que
reconhece a solicitao e estabelece nmeros de sequncia.
Em circunstncias normais, essa mensagem de B seria combinada a uma terceira mensagem
reconhecendo o nmero de sequncia de B. Com isso, o "handshake" seria concludo, e a
conexo poderia prosseguir. No entanto, como acredita que est se comunicando com A, B
envia sua resposta a A, e no para X. Com isso, X ter de responder a B sem conhecer os
nmeros de sequncia gerados por B. Portanto, X dever adivinhar com preciso nmeros
de sequncia que B utilizar. Em determinadas situaes, isso mais fcil do que possa
imaginar.
No entanto, alm de adivinhar o nmero de sequncia, o violador dever impedir que a
mensagem de B chegue at A. Se a mensagem tivesse de chegar a A, A negaria ter solicitado
uma conexo, e o ataque de spoofing falharia. Para alcanar esse objetivo, normalmente o
intruso enviaria diversos pacotes mquina A para esgotar sua capacidade e impedir que
ela respondesse mensagem de B. Essa tcnica conhecida como "violao de portas".
Uma vez que essa operao tenha chegado ao fim, o violador poder concluir a falsa
conexo.
O spoofing do IP, como foi descrito, uma estratgia desajeitada e entediante. No entanto,
uma anlise recente revelou a existncia de ferramentas capazes de executar um ataque de
spoofing em menos de 20 segundos. O spoofing de IP uma ameaa perigosa, cada vez
maior, mas, por sorte, relativamente fcil criar mecanismos de proteo contra ela. A
melhor defesa contra o spoofing configurar roteadores de modo a rejeitar qualquer
pacote recebido cuja origem alegada seja um host da rede interna. Essa simples precauo
462
impedir que qualquer mquina externa tire vantagem de relacionamentos confiveis

dentro da rede interna.
Como funciona a proteo contra Spoofing do Aker Firewall?
O Aker Firewall possui um mecanismo que visa impedir que um ataque de Spoofing seja
bem sucedido. Seu funcionamento baseia-se no cadastramento das redes que esto sendo
protegidas pelo firewall ou seja, atrs de cada interface de rede do firewall.
Nas redes internas, s sero aceitos pacotes das entidades cadastradas e, das externas,
somente pacotes cujo IP origem no se encaixe em nenhuma entidade cadastrada nas redes
internas (todas).
O administrador do firewall deve ento fazer o levantamento destas redes, criar as
entidades correspondentes e utilizar a Interface Remota para montar a proteo.
Utilizando a Interface Remota para Anti Spoofing
13.6.
Figura 328 - Anti Spoofing.
Clicar no menu Segurana na janela do Firewall.

Selecionar o item Anti Spoofing.
463
A janela de configurao de Anti Spoofing
Figura 329 - Anti Spoofing Ativao do controle.

fechada.
fechada.
janela aberta.

Ativao do controle anti-spoofing: A marcao da caixa ativa a proteo Anti
Spoofing.
Interface: Corresponde a interface cadastrada no firewall pelo administrador.
Status: Neste campo mostrado o estado da interface, ou seja, se est ativa ou no.
Este campo no pode ser editado.
Tipo: Por padro este campo marcado como Externa. Ao clicar com o boto direito
do mouse poder ser trocado o tipo para Protegida, passando o campo Entidades
para a condio de editvel.
Protegida significa que a interface est conectada a uma rede interna e somente sero
aceitos pacotes com endereos IP originados em alguma das entidades especificadas na
regra. Externa significa que uma interface conectada a Internet da qual sero aceitos
464
pacotes provenientes de quaisquer endereos origem, exceto os pertencentes a entidades

listadas nas regras de interfaces marcadas como Protegidas.
Entidades: Ao definir uma interface Protegida, deve-se incluir neste campo a lista de todas
as redes e/ou mquinas que se encontram conectadas a esta interface.
13.7.
Utilizando a Interface Texto (via SSH-fwflood) - SYN Flood
A Interface Texto (via SSH) de configurao da proteo contra SYN flood bastante simples
de ser usada e tem as mesmas capacidades da Interface Remota (E possvel usar todos os
comando poderam ser acessados sem o prefixo FW).
Localizao do programa:/aker/bin/firewall/fwflood
Sintaxe:
Ajuda do programa:
Firewall Aker
fwflood - Configura parmetros de proteo contra SYN Flood
Uso: fwflood [ativa | desativa | mostra | ajuda]
fwflood [inclui | remove] <nome>
fwflood tempo <valor>
ativa
= ativa proteo contra SYN Flood
desativa = desativa proteo contra SYN Flood
mostra
= mostra a configurao atual
inclui
= inclui uma entidade a ser protegida
remove
= remove uma das entidades a serem protegidas
tempo
= configura o tempo mximo de espera para fechar conexo
ajuda
Para inclui / remove temos:
nome
= nome da entidade a ser protegida ou removida da proteo. Para tempo
temos:
valor
= tempo mximo de espera em unidades de 500ms
465

#/aker/bin/firewall/fwflood mostra Parmetros de configurao:
------------------------------------Proteo contra SYN Flood: ativada
Tempo limite de espera : 6 (x 500 ms)
Lista de entidades a serem protegidas:
------------------------------------NT1
(Mquina)
NT3
(Mquina)
13.8.
Utilizando a Interface Texto (via SSH-fwmaxconn) - Proteo de Flood
Localizao do programa:/aker/bin/firewall/fwmaxconn
Sintaxe:
Firewall Aker
Uso: fwmaxconn ajuda
fwmaxconn mostra
fwmaxconn inclui <pos> <origem> <destino> <servio> <n_conns>
fwmaxconn remove <pos>
fwmaxconn < habilita | desabilita > <pos>
os parmetros so:
pos: posio da regra na tabela
origem: mquina/rede de onde se origina as conexes
destino: mquina/rede a que se destinam as conexes
servio: servio de rede para o qual existe a conexo
n_conns: nmero mximo de conexes simultneas de mesma origem

#/aker/bin/firewall/fwmaxconn mostra Regra 01
-------Origem: Rede_Internet
Destino: NT1
Servios: HTTP
Conexes: 5000
466
Regra 02
Destino: NT3
Servios: FTP
Conexes : 10000
Regra 03
Destino: Rede_Interna
Servios: Gopher
Conexes: 100
13.9.
Utilizando a Interface Texto (via SSH-fwifnet) - Anti Spoofing
Localizao do programa:/aker/bin/firewall/fwifnet
Firewall Aker
Uso: fwifnet [ajuda | mostra]
fwifnet inclui interface <nome_if> [externa]
fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ...
fwifnet remove [-f] interface <nome_if>
fwifnet remove rede <nome_if> <endereco_IP> <mascara>
fwifnet <habilita | desabilita>
Ajuda do programa:
Uso: fwifnet [ajuda | mostra]
fwifnet inclui interface <nome_if> [externa]
fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ...
fwifnet remove [-f] interface <nome_if>
fwifnet remove rede <nome_if> <endereco_IP> <mascara>
para inclui/remove temos:
interface: o nome da interface de rede a ser controlada
externa: se esta palavra estiver presente, a interface ser considerada externa pelo
firewall
rede: uma rede permitida em uma interface no externa
467

#/aker/bin/firewall/fwifnet mostra
Firewall Aker
Status do modulo anti-spoofing: habilitado
Interface cadastrada: Interf_DMZ
Rede permitida: Rede_DMZInterface
cadastrada: Interf_externa (externa)
Interface cadastrada: Interf_interna
Rede permitida: Rede_Interna
13.10.
Bloqueio por excesso de tentativas de login invlidas
Figura 330 - Bloqueio de excesso de tentativas de login invlidas - Eventos.

O firewall, por padro, vem com bloqueio de excesso de tentativas de login invlidas via
control center. Caso um IP realize trs tentativas de conexes com usurios e/ou senhas
invlidos, o firewall no permite mais conexes por um perodo de tempo.
468
So criados eventos de log que podem ser vistos na janela de log, eles contm informaes
sobre o horrio do bloqueio e o IP que realizou a tentativa.
469
470
Este captulo mostra como configurar as respostas automticas do sistema para situaes
pr-determinadas.
O que so as aes do sistema?
O Aker Firewall possui um mecanismo que possibilita a criao de respostas automticas
para determinadas situaes. Estas respostas automticas so configuradas pelo
administrador em uma srie de possveis aes independentes que sero executadas
quando uma situao pr-determinada ocorrer.
Para que servem as aes do sistema?
O objetivo das aes possibilitar um alto grau de interao do Firewall com o
administrador. Com o uso delas, possvel, por exemplo, que seja executado um programa
capaz de cham-lo por meio de um pager quando a mquina detectar que um ataque est
em andamento. Desta forma, o administrador poder tomar uma ao imediata, mesmo
que ele no esteja no momento monitorando o funcionamento do Firewall.
14.1.
Para ter acesso a janela de configurao das aes deve-se:
Figura 331 - Aes.
471
Clicar no menu Configuraes do Sistema;

Selecionar o item Aes.
A janela de configurao das aes
Ao selecionar esta opo, a janela de configuraes das aes a serem executadas exibida.
As aes dividem-se em mdulos (Autenticao/Criptografia, Criptografia IPSEC, dentre
outros) e, para cada mensagem de log, evento ou pacote no enquadrado na regra,
possvel determinar aes independentes.
A janela ter a seguinte forma:
Figura 332 - Aes Mensagens de logs.
472
Para selecionar as aes a serem executadas para as mensagens mostradas na janela, devese clicar com o boto direito do mouse sobre as mensagens. A cada opo selecionada
aparecer um cone correspondente.
Figura 333 - Aes a serem executadas para mensagens exibidas.

Se a opo estiver marcada com o cone aparente, a ao correspondente ser executada
pelo Firewall quando a mensagem ocorrer. So permitidas as seguintes aes:
Logar: Quando selecionada essa opo, todas as vezes que a mensagem correspondente
ocorrer, ela ser registrada pelo firewall;
Enviar email: Quando selecionada essa opo, ser enviado um e-mail todas as vezes
que a mensagem correspondente ocorrer (a configurao do endereo de e-mail ser
mostrada no prximo tpico);
Executar programa: Ao marcar essa opo, ser executado um programa definido pelo
administrador todas as vezes que a mensagem correspondente ocorrer (a configurao
do nome do programa a ser executado ser mostrada no prximo tpico);
Disparar mensagens de alarme: Quando selecionada essa opo, o firewall mostra uma
janela de alerta todas as vezes que a mensagem correspondente ocorrer. Esta janela de
alerta ser mostrada na mquina onde a Interface Remota estiver aberta e, se a
mquina permitir, ser emitido tambm um aviso sonoro. Caso a Interface Remota no
esteja aberta, no ser mostrada nenhuma mensagem e esta opo ser ignorada (esta
ao particularmente til para chamar a ateno do administrador quando ocorrer
uma mensagem importante);
Enviar trap SNMP: Quando selecionada essa opo, ser enviada uma Trap SNMP para o
gerente SNMP todas as vezes que a mensagem correspondente ocorrer (a configurao
dos parmetros de configurao para o envio das traps ser mostrada no prximo
tpico).
No possvel alterar as aes para a mensagem de inicializao do firewall (mensagem

nmero 43). Esta mensagem sempre ter como aes configuradas apenas a opo Loga.
Significado dos botes da janela de aes
O boto OK far com que a janela de aes seja fechada e as alteraes efetuadas
aplicadas;
473
sero aplicadas;
O boto Aplicar far com que as alteraes sejam aplicadas sem que a janela feche.
A janela de configurao dos parmetros

Para que o sistema consiga executar as aes deve-se configurar certos parmetros (por
exemplo, para o Firewall enviar um e-mail, o endereo tem que ser configurado). Estes
parmetros so configurados por meio da janela de configurao de parmetros para as
aes.
Esta janela mostrada Quando selecionada Parmetros na janela de Aes. Ela tem o
seguinte formato:
Figura 334 - Aes: Parmetros.

Significado dos parmetros:
Parmetros para executar um programa

Arquivo de Programa: Este parmetro configura o nome do programa que ser
executado pelo sistema quando ocorrer uma ao marcada com a opo Programa.
474
Deve ser colocado o nome completo do programa, incluindo o caminho. Deve-se atentar
para o fato de que o programa e todos os diretrios do caminho devem ter permisso de
execuo pelo usurio que ir execut-lo (que configurado na prxima opo).
O programa receber os seguintes parmetros pela linha de comando (na ordem em que
sero passados):
1. Nome do prprio programa sendo executado (isto um padro do sistema
operacional Unix);
2. Tipo de mensagem (1 - para log ou 2- para evento);
3. Prioridade (7 - depurao, 6 - informao, 5 - notcia, 4 - advertncia ou 3 - erro);
4. Nmero da mensagem que provocou a execuo do programa ou 0 para indicar a
causa no foi uma mensagem. (neste caso, a execuo do programa foi motivada
por uma regra);
5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta cadeia de
caracteres pode conter o caractere de avano de linha no meio dela).
No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de um
programa. Isto pode causar confuso para quem estiver acostumado com o ambiente
DOS/Windows, que usa a barra invertida "\".
Nome efetivo do usurio: Este parmetro indica a identidade com a qual o programa
externo ser executado. O programa ter os mesmos privilgios deste usurio.
Este usurio deve ser um usurio vlido, cadastrado no Linux. No se deve confundir
com os usurios do Aker Firewall, que servem apenas para a administrao do Firewall.
Parmetros para enviar traps SNMP

Endereo IP do servidor SNMP: Este parmetro configura o endereo IP da mquina
gerente SNMP para a qual o firewall deve enviar as traps.
Comunidade SNMP: Este parmetro configura o nome da comunidade SNMP que deve
ser enviada nas traps.
As traps SNMP enviadas tero o tipo genrico 6 (enterprise specific) e o tipo especfico 1
para log ou 2 para eventos. Elas sero enviadas com o nmero de empresa (enterprise
number) 2549, que o nmero designado pela IANA para a Aker Consultoria e
Informtica.
Parmetros para enviar e-mail

Endereo de e-mail: Este parmetro configura o endereo de e-mail do usurio para o
qual devem ser enviados os e-mails. Este usurio pode ser um usurio da prpria
mquina ou no (neste caso deve-se colocar o endereo completo, por exemplo
user@aker.com.br).
475
Caso queira enviar e-mails para vrios usurios, pode-se criar uma lista e colocar o nome
da lista neste campo.
importante notar que caso algum destes parmetros esteja em branco, ao
correspondente no ser executada, mesmo que ela esteja marcada para tal.
14.2.
Utilizando a Interface Texto (via SSH-fwaction)
A Interface Texto (via SSH) para a configurao das aes possui as mesmas capacidades da
Interface Remota, porm, de fcil uso (E possvel usar todos os comandos sem o prefixo
FW, para isso execute o comando fwshell, ento todos os comando podero ser
acessados sem o prefixo FW).
Localizao do programa: /aker/bin/firewall/fwaction

Sintaxe:
fwaction ajuda
fwaction mostra
fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta]
fwaction <programa | usurio | comunidade> [nome]
fwaction ip [endereo IP]
fwaction e-mail [endereo]
Ajuda do programa:
fwaction - Interface Texto (via SSH) para a configurao das aes do sistema
Uso: fwaction ajuda
fwaction mostra
fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta]
fwaction <programa | usurio | comunidade> [nome]
fwaction ip [endereo IP]
fwaction e-mail [endereo]
mostra = lista as mensagens e as aes configuradas para cada uma
atribui = configura as aes para uma determinada mensagem
476
programa = define o nome do programa a ser executado

usurio = define o nome do usurio que executara o programa
comunidade = define o nome da comunidade SNMP para o envio das traps
ip = define o endereo IP do servidor SNMP que recebera as traps
e-mail = define o nome do usurio que recebera os e-mails
Para atribui temos:
numero = numero da mensagem a atribuir as aes
(o numero de cada mensagem aparece na esquerda ao se
selecionar a opo mostra)
loga = Loga cada mensagem que for gerada
mail = Manda um e-mail para cada mensagem que for gerada
trap = Gera trap SNMP para cada mensagem que for gerada
programa = Executa programa para cada mensagem que for gerada
alerta = Abre janela de alerta para cada mensagem que for gerada
Exemplo 1: (configurando os parmetros para envio de e-mail e execuo de programa)
#fwaction e-mail root
#fwaction programa /aker/bin/pager
#fwaction usurio nobody
Exemplo 2: (mostrando a configurao completa das aes do sistema)
#fwaction mostra
Condies Gerais:
00 - Pacote fora das regras
>>>> Loga
Mensagens do log:
01 - Possvel ataque de fragmentao
>>>> Loga
02 - Pacote IP direcionado
>>>> Loga
03 - Ataque de land
>>>> Loga
04 - Conexo no consta na tabela dinmica
>>>> Loga
05 - Pacote proveniente de interface invalida
>>>> Loga
477
06 - Pacote proveniente de interface no determinada

>>>> Loga
07 - Conexo de controle no esta aberta
>>>> Loga
(...)
237 - O Secure Roaming encontrou um erro
>>>> Loga
238 - O Secure Roaming encontrou um erro fatal
>>>> Loga
239 - Usurios responsveis do Configuration Manager
>>>> Loga
Parmetros de configurao:
programa: /aker/bin/pager
usurio: nobody
e-mail: root
comunidade:
ip:
Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as
ltimas. O programa real mostra todas ao ser executado.
Exemplo 3: (atribuindo as aes para os Pacotes fora das regras e mostrando as mensagens)
#fwaction atribui 0 loga mail alerta
#fwaction mostra
Condies Gerais:
>>>> Loga Mail Alerta
Mensagens do log:
>>>> Loga
>>>> Loga
03 - Ataque de land
>>>> Loga
478

>>>> Loga
>>>> Loga
>>>> Loga
>>>> Loga
(...)
>>>> Loga
>>>> Loga
>>>> Loga
programa : /aker/bin/pager
usurio : nobody
e-mail : root
comunidade:
ip :
ltimas. O programa real mostra todas as mensagens, ao ser executado.
Exemplo 4: (cancelando todas as aes para a mensagem de Pacote IP direcionado e
mostrando as mensagens)
#fwaction atribui 2
#fwaction mostra
Condies Gerais:
>>>> Loga Mail Alerta
Mensagens do log:
479

>>>> Loga Mail
>>>>
03 - Ataque de land
>>>> Loga
>>>> Loga
>>>> Loga
>>>> Loga
>>>> Loga
(...)
>>>> Loga
>>>> Loga
>>>> Loga
programa: /aker/bin/pager
usurio: nobody
e-mail: root
comunidade:
ip:
ltimas. O programa real mostra todas ao ser executado.
480
481
Este captulo mostra como visualizar o log do sistema, um recurso imprescindvel na

deteco de ataques, no acompanhamento e monitoramento do firewall e na fase de
configurao do sistema.
O que o log do sistema?

O log o local onde o firewall guarda todas as informaes relativas aos pacotes recebidos.
Nele podem aparecer registros gerados por qualquer um dos trs grandes mdulos: filtro de
pacotes, conversor de endereos e criptografia/autenticao. O tipo de informao
guardada no log depende da configurao realizada no firewall, mas basicamente ele inclui
informaes sobre os pacotes que foram aceitos, descartados e rejeitados, os erros
apresentados por certos pacotes e as informaes sobre a converso de endereos.
De todos estes dados, as informaes sobre os pacotes descartados e rejeitados so
possivelmente as de maior importncia, j que so por meio delas que se pode determinar
possveis tentativas de invaso, tentativa de uso de servios no autorizados, erros de
configurao, etc.
O que um filtro de log?
Mesmo que o sistema tenha sido configurado para registrar todo o tipo de informao,
muitas vezes est interessado em alguma informao especfica (por exemplo, suponha que
queira ver as tentativas de uso do servio POP3 de uma determinada mquina que foram
rejeitadas em um determinado dia, ou ainda, quais foram aceitas). O filtro de log um
mecanismo oferecido pelo Aker Firewall para se criar vises do conjunto total de registros,
possibilitando que se obtenham as informaes desejadas facilmente.
O filtro s permite a visualizao de informaes que tiverem sido registradas no log. Caso
queira obter uma determinada informao, necessrio inicialmente configurar o sistema
para registr-la e ento utilizar um filtro para visualiz-la.
482
15.1.
Para ter acesso a janela de visualizao do log deve-se
Figura 335 - Log.
Clicar no menu Auditoria do firewall que se deseja ver o log;

Selecionar a opo Log.
A barra de ferramentas do Log
Todas as vezes que a opo Log for selecionada mostrada automaticamente a barra de
ferramentas de Log. Esta barra, que estar ao lado das outras barras, poder ser arrastada e
ficar flutuando acima das informaes do Log. Ela tem o seguinte formato:
Figura 336 - Barra de ferramentas de log.
483
Significado dos cones:

Abre a janela de filtragem do firewall;
Figura 337 Boto: Filtragem do Firewall.
Este cone somente ir aparecer quando o firewall estiver fazendo uma

procura no Log. Ele permite interromper a busca do firewall;
Figura 338 Boto: Interromper busca do Firewall.
Exporta o log para diversos formatos de arquivos;
Figura 339 - Boto: Exportar log.
Apaga o Log do firewall;
Figura 340 Boto: Apagar log do Firewall.
Realiza uma resoluo reversa dos IP que esto sendo mostrados pelo Log;
Figura 341 - Boto: Resoluo reversa dos IP
Permite fazer uma atualizao da tela de logs dentro de um determinado

perodo definido no campo seguinte;
Figura 342 - Boto: atualizao de telas de log.
484
Define o tempo que o firewall ir atualizar a janela com informaes de log;
Figura 343 - Boto: tempo de atualizao do log.
Percorre o Log para frente e para trs;
Figura 344 - Boto: percorre log.
Expande as mensagens de Log, mostrando as mesmas com o mximo de

informao;
Figura 345 - Boto: expandir mensagens de log.
485
Janela de Filtragem de Log
Figura 346 - Filtro de log.
Na parte superior da janela, encontram-se os botes Salvar, Remover e Novo. Permite

gravar um perfil de pesquisa que poder ser usado posteriormente pelo administrador.
Para salvar um filtro de log, deve-se proceder da seguinte forma:
1. Preencher todos os seus campos da forma desejada.
2. Definir, no campo Filtros, o nome pelo qual ele ser referenciado.
3. Clicar no boto Salvar.
Para aplicar um filtro salvo, basta selecionar seu nome no campo Filtros e todos os campos
sero automaticamente preenchidos com os dados salvos.
486
Para excluir um filtro, deve-se proceder da seguinte forma:

1. Selecionar o filtro a ser removido, no campo Filtros.
2. Clicar no boto Remover.
O filtro padro configurado para mostrar todos os registros do dia atual. Para alterar a
visualizao para outros dias, na janela Data/Hora, pode-se configurar os campos De e At
para os dias desejados (a faixa de visualizao compreende os registros da data inicial data
final, inclusive).
Caso queira ver os registros cujos endereos origem e/ou destino do pacote pertenam a
um determinado conjunto de mquinas, pode-se utilizar os campos IP / Mscara ou
Entidade para especific-lo.
O boto
permite a escolha do modo de filtragem a ser realizado: caso o boto esteja
selecionado, sero mostrados na janela os campos, chamados de IP, Mscara (para origem
do pacote) e IP, Mscara (para Destino do pacote). Estes campos podero ser utilizados
para especificar o conjunto origem e/ou o conjunto destino. Neste caso, pode-se selecionar
uma entidade em cada um destes campos e estas sero utilizadas para especificar os
conjuntos origem e destino. O boto pode ser usado independente um do outro, ou seja
pode-se optar que seja selecionado pela entidade na origem e por IP e Mscara para o
destino.
487
Figura 347 - Filtro de log.

Para monitorar um servio especfico deve-se colocar seu nmero no campo Porta. A partir
deste momento s sero mostradas entradas cujo servio especificado for utilizado.
importante tambm que seja selecionado o protocolo correspondente ao servio desejado
no campo protocolo, mostrado abaixo.
No caso dos protocolos TCP e UDP, para especificar um servio, deve-se colocar o
nmero da porta destino, associada ao servio, neste campo. No caso do ICMP deve-se
colocar o tipo de servio. Para outros protocolos, coloca-se o nmero do protocolo
desejado.
Alm destes campos, existem outras opes que podem ser combinadas para restringir
ainda mais o tipo de informao mostrada:
Ao:
Representa qual ao o sistema tomou ao lidar com o pacote em questo. Existem as
seguintes opes possveis, que podem ser selecionadas independentemente:
Aceito: Mostra os pacotes que foram aceitos pelo firewall.
488
Rejeitado: Mostra os pacotes que foram rejeitados pelo firewall.
Descartado: Mostra os pacotes que foram descartados pelo firewall.
Convertido: Mostra as mensagens relacionadas converso de endereos.
Prioridade:
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for
prioridade associada a um determinado registro, mais importncia deve-se dar a ele. Abaixo
est a lista com todas as prioridades possveis, ordenada da mais importante para a menos
(caso tenha configurado o firewall para mandar uma cpia do log para o syslogd, as
prioridades com as quais as mensagens sero geradas no syslog so as mesmas
apresentadas abaixo):
Aviso
Os registros que se enquadram nesta prioridade normalmente indicam que algum tipo
de ataque ou situao bastante sria (como por exemplo, um erro na configurao dos
fluxos de criptografia) est ocorrendo. Este tipo de registro sempre vem precedido de
uma mensagem que fornece maiores explicaes sobre ele.
Nota
Normalmente se enquadram nesta prioridade os pacotes que foram rejeitados ou
descartados pelo sistema, em virtude destes terem se encaixado em uma regra
configurada para rejeit-los ou descart-los ou por no terem se encaixado em nenhuma
regra. Em algumas situaes eles podem ser precedidos por mensagens explicativas.
Informao
Os registros desta prioridade acrescentam informaes teis mas no to importantes
para a administrao do Firewall. Estes registros nunca so precedidos por mensagens
explicativas. Normalmente se enquadram nesta prioridade os pacotes aceitos pelo
firewall.
Depurao
Os registros desta prioridade no trazem nenhuma informao realmente til, exceto
quando se est configurando o sistema. Enquadram-se nesta prioridade as mensagens
de converso de endereos.
489
Mdulo:
Esta opo permite visualizar independentemente os registros gerados por cada um dos
trs grandes mdulos do sistema: filtro de pacotes, conversor de endereos, mdulo de
criptografia, IPSEC e Clustering.
Protocolo:
Este campo permite especificar o protocolo dos registros a serem mostrados. As seguintes
opes so permitidas:
TCP
Sero mostrados os registros gerados a partir de pacotes TCP. Se esta opo for
marcada, a opo TCP/SYN ser automaticamente desmarcada.
TCP/SYN
Sero mostrados os registros gerados a partir de pacotes TCP de abertura de
conexo (pacotes com o flag de SYN ativo). Se esta opo for marcada, a opo TCP
ser automaticamente desmarcada.
UDP
Sero mostrados os registros gerados a partir de pacotes UDP.
ICMP
Sero mostrados os registros gerados a partir de pacotes ICMP.
Outro
Sero mostrados registros gerados a partir de pacotes com protocolo diferente de TCP, UDP
e ICMP. Pode-se restringir mais o protocolo a ser mostrado, especificando seu nmero por
meio do campo Porta destino ou Tipo de Servio.
O boto OK aplicar o filtro escolhido e mostra a janela de log, com as informaes

selecionadas.
O boto Cancelar far com que a operao de filtragem seja cancelada e a janela de log
mostrada com as informaes anteriores.
490
A janela de log
Figura 348 - Lista com vrias entradas de log.

A janela de log ser mostrada aps a aplicao de um filtro novo. Ela consiste de uma lista
com vrias entradas. Todas as entradas possuem o mesmo formato, entretanto,
dependendo do protocolo do pacote que as gerou, alguns campos podem estar ausentes.
Alm disso, algumas entradas sero precedidas por uma mensagem especial, em formato de
texto, que trar informaes adicionais sobre o registro (o significado de cada tipo de
registro
ser
mostrado
no
prximo
tpico).
Observaes importantes:
Os registros sero mostrados de 100 em 100.

S sero mostrados os primeiros 10.000 registros que se enquadrem no filtro escolhido.
Os demais podem ser vistos exportando o log para um arquivo ou utilizando um filtro
que produza um nmero menor de registros.
No lado esquerdo de cada mensagem, ser mostrado um cone colorido simbolizando
sua prioridade. As cores tm o seguinte significado:
491
Azul
Depurao
Verde
Informao
Amarelo
Nota
Vermelho
Aviso
Ao clicar com o boto esquerdo sobre uma mensagem, aparecer na parte inferior da
tela uma linha com informaes adicionais sobre o registro.
Ao se apagar todo o log, no existe nenhuma maneira de recuperar as informaes

anteriores. A nica possibilidade de recuperao a restaurao de uma cpia de
segurana.
Se a opo Expande mensagens estiver marcada e se tiver escolhido a opo de
exportao em formato texto, o log ser exportado com as mensagens complementares;
caso contrrio, o log ser exportado sem elas.
Esta opo bastante til para enviar uma cpia do log para alguma outra pessoa, para
guardar uma cpia em formato texto de informaes importantes ou para importar o log
por um analisador de log citados acima. Ao ser clicado, ser mostrada a seguinte janela:
492
Figura 349 - Exportador de log.
Figura 350 - Barra de exportao de log porcentagem realizada.
Para exportar o contedo do log, basta fornecer o nome do arquivo a ser criado, escolher
seu formato e clicar no boto Salvar. Para cancelar a operao, clique em Cancelar.
Se j existir um arquivo com o nome informado ele ser apagado.
493
O boto Prximos, representado como uma seta para a direita na barra de ferramentas,
mostra os prximos 100 registros selecionados pelo filtro. Se no existirem mais
registros, esta opo estar desabilitada.
O boto ltimos, representado como uma seta para a esquerda na barra de
ferramentas, mostra os 100 registros anteriores. Se no existirem registros anteriores,
esta opo estar desabilitada.
O boto Ajuda mostra a janela de ajuda especfica para a janela de log.
15.2.
Formato e significado dos campos dos registros do log
Abaixo segue a descrio do formato de cada registro, seguido de uma descrio de cada
um dos campos. O formato dos registros o mesmo para a Interface Remota e para a
Interface Texto (via SSH).
Registros gerados pelo filtro de pacotes ou pelo mdulo de criptografia
Qualquer um destes registros pode vir precedido de uma mensagem especial. A listagem
completa de todas as possveis mensagens especiais e seus significados se encontra no
apndice A.
494
Protocolo TCP
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> TCP <Status> <IP origem> <Porta origem> <IP
destino> <Porta destino> <Flags> <Interface>
Descrio dos campos:

Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo
mostrado entre parnteses na Interface Texto (via SSH).
Status: Este campo, que aparece entre parnteses na Interface Texto (via SSH), consiste de
uma a trs letras, independentes, que possuem o significado abaixo:
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ao: Este campo indica qual foi ao tomada pelo firewall com relao ao pacote. Ele
pode assumir os seguintes valores:
A: Indica que o pacote foi aceito pelo firewall
D: Indica que o pacote foi descartado
R: Indica que o pacote foi rejeitado
IP origem: Endereo IP de origem do pacote que gerou o registro.
Porta origem: Porta de origem do pacote que gerou o registro.
IP destino: Endereo IP destino do pacote que gerou o registro.
Porta destino: Porta destino do pacote que gerou o registro.
Flags: Flags do protocolo TCP presentes no pacote que gerou o registro. Este campo consiste
de uma a seis letras independentes. A presena de uma letra, indica que o flag
correspondente a ela estava presente no pacote. O significado das letras o seguinte:
S: SYN
F: FIN
A: ACK
P: PUSH
R: RST (Reset)
U: URG (Urgent Pointer)
Interface: Interface de rede do firewall por onde o pacote foi recebido.
Protocolo UDP
495
<Data> <Hora> - <Repetio> <Ao> UDP <Status> <IP origem> <Porta origem> <IP
destino> <Porta destino> <Interface>
Descrio dos campos:
Porta destino: Porta destino do pacote que gerou o registro.
Protocolo ICMP
<Data> <Hora> - <Repetio> <Ao> ICMP <Status> <IP origem> <IP destino> <Tipo de
servio> <Interface>
Descrio dos campos:
496
Tipo de servio: Tipo de servio ICMP do pacote que gerou o registro.
Outros protocolos
<Data> <Hora> - <Repetio> <Ao> <Protocolo> <Status> <IP origem> <IP destino>
<Interface>
Descrio dos campos:
Protocolo: Nome do protocolo do pacote que gerou o registro (caso o firewall no consiga
resolver o nome do protocolo, ser mostrado o seu nmero).
497

Registros gerados pelo conversor de endereos
<Data> <Hora> - <Repetio> C <Protocolo> <IP origem> <Porta origem> <IP convertido>
<Porta convertida>
Descrio dos campos dos registros
Repetio: Nmero de vezes que o registro se repetiu seguidamente. Este campo
Protocolo: o protocolo do pacote que gerou o registro. Pode ser TCP ou UDP.
IP convertido: Endereo IP para o qual o endereo de origem do pacote foi convertido.
Porta convertida: Porta para qual a porta de origem do pacote foi convertida.
15.3.
Utilizando a Interface Texto (via SSH-fwlog)
A Interface Texto (via SSH) para o acesso ao log tem funcionalidade similar da Interface
Remota, porm possui opes de filtragem bem mais limitadas. Alm disso, por meio da
Interface Texto (via SSH), no se tem acesso s informaes complementares que so
mostradas quando se seleciona uma entrada do log na Interface Remota ou quando se ativa
a opo Expande mensagens (E possvel usar todos os comandos sem o prefixo FW, para
isso execute o comando fwshell, ento todos os comando podero ser acessados sem o
prefixo FW).
Localizao do programa: /aker/bin/firewall/fwlog

Sintaxe:
Firewall Aker
fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]
498
Ajuda do programa:
Uso: fwlog ajuda
fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]
fwlog - Interface Texto (via SSH) para visualizar log e eventos

mostra = lista o contedo do log ou dos eventos. Ele pode mostra
apenas o log local ou todo o log do cluster
apaga = apaga todos os registro do log ou dos eventos
Para "mostra" temos: data_inicio = data a partir da qual os registros sero mostrados
data_fim = data ate onde mostrar os registros
(As datas devem estar no formato dd/mm/aaaa)
(Se no forem informadas as datas, mostra os registros de hoje)
prioridade = campo opcional. Se for informado deve ter um dos seguintes
valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO
(Ao selecionar uma prioridade, somente sero listados
registros cuja prioridade for igual informada)
Exemplo 1: (mostrando o log do dia 07/07/2003)
#fwlog mostra log 07/07/2003 07/07/2003
07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0
07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0
07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0
07/07/2003 19:06:22 (01) A TCP 10.4.1.24 1027 10.5.1.1 23 de0
07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0
07/07/2003 19:06:21 (01) A ICMP 10.5.1.134 10.4.1.12 8 de1
07/07/2003 19:06:20 (01) A ICMP 10.4.1.12 137 10.5.1.134 0 de0
07/07/2003 19:06:02 (01) A UDP 10.4.1.59 1050 10.7.1.25 53 de0
Exemplo 2: (mostrando o log do dia 07/07/2003, apenas prioridade notcia)
#fwlog mostra log 07/07/2003 07/07/2003 noticia
07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0
07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0
499
07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0

07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0
Exemplo 3: (apagando o arquivo de log)
#fwlog apaga log 21/10/2003 23/10/2003
Remoo dos registros foi solicitada ao servidor de log
500
501
Este captulo mostra como visualizar os eventos do sistema, um recurso muito til para
acompanhar o funcionamento do firewall e detectar possveis ataques e erros de
configurao.
O que so os eventos do sistema?
Eventos so as mensagens do firewall de nvel mais alto, ou seja, no relacionadas
diretamente a pacotes (como o caso do log). Nos eventos, podem aparecer mensagens
geradas por qualquer um dos trs grandes mdulos (filtro de pacotes, conversor de
endereos e autenticao/criptografia) e por qualquer outro componente do firewall, como
por exemplo, os proxies e os processos servidores encarregados de tarefas especficas.
Basicamente, o tipo de informao mostrada varia desde mensagens teis para acompanhar
o funcionamento do sistema (uma mensagem gerada todas as vezes que a mquina
reiniciada, todas as vezes que algum estabelece uma sesso com o firewall, etc) at
mensagens provocadas por erros de configurao ou de execuo.
O que um filtro de eventos?
Mesmo que o sistema tenha sido configurado para registrar todos os possveis eventos,
muitas vezes est interessado em alguma informao especfica (por exemplo, suponha que
queira ver todas as mensagens do dia de ontem). O filtro de eventos um mecanismo
oferecido pelo Aker Firewall para criar vises do conjunto total de mensagens,
possibilitando que obtenha as informaes desejadas facilmente.
O filtro s permite a visualizao de informaes que tiverem sido registradas nos eventos.
Caso queira obter uma determinada informao deve-se inicialmente configurar o sistema
para registr-la e ento utilizar um filtro para visualiz-la.
502
16.1.
Para ter acesso a janela de eventos deve-se:
Figura 351 - Eventos.
Clicar no menu Auditoria do firewall que se deseja visualizar os eventos;

Selecionar a opo Eventos.
A barra de ferramentas de Eventos
Todas as vezes que a opo Eventos selecionada, mostrada automaticamente a barra de
ferramentas de Eventos. Esta barra, que estar ao lado das outras barras, poder ser
arrastada e ficar flutuando acima das informaes dos Eventos. Ela tem o seguinte formato:
Figura 352 - Barra de ferramentas: Eventos.
503
A janela de filtro de eventos
Figura 353 - Filtro de eventos.

Na parte superior da janela, encontram-se os botes Salvar, Remover e Novo. O boto
Salvar permite que seja salvo os campos de um filtro de forma a facilitar sua aplicao
posterior e o boto excluir permite que seja excludo um filtro salvo no mais desejado.
Para salvar um filtro de eventos, deve-se proceder da seguinte forma:
1. Preencher todos os seus campos da forma desejada.
2. Definir, no campo Filtros, o nome pelo qual ele ser referenciado.
3. Clicar no boto Salvar.
Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos os
campos sero automaticamente preenchidos com os dados salvos.
504
Para excluir um filtro que no mais seja desejado, deve-se proceder da seguinte forma:
1. Selecionar o filtro a ser removido, no campo Filtros.
2. Clicar no boto Excluir.
O filtro padro configurado para mostrar todos as mensagens do dia atual. Para alterar a
visualizao para outros dias, pode-se configurar a Data Inicial e a Data Final para os dias
desejados (a faixa de visualizao compreende os registros da data inicial data final,
inclusive).
Alm de especificar as datas, possvel tambm determinar quais mensagens devem ser
mostradas. A opo Filtrar por permite escolher entre a listagem de mensagens ou de
prioridades.
Filtragem por mensagens

Ao selecionar filtragem por mensagens, ser mostrados na lista do lado esquerdo da
janela os nomes de todos os mdulos que compem o firewall. Ao clicar em um destes
mdulos, ser mostradas na lista direita as diferentes mensagens que podem ser
geradas por ele.
Dica: Para selecionar todas as mensagens de um mdulo, deve-se clicar sobre a caixa
esquerda do nome do mdulo.
Filtragem por prioridade

Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for
prioridade associada a um determinado registro, mais importncia deve-se dar a ele.
Ao selecionar filtragem por prioridade, ser mostrado na lista do lado esquerdo da
janela o nome de todos os mdulos que compem o firewall. Ao clicar em um destes
mdulos, ser mostradas na lista direita as diferentes prioridades das mensagens que
podem ser geradas por ele.
Abaixo, est a lista com todas as prioridades possveis, ordenadas das mais importantes
para as menos importantes (caso tenha configurado o firewall para mandar uma cpia
dos eventos para o syslog, as prioridades com as quais as mensagens sero geradas no
syslog so as mesmas apresentadas abaixo):
Erro
Os registros que se enquadrem nesta prioridade indicam algum tipo de erro de
configurao ou de operao do sistema (por exemplo, falta de memria). Mensagens
desta prioridade so raras e devem ser tratadas imediatamente.
505
Alerta
Os registros que se enquadrarem nesta prioridade indicam que algum tipo de situao
sria e no considerada normal ocorreu (por exemplo, uma falha na validao de um
usurio ao estabelecer uma sesso de administrao remota).
Aviso
Enquadram-se nesta prioridade os registros que trazem informaes que so
consideradas importantes para o administrador do sistema, mas esto associadas a uma
situao normal (por exemplo, um administrador iniciou uma sesso remota de
administrao).
Informao
Os registros desta prioridade acrescentam informaes teis mas no to importantes
para a administrao do Firewall (por exemplo, uma sesso de administrao remota foi
finalizada).
Depurao
Os registros desta prioridade no trazem nenhuma informao realmente importante,
exceto no caso de uma auditoria. Nesta prioridade se encaixam as mensagens geradas
pelo mdulo de administrao remota todas as vezes que feita uma alterao na
configurao do firewall e uma mensagem gerada todas as vezes que o firewall
reinicializado.
Como ltima opo de filtragem, existe o campo Filtrar no complemento por. Este
campo permite que seja especificado um texto que deve existir nos complementos de
todas as mensagens para que elas sejam mostradas. Desta forma, possvel, por
exemplo, visualizar todas as pginas WWW acessadas por um determinado usurio,
bastando para isso colocar seu nome neste campo.
O boto OK aplicar o filtro escolhido e mostra a janela de eventos, com as informaes

selecionadas.
O boto Cancelar far com que a operao de filtragem seja cancelada e a janela de
eventos ser mostrada com as informaes anteriores.
506
A janela de eventos
Figura 354 - Descrio dos Eventos.

A janela de eventos ser mostrada aps a aplicao de um novo filtro. Ela consiste de uma
lista com vrias mensagens. Normalmente, cada linha corresponde a uma mensagem
distinta, porm existem mensagens que podem ocupar 2 ou 3 linhas. O formato das
mensagens ser mostrado na prxima seo.
Observaes importantes:
As mensagens sero mostradas de 100 em 100.
507
S sero mostradas as primeiras 10.000 mensagens que so enquadradas no filtro

escolhido. As demais podem ser vistas exportando os eventos para um arquivo ou
utilizando um filtro que produza um nmero menor de mensagens.
No lado esquerdo de cada mensagem, ser mostrado um cone colorido simbolizando
sua prioridade. As cores tm o seguinte significado:
Azul
Depurao
Verde
Informao
Amarelo
Notcia
Vermelho
Advertncia
Preto
Erro
Ao clicar com o boto esquerdo sobre uma mensagem, aparecer na parte inferior da
tela uma linha com informaes adicionais sobre ela.
Ao apagar todos os eventos, no existe nenhuma maneira de recuperar as informaes

anteriores. A nica possibilidade de recuperao a restaurao de uma cpia de
segurana.
O boto Salvar, localizado na barra de ferramentas, gravar todas as informaes

selecionadas pelo filtro atual em um arquivo em formato texto ou em formatos que
permitem sua importao pelos analisadores de log da Aker e da WebTrends (R). Os
arquivos consistiro de vrias linhas de contedo igual ao mostrado na janela.
Se a opo Expande mensagens estiver marcada e se tiver escolhido a opo de

exportao em formato texto, os eventos sero exportados com as mensagens
complementares; caso contrrio, os eventos sero exportados sem elas.
Esta opo bastante til para enviar uma cpia do log para alguma outra pessoa, para
guardar uma cpia em formato texto de informaes importantes ou para importar os
eventos por um analisador de log citado acima. Ao ser clicado, ser mostrada a seguinte
janela:
508
Figura 355 - Exportar log de eventos.

Para exportar o contedo dos eventos, basta fornecer o nome do arquivo a ser criado,
escolher seu formato e clicar no boto Salvar. Para cancelar a operao, clique em Cancelar.
Se j existir um arquivo com o nome informado ele ser apagado.
O boto Prximos 100, representado como uma seta para a direita na barra de
ferramentas mostra as ltimas 100 mensagens selecionadas pelo filtro. Se no existirem
mais mensagens, esta opo estar desabilitada.
O boto ltimos 100, representado como uma seta para a esquerda na barra de
ferramentas mostra as 100 mensagens anteriores. Se no existirem mensagens
anteriores, esta opo estar desabilitada.
O boto Ajuda mostra a janela de ajuda especfica para a janela de eventos.
509
16.2.
Formato e significado dos campos das mensagens de eventos
Abaixo segue a descrio do formato das mensagens, seguido de uma descrio de cada um
de seus campos. A listagem completa de todas as possveis mensagens e seus significados se
encontra no apndice A.
<Data> <Hora> <Mensagem> [Complemento]
[Mensagem complementar 1]
[Mensagem complementar 2]
Descrio dos campos:
Mensagem: Mensagem textual que relata o acontecimento.
Complemento: Este campo traz informaes complementares e pode ou no aparecer,
dependendo da mensagem. Na Interface Texto (via SSH), caso ele aparea, vir entre
parnteses.
Mensagem complementar 1 e 2: Estes complementos s existem no caso de mensagens
relacionadas s conexes tratadas pelos proxies transparentes e no-transparentes e so
mostrados sempre na linha abaixo da mensagem a que se referem. Nestas mensagens
complementares, se encontram o endereo origem da conexo e, no caso dos proxies
transparentes, o endereo destino.
510
511
Este captulo mostra sobre o que a janela de estatstica e suas caractersticas.
O que a janela de estatsticas do Aker Firewall?

No Firewall, a estatstica um mtodo de medir o trfego de dados por meio de suas
interfaces. Este trfego traduzido em nmeros que mostram a quantidade de pacotes
enviados ou recebidos, alm do tamanho total de bytes trafegados.
Utilizando-se destas informaes, o administrador consegue verificar o fluxo de dados de
seus servios podendo, assim saber se o ambiente fsico da rede precisa ser melhorado ou
expandido.
Outra utilizao para este tipo de informao a realizao de bilhetagem da rede. Tendose conhecimento da quantidade de bytes que cada mquina transferiu na rede, calcula-se o
quanto que cada uma deve ser taxada.
Para realizar bilhetagem de rede, deve ser criado uma regra de filtragem com um
acumulador diferente para cada mquina a ser taxada. Todos os acumuladores devem ter
regras de estatsticas associados a eles. Estas regras so configuradas na janela de
visualizao de estatstica.
Como funcionam as estatsticas do Aker Firewall?
O funcionamento das estatsticas do Aker Firewall baseado em trs etapas distintas:
Criao de Acumuladores:
Nesta etapa, cadastramos os acumuladores que sero associados a regras de filtragem.
Eles servem apenas como totalizadores de uma ou mais regras de filtragem. Para
maiores informaes sobre a criao de acumuladores e sua associao com regras de
filtragem, vejam os captulos Cadastrando Entidades e O Filtro de Estados.
Criao de regras de estatstica:

Aps a criao dos acumuladores e sua associao com as regras de filtragem desejadas,
devemos criar regras de estatstica que definem os intervalos de coleta e quais
acumuladores sero somados para gerar o valor da estatstica em um dado momento.
Esta etapa ser explicada neste captulo.
Visualizao das estatsticas:
512
Aps a criao das regras de estatsticas, podemos ver os valores associados a cada uma
delas, export-los ou traar grficos. Esta etapa tambm ser mostrada neste captulo.
17.1.
Para ter acesso a janela de configurao de estatstica deve-se:
Figura 356 - Janelas de eventos - Estatstica.
Clicar no menu Auditoria da janela do firewall que queira administrar.

Selecionar o item Estatsticas.
513
A janela de regras de estatstica
Figura 357 - Regras de estatstica.

A janela de estatsticas contm todas as regras de estatstica definidas no Aker Firewall.
Cada regra ser mostrada em uma linha separada, composta de diversas clulas. Caso uma
regra esteja selecionada, ela ser mostrada em uma cor diferente:
O boto OK far com que o conjunto de estatsticas seja atualizado e passe a funcionar
imediatamente.
seja fechada.
janela aberta.
A barra de rolagem do lado direito serve para visualizar as regras que no couberem na
janela.
514
Cada regra de estatstica composta dos seguintes campos:
Nome: Nome da estatstica, utilizada para facilitar a sua referncia. Deve possuir um
nome nico entre o conjunto de regras;
Intervalo: Corresponde ao intervalo de tempo que far a totalizao da regra, ou seja, a
soma dos valores de todos os acumuladores presentes na regra;
Acumulador: Este campo define quais os acumuladores faro parte da regra;
Hora: Esta tabela define as horas e dias da semana em que a regra aplicvel. As linhas
representam os dias da semana e as colunas s horas. Caso queira que a regra seja
aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o
Para interagir com a janela de regras, utilize a barra de ferramentas localizada na parte
superior da janela ou clicar com o boto direito sobre ela.
Figura 358 - Barra de ferramentas - Regras de estatstica.
Inserir: Permite a incluso de uma nova regra na lista.

Habilitar/Desabilitar: Ativar ou desativar a regra selecionada da lista.
Visualizao: Exibe a janela de visualizao de estatsticas relativa regra selecionada.
Visualizando estatsticas
515
Ao clicar no boto Visualizao ou clicar duas vezes sobre uma regra de estatstica, a
seguinte janela ser mostrada:
Figura 359 - Visualizar Estatsticas.
Nesta janela, os dados computados para a estatstica selecionada sero mostrados em

formato grfico:
Figura 360 - Boto: grfico.
ou texto.
Figura 361 - Boto: Texto.

516
Estas informaes so relativas data de incio e fim especificadas na parte superior da

janela. Para alterar esta data deve-se escolher os campos de Data, colocando as datas de
incio e de finalizao da pesquisa.
Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro refere
contabilizao dos acumuladores da estatstica em um determinado tempo.
O boto Remover desta pasta ir remover o conjunto de registros com o tempo

especificado.
Figura 362 - Boto: remover.
O boto Comear a busca, atualiza a lista de estatsticas de acordo com as datas definas nos
campos Inicio e Fim.
Figura 340 Boto: comear a busca
Grfico: Representa os dados contidos na pasta Leitura em formato grfico. O grfico

gerado ao ser pressionado o boto grfico na barra de ferramentas. Este grfico tambm
permite que o usurio selecione qual linha deve ser mostrada pressionando-se os
rtulos dos mesmos.
517
Figura 363 - Visualizar Estatsticas Grfico.
Ao pressionar o boto de salvar estatsticas a janela abaixo ir aparecer de modo a escolher

o nome do arquivo. Este arquivo gravado no formato CSV que permite sua manipulao
por meio de planilhas de clculo.
Figura 364 - Boto: salvar estatstica.
518
Figura 365 - Exportar Estatstica.
A barra de ferramentas da visualizao das estatsticas

A barra de ferramentas da visualizao das estatsticas ter as seguintes funes:
Figura 366 - Barra de ferramentas: visualizao das estatsticas.
17.2.
Utilizando a Interface Texto (via SSH-fwstat)
A Interface Texto (via SSH) para o acesso s estatsticas tem funcionalidade similar da
Interface Remota (E possvel usar todos os comandos sem o prefixo FW, para isso execute
o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).
Todas as funes da Interface Remota esto disponveis, exceto a opo de verificar os
dados por meio de grfico e de se verificar em quais regras os acumuladores de uma
determinada estatstica esto presentes.
519
A tabela de horrio visualizada da seguinte forma:

O smbolo : (dois pontos) informa que a regra valida para os dois dias da semana que
aparecem separados por / .Ex: Dom/Seg
O smbolo. (ponto) informa que a regra s vlida para o dia da semana que segue o
caractere / .Ex: Dom/Seg - Seg
O smbolo ' (acento) informa que a regra so vlida para o dia da semana que antecede
o caractere / .Ex: Dom/Seg - Dom
Localizao do programa: /aker/bin/firewall/fwstat
Sintaxe:
fwstat ajuda
mostra [[-c] <estatstica> [<data inicial> <data final>]]
inclui <estatstica> <perodo> [<acumulador1> [acumulador2] ...]
remove <estatstica>
desabilita <estatstica> [<dia> <hora>]
habilita <estatstica> [<dia> <hora>]
Ajuda do programa:
Firewall Aker
Uso: fwstat ajuda mostra [[-c] <estatstica> [<data inicial> <data final>]]
inclui <estatstica> <perodo> [<acumulador1> [acumulador2] ...]
remove <estatstica>
desabilita <estatstica> [<dia> <hora>]
habilita <estatstica> [<dia> <hora>]

mostra = sem parmetros, mostra as estatsticas cadastradas com, mostra os dados
coletados para estatstica = nome da estatstica
-c = resultado no formato CSV (comma separated value) (til para importar dados em
planilhas eletrnicas) datas = dadas limite para mostrar dados
inclui = adiciona uma estatstica de nome "estatstica
remove = remove uma estatstica de nome "estatstica"
perodo = perodo de captura dos dados (segundos)
acumulador_ = nome das entidades acumulador para ler
desabilita = desabilita uma estatstica
520
habilita = habilita uma estatstica dia

hora = se especificado (sempre ambos), habilita ou desabilita apenas para a hora
especificada. 'dia' pertence a {dom, seg, ter, ...} e 'hora' a {0.23}
Exemplo 1: (mostrando as estatsticas)

#fwstat mostra
Nome : estatstica1
(habilitada)
---Perodo : 17400 segundo (s)
Acumuladores: a1
Horrio :
Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
------------------------------------------------------------------------------Dom/Seg |: :
: : : : : : : : : : : : : :
Ter/Qua |: :
: : : : : : : : : : : : : :
Qui/Sex |: :
: : : : : : : : : : : : : :
Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' '
Nome : estatstica2
(habilitada)
---Perodo : 100 segundo (s)
Acumuladores: a1 a11
Horrio :
Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
------------------------------------------------------------------------------Dom/Seg |: : : : : : : : : : : : : : : : : : : : : : : :
Ter/Qua |: : : : : : : : : : : : : : : : : : : : : : : :
Qui/Sex |: : : : : : : : : : : : : : : : : : : : : : : :
Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' '
Exemplo 2: (mostrando a estatstica do dia 28/10/2001 ao dia 29/10/2001)
#fwstat mostra estatstica 28/10/2001 29/10/2001
Dia
Hora Enviados (bytes/pacotes) Recebidos (bytes/pacotes)
----------------------------------------------------------------------29/10/2001 17:24:54
320/1
321/1
29/10/2001 17:23:14
652/6
654/6
29/10/2001 17:21:34
234/2
980/9
521
29/10/2001 17:19:54
29/10/2001 17:18:14
29/10/2001 17:16:34
29/10/2001 17:14:54
29/10/2001 17:13:14
29/10/2001 16:58:14
324/3
325/3
985/9
842/8
357/3
786/7
650/6
150/1
240/2
840/8
289/2
261/2
522
523
Neste captulo mostra como visualizar e remover conexes TCP e sesses UDP em tempo
real.
O que so conexes ativas?

Conexes ativas so conexes TCP ou sesses UDP que esto ativas por meio do firewall.
Cada uma destas conexes foi validada por meio de uma regra do filtro de estados,
acrescentada pelo administrador do sistema, ou por uma entrada na tabela de estados,
acrescentada automaticamente pelo Aker Firewall.
Para cada uma destas conexes, o firewall mantm diversas informaes em suas tabelas de
estado. Algumas destas informaes so especialmente teis para o administrador e podem
ser visualizadas a qualquer momento por meio da janela de conexes ativas. Dentre estas
informaes, pode-se citar a hora exata do estabelecimento da conexo e o tempo em que
ela se encontra parada, isto , sem que nenhum pacote trafegue por ela.
18.1.
Para ter acesso a janela de conexes ativas deve-se:
524
Figura 367 -: Conexes TCP.
Clicar no menu Informao do firewall que queira visualizar.

Selecionar Conexes TCP ou Conexes UDP.
A janela de conexes ativas

A janela de conexes ativas onde so mostradas todas as conexes IPv4 e IPv6, que esto
passando pelo firewall em um determinado instante. As janelas para os protocolos TCP e
UDP so exatamente iguais, com a exceo do campo chamado Status que somente existe
na janela de conexes TCP.
Para simplificar o entendimento, fala-se de conexes TCP e UDP, entretanto, isto no
totalmente verdadeiro devido ao protocolo UDP ser um protocolo no orientado conexo.
Na verdade, quando se fala em conexes UDP refere-se s sesses onde existe trfego nos
dois sentidos. Cada sesso pode ser vista como um conjunto dos pacotes de requisio e de
resposta que fluem por meio do firewall para um determinado servio provido por uma
determinada mquina e acessado por outra.
Essa janela composta de quatro pastas: nas duas primeiras so mostradas uma lista com
as conexes ativas tanto IPv4 como IPv6 e as duas ltimas permitem visualizar grficos em
tempo real das mquinas e servios mais acessados, das conexes IPv4e IPv6.
Pasta de conexes IPv4
Figura 368 - Conexes TCP Conexes IPv4.
525
Pasta de conexes IPV6
Figura 369 - Conexes TCP Conexes IPv6.
As pastas, conexo IPv4 e conexo IPv6, consistem de uma lista com uma entrada para cada
conexo ativa. Na parte inferior da janela mostrada uma mensagem informando o nmero
total de conexes ativas em um determinado instante. As velocidades, total e mdia, so
exibidas na parte inferior da janela.
O boto OK faz com que a janela de conexes ativas seja fechada.

Caixa Filtro exibe as opes de filtragem sendo possvel selecionar os endereos origem
ou destino e/ou portas para serem exibidos na janela.
A opo Mostrar itens selecionados no topo coloca as conexes selecionadas no topo
da janela para melhor visualizao.
A opo Remover, que aparece ao clicar com o boto direito sobre uma conexo,
permite remover uma conexo.
Ao remover uma conexo TCP, o firewall envia pacotes de reset para as mquinas
participantes da conexo, efetivamente derrubando-a, e remove a entrada de sua tabela de
estados. No caso de conexes UDP, o firewall simplesmente remove a entrada de sua tabela
de estados, fazendo com que no sejam mais aceitos pacotes para a conexo removida.
526
Figura 370 - Barra de ferramentas: conexes TCP.

Todas as alteraes efetuadas na barra de ferramentas, quando a opo conexo ipv4 ou a
opo grfico ipv4, estiverem selecionadas, tambm sero realizados nas opes, conexo
ipv6 ou grfico ipv6, e assim respectivamente.
O boto Atualizar, localizado na barra de ferramentas faz com que as informaes

mostradas sejam atualizadas periodicamente de forma automtica ou no. Ao clicar
sobre ele permite alternar entre os dois modos de operao. O intervalo de atualizao
pode ser configurado mudando o valor logo direita deste campo.
O boto DNS, localizado na barra de ferramentas, acionar o servio de nomes (DNS)

para resolver os nomes das mquinas cujos endereos IPs aparecem listados. Cabe ser
observado, os seguintes pontos:
1. A resoluo de nomes muitas vezes um servio lento e, devido a isso, a
traduo dos nomes feita em segundo plano.
2. Muitas vezes, devido aos problemas de configurao do DNS reverso (que o
utilizado para resolver nomes a partir de endereos IP), no ser possvel a
resoluo de certos endereos. Neste caso, os endereos no resolvidos sero
mantidos na forma original e ser indicado ao seu lado que eles no possuem
A opo Desabilitar grficos desabilita o desenho do grfico de conexes, sendo

indicada para mquinas especialmente lentas.
A opo Mostrar velocidade das conexes, se ativa, faz com que a interface calcule e
mostre a velocidade de cada conexo em bits/s.
possvel ordenar a lista das conexes por qualquer um de seus campos, bastando para
isso clicar no ttulo do campo. O primeiro clique produzir uma ordenao ascendente e
o segundo uma ordenao descendente.
Aba Grfico de Conexes IPv4 e IPv6

As abas, grfico IPv4 e grfico IPv6, consistem de dois grficos: o grfico superior mostram
os servios mais utilizados e o grfico inferior mostram as mquinas que mais acessam
servios ou que mais so acessadas. No lado direito existe uma legenda mostrando qual
mquina ou servio correspondem a qual cor do grfico.
527
Figura 371 - Conexes TCP Grfico de conexes IPv4.
O intervalo de tempo no qual o grfico atualizado o mesmo configurado na pasta de

conexes.
Significado dos campos de uma conexo ativa IPv6 e IPv4
Cada linha presente na lista de conexes ativas representa uma conexo. O significado de
seus campos mostrado a seguir:
IP origem: Endereo IP da mquina que iniciou a conexo.
Porta origem: Porta usada pela mquina de origem para estabelecer a conexo.
IP destino: Endereo IP da mquina para a qual a conexo foi efetuada.
528
Porta destino: Porta para qual a conexo foi estabelecida. Esta porta normalmente est
associada a um servio especfico.
Incio: Hora de abertura da conexo.
Inativo: Nmero de minutos e segundos de inatividade da conexo.
Estado Atual: Este campo s aparece no caso de conexes TCP. Ele representa o estado da
conexo no instante mostrado e pode assumir um dos seguintes valores:
SYN Enviado: Indica que o pacote de abertura de conexo (pacote com flag de SYN) foi
enviado, porm a mquina servidora ainda no respondeu.
SYN Trocados: Indica que o pacote de abertura de conexo foi enviado e a mquina
servidora respondeu com a confirmao de conexo em andamento.
Estabelecida: Indica que a conexo est estabelecida.
Escutando Porta: Indica que a mquina servidora est escutando na porta indicada,
aguardando uma conexo a partir da mquina cliente. Isto s ocorre no caso de conexes
de dados FTP.
Bytes Enviados/Recebidos: Estes campos s aparecem no caso de conexes TCP, e indicam
o nmero de bytes trafegados por esta conexo em cada um dos dois sentidos.
Pacotes Enviados/Recebidos: Estes campos s aparecem no caso de conexes TCP, e
indicam o nmero de pacotes IP trafegados por esta conexo em cada um dos dois sentidos.
18.2.
Utilizando a Interface Texto (via SSH-fwlist)
A Interface Texto (via SSH) para acesso lista de conexes ativas possui as mesmas
capacidades da Interface Remota (E possvel usar todos os comandos sem o prefixo FW,
para isso execute o comando fwshell, ento todos os comando podero ser acessados sem
o prefixo FW). O mesmo programa trata as conexes TCP e UDP.
Localizao do programa: /aker/bin/firewall/fwlist
Sintaxe:
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP]] | [UDP] | [sesses]
529
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino

fwlist remove sesso IP_origem
Ajuda do programa:
fwlist - Lista e remove conexes TCP/UDP e sesses ativas
Uso: fwlist ajuda

fwlist mostra [[-w] [TCP | TCP6]] | [UDP | UDP6]
fwlist mostra [sessoes | roaming | bloqueados]
fwlist mostra [quotas | www]
fwlist remove [TCP | TCP6 | UDP | UDP6] IP_origem Porta_origem
IP_destino Porta_destino
fwlist remove sessao IP_origem [usuario]
fwlist remove bloqueado IP_origem
fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume]

mostra = lista as conexes ou sessoes ativas
remove = remove uma conexo ou sesso ativa
reinicia = reinicia a quota dos usurios
Exemplo 1: (listando as conexes ativas TCP)
#fwlist mostra TCP
Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado
------------------------------------------------------------------------------10.4.1.196:1067 10.4.1.11:23 15:35:19 00:00 Estabelecida
10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida
Exemplo 2: (listando as conexes ativas UDP)
530
#fwlist mostra UDP

Origem (IP:porta) Destino (IP:porta) Inicio Inativo
----------------------------------------------------------10.4.1.1:1099 10.4.1.11:53 15:35:19 00:00
10.4.1.18:1182 10.5.2.1:111 15:36:20 00:10
Exemplo 3: (removendo uma conexo TCP e listando as conexes)
#fwlist remove tcp 10.4.1.196 1067 10.4.1.11 23
#fwlist mostra TCP
Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado
------------------------------------------------------------------------------10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida
531
532
Este captulo mostra para que serve e como configurar os Relatrios no Aker Firewall.
Visando disponibilizar informaes a partir de dados presentes nos registros de log e
eventos, bem como apresentar uma viso sumarizada dos acontecimentos para a gerncia
do Firewall, foi desenvolvida mais esta ferramenta. Neste contexto trataremos dos
relatrios que nutriro as informaes gerenciais.
Os relatrios so gerados nos formatos HTML, TXT ou PDF, publicados via FTP em at trs
sites distintos ou enviados por meio de e-mail para at trs destinatrios distintos. Podem
ser agendados das seguintes formas: "Dirio", "Semanal", "Quinzenal", "Mensal",
"Especfico" e tambm em tempo real de execuo.
19.1.
Acessando Relatrios
Para ter acesso janela de Relatrios deve-se:
Figura 372 - Relatrio.
Clicar no menu Auditoria da janela de administrao do firewall.

Selecionar o item Relatrio.
533
Configurando os Relatrios
19.2.
Figura 373 - Configurando relatrio - Dirio.

Esta janela composta pelos tipos de agendamentos: "Dirio", "Semanal", "Mensal",
"Quinzenal", "Especfico" e a opo Gerar relatrio dirio agora. Em todos ser necessrio
escolher quais sub-relatrios sero includos.
Para executar qualquer relatrio, deve-se clicar com o boto direito do mouse sobre ele.
Aparecer o seguinte menu: (este menu ser acionado sempre que for pressionado o boto
direito, mesmo que no exista nenhum relatrio selecionado. Neste caso, somente as opo
Inserir estar habilitada); inclusive podendo ser executada a partir da barra de ferramentas.
Inserir: Esta opo permite incluir um novo relatrio.
Ao tentar inserir um novo relatrio trs abas sero apresentadas:
534
Aba geral
Nesta aba sero configurados os seguintes campos:
Figura 374 - Configurao do relatrio - geral.
Ttulo do Relatrio: Atribuir nome ao relatrio.

Agendamento: Definir hora que ser gerado o relatrio.
Formato do Relatrio: Define em qual formato ser gerado o relatrio. As opes de
formato so:
TXT: Quando selecionada esta opo gerado um arquivo chamado report.txt

que contm o relatrio.
HTML: Quando selecionada esta opo gerado um arquivo chamado index.html
PDF: Quando selecionada esta opo gerado um arquivo chamado report.pdf
535
Em ambos os casos, o navegador ser aberto automaticamente, exibindo o contedo do

arquivo correspondente ao relatrio.
Aba Sub-relatrio
Um sub-relatrio oferecido para que os nveis de detalhamento possam ser evidenciados e
a informao que compe o relatrio seja mais objetiva.
Figura 375 - Configurao do relatrio sub-relatrio.

Esta aba composta por duas colunas, onde ser necessrio indicar filtros para ambas.
Na coluna de "Sub-relatrio" dever ser includo qual tipo de sub-relatrio e como ser
agrupado, por exemplo: "No agrupar", "Quota", "Usurio". Esta opo varia conforme o
tipo de sub-relatrio selecionado. possvel definir relacionamentos com lgica "E" ou
"OU" e um limite para TOP.
536
Na coluna de "Filtros" haver mais uma possibilidade de filtro de acordo com o tipo de
dado.
Mtodos de Publicao
Mtodo FTP
Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os
relatrios via ftp.
Como utilizar:
Selecione o(s) servidor (es);

Digite o usurio;
Digite a senha de acesso;
Digite o caminho de destino do relatrio.
537
Figura 376 - Configurao do relatrio mtodo de publicao.

Mtodo SMTP
Nesta aba o usurio poder indicar at trs destinatrios, para onde sero enviados os
relatrios por meio de e-mail.
Como utilizar:
Digite o endereo do remetente ("De");

Digite o endereo do destinatrio ("Para");
Digite o "Assunto";
Caso deseje possvel incluir uma mensagem, no campo "Mensagem".
538
Figura 377 - Configurao do relatrio mtodo de SMTP.
Opo Gerar relatrio dirio agora

Esta opo permite a gerao de relatrio em tempo real, ou seja, o administrador do
firewall pode gerar relatrios no momento em que desejar. O produto continuar
funcionando normalmente. Quando o relatrio estiver pronto, salve-o em um diretrio
conforme desejado, logo em seguida ser exibido uma janela mostrando o relatrio. Nesta
opo a coluna Mtodo de Publicao no estar disponvel.
539
Lista dos Relatrios disponveis
19.3.
Abaixo segue os tipos de relatrios possveis de serem gerados:

1.
2.
3.
4.
5.
6.
7.
Quantidade de acessos web por usurios do autenticador;

Quantidade de acessos web por grupos do autenticador;
Quantidade de acessos web por perfis de acesso;
Quantidade de acessos web por endereo IP origem;
Quantidade de acessos web por endereo IP destino;
Quantidade de acessos TCP e UDP (cada servio) por grupos do autenticador;
Quantidade de acesso por pginas Web (domnio), com possibilidade de seleo das
N pginas mais acessadas;
8. Quantidade de acesso por pginas Web (domnio), com possibilidade de seleo das
N pginas mais acessadas por grupos do autenticador;
9. Quantidade de acesso, relacionando conjunto de usurios e respectivas pginas web
mais acessadas;
10. Quantidade de acessos bloqueados por usurios, com possibilidade de seleo dos N
usurios com maior nmero de requisies a pginas proibidas;
11. Quantidade de downloads realizados (HTTP e FTP), com possibilidade de seleo dos
N arquivos mais baixados;
12. Volume de trfego (kbps ou Mbps) processado pelo Firewall, em mdias de perodos
de cinco minutos;
13. Categoria dos sites;
14. Downloads;
15. Sites bloqueados;
16. Categorias bloqueadas;
17. Downloads bloqueados;
18. IPs web;
19. IPs web bloqueados;
20. IPs destino;
21. IPs destino bloqueados;
22. IPs e Servios;
23. IPs e Servios bloqueados;
24. Servios;
25. Servios bloqueados;
26. Trfego que entrou;
27. Trfego que saiu;
28. Destinatrios de e-mails entregues;
29. Destinatrios de e-mails rejeitados;
30. Endereo IP de e-mails entregues;
31. Endereo IP de e-mails rejeitados;
32. Domnios dos destinatrios de e-mails entregues;
33. Domnios dos destinatrios de e-mails bloqueados;
34. Quota - consumo de bytes;
35. Quota - consumo de tempo;
36. MSN - durao do chat;
540
37. MSN chat log;

38. Contabilidade de trfego web - upload consumido;
39. Contabilidade de trfego web - download consumido;
40. Contabilidade de trfego web - tempo consumido;
41. Contabilidade de trfego de downloads - upload consumido;
42. Contabilidade de trfego de downloads - download consumido;
43. Contabilidade de trfego de downloads - tempo consumido;
44. Contabilidade de trfego de FTP - upload consumido;
45. Contabilidade de trfego de FTP - download consumido;
46. Usurios que acessaram um site;
47. Usurios que foram bloqueados tentando acessar um site.
541
542
Este captulo mostra como configurar a Exportao Agendada de Logs e Eventos.

Os registros de Logs e/ou Eventos so exportados nos formatos TXT ou CSV, publicados via
FTP em at trs sites distintos ou localmente em uma pasta do prprio Firewall. Podem ser
agendados das seguintes formas: "Dirio", "Semanal" e/ou Mensal.
Acessando a Exportao Agendada de Logs e Eventos
20.1.
Para ter acesso janela de Exportao Agendada de Logs e Eventos deve-se:
Figura 378 - Janela de acesso: Exportao Agendada de Logs e Eventos.
Clicar no menu Auditoria da janela de administrao do Aker Firewall;

Selecionar o item Exportao Agendada de Logs e Eventos.
543
20.2.
Configurando a Exportao Agendada de Logs e Eventos
Figura 379 - Exportao Agendada de Logs e Eventos - dirio.

Esta janela composta pelos tipos de agendamentos: "Dirio", "Semanal" e "Mensal".
Para executar qualquer exportao, deve-se clicar com o boto direito do mouse sobre ele.
Aparecer o seguinte menu: (este menu ser acionado sempre que for pressionado o boto
direito, mesmo que no exista nenhum relatrio selecionado. Neste caso, somente as opo
Inserir estar habilitada); inclusive podendo ser executada a partir da barra de ferramentas.
Inserir: Esta opo permite incluir um novo relatrio.

Ao tentar inserir um novo relatrio duas abas sero apresentadas:
Aba Geral
544
Nesta aba sero configurados os seguintes campos:
Figura 380 - Configurao da Exportao Agendada de Logs e Eventos - geral.
Ttulo: Atribuir nome a exportao.

Formato do Relatrio: Define em qual formato ser gerado o relatrio. As opes de
formato so:
TXT;
CSV.
Tipo: Define qual informao ser exportada:

Logs;
Eventos.
Agendamento: Definir hora que ser realizada a exportao.
545
Aba Mtodo de Publicao

FTP:
Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os dados
via ftp.
Como utilizar:
Selecione o(s) servidor (es);

Digite o usurio;
Digite a senha de acesso;
Digite o caminho de destino do relatrio
Figura 381 - Configurao da Exportao Agendada de Logs e Eventos mtodo de

publicao.
546
Local:
Nesta aba, o usurio poder indicar em qual diretrio local do Aker Firewall deseja salvar os
dados exportados.
Figura 382 - Configurao da Exportao Agendada de Logs e Eventos tipo de

publicao.
547
548
Neste captulo mostra toda a base de conhecimento necessria, para entender o

funcionamento dos proxies do Aker Firewall. Os detalhes especficos de cada proxy sero
mostrados nos prximos captulos.
21.1.
Planejando a instalao
O que so proxies?
Proxies so programas especializados que geralmente rodam em firewalls e que servem
como ponte entre a rede interna de uma organizao e os servidores externos. Seu
funcionamento simples: eles ficam esperando por uma requisio da rede interna,
repassam esta requisio para o servidor remoto na rede externa, e devolvem sua resposta
de volta para o cliente interno.
Na maioria das vezes os proxies so utilizados por todos os clientes de uma sub-rede e
devido a sua posio estratgica, normalmente eles implementam um sistema de cache
para alguns servios. Alm disso, como os proxies trabalham com dados das aplicaes, para
cada servio necessrio um proxy diferente.
Proxies tradicionais
Para que uma mquina cliente possa utilizar os servios de um proxy necessrio que a
mesma saiba de sua existncia, isto , que ela saiba que ao invs de estabelecer uma
conexo com o servidor remoto, ela deve estabelecer a conexo com o proxy e repassar sua
solicitao ao mesmo.
Existem alguns clientes que j possuem suporte para proxies embutidos neles prprios
(como exemplo de clientes deste tipo, pode-se citar a maioria dos browsers existentes
atualmente). Neste caso, para utilizar as funes de proxy, basta configur-los para tal. A
grande maioria dos clientes, entretanto, no est preparada para trabalhar desta forma. A
nica soluo possvel neste caso, alterar a pilha TCP/IP em todas as mquinas clientes de
modo a fazer com que transparentemente as conexes sejam repassadas para os proxies.
Esta abordagem traz inmeras dificuldades, j que alm de ser extremamente trabalhoso
alterar todas as mquinas clientes, muitas vezes no existe forma de alterar a
implementao TCP/IP de determinadas plataformas, fazendo com que clientes nestas
plataformas no possam utilizar os proxies.
Outro problema dos proxies tradicionais, que eles s podem ser utilizados para acessos de
dentro para fora (no pode solicitar para que clientes externos repassem suas solicitaes
para o seu proxy para que este repasse para seu servidor interno).
549
A figura abaixo ilustra o funcionamento bsico de um proxy tradicional:
Figura 383 - Funcionamento bsico de um Proxy tradicional.

Proxies transparentes
O Aker Firewall introduz um novo conceito de firewall com a utilizao de proxies
transparentes. Estes proxies transparentes so capazes de serem utilizados sem nenhuma
alterao nas mquinas clientes e nas mquinas servidoras, simplesmente porque nenhuma
delas sabe de sua existncia.
Seu funcionamento simples, todas as vezes que o firewall decide que uma determinada
conexo deve ser tratada por um proxy transparente, esta conexo desviada para o proxy
em questo. Ao receber a conexo, o proxy abre uma nova conexo para o servidor remoto
e repassa as requisies do cliente para este servidor.
A grande vantagem desta forma de trabalho, que torna possvel oferecer uma segurana
adicional para certos servios sem perda da flexibilidade e sem a necessidade de alterao
de nenhuma mquina cliente ou servidora. Alm disso, possvel utilizar proxies
transparentes em requisies de dentro para fora e de fora para dentro, indiferentemente.
550
Figura 384 - Funcionamento bsico de um Proxy transparente.

Proxies transparentes e contextos
O Aker Firewall introduz uma novidade com relao aos proxies transparentes: os
contextos. Para entend-los, vamos inicialmente analisar uma topologia de rede onde sua
existncia necessria.
Suponha que exista um Aker Firewall conectado a trs redes distintas, chamadas de redes A,
B e C, e que as redes A e B sejam redes de dois departamentos de uma mesma empresa e a
rede C a Internet. Suponha ainda que na rede A exista um servidor SMTP que seja utilizado
tambm pela rede B para enviar e receber correio eletrnico. Isto est ilustrado no desenho
abaixo:
Figura 385 - Proxies transparentes e contextos.

551
Suponha agora que queira configurar o firewall para desviar todas as conexes SMTP para o
proxy SMTP, de modo a assegurar uma maior proteo e um maior controle sobre este
trfego.
importante que exista um meio de tratar diferentemente as conexes para A com origem
em B e C: a rede B utilizar o servidor SMTP de A como relay ao enviar seus e-mails,
entretanto este mesmo comportamento no deve ser permitido a partir da rede C. Pode-se
tambm querer limitar o tamanho mximo das mensagens originadas na rede C, para evitar
ataques de negao de servio baseados em falta de espao em disco, sem ao mesmo
tempo querer limitar tambm o tamanho das mensagens originadas na rede B.
Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos. Contextos
nada mais so que configuraes diferenciadas para os proxies transparentes de modo a
possibilitar comportamentos diferentes para conexes distintas.
No exemplo acima, poderia criar dois contextos: um para ser usado em conexes de B para
A e outro de C para A.
Proxies do Aker Firewall
O Aker Firewall implementa proxies transparentes para os servios FTP, Telnet, SMTP,
POP3, HTTP, HTTPS, RPC, DCE-RPC, SIP, H323, MSN e proxies no transparentes para os
servios acessados por meio de um browser WWW (FTP, Gopher, HTTP e HTTPS) e para
clientes que suportem o protocolo SOCKS. Para utilizar os proxies no transparentes
necessrio um cliente que possa ser configurado para tal. Dentre os clientes que suportam
este tipo de configurao, pode-se citar o Mozilla Firefox (Tm) e o Internet Explorer (Tm).
Os proxies transparentes podem ser utilizados tanto para controlar acessos externos s
redes internas quanto acessos de dentro para fora. Os proxies no transparentes somente
podem ser usados de dentro para fora.
O Aker Firewall permite ainda implementar Proxies criados pelo usurio que so proxies
criados por terceiros utilizando a API de desenvolvimento que a Aker Security Solutions
prov. O objetivo possibilitar que instituies que possuam protocolos especficos possam
criar suporte no firewall para estes protocolos.
Os autenticadores do Aker Firewall
Os proxies SOCKS, Telnet e WWW do Aker Firewall suportam autenticao de usurios, isto
, podem ser configurados para s permitir que uma determinada sesso seja estabelecida
caso o usurio se identifique para o firewall, por meio de um nome e uma senha, e este
tenha permisso para iniciar a sesso desejada.
O grande problema que surge neste tipo de autenticao como o firewall ir validar os
nomes e as senhas recebidas. Alguns produtos exigem que todos os usurios sejam
cadastrados em uma base de dados do prprio firewall ou que sejam usurios vlidos da
mquina que o firewall estiver rodando. Ambos os mtodos possuem o grande
552
inconveniente de no aproveitar a base de usurios normalmente presente em uma rede

local.
No Aker Firewall, optou-se por uma soluo mais verstil e simples de ser implantada: ao
invs de exigir um cadastramento de usurios no firewall, estes so validados nos prprios
servidores da rede local, sejam estes Unix ou Windows Server tm.
Para que seja possvel ao firewall saber em quais mquinas ele deve autenticar os usurios,
e tambm para possibilitar uma comunicao segura com estas mquinas, foi criado o
conceito de autenticadores. Autenticadores so mquinas Unix ou Windows Servertm, que
rodam um pequeno programa chamado de Agente de autenticao. Este programa
distribudo como parte do Firewall Aker e tem como funo bsica servir de interface entre
o firewall e a base de dados remota.
Para que o Aker Firewall utilize uma base de dados em um servidor remoto, deve-se efetuar
os seguintes procedimentos:
1. Instalar e configurar o agente de autenticao na mquina onde reside base de
dados de usurios (este procedimento ser descrito nos tpicos intitulados
Instalando o agente de autenticao no Unix e Instalando o agente de autenticao
no Windows Servertm).
2. Cadastrar uma entidade do tipo autenticador com o endereo da mquina onde o
agente foi instalado e com a senha de acesso correta (para maiores informaes de
como cadastrar entidades, veja o captulo intitulado Cadastrando Entidades).
3. Indicar para o firewall que ele deve utilizar o autenticador cadastrado no passo 2
para realizar a autenticao de usurios (este procedimento ser descrito no
captulo intitulado Configurando parmetros de autenticao).
O Aker Firewall 6.7 incompatvel com verses anteriores a 4.0 dos agentes de autenticao.
Caso tenha feito upgrade de uma verso anterior e esteja utilizando autenticao, necessrio
reinstalar os autenticadores.
possvel tambm realizar autenticaes por meio dos protocolos LDAP e RADIUS. Neste
caso, no existe a necessidade de instalao dos autenticadores nas mquinas servidoras,
bastando-se criar os autenticadores dos tipos correspondentes e indicar ao firewall que eles
devem ser utilizados, de acordo com os passos 2 e 3 listados acima.
553
Instalando o agente de autenticao em plataformas Unix
21.2.
Para instalar o agente de autenticao necessrio efetuar o download do Agente de

autenticao adequado ao seu sistema no site da Aker (http://www.aker.com.br), aps o
download descompacte o arquivo e execute o seguinte comando:
#/ ./aginst
O smbolo # representa o prompt do shell quando executado como root, ele no deve ser
digitado como parte do comando.
O programa de instalao copiar o executvel do agente (fwagaut) para o diretrio
/usr/local/bin e copiar um modelo do arquivo de configurao (fwagaut.cfg) para o
diretrio /etc/. Aps a instalao, necessrio personalizar este arquivo, como descrito na
prxima seo.
Caso tenha respondido "Sim" quando o programa de instalao perguntou se o agente
deveria ser iniciado automaticamente, uma chamada ser criada em um arquivo de inicializao
da mquina de modo a carregar automaticamente o agente. O nome deste arquivo de
inicializao dependente da verso de Unix utilizada.
A sintaxe do arquivo de configurao do agente de autenticao

Aps instalar o agente de autenticao necessrio criar um arquivo de configurao com o
endereo dos firewalls que podero utiliz-lo e a senha de acesso de cada um. Este arquivo
em formato texto e pode ser criado por qualquer editor.
O arquivo de configurao do agente de autenticao deve ter seus direitos configurados de
forma que s o usurio root possa ler ou alterar seu contedo. Para fazer isso, pode-se usar o
comando chmod, com a seguinte sintaxe: # chmod 600 nome_do_arquivo.
A sua sintaxe a seguinte:
Cada linha deve conter o endereo IP de um Aker Firewall que ir utilizar o agente, um
ou mais espaos em branco ou caracteres tab e a senha de acesso que o firewall ir
utilizar para a comunicao.
Linhas comeadas pelo caractere #, bem como linhas em branco, so ignoradas.
554
Um exemplo de um possvel arquivo de configurao mostrado a seguir:

# Arquivo de configurao do agente de autenticao do Firewall Aker
#
# Sintaxe: Endereo IP do Firewall e senha de acesso (em cada linha)
#
# Obs: A senha no pode conter espaos e deve ter at 31 caracteres
#
# Linhas comeadas pelo caractere '#' so consideradas comentrios
# Linhas em branco so permitidas
10.0.0.1 teste_de_senha
10.2.2.2 123senha321
O local padro para o arquivo de configurao do agente /etc/fwagaut.cfg, entretanto
possvel cri-lo com qualquer outro nome ou em outro diretrio, desde que essa ao seja
informadaao agente no momento de sua execuo. Isto ser mostrado no tpico abaixo.
Sintaxe de execuo do agente de autenticao
O agente de autenticao para Unix possui a seguinte sintaxe de execuo:
fwagaut [-?] [-c NOME_ARQUIVO] [-s <0-7>] [-q]
Onde:
-? Mostra esta mensagem retorna ao prompt do shell
-c Especifica o nome de um arquivo de configurao alternativo
-s Especifica a fila do syslog para onde devem ser enviadas as
mensagens do autenticador. 0 = local0, 1 = local1, ...
-r Aceita validao do usurio root
-e Aceita usurios com senhas em branco
-q No mostra mensagem na hora da entrada
Suponha que o agente esteja localizado no diretrio /usr/local/bin e que se tenha criado o
arquivo de configurao com o nome /usr/local/etc/fwagaut.cfg. Neste caso, para executar
o agente, a linha de comando seria:
/usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg
Caso queira executar o agente com o arquivo de configurao no local padro, no
necessrio a utilizao da opo -c , bastando simplesmente execut-lo com o comando:
/usr/local/bin/fwagaut
O agente de autenticao deve ser executado pelo o usurio root.
555
Quando for feito alguma alterao no arquivo de configurao necessrio informar isso ao
agente, se ele estiver rodando. Para tal, deve-se executar o seguinte comando: #kill -1 pid
Onde pid o nmero do processo do agente de autenticao. Para ser obtido este
nmero, pode-se executar o comando.
#ps -ax | grep fwagaut , em mquinas baseadas em Unix BSD, ou

#ps -ef | grep fwagaut, em mquinas baseadas em Unix System V.
O agente de autenticao escuta requisies na porta 1021/TCP. No pode existir nenhuma
outra aplicao utilizando esta porta enquanto o agente estiver ativo.
21.3.
Instalando o agente de autenticao em Windows Servertm
A instalao do agente de autenticao para Windows Servertm bastante simples. Efetue o

download do Agente de Autenticao adequado ao seu sistema no site da Aker
(http://www.aker.com.br), Para instal-lo, clique duas vezes no arquivo salvo.
O programa inicialmente mostra uma janela pedindo uma confirmao para prosseguir com
a instalao. Deve-se responder Sim para continuar com a instalao. A seguir ser
mostrada uma janela com a licena e por fim a janela onde pode especificar o diretrio de
instalao.
Aps selecionar o diretrio de instalao, deve-se pressionar o boto Copiar arquivos, que
realizar toda a instalao do agente. Esta instalao consiste na criao de um diretrio
chamado de fwntaa, dentro do diretrio Arquivos de Programas, com os arquivos do
agente, a criao de um grupo chamado de Firewall Aker com as opes de configurao e
remoo do agente e a criao de um servio chamado de Agente de autenticao do Aker
Firewall. Este servio um servio normal do Windows Servertm e pode ser interrompido ou
iniciado por meio do Painel de Controle, no cone servios.
O agente de autenticao escuta requisies nas portas 1016/TCP e 1021/TCP. No pode
existir nenhuma outra aplicao utilizando estas portas enquanto o agente estiver ativo.
556
21.4.
Configurao do agente de autenticao para Windows Servertm
Depois de realizada a instalao do agente, necessrio proceder com a sua configurao.

Esta configurao permite fazer o cadastramento de todos os firewalls que iro utiliz-lo,
bem como a definio de quais mensagens sero produzidas pelo agente, durante seu
funcionamento. Ao contrrio do agente de autenticao para Unix, esta configurao feita
por meio de um programa separado.
Para ter acesso ao programa de configurao, deve-se clicar no menu Iniciar, selecionar o
grupo Firewall Aker e dentro deste grupo a opo Configurar agente de autenticao. Ao ser
feito isso, ser mostrada a janela de configurao do agente, que est distribuda em trs
abas:
Aba de configurao dos firewalls
Figura 386 - Agente de autenticao - Aker.
Esta aba consiste em todas as opes de configurao do agente. Na parte superior existe
dois botes que permitem testar a autenticao de um determinado usurio, a fim de
verificar se o agente est funcionando corretamente. Na parte inferior da pasta existe uma
lista com os firewalls autorizados a se conectarem ao agente de autenticao.
557
Para incluir um novo firewall na lista, basta clicar no boto Incluir, localizado na barra de
ferramentas. Para remover ou editar um firewall, basta selecionar o firewall a ser removido
ou editado e clicar na opo correspondente da barra de ferramentas.No caso das opes
Incluir ou Editar ser mostrada a seguinte janela:
Figura 387 - Agente de autenticao Firewall Aker.
IP: o endereo IP do firewall que se conectar ao agente.

Descrio: um campo livre, utilizado apenas para fins de documentao.
comunicao com o firewall. Esta senha deve ser igual configurada na entidade do
firewall. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades.
Autenticao de usurios suportada: Esse campo indica quais formas de autenticao
de usurios sero permitidas. Ela consiste de duas opes que podem ser selecionadas
independentemente:
Domnio Windows NT/2000: Se essa opo estiver marcada, o agente realizar
autenticao de usurios utilizando a base de usurios do Windows NT/2000.
SecurID ACE/Server: Se essa opo estiver marcada, o agente realizar autenticao de
usurios consultando o servidor SecurID.
558
Aba de log
Figura 388 - Agente de autenticao - Log.

Esta aba muito til para acompanhar o funcionamento do agente de autenticao. Ela
consiste de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada
mensagem existe um cone colorido, simbolizando sua prioridade. As cores tm o seguinte
significado:
Verde
Depurao
Azul
Informao
Amarelo
Notcia
Vermelho
Advertncia
Preto
Erro
Caso no queira que uma determinada prioridade de mensagens seja gerada, basta
desmarcar a opo a sua esquerda.
559
A opo Usar visualizador de eventos, se estiver marcada, faz com que as mensagens sejam
enviadas para o visualizador de eventos do Windows.
Aba Sobre
Figura 389 - Agente de autenticao - Sobre.

Esta uma aba meramente informativa e serve para obter algumas informaes do cliente.
Dentre as informaes teis se encontram sua verso e release.
Remoo do agente de autenticao para Windows Servertm
Para facilitar a remoo do agente de autenticao para NT, existe um utilitrio que a realiza
automaticamente. Para inici-lo, deve-se clicar no menu Iniciar, selecionar o grupo Firewall
Aker e dentro deste grupo a opo Remover agente de autenticao. Ao ser feito isso, ser
mostrada uma janela de confirmao.
Caso deseje desinstalar o agente, deve-se clicar no boto Sim, caso contrrio, deve-se clicar
no boto No, que cancelar o processo de remoo.
560
561
Este captulo mostra quais so e como devem ser configurados os parmetros de

autenticao, essenciais para que seja possvel a autenticao de usurios pelo firewall.
O que so os parmetros de autenticao?

Os parmetros de autenticao servem para informar ao firewall quais as formas de
autenticao que so permitidas, quais autenticadores devem ser pesquisados na hora de
autenticar um determinado usurio e em qual ordem. Alm disso, eles controlam a forma
com que a pesquisa feita, permitindo uma maior ou menor flexibilidade para as
autenticaes.
22.1.
Para ter acesso a janela de parmetros de autenticao deve-se:
Figura 390 - Autenticao.
Clicar no menu Configurao do Firewall da janela Firewalls.

Selecionar o item Autenticao.
Essa janela consiste de seis partes distintas: a primeira aba corresponde ao Controle de
Acesso onde os usurios e grupos de autenticadores so associados com perfis de acesso. A
configurao desta aba ser vista em detalhes em Perfis de Acesso de Usurios, na segunda
562
aba escolhe-se os Mtodos de autenticao onde se determina os parmetros relativos

autenticao de usurios por meio de nomes/senhas e se configuram os parmetros de
autenticao por token (SecurID) e Autoridade Certificadora (PKI), a terceira aba configurase a Autenticao para Proxies. Na quarta aba configura-se a "Autenticao local", e na
quinta aba so configuradas o Controle de Acesso por IP, e a ultima aba NTLM configura a
integrao do Aker Firewall ao Microsoft Active Directory (AD) e utilizar o login
automaticamente. Mais detalhes sero vistos em Perfis de Acesso de Usurios.
O boto OK far com que a janela de configurao de parmetros seja fechada e as

alteraes efetuadas aplicadas.
janela aberta.
sejam aplicadas.
Aba de Controle de Acesso
Figura 391 - Autenticao de acesso: Controle de acesso.

A janela de controle de acesso permite que seja criada a associao de usurios/grupos com
um perfil de acesso.
563
Na parte inferior da janela existe um campo chamado Perfil Padro onde possvel
selecionar o perfil que ser associado aos usurios que no se enquadrem em nenhuma
regra de associao.
A ltima coluna, quando preenchida, especifica redes e mquinas onde a associao
vlida. Se o usurio se encaixar na regra, mas estiver em um endereo IP fora das redes e
mquinas cadastradas, ento a regra ser pulada, permitindo a atribuio de outro perfil ao
usurio. Esse tipo de restrio muito til para permitir acesso s reas sensveis da rede
apenas de alguns locais fsicos com segurana aumentada.
Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se proceder
da seguinte maneira:
1. Clicar com o boto direito do mouse na lista de regras e selecionar a opo Inserir;
2. Selecione o autenticador do qual se deseja obter a lista de usurios ou grupos, clicandose com o boto direito no campo Autenticador;
3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecione entre listagem de
usurios ou grupos e sua lista ser montada automaticamente a partir do autenticador
selecionado. A partir de a lista selecione o usurio ou grupo desejado.
Figura 392 - Autenticao de acesso: Listagem de grupos ou usurios.

4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu abaixo:
564
Figura 393 - Autenticao de acesso: Escolha do perfil desejado.

5. Caso queira, arraste algumas entidades mquina, rede ou conjuntos para o campo
entidades. Se o usurio estiver fora dessas entidades, a regra ser pulada.
Para remover uma regra entre um usurio/grupo e um perfil, deve-se proceder da seguinte
maneira:
1. Clicar na regra a ser removida, na lista da janela;
2. Clicar no boto Apagar.
Para alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte forma:
1. Clicar na regra a ser movida de posio;
2. Arrastar para a posio desejada.
A ordem das associaes na lista de fundamental importncia. Quando um usurio se
autenticar, o Aker Firewall pesquisar a lista a partir do incio procurando pelo nome desse
usurio ou por um grupo de que ele faa parte. To logo um desses seja encontrado, o perfil
associado ao mesmo ser utilizado.
565
Aba Mtodos
Figura 394 - Autenticao de acesso: Mtodos.

Habilita autenticao usurio/senha: Essa opo indica se o firewall aceitar ou no
autenticao de usurios por meio de nomes/senhas. Caso ela esteja ativa, deve-se
configurar os demais parmetros relativos a esse tipo de autenticao:
Pesquisar todos autenticadores: Este parmetro indica se o firewall deve tentar validar um
usurio nos prximos autenticadores da lista no caso de um autenticador retornar uma
mensagem de senha invlida.
Se esta opo estiver marcada, o firewall percorre todos os autenticadores da lista, um a
um, at receber uma resposta de autenticao correta ou at a lista terminar. Caso ela no
esteja marcada, a pesquisa ser encerrada no primeiro autenticador que retornar uma
mensagem
de
autenticao
correta
ou
de
senha
invlida.
Esta opo s usada para respostas de senha invlida. Caso um autenticador retorne
uma resposta indicando que o usurio a ser validado no est cadastrado na base de dados
de sua mquina, o firewall continuar a pesquisa no prximo autenticador da lista,
independentemente do valor desta opo.
Pesquisar autenticador interno: Este parmetro indica se a base de usurios locais do
firewall - definida na pasta Autenticao Local - deve ser consultada para validar a senha dos
566
usurios. Se sim, tambm deve escolher no combo box ao lado se essa base deve ser
consultada antes ou depois dos demais autenticadores.
Permitir domnios especificados pelo usurio: Este parmetro indica se o usurio na hora
de se autenticar pode informar ao firewall em qual autenticador ele deseja ser validado.
Se esta opo estiver marcada, o usurio pode acrescentar juntamente ao seu nome, um
sufixo formado pelo smbolo / e um nome de autenticador, fazendo com que a requisio
de autenticao seja enviada diretamente para o autenticador informado. Caso ela no
esteja marcada, a autenticao ser feita na ordem dos autenticadores configurada pelo
administrador.
O uso desta opo no obriga que o usurio informe o nome do autenticador, apenas
permite que ele o faa, se desejar. Caso o usurio no informe, a autenticao seguir na
ordem normal.
Para ilustrar a especificao de domnio, pode-se tomar como base um sistema no qual
existam dois autenticadores configurados, chamados de Unix e Windows Server. Neste
sistema, se um usurio chamado administrador desejar se autenticar na mquina Windows
Server, ento ele dever entrar com o seguinte texto, quando lhe for solicitado seu login ou
username: administrador/Windows Server. Caso ele no informe o sufixo, o Aker Firewall
tentar autentic-lo inicialmente pela mquina Unix e caso no exista nenhum usurio
cadastrado com este nome ou a opo Pesquisa em todos os autenticadores estiver
marcada, ele ento tentar autenticar pela mquina Windows Server.
O nome do autenticador informado pelo usurio deve estar obrigatoriamente na lista de
autenticadores a serem pesquisados.
Autenticadores a pesquisar
Para incluir um autenticador na lista de autenticadores a serem consultados, deve-se
1. Clicar com o boto direito do mouse onde aparecer um menu suspenso (figura
abaixo) ou arrastando a entidade autenticador para o local indicado;
567
Figura 395 - Autenticao de acesso: Adicionar entidades.

2. Seleciona-se o a opo Adicionar entidades e o autenticador a ser includo, na lista
mostrada direita.
Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinte forma:
1. Selecionar o autenticador a ser removido e apertar a tecla delete ou;
2. Clicar no boto direito do mouse e selecionar no menu suspenso o item Apagar
Figura 396 - Autenticao de acesso: Remover entidades.

Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte forma:
1. Selecionar o autenticador a ser mudado de posio na ordem de pesquisa;
2. Clicar em um dos botes direita da lista: o boto com o desenho da seta para
cima far com que o autenticador selecionado suba uma posio na lista. O boto
com a seta para baixo far com que ele seja movido uma posio para baixo na
lista.
Dica: A adio ou remoo dos autenticadores pode ser feita diretamente com o mouse,
bastando clicar e arrastar os mesmos para a janela correspondente, soltando em seguida.
568
Os autenticadores sero pesquisados na ordem que se encontram na lista, de cima para

baixo.
Habilitar autenticao PKI: Essa opo indica se o firewall aceitar ou no a autenticao de
usurios por meio de smart cards. Caso ela esteja ativa, deve-se configurar as autoridades
certificadoras nas quais o firewall confia.
Figura 397 - Autenticao de acesso: Mtodos 1.

Autoridades Certificadoras Confiveis
Para incluir uma autoridade certificadora na lista de autoridades certificadoras confiveis,
deve-se proceder da seguinte forma:
1.
2.
3.
4.
Clicar com o boto direito do mouse e escolher a opo Incluir Entidades;

Selecionar a autoridade a ser includa;
Clique em Incluir;
Pode-se tambm clicar em uma autoridade certificadora e arrast-la para posio
desejada.
Para remover uma autoridade certificadora da lista de autoridades confiveis, deve-se

1. Selecionar a autoridade a ser removida e apertar a tecla delete ou
569
2. Clicar no boto direito do mouse sobre a entidade a ser removida e escolher a opo
Apagar
Habilitar autenticao por token: Essa opo indica se o firewall aceitar ou no a autenticao de
usurios por meio de tokens. Caso ela esteja ativa, deve-se configurar o nome do autenticador
token a ser consultado para validar os dados recebidos.
Figura 398 - Autenticao de acesso: Mtodos (habilitar autenticao do Token).

Autenticador token a pesquisar: Este campo indica o autenticador token para o qual os
dados a serem validados sero repassados.
570
Aba Autenticao para Proxies
Figura 399 - Autenticao de acesso: Autenticao para proxies.

Estes parmetros indicam que tipos de autenticao sero aceitas nos proxies e em que
ordem sero validadas. Isso importante pois quando um usurio autenticado por meio
de um browser, por exemplo, no possvel que ele especifique se est utilizando token ou
usurio/senha. As opes possveis de configurao so:
Autenticao Token antes da autenticao usurio/senha;

Autenticao usurio/senha antes da autenticao Token;
Autenticao Token somente;
Autenticao usurio/senha somente;
571
Aba Autenticao Local
Figura 400 - Autenticao de acesso: Autenticao local.

Esta aba, pode cadastrar uma srie de usurios e associar um grupo a cada um deles. Se a
opo de usar a base local de usurios estiver habilitada, ento esses usurios tambm
sero verificados como se estivessem em um autenticador remoto. Eles compem o
autenticador local.
Para incluir um usurio, clique com o boto da direita e escolha Inserir, ou ento use o
toolbar e clique no boto inserir. Pode-se usar o boto Inserir no seu teclado.
Figura 401 - Menu para incluso de usurio.

Para alterar o nome do usurio e seu nome completo, basta dar um duplo clique no campo
correspondente:
572
Figura 402 - Autenticao Autenticao local.

Para alterar a senha ou o grupo a que est associado o usurio, use o menu de contexto
sobre o item, clicando com o boto direito do mouse.
Figura 403 - Autenticao alterao de senha ou grupo.
Para criar ou remover grupos, o procedimento o mesmo, mas na lista lateral direita.
573
Figura 404 - Autenticao local criar ou remover grupos.

Grupos vazios no sero mantidos pelo firewall, apenas aqueles que contiverem ao
menos um usurio.
574
Aba Controle de acesso por IP
Figura 405 - Controle de acesso por IP.

O Aker Firewall pode controlar os acessos por intermdio de endereos IP conhecidos
juntamente com perfis criados para este fim. Esta aba permite habilitar e a desabilitar
individual das regras que configuram a autenticao por IP, no sendo mais necessrio ter
que remov-las para desabilit-las, podendo ser habilitada ou desabilitada por meio da
opo no menu suspenso ou por meio do boto
localizado na barra de tarefas.
preciso escolher uma entidade rede ou uma entidade mquina, que definiro a origem do
trfego e associ-las ao perfil, de forma que o trfego originrio dessas entidades no
precisar de autenticao por usurio.
O Acesso por IP estar habilitado sempre que houver pelo menos uma regra habilitada
nesta aba. A autenticao por IP s funciona com o Proxy HTTP/HTTPS.
575
Aba NTLM
Figura 406 - Configurao NTLM.
A janela acima tem a funo de configurar a integrao do Aker Firewall ao Microsoft Active
Directory (AD) e utilizar o login automaticamente, sem que seja solicitada a digitao no
browser.
Esta integrao realizada por meio do Kerberos, Winbind e Samba e o comportamento
deste autenticador ser idntico aos outros tipos de autenticaes suportadas pelo Aker
Firewall podendo listar os usurios e grupos para a vinculao com os perfis de acesso.
Habilitar NTLM: ativando esta opo, uma entidade com o nome NTLM_Auth, estar
disponvel para a configurao na Aba Mtodos da janela de Autenticao.
Active directory:
Endereo IPv4: endereo IP do servidor com o Microsoft Active Directory;
Host: nome netbios do servidor com o Microsoft Active Directory, obtido a partir do
comando hostname executado neste servidor.
Autenticao
Usurio: usurio com privilgios de administrao do domnio para integrao.
576
Senha: senha do usurio citado acima.

Status/Atualizar status: Informa o status da integrao e logs em caso de falhas.
O Aker Firewall funciona com as seguintes verses de NTLM : V1 e V2. O firewall i
responder a requisio enviada pelo servidor de acordo com a verso atual do servidor
NTLM.
Para o bom funcionamento da integrao, o Aker Firewall e o servidor com o Microsoft

Active Directory devem estar com a data e horas sincronizados por meio de um servidor
NTP.
Para que a integrao funcione, o domnio configurado no Aker Firewall na janela
Configurao do Sistema, TCP/IP, aba DNS, deve ser o mesmo domnio do Microsoft Active
Directory.
Esta integrao est disponvel somente para o Filtro Web, em prximas verses a
integrao se estender para todas as funcionalidades do Aker Firewall.
Para usurios que no estiverem cadastrados no domnio do Microsoft Active Directory a
autenticao ser realizada por meio de um POP-UP no browser do usurio que ser
solicitada a cada 15 minutos para autenticao http 1.1, e solicitada apenas uma vez para
autenticao Java;. Abaixo segue a imagem que ser apresentada as estes usuarios.
577
Figura 407 - Segurana do Windows solicitao de usurio e senha.

A autenticao transparente est disponvel somente para o Filtro Web e Modo PROXY
ATIVO, em prximas verses a integrao se estender para todas as funcionalidades do
Aker Firewall.
Em autenticaes via java necessrio liberar a consulta do certificado nas portas HTTP,
e HTTPS sem proxy. Esta regra deve vir antes da regra de autenticao.
A regra deve tem como origem a Rede interna do usurio com destino aos IPS da url
ocsp2.globalsign.com, como exibido na imagem a seguir:
Figura 408 - regra de liberao de consulta do certificado
Figura 409 - IPS
578
22.2.
Utilizando a Interface Texto (via SSH-fwauth)
A Interface Texto (via SSH) permite configurar qual o tipo de autenticao ser realizada e a
ordem de pesquisa dos autenticadores (E possvel usar todos os comandos sem o prefixo
FW, para isso execute o comando fwshell, ento todos os comando podero ser
acessados sem o prefixo FW).
Localizao do programa: /aker/bin/firewall/fwauth

Sintaxe:
Uso: fwauth [mostra | ajuda]
fwauth [habilita | desabilita]
fwauth [inclui | remove] [ca | token | autenticador] <entidade>
fwauth [domnio | pesquisa_todos] [sim | no]
fwauth proxy [token | senha] [sim | no]
fwauth proxy primeiro [token | senha]
Ajuda do programa:
Firewall Aker
fwauth - Configura parmetros autenticao
Uso: fwauth [mostra | ajuda]
fwauth [habilita | desabilita]
fwauth [inclui | remove] [ca | token | autenticador] <entidade>
fwauth [domnio | pesquisa_todos] [sim | no]
fwauth local [primeiro | ultimo | nao]
fwauth proxy [token | senha] [sim | no]
fwauth proxy primeiro [token | senha]
habilita
= habilita a autenticao
desabilita = desabilita a autenticao

inclui = inclui entidade na lista de autenticadores ativos
remove = remove entidade da lista de autenticadores ativos
domnio = configura se o usurio pode ou no especificar domnio
579
local
= indica se o autenticador local deve ser consultado antes dos demais
autenticadores (primeiro), depois de todos (ultimo) ou se nao deve ser utilizado (nao)
pesquisa_todos = configura se deve pesquisar em todos os autenticadores
proxy senha = habilita autenticao por proxies do tipo usurio/senha
proxy token = habilita autenticao por proxies do tipo Token
proxy primeiro = configura qual o primeiro tipo de autenticao a ser usado
Exemplo 1: (mostrando os parmetros de autenticao)
#fwauth mostra AUTENTICACAO USURIO/SENHA:
--------------------------Pesquisa em todos autenticadores: sim
Usurio pode especificar domnio: no
Autenticadores cadastrados:
aut_local
AUTENTICACAO PKI:
----------------No ha autenticadores cadastrados
AUTENTICACAO SECURY ID:
----------------------No ha autenticadores cadastrados
Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos)
#fwauth inclui autenticador "agente 10.0.0.12
Autenticador includo
580
581
Neste captulo mostra para que servem e como configurar perfis de acesso no Aker Firewall.
23.1.
O que so perfis de acesso?

Firewalls tradicionais baseiam suas regras de proteo e controle de acesso a partir de
mquinas, por meio de seus endereos IP. Alm de o Aker Firewall permitir este tipo de
controle, ele tambm permite definir o controle de acesso por usurios. Desta forma,
possvel que determinados usurios tenham seus privilgios e restries garantidos,
independentemente de qual mquina estejam utilizando em um determinado momento.
Isso oferece o mximo em flexibilidade e segurana.
Para possibilitar este controle de acesso em nvel de usurios, o Aker Firewall introduziu o
conceito de perfis de acesso. Perfis de acesso representam os direitos a serem atribudos a
um determinado usurio no firewall. Estes direitos de acesso englobam todos os servios
suportados pelo firewall, o controle de pginas WWW e o controle de acesso por meio do
proxy SOCKS. Desta forma, a partir de um nico local, consegue definir exatamente o que
pode e no pode ser acessado.
Como funciona o controle com perfis de acesso?
Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados e
posteriormente associa-se estes perfis com usurios e grupos de um ou mais
autenticadores. A partir deste momento, todas as vezes que um usurio se logar no firewall
com o Aker Client ou outro produto que oferea funcionalidade equivalente, o firewall
identificar o perfil de acesso correspondente a este usurio e configurar as permisses de
acesso de acordo com este perfil. Tudo feito de forma completamente transparente para
o usurio final.
Para que seja possvel o uso de perfis de acesso necessrio que o Aker Client esteja
instalado em todas as mquinas clientes ou que se use a opo de autenticao por Java no
Filtro Web. Caso contrrio, s ser possvel a utilizao de controle de acesso a pginas WWW
ou a servios por meio do proxy SOCKS. A autenticao de usurios por meio do Filtro Web
(sem Java) e SOCKS so possveis na medida em que eles solicitarem um nome de usurio e uma
senha e pesquisarem o perfil correspondente quando no identificarem uma sesso ativa para
uma determinada mquina.
582
23.2.
Cadastrando perfis de acesso
Os perfis de acesso do Aker Firewall definem quais pginas WWW podem ser visualizadas e
quais tipos de servio podem ser acessados. Para cada pgina WWW ou servio, existe uma
tabela de horrios associada, por meio da qual possvel definir os horrios nos quais o
servio ou pgina podem ser acessados.
Para ter acesso janela de perfis de acesso deve-se:
Figura 410 - Perfis.
Clicar no menu Configurao do Firewall da janela de administrao do firewall.

Selecionar o item Perfis.
583
A janela de Perfis
Figura 411 - Perfis Aker Firewall.

A janela de perfis contm todos os perfis de acesso definidos no Firewall. Ela consiste de
uma lista onde cada perfil mostrado em uma linha separada.
O boto OK far com que a janela de perfis seja fechada;

O boto Aplicar enviar para o firewall todas as alteraes feitas, porm manter a
janela aberta;
Para executar qualquer operao sobre um determinado perfil, deve-se clicar sobre ele e a
seguir clicar na opo correspondente na barra de ferramentas. As seguintes opes esto
disponveis:
Figura 412 - Opes de configurao de perfil
584
Inserir perfil filho: Incluir um novo perfil que filho do perfil atual, i.e., estabelece uma
hierarquia de perfis.
Inserir: Permitir a incluso de um novo perfil na lista.
Copiar: Copiar o perfil selecionado para uma rea temporria.
Colar: Copiar o perfil da rea temporria para a lista.
Excluir: Remover da lista o perfil selecionado.
Relatrio dos perfis: Gera relatrio da lista de perfis em um documento HTML
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas, bem como a opo de relatrio dos Perfis, todos localizados logo acima da
lista. Na opo relatrio dos perfis, primeiro selecionam-se os itens para relatrio, e em
seguida indica o caminho e clique no boto Gerar.
Recomenda-se a no utilizao de caracteres especiais (espaos, traos, sinais, acentos,
aspas e etc..) na criao ou edio dos "perfis de acesso" do Firewall, exemplo: "Perfil
Administrao", a forma correta "Perfil_Administracao.
Para excluir um perfil de acesso, ele no poder estar associado a nenhum usurio (para
maiores informaes veja o tpico Associando Usurios com Perfis de Acesso)
O perfil filho, criado com a opo Inserir perfil filho herdar automaticamente as
configuraes do perfil pai.
Na parte superior de ambas as pastas se encontram o campo Nome, que serve para
especificar o nome que identificar unicamente o perfil de acesso. Este nome ser mostrado
na lista de perfis e na janela de controle de acesso. No podem existir dois perfis com o
mesmo nome.
Cada perfil de acesso composto de onze tpicos diferentes. Dependendo do tpico
selecionado em um momento, a parte direita da janela mudar de modo a mostrar as
diferentes opes. Os tpicos de configurao so:
585
23.3.
Geral
Figura 413 - Perfis: Geral.
As opes gerais de filtragem so definidas pelos seguintes campos:

Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as regras de
seus perfis filhos.
Configura a prioridade para as regras dos perfis filhos: Se esta opo estiver
marcada, as regras dos perfis filhos iro aparecer acima das regras dos perfis
pais, isto , elas tero prioridade sobre as regras do pai. Caso contrrio, as regras
do perfil pai tero prioridade sobre as regras dos seus perfis filhos. Ou seja, nos
perfis filhos, as regras herdadas do pai iro aparecer acima de suas regras.
Horrio padro: Esta tabela define o horrio padro para as regras de filtragem WWW.
Posteriormente, ao se incluir regras de filtragem WWW, existe a opo de se utilizar este
horrio padro ou especificar um horrio diferente.
As linhas representam os dias da semana e as colunas s horas. Caso queria que a regra seja
aplicvel em determinada hora ento o quadrado deve ser preenchido, caso contrrio o
quadrado deve ser deixado em branco. Para facilitar sua configurao, pode-se clicar com o
586
boto esquerdo do mouse sobre um quadrado e a seguir arrast-lo, mantendo o boto

pressionado. Isto faz com que o a tabela seja alterada na medida em que o mouse se move.
23.4.
FTP e GOPHER
Figura 414 - Perfis: FTP e GOPHER.
A opo de filtragem FTP e GOPHER permitem a definio de regras de filtragem de URLs

para os protocolos FTP e GOPHER. Ela consiste de uma lista onde cada regra mostrada em
uma linha separada.
Na parte inferior da pasta existe um grupo que define a ao a ser executado caso o
endereo que o cliente desejou acessar no se encaixe em nenhuma regra de filtragem. Este
grupo chamado de Ao padro para o protocolo e consiste de duas opes.
Permitir: Se esta opo for selecionada, ento o firewall aceitar as URLs que no se
enquadrarem em nenhuma regra.
Bloquear: Se esta opo for selecionada, ento o firewall rejeitar as URLs que no se
Para executar qualquer operao sobre uma determinada regra, basta clicar sobre ela e a
disponveis:
587
Figura 415 - Menu de opes (Perfis).
Desabilitar: Ativar ou desativar a regra selecionada na lista.
A ordem das regras na lista de regras de filtragem de fundamental importncia. Ao receber
uma solicitao de acesso a um endereo, o firewall pesquisar a lista a partir do incio,
procurando por uma regra na qual o endereo se encaixe. To logo uma seja encontrada, a ao
associada a ela ser executada.
Cada regra de filtragem consiste de uma operao, que indica qual tipo de pesquisa ser
feita e o texto a ser pesquisado. Para acessar estas opes de operao clique na entidade
que selecionada na coluna Padres de Texto e a tela a seguir ser exibida:
588
Figura 416 - Opes de operao
CONTM: A URL deve conter o texto informado em qualquer posio.

NO CONTM: A URL no pode conter o texto informado.
: O contedo da URL deve ser exatamente igual ao texto informado.
NO : O contedo da URL deve ser diferente do texto informado.
COMEA COM: O contedo da URL deve comear com o texto informado.
NO COMEA COM: O contedo da URL no pode comear com o texto informado.
TERMINA COM: O contedo da URL deve terminar com o texto informado.
NO TERMINA COM: O contedo da URL no pode terminar com o texto informado.
EXPRESSO REGULAR: O campo a ser pesquisado dever ser uma expresso regular.
TUDO: Aceitara todo contedo da URL
Seguem as definies dos campos da janela:

N: Nmero da regra de filtragem.
Limite de busca: Esse campo permite escolher em qual parte da URL ser feito a busca,
sendo que os parmetros a serem pesquisados sero definidos no campo Text Patterns.
589
Padres de texto: Ao clicar com o boto direito do mouse nesse campo, permite selecionar
uma entidade lista de padres criada anteriormente. Com isso, ser possvel associar a regra
a uma entidade padro de pesquisa, permitindo definir qual ser a string ou os parmetros
que sero pesquisados na URL acessada e qual operao a ser efetuada.
Ao: Define a ao a ser executada caso o endereo que o usurio desejou acessar no se
encaixe em nenhuma regra de filtragem. Consiste em duas opes.
Categorias: Nesse campo, permite associar alguma entidade categoria regra que est
sendo criada.
Canal: Usado em regras de filtragem com o objetivo de limitar a banda de determinados
servios, mquinas, redes e/ou usurios.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos pelos
funcionrios, com acesso sites da WEB. Assim as quotas so os limites em termos de
tempo de acesso e volume de dados, por usurio. Esta opo permite associar ao usurio
alguma entidade quota criada.
Time: Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo: Permite definir
que nas segundas-feiras e nas quartas-feiras o usurio ter acesso Internet somente das
12:00 s 14:00.
Perodo de Validade: Perodo de validade e aplicao da regra. definido em ms e ano.
590
HTTP/HTTPS
23.5.
Aba Geral
Figura 417 - Geral: HTTP e HTTPS.
Bloquear: Este campo define as opes de bloqueio em sites WWW. So elas:
URLs com endereo IP: Se esta opo estiver marcada, no ser permitido o acesso a
URLs com endereos IP ao invs de nome (por exemplo, http://10.0.1.6), ou seja,
somente ser possvel se acessar URLs por nomes.
Caso tenha configurado o Filtro Web para fazer filtragem de URLs, deve-se configurar esta opo
de modo que o usurio no possa acessar por meio de endereos IP, caso contrrio, mesmo com o
nome bloqueado, o usurio continuar acessando a URL por meio de seu endereo IP. possvel
acrescentar endereos IP nas regras de filtragem WWW do perfil (caso queria realizar filtragem com
esta opo ativa), entretanto, devido a estes sofrerem mudanas e ao fato de muitos servidores
terem mais de um endereo IP, isto se torna extremamente difcil. Por outro lado, muitos
administradores percebem que sites mal configurados (especialmente os de webmail) utilizam
redirecionamento para servidores pelo seu endereo IP, de forma que, com esta opo
desmarcada, tais sites ficam inacessveis.
591
O bloqueio de URL no tem suporte para pginas HTTPS quando estiver sendo utilizado o Proxy
ativo (ao bloquear uma pgina utilizando este mtodo, o browser ir mostrar o erro de
comunicao.
Java, Javascript e Activex: Este campo permite definir uma filtragem especial para pginas
WWW, bloqueando, ou no, tecnologias consideradas perigosas ou incmodas para alguns
ambientes. Ela possui trs opes que podem ser selecionadas independentemente:
Javascript, Java e Activex.
A filtragem de Javascript, Java e ActiveX feita de forma com que a pgina filtrada seja
visualizada como se o browser da mquina cliente no tivesse suporte para a(s) linguagem(s)
filtrada(s). Em alguns casos, isto pode fazer com que as pginas percam sua funcionalidade.
Bloqueio de Banners: Esta opo realiza o bloqueio de banners publicitrios em pginas

Web. Caso ela esteja marcada, o firewall substituir os banners por espaos vazios na
pgina, diminuindo o seu tempo de carga.
Uma vez configurado que se deve realizar o bloqueio, o mesmo ser feito por meio de
regras globais, iguais para todos os perfis. Para configurar estas regras de bloqueio de
banners, deve-se:
Figura 418 - Janela de acesso: Bloqueio de Banners.
Clicar no menu Aplicao da janela principal.

Selecionar o item Bloqueio de banners.
592
Figura 419 - Bloqueio de Banners (URL de banners).
Esta janela formada por uma srie de regras no formado de expresso regular. Caso uma
URL se encaixe em qualquer regra, a mesma ser considerada um banner e ser bloqueada.
A pasta de filtragem HTTP/HTTPS permite a definio de regras de filtragem de URLs para os
protocolos HTTP/HTTPS. Ela consiste de uma lista onde cada regra mostrada em uma linha
separada.
O protocolo HTTPS, para a URL inicial filtrado como se fosse o protocolo HTTP. Alm disso, uma
vez estabelecida comunicao no mais possvel para o firewall filtrar qualquer parte de seu
contedo, j que a criptografia realizada diretamente entre o cliente e o servidor.
593
Aba Filtro de URL
Figura 420 - Perfis: bloqueio de URL.
Na parte inferior da pasta existe um grupo que define a ao a ser executado caso o
endereo que o cliente desejou acessar no se encaixe em nenhuma regra de filtragem. Este
grupo chamado de Ao padro para o protocolo e consiste de trs opes.
Para executar qualquer operao sobre uma determinada regra, basta clicar sobre ela e a
disponveis:
Figura 421 - Barra de ferramentas (inserir ou desabilitar).

594
A ordem das regras na lista de regras de filtragem WWW de fundamental importncia. Ao
receber uma solicitao de acesso a um endereo, o firewall pesquisar a lista a partir do incio,
procurando por uma regra na qual o endereo se encaixe. To logo uma seja encontrada, a ao
Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa ser
feita e, o texto a ser pesquisado. As seguintes opes operao esto disponveis:
CONTM: A URL deve conter o texto informado em qualquer posio.

NO CONTM: A URL no pode conter o texto informado.
: O contedo da URL deve ser exatamente igual ao texto informado.
NO : O contedo da URL deve ser diferente do texto informado.
COMEA COM
: O contedo da URL deve comear com o texto informado.
NO COMEA COM: O contedo da URL no pode comear com o texto informado.
TERMINA COM: O contedo da URL deve terminar com o texto informado.
NO TERMINA COM: O contedo da URL no pode terminar com o texto informado.
EXPRESSO REGULAR: O campo a ser pesquisado dever ser uma expresso regular.
Seguem as definies dos campos da janela:
N: Nmero da regra de filtragem.
Limite de busca: Esse campo permite escolher em qual parte da URL ser feito a busca,
sendo que os parmetros a serem pesquisados foram definidos no campo Text Patterns.
Padres de texto: Ao clicar com o boto direito do mouse nesse campo, permite
selecionar uma entidade lista de padres criada anteriormente. Com isso, ser possvel
associar a regra a uma entidade padro de pesquisa, permitindo definir qual ser a string
ou os parmetros que sero pesquisados na URL acessada e qual operao a ser
efetuada.
Ao: Define a ao a ser executado caso o endereo que o usurio desejou acessar no
se encaixe em nenhuma regra de filtragem. Consiste em duas opes.
595
IDS: Habilita ou desabilta uma varredura da conexo HTTP/HTTPS de acordo com os

filtros IDS.
Categorias: Nesse campo, permite associar alguma entidade categoria regra que est
sendo criada.
Canal: Usado em regras de filtragem com o objetivo de limitar a banda de determinados
servios, mquinas, redes e/ou usurios.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos pelos
funcionrios, com acesso sites da WEB. Assim as quotas so os limites em termos de
tempo de acesso e volume de dados, por usurio. Esta opo permite associar ao
usurio alguma entidade quota criada.
Time: Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo: Permite
definir que nas segundas-feiras e nas quartas- feiras o usurio ter acesso internet
somente das 12:00 s 14:00.
Perodo de Validade: Perodo de validade e aplicao da regra. definido em ms e ano.
Aba Arquivos Bloqueados
Figura 422 - Perfis: Arquivos bloqueados.
Especificar os arquivos que sero bloqueados pelo perfil juntamente com o Filtro Web.
596
possvel utilizar dois critrios complementares para decidir se um arquivo transferido deve
ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um destes critrios for
atendido, em outras palavras, se a extenso do arquivo estiver entre aquelas a serem
analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, ento o
arquivo dever ser bloqueado pelo firewall.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um
protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo
indica o subtipo. O navegador usa esta informao para decidir como mostrar a informao
que ele recebeu do mesmo modo como o sistema operacional usa a extenso do nome do
arquivo.
Sites Excludos:
Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se enquadrarem
na lista de excludos no sero analisados.
Opes de operao:
Figura 423 - Escolhas de operaes.
URL Bloqueada:
Permitir a configurao de qual ao deve ser executada pelo firewall quando um usurio
tentar acessar uma URL no permitida. Ela consiste das seguintes opes:
597
Mostra mensagem padro ao bloquear URL: Quando selecionada essa opo, o

firewall mostra uma mensagem de erro informando que a URL que se tentou acessar
se encontra bloqueada.
Redireciona URL bloqueada: Quando selecionada essa opo, o firewall
redirecionar todas as tentativas de acesso a URLs bloqueadas para uma URL
especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os
acessos bloqueados sero redirecionados (sem o prefixo http://) no campo a seguir.
Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando
a tentativa de acesso a uma URL for bloqueada. Ento se pode optar em mostrar a
pgina padro ou redirecionar para a pgina escolhida, que ser personalizada de
acordo com os check boxes selecionados. Segue abaixo a descrio de cada opo e
o detalhamento das variveis criadas.
Cada um desses checkbox selecionado, um parmetro. Isso utilizado para
identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi
bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria
que causou o bloqueio da pgina.
Domnio: Quando selecionada essa opo ser mostrada o domnio da URL.
Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br. Quando
selecionado o domnio, criada a varivel domain.
Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT, POST.
Quando selecionado o Mtodo criada a varivel method.
Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Quando selecionada
essa opo criada a varivel perfil.
Ip do usurio: Endereo IP do usurio que tentou acessar a URL que foi bloqueada.
Quando selecionado o Mtodo criada a varivel IP.
Razes: Ao selecionar a Razo criada a varivel razo. Ao habilitar essa opo ser
mostrada a razo do bloqueio do site. Por exemplo, temos as seguintes razes:
"categoria da URL",
"regra de bloqueio",
"quota bytes excedidos",
"quota bytes insuficientes",
"quota tempo excedido",
"tipo de objeto no permitido",
"tipo de arquivo no permitido globalmente",
"tipo de arquivo no permitido no perfil",
"connect para a porta especificada no permitido
598
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a

Categoria criada a varivel cats.
Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao selecionar o nome
do usurio criada a varivel user.
Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou. Ao
selecionar o nmero da regra criada a varivel rule.
Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi bloqueada.
Ao selecionar o Site da URL bloqueado criada a varivel url.
Quando o proxy ativo estiver sendo utilizado uma URL for bloqueada por uma quota ou
por lista de padro de busca, a pagina padro para o bloqueio no ser mostrada.
Em preview, aparece como ser a URL e o que ser enviado via mtodo GET.
23.6.
MSN Messenger
Figura 424 - Perfis MSN Messenger.
599
Essa aba permite configurar as opes de uso do MSN Messenger e seus servios. Para mais
informaes, veja o captulo Configurando o Proxy MSN. As seguintes opes esto
disponveis:
Permite Messenger: Se esta opo estiver desmarcada, os usurios que pertencerem a este
perfil no podero acessar o Messenger, mesmo que exista uma regra de filtragem
permitindo este acesso.
fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP, caso contrrio
poder ser possvel acessar o Messenger por meio deste servio. Esta opo de bloqueio j vem
configurada como padro, mas importante atentar a isso caso se realize configuraes no proxy
HTTP.
No Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger esteja ativa.
Ela indica que o usurio poder usar MSN Messenger, sem nenhum tipo de filtragem (ex:
tempo de conversao, etc.).
Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger esteja ativa. Ela
indica que o usurio poder usar o MSN Messenger, porm de forma controlada, ou seja,
definida por meio das regras de filtragem para este servio.
Permite notificaes do Hotmail: Esta opo (que s estar ativa caso o acesso filtrado ao
MSN Messenger tenha sido selecionado) permite que o usurio receba notificaes de
mensagens disponveis no Hotmail.
Incluir conversas nos registros de log: Se esta opo estiver habilitada, todas as conversas
entre os usurios sero logadas
Bloquear verso: Estas opes permitem que sejam bloqueadas as verses especficas do
cliente MSN Messenger.
Caso tenha selecionado a opo de acesso filtrado ao Messenger, necessrio criar uma ou
mais regras para definir que tipo de acesso ser permitido. Para executar qualquer operao
sobre uma regra, basta clicar sobre ela com o boto direito e a seguir escolher a opo
desejada no menu que ir aparecer. As seguintes opes esto disponveis:
Figura 425 - Menu (inserir/desabilitar) para executar qualquer operao sobre a regra.
Inserir: Permitir a incluso de uma nova regra na lista.

600

Colar: Copiar a regra da rea temporria para a lista.
Cada regra MSN consiste das seguintes opes:

Origem: E-mail MSN da pessoa que escreveu a mensagem
Destino: E-mail MSN da pessoa a quem se detina a mensagem
Os campos Origem e destino so baseados no fluxo da mensagens, por exemplo: Para que A
e B possam conversar uma regra deve ser criada, para que A (origem) escreva para B (Destino) e
vice-versa, sendo B (origem) possa escreve para A (Destino).
Ao: Define a ao a ser executada caso o endereo que o usurio desejou acessar no se
encaixe em nenhuma regra de filtragem. Consiste em duas opes:
Aceita: Se esta opo for selecionada, ento o firewall aceitar as URLs que no se
Rejeita: Se esta opo for selecionada, ento o firewall rejeitar as URLs que no se
Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos podem
ser enviados/recebidos por meio do Messenger. Para isso deve-se inserir uma ou mais
entidades do tipo Lista de Tipo de Arquivo (para maiores informaes veja o captulo
Cadastrando entidades), contendo a lista de tipos de arquivos permitidos.
Tipos de servios: Nesta coluna pode-se especificar quais servios adicionais podem ser
utilizados por meio do Messenger. A definio dos tipos de servios possveis feita dentro
da configurao do proxy MSN. Para maiores informaes veja o captulo Configurando o
proxy MSN.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gasto pelos
funcionrios, com acesso a sites da WEB. Assim as quotas so os limites em termos de
tempo de acesso e volume de dados, por usurio. Esta opo permite associar ao usurio
alguma entidade quota criada. A contabilizao de quotas funciona da seguinte maneira:
Uma quota especifica esteja em regras distintas, desta forma o tempo e volume da dados
desta conta ser somando, fazendo um clculo de todas as regras em que esta quota esta
(caso exista quotas distintas para cada uma das regras, estas quotas sero contabilizadas
separadamente). Downloads e uploads tambm so contabilizados.
601
Logar: Se esta opo estiver habilitada, todas as aes que o usurio efetuar sero logadas,
por exemplo, transferncia de arquivos.
As conversas dos usurios no sero logadas ao habilitar a opo Logar, para que as conversas
sejam logadas a opo Incluir conversas nos registros de log deve estar habilitada.
Pastas compartilhadas: Nesta opo pode-se optar por permitir ou no que o usurio
compartilhe pastas no MSN.
Tabela de Horrios: Horrio em que o usurio poder utilizar o servio Messenger, dividido
nas 24 horas do dia. Caso seja desejado possvel copiar o horrio padro do perfil de
acesso, clicando-se com o boto direito sobre a tabela de horrios e selecionando-se a
opo Usar tabela de horrio padro do perfil.
23.7.
Regras de segurana
Figura 426 Regras de segurana
602
A opo Regras de segurana permite que o administrador filtre quais os tipos de usurios
que estaro autorizados a se conectar/autenticar no Firewall.
Habilitar regras de segurana: Esta opo deve estar selecionada para que as regras sejam
criadas.
Aceitar clientes antigos: Esta opo usada para permitir que usurios que estejam usando
uma verso desatualizada do Aker Client se conectem no Firewall. Caso esta opo esteja
desmarcada estes usurios no podero acessar o Firewall.
Plataforma: Permite que o administrador selecione o tipo de plataforma que poder se
autenticar no Firewall. As opes disponveis so:
Figura 427 Menu opes de plataforma
Verso da plataforma: Nesta opo o administrador deve selecionar qual verso da

plataforma estar autorizada a se conectar no Firewall.
Item: Esta opo permite que o administrador selecione quais os tipos de itens e seus
respectivos estados tero permisso para se autenticar no Firewall
Figura 428 Menu de opes Itens
Log: Esta opo permite que o administrador defina se os logs de autenticao sero
gravados ou no.
603
Ao: Define a ao que ser executada
Aceitar: Se esta opo for selecionada, as definies feitas nesta regra sero
permitidas.
Rejeitar: Se esta opo for selecionada, as definies feitas nesta regra sero
rejeitadas.
Figura 429 - verificar filro por lixnus
Filtro de plataforma por string: Este campo permite que o usurio faa filtros de verses de
sistemas operacionais, por exemplo: Fedora, ubuntu, debian ou Windows XP, vista, 7 ou 8.
Horrio: Esta opo define o perodo em que as regras sero aplicadas.

Ao padro: Esto opo define se todos os usurios podero se autenticar no Firewall ou
no.
Aceitar: Permite que todos os usurios se autentiquem no Firewall.

Rejeitar: Nenhum usurio poder se autenticar no Firewall.
A ao padro no sobrescreve a ao definida dentro das regras, ou seja, as aes das

regras sero lidas antes da ao padro.
604
23.8.
Regras
Figura 430 - Regras: regras de filtragem para o perfil de acesso.
A opo de regras permite especificar regras de filtragem para o perfil de acesso. Seu
formato exatamente igual janela de regras de filtragem com a nica exceo de que no
se devem especificar entidades origem para a regra. Aqui tambm possvel trabalhar com
Polticas de Regras de Filtragem. (para maiores informaes, consulte o captulo intitulado
Filtro de Estados).
As regras de filtragem para os perfis de acesso consideram como origem a mquina na qual a
sesso foi estabelecida. Devido a isso, necessrio apenas especificar as entidades destino e
servios que podem ser acessados.
605
23.9.
Regras SOCKS
Figura 431 - Perfis: Socks.
A opo de regras SOCKS permite especificar regras de filtragem para o acesso por meio do
proxy SOCKS. Seu formato exatamente igual janela de regras de filtragem com a nica
exceo de que no se deve especificar entidades origem para a regra (para maiores
informaes, consulte o captulo intitulado Filtro de Estados).
As regras de filtragem para o proxy SOCKS consideram como origem a mquina na qual a
sesso foi estabelecida. Devido a isso necessrio apenas especificar as entidades destino e
606
23.10.
VPN SSL (Proxy SSL)
Figura 432 - Perfis: VPN-SSL (Proxy SSL).
Esta aba permite configurar os servios para que possam ser acessados por meio de Proxy
SSL e/ou VPN SSL pelos usurios que se enquadrarem neste perfil de acesso. Seu formato
exatamente igual janela de regras de filtragem com as excees de que no se deve
especificar entidades origem para a regra e de que nem todas as opes esto disponveis
(acumulador, canal, etc). Aqui tambm possvel trabalhar com Polticas de Regras de
Filtragem. (para maiores informaes, consulte o captulo intitulado O Filtro de Estados).
N.: Nmero da regra de filtragem.
Destino: Nesta coluna pode-se controlar o destino da conexo.
Servios: Permite indicar a porta de comunicao do protocolo.
Tipo: Indica o tipo de conexo SSL. Pode ser direta ou por meio do applet.
A conexo direta denominada Proxy Reverso SSL, que possibilita a utilizao de
certificados X.509 com tamanhos de chaves 1024, 2048 ou 4096 bits. O Cliente abre uma
conexo SSL com o Firewall, e o Firewall abre uma conexo normal com o servidor.
607
Figura 433 - Conexo Direta: Proxy Reverso SSL.
Na conexo via applet o cliente abre uma conexo via SSL com o Firewall por meio de uma
pgina WEB. O Firewall disponibiliza um applet de redirecionamento que o cliente ir baixlo em sua mquina. Esse applet inicia uma conexo com o Firewall via SSL e o Firewall inicia
uma conexo com o servidor.
Figura 434 - Conexo Via Apllet.
Figura 435 - Conexo Cliente Applet / SSL / Normal.
608
Servio de Bind: Permite indicar a porta de comunicao onde o applet (dar um bind)
iniciar o servio. Para isso deve-se inserir uma ou mais entidades do tipo servio.
Ao: Este campo define qual a ao a ser tomada para todos os pacotes que se encaixem
nesta regra. Ela consiste nas seguintes opes:
Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem por meio do

firewall;
Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta
regra. Assim ser enviado um pacote ICMP para a mquina de origem do pacote
dizendo que o destino inatingvel. Esta opo no funciona para alguns tipos de
servio ICMP, devido a uma caracterstica inerente a este protocolo.
Log: Definir quais tipos de aes sero executadas pelo sistema quando um pacote se
encaixar na regra. Ele consiste em vrias opes que podem ser selecionadas
independentemente uma das outras.
Hora: Definir as horas e dias da semana em que a regra ser aplicvel. As linhas
representam os dias da semana e as colunas representam as horas. Caso queira que a regra
seja aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o
As regras de filtragem para os perfis de acesso consideram como origem a mquina na qual a
sesso foi estabelecida. Devido a isso necessrio apenas especificar as entidades destino e
609
23.11.
Secure Roaming
Aba Configurao
Figura 436 - Perfis: Secure Roaming.
Essa aba permite que sejam configuradas as opes de acesso do Secure Roaming que
variam de acordo com as permisses do cliente que est conectado. Para as demais
configuraes, veja o captulo Configuraes do Secure Roaming.
Permite Secure Roaming: Habilita a fazer uso do secure roaming do Firewall.

Permite o envio de pacotes broadcast aos clientes: Pacotes broadcast so
utilizados por protocolos que precisam, em algum ponto de seu funcionamento,
uma comunicao entre um hosts e todos os outros de uma sub-rede de modo
eficiente. Esse o caso do protocolo Netbios sobre IP. Infelizmente, o abuso no
uso desse tipo de pacote pode causar o congestionamento de um link lento,
como uma conexo dial-up.
Alterar o gateway padro durante a sesso VPN: Ao alterar a rota padro dos
hosts que se conectam via Secure Roaming, eles passam a no conseguir acessar
outros destinos na Internet sem passar por dentro da rede com os endereos
virtuais do Secure Roaming. Isso significa que, para conexes bidirecionais, eles
ficam protegidos pelo firewall coorporativo e tambm sujeitos s polticas nele
definidas.
610
Servidores DNS: Configura at trs servidores DNS a serem usados durante a

sesso criptogrfica. Usado para o caso de haver um servidor de DNS interno na
corporao.
Servidores WINS: Configura at trs servidores WINS a serem usados durante a
sesso criptogrfica. Da mesma forma, essa configurao ser til no caso da
corporao usar servidores WINS internos. ignorada pelos clientes que no
sejam Windows.
Domnio: Acrescenta um domnio s configuraes de nomes da mquina cliente
durante a sesso criptogrfica. Geralmente usado em conjunto com a alterao
dos servidores DNS.
Rotas: Durante a sesso do cliente, algumas rotas podem ser necessrias para
acessar diversos servios da rede interna. Elas se cadastram uma a uma nesse
campo.
Aba Conjunto de Endereos
Figura 437 - Perfis: Security Roaming (conjunto de endereos).
Permite definir um IP ou um range de IPs aos clientes que se conectarem ao Firewall e

estiverem vinculados a este perfil. Caso no tenha uma configurao nesta Aba, ser
utilizado as configuraes padres do Secure Roaming.
611
23.12.
Filtros de Aplicao
Figura 438 - Perfis: Filtragem de aplicao.
Essa aba permite configurar as regras para filtros de aplicao. Estas regras permitem, por
exemplo, que determinados tipos de arquivos sejam bloqueados de acordo com seu tipo
real, independentemente de sua extenso ou protocolo que esteja sendo utilizado para
envi-los. possvel tambm ao invs de bloquear, simplesmente mudar a prioridade de um
servio ou tipo de arquivo sendo transmitido.
Uma das grandes utilizaes destes filtros para otimizar o acesso Internet. possvel, por
exemplo, que todos os usurios tenham um acesso rpido Internet, porm quando estes
tentarem baixar arquivos cujos tipos no sejam considerados importantes, i.e, mp3, vdeos,
etc, a conexo sendo utilizada para transferir estes arquivos automaticamente fique com
uma largura de banda bastante reduzida.
Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o boto
direito e a seguir escolher a opo desejada no menu que ir aparecer. As seguintes opes
esto disponveis:
612
Figura 439 - Menu (inserir/desabilitar) para executar qualquer operao sobre a regra.

Cada regra consiste dos seguintes campos:

Destino: Especificar os destinos da comunicao que o filtro estar inspecionando, para isso
deve-se inserir uma ou mais entidades do tipo mquinas, redes ou conjuntos (para maiores
informaes veja o captulo Cadastrando entidades).
Servio: Especificar os servios da comunicao que o filtro estar inspecionando, para isso
deve-se inserir uma ou mais entidades do tipo servio (para maiores informaes veja o
captulo Cadastrando entidades).
Filtros de Aplicao: Indicar quais os filtros que estaro ativos para as conexes que forem
em direo a um dos destinos especificados na regra e utilizando um dos servios tambm
especificados. A definio dos filtros feita na janela de Filtragem de Aplicaes. Para
maiores informaes veja o captulo Configurando Filtragem de Aplicaes.
Canal: Esta coluna s estar habilitada caso a ao Mudar prioridade tenha sido
selecionada. Ela indica qual a nova prioridade que ser atribuda conexo. Deve-se inserir
uma entidade do tipo canal (para maiores informaes veja o captulo Cadastrando
entidades).
Ao: Esta coluna indica a ao que ser tomada pelo firewall caso um dos filtros
especificados seja aplicado. Ela consiste das seguintes opes:
Aceita: Significa que a conexo ser autorizada a passar por meio do firewall.
Mudar prioridade: Indica que a conexo ser aceita, porm com uma prioridade diferente,
que dever ser especificada na coluna Canal.
Bloqueia origem: Indica que a mquina que originou a conexo dever ser bloqueada por
algum tempo (isso significa que todas as conexes originadas nela sero recusadas). A
613
coluna Tempo de Bloqueio serve para especificar por quanto tempo a mquina
permanecer bloqueada.
Rejeita: Significa que a conexo no passar pelo firewall e ser enviado um pacote de reset
para a mquina originria da comunicao.
Descarta: Significa que a conexo no passar pelo firewall, mas no ser enviado nenhum
pacote para a mquina de origem.
Tempo de bloqueio: Esta coluna s estar habilitada caso a ao Bloqueia origem tenha
sido selecionada. Ela indica por quanto tempo a mquina origem ser bloqueada.
23.13.
Associando Usurios com Perfis de Acesso
Uma vez que os perfis de acesso esto criados, torna-se necessrio associ-los com usurios
e grupos de um ou mais autenticadores ou autoridades certificadoras do firewall. Isto feito
por meio da janela de controle de acesso.
Para ter acesso a janela de controle de acesso deve-se:
Figura 440 - Autenticao.
Clicar no menu Configuraes do Firewall da janela principal.

Selecionar o item Autenticao.
Selecionar a aba Controle de Acesso.
614
Aba de Controle de Acesso
Figura 441 - Autenticao: Controle de acesso.
A aba de controle de acesso permite que seja criada a associao de usurios/grupos com
um perfil de acesso.
Na parte inferior da janela existe um campo chamado Perfil Padro onde se pode selecionar
o perfil que ser associado aos usurios que no se enquadrem em nenhuma regra de
associao.
A ltima coluna Entidades, quando preenchida, especifica redes e mquinas onde a
associao vlida. Se o usurio se encaixar na regra, mas estiver em um endereo IP fora
das redes e mquinas cadastradas, ento a regra ser pulada, permitindo a atribuio de
outro perfil ao usurio. Esse tipo de restrio muito til para permitir acesso s reas
sensveis da rede apenas de alguns locais fsicos com segurana aumentada.
Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se proceder
da seguinte maneira:
1. Clique com o boto direito do mouse na lista de regras e selecionar a opo Inserir;
615
2. Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos, clicandose com o boto direito no campo Autenticador. Para maiores informaes sobre os
autenticadores, veja o captulo intitulado Configurando parmetros de autenticao.
3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecione entre listagem de
usurios ou grupos, ento a lista selecionada ser montada automaticamente a partir
do autenticador selecionado. A partir da lista, selecione o usurio ou grupo desejado.
Figura 442 - Menu de escolha do usurio.

4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu a seguir:
Figura 443 - Menu de escolha do perfil.

5. Caso deseje, arraste algumas entidades mquina, rede ou conjuntos para o campo
entidades. Se o usurio estiver fora dessas entidades, a regra ser pulada.
Para remover uma regra entre um usurio/grupo e um perfil, deve-se proceder da seguinte
maneira:
616
1. Clicar na regra a ser removida, na lista da janela.

2. Clicar no boto Apagar.
Para alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte forma:
1. Clicar na regra a ser movida de posio.
2. Arrastar para a posio desejada.
A ordem das associaes na lista de fundamental importncia. Quando um usurio se
autenticar, o firewall pesquisar a lista a partir do incio procurando pelo nome desse usurio ou
por um grupo de que ele faa parte. To logo um desses seja encontrado, o perfil associado ao
mesmo ser utilizado.
A aba Controle de Acesso por IP
Figura 444 - Controle de acesso por IP.

O firewall pode controlar os acessos por intermdio de endereos IP conhecidos juntamente
com perfis criados para este fim. Basta o administrador cadastrar a rede conhecida e
arrastar para a posio Entidades de Origem, em seguida incluir na coluna Perfil o perfil ou
perfis necessrios na regra.
A caixa Ativar controle de acesso por endereo IP origem dever estar marcada para que o
firewall use esta facilidade.
617
618
Este captulo mostra o que o Cliente de Autenticao Aker e para que serve essa
ferramenta que propicia grande nvel de segurana.
Visualizando e Removendo Usurios Conectados no Firewall
24.1.
possvel visualizar a qualquer momento os usurios que possuem sesso estabelecida com
o firewall, por meio do cliente de autenticao, e remover uma destas sesses. Isto feito
por meio da janela de usurios logados.
Para ter acesso a janela de usurios logados deve-se:
Figura 445 - Usurios conectados.

Selecionar Usurios Conectados.
619
A janela de Usurios Conectados
Figura 446 - Usurios conectados (mquina, nome, domnio, perfil, inicio, TPC e n de
usurios conectados.)
Esta janela consiste de uma lista com uma entrada para cada usurio. Na parte inferior da
janela mostrada uma mensagem informando o nmero total de usurios com sesses
estabelecidas um determinado instante. Para os usurios logados via Secure Roaming, sero
mostrados tambm os dados da conexo (endereo IP e portas) junto com o estado de
estabelecimento da mesma.
O boto OK faz com que a janela de usurios seja fechada.

O boto Cancelar fecha a janela.
A caixa Itens selecionados no topo coloca os itens que foram selecionados para o topo
da janela de usurios conectados.
Barra de Ferramentas de Usurios Conectados:
Figura 447 - Barra de ferramentas: usurios conectados.

620
O boto Atualiza faz com que as informaes mostradas sejam atualizadas

periodicamente de forma automtica ou no. Clicando-se sobre ele, alterna-se entre os
dois modos de operao. O intervalo de atualizao pode ser configurado mudando-se o
valor logo a direita deste campo.
O boto Buscar, localizado na barra de ferramentas, permite remover uma sesso de
usurio. Para tal deve-se primeiro clicar sobre a sesso que deseja remover e a seguir
clicar neste boto (ele estar desabilitado enquanto no existir nenhuma sesso
selecionada).
O boto DNS, localizado na barra de ferramentas, acionar o servio de nomes (DNS)
para resolver os nomes das mquinas cujos endereos IPs aparecem listados. Cabem ser
observados os seguintes pontos:
1. A resoluo de nomes muitas vezes um servio lento e, devido a isso, a
traduo dos nomes feita em segundo plano.
2. Muitas vezes, devido a problemas de configurao do DNS reverso (que o
utilizado para resolver nomes a partir de endereos IP), no ser possvel a
resoluo de certos endereos. Neste caso, os endereos no resolvidos sero
mantidos na forma original e ser indicado ao seu lado que eles no possuem
possvel ordenar a lista das sesses por qualquer um de seus campos, bastando para
isso clicar no ttulo do campo. O primeiro clique produzir uma ordenao ascendente e
o segundo uma ordenao descendente.
Significado dos campos de uma sesso de usurio ativa

Cada linha presente na lista de sesses de usurios representa uma sesso. O significado de
seus campos mostrado a seguir:
cone: mostrado a esquerda do nome de cada usurio e pode assumir trs formas
distintas:
Cadeado: Este cone indica que o usurio se logou por meio do cliente de criptografia
apenas.
Usurio: Este cone indica que o usurio se logou por meio do cliente de autenticao
apenas.
Usurio dentro do cadeado: Este cone indica que o usurio se logou por meio do cliente de
autenticao e de criptografia.
Mquina: Endereo IP ou nome (caso o DNS esteja ativo) da mquina na qual a sesso foi
estabelecida.
Nome: Nome do usurio que estabeleceu a sesso.
621
Domnio: Nome do domnio, i.e. autenticador, no qual o usurio se autenticou. Caso o

usurio no tenha especificado domnio ao se logar, este campo aparecer em branco.
Perfil: Qual o perfil de acesso correspondente a esta sesso. Se este campo est em branco,
o usurio se autenticou antes de a tabela de perfis ser alterada, de forma que ele est
utilizando um perfil que no existe mais.
Incio: Hora de abertura da sesso.
24.2.
Utilizando a Interface Texto (via SSH-fwlist)
A Interface Texto (via SSH) para acesso lista de usurios logados possui as mesmas
capacidades da Interface Remota e simples de ser utilizado. Ele o mesmo programa que
produz a lista de conexes ativas TCP e UDP, mostrado anteriormente.
Localizao do programa: /aker/bin/firewall/fwlist

Sintaxe:
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP | TCP6]] | [UDP | UDP6]
fwlist mostra [sessoes | roaming | bloqueados]
fwlist mostra [quotas | www]
fwlist remove [TCP | TCP6 | UDP | UDP6] IP_origem Porta_origem
IP_destino Porta_destino
fwlist remove sessao IP_origem [usuario]
fwlist remove bloqueado IP_origem
fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume]

mostra = lista as conexes ou sesses ativas
622
remove = remove uma conexo ou sessao ativa

reinicia = reinicia a quota dos usurios
Exemplo 1: (listando as sesses de usurios logados no firewall)
#fwlist mostra sesses
Nome/Domnio Perfil IP origem Inicio
------------------------------------------------------------------------------administrador/BSB Admin 10.20.1.1 08:11:27
jose.silva/GOA Padrao5 10.45.1.1 07:39:54
joao.souza/POA Padrao3 10.57.1.1 07:58:10
josemaria/GRU Padrao3 10.78.1.1 08:01:02
angelam/BSB 1 Restrito 10.22.1.1 08:48:31
marciam/POA Restrito 10.235.1.1 10:49:44
antonioj/POA Especial 10.42.2.1 06:02:19
operador/BSB Padro 10.151.2.1 20:44:34
Exemplo 2: (removendo a sesso do usurio logado a partir da mquina 10.19.1.1)
#fwlist remove sesso 10.19.1.1
A remoo da sesso foi solicitada ao servidor de usurios.
623
624
Este captulo mostra quais as funes oferecidas pelo proxy SMTP e como realizar sua
configurao.
O que o proxy SMTP?

O proxy SMTP um programa especializado do Aker Firewall feito para trabalhar com
correio eletrnico (SMTP um anagrama para Simple Mail Transfer Protocol, que o nome
completo do servio de transferncia de correio eletrnico na Internet). Este proxy
possibilita que sejam realizadas filtragens de e-mails baseadas em seu contedo ou em
qualquer campo de seu cabealho. Ele tambm atua como uma barreira protegendo o
servidor SMTP contra diversos tipos de ataques.
Ele um proxy transparente (para maiores informaes veja o captulo intitulado
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de sua
existncia.
Descrio de uma mensagem SMTP
Para entender o funcionamento da filtragem de campos do proxy SMTP, necessrio
algumas
informaes
sobre
as
mensagens
de
correio
eletrnico.
Uma mensagem de e-mail formada por trs partes distintas: envelope, cabealho e corpo.
Cada uma destas partes possui um papel especfico:
Envelope
O envelope chamado desta forma por ser anlogo a um envelope de uma carta
comum. Nele se encontram as informaes do emissor e dos destinatrios de uma
mensagem. Para cada recipiente de um domnio diferente gerado um novo envelope.
Desta forma, um servidor SMTP recebe no envelope de uma mensagem o nome de
todos os recipientes da mensagem que se encontram no seu domnio.
O envelope no visto pelos destinatrios de uma mensagem. Ele somente usado
entre os servidores SMTP.
Cabealho
No cabealho da mensagem se encontram informaes sobre a mensagem, como o
assunto, data de emisso, nome do emissor, etc. O cabealho normalmente mostrado
ao destinatrio da mensagem.
625
Corpo
O corpo composto pela mensagem propriamente dita, da forma com que foi produzida
pelo emissor.
Ataques contra um servidor SMTP

Existem diversos ataques passveis de serem realizados contra um servidor SMTP. So eles:
Ataques explorando bugs de um servidor

Neste caso, o atacante procura utilizar um comando ou parmetros de um comando que
conhecidamente provocam falhas de segurana.
O proxy SMTP do Aker Firewall impede estes ataques na medida em que s permite a
utilizao de comandos considerados seguros e validando os parmetros de todos os
comandos.
Ataques explorando estouro de reas de memria (buffer overflows)

Estes ataques consistem em enviar linhas de comando muito grandes, fazendo com que
um servidor que no tenha sido corretamente desenvolvido apresente falhas de
segurana.
O proxy SMTP do Aker Firewall impede estes ataques na medida em que limitam o
tamanho mximo das linhas de comando que podem ser enviadas para o servidor.
Ataques de relay
Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar suas
mensagens de correio eletrnico. Desta forma, utiliza-se os recursos computacionais que
deveriam estar disponveis para requisies vlidas.
O proxy SMTP do Aker Firewall impede ataques de relay desde que corretamente
configurado.
Utilizando o proxy SMTP
Para se utilizar o proxy SMTP em uma comunicao, necessrio executar uma sequncia
de 2 passos:
1. Criar um servio que ser desviado para o proxy SMTP e editar os parmetros do
626
2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1,

para as redes ou mquinas desejadas (para maiores informaes, veja o captulo
intitulado O Filtro de Estados).
25.1.
Editando os parmetros de um contexto SMTP
A janela de propriedades de um contexto SMTP ser mostrada quando a opo Proxy SMTP
for selecionada. Por meio dela possvel definir o comportamento do proxy SMTP quando
este for lidar com o servio em questo.
A janela de propriedades de um contexto SMTP.
Figura 448 - Servios: relay.

a um determinado servio. Ela consiste de diversas pastas, cada uma responsvel por uma
das diferentes caractersticas de proteo.
Aba Geral
627
Figura 449 - Servios: geral.

Tamanho mximo da mensagem: Este campo indica o tamanho mximo, em bytes ou
kbytes, de uma mensagem para que ela possa ser aceita pelo proxy. Caso no queira definir
um tamanho mximo, basta marcar a opo Sem Limite, localizada direita deste campo.
Registrar na lista de eventos: Este campo indica se as mensagens que no se enquadrarem
em nenhuma regra SMTP deste contexto devem ser registradas na lista de eventos.
Envia cpia de todas as mensagens: Independente de uma mensagem ter sido aceita ou
rejeitada, possvel enviar uma cpia completa dela para um endereo de e-mail qualquer.
Este campo indica se deve ou no ser enviada esta cpia.
Checagem de DNS reverso habilitada: O firewall far a checagem para determinar a
existncia do DNS reverso cadastrado para o servidor SMTP para aceitar a mensagem
baseado nas regras da pasta DNS.
E-mail padro: Indica o endereo de e-mail padro, para o qual sero enviadas as cpias das
mensagens que no se enquadrarem em nenhuma regra SMTP deste contexto (se a opo
Envia Cpia de todas as mensagens estiver marcada). Este e-mail tambm pode ser
referenciado em qualquer regra de filtragem do contexto.
Aba de Relay
628
Figura 450 - Servios: relay.

Esta pasta serve para especificar uma lista de domnios vlidos para recebimento de e-mails.
E-mails destinados a quaisquer domnios no listados sero rejeitados antes mesmo que se
comece sua transmisso.
Caso a lista de domnios esteja em branco o firewall no far controle de relay, ou seja, aceitar
e-mails destinados a quaisquer domnios.
Diferentemente do controle de relay de servidores SMTP, o firewall apenas pode basear seu
controle no destinatrio dos e-mails, e no no remetente, uma vez que no possui a lista de
usurios vlidos do servidor SMTP protegido.
O nmero mximo de anexos que o proxy SMTP do firewall trata por padro de 200. Caso um
e-mail passe pelo proxy SMTP contendo um nmero de anexos maior que esse, o e-mail no ser
enviado e o remetente da mensagem receber um e-mail informando que houve um erro no envio.
Aba de Regras
629
Figura 451 - Servio: regras.
Nesta pasta so mostradas todas as regras de filtragem para o contexto. Estas regras
possibilitam que o administrador configure filtros de e-mails baseados em seu contedo.
que pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste
caso, somente as opes Incluir e Colar estaro habilitadas).
Figura 452 - Menu (inserir, copiar, editar, excluir ou renomear).
630

Editar: Abrir a janela de edio para a regra selecionada.
Renomear: Renomear a regra selecionada da lista.
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra,
clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
A ordem das regras na lista de regras de filtragem SMTP de fundamental importncia. Ao
receber uma mensagem, o firewall pesquisar a lista a partir do incio procurando uma regra na
qual a mensagem se enquadre. To logo uma seja encontrada, a ao associada a ela ser
executada.
No caso de incluso ou edio de regras, a janela a seguir ser exibida:
631
A janela de edio de regras SMTP
Figura 453 - Edio de regra: SMTP.
Nesta janela so configurados todos os parmetros relativos a uma regra de filtragem para
um contexto SMTP. Cada regra consiste basicamente de 3 condies independentes que
podem ou no estar preenchidas (ou seja, possvel criar regras com apenas uma ou duas
condies).
Para criar uma regra, necessrio preencher os seguintes campos:
Nome: Nome que define unicamente a regra dentro do contexto. Este nome ser mostrado
na lista de regras do contexto SMTP. No podem existir duas regras com o mesmo nome.
632
Campo: Definir o nome do campo dentro da mensagem SMTP onde ser feita a pesquisa.
Ele pode assumir um dos seguintes valores (alguns valores so mostrados em ingls devido
ao fato de serem nomes de campos fixos de uma mensagem):
NENHUM: No ser feita pesquisa.

PARA (Todos): A pesquisa feita no endereo de destino da mensagem (todos os
recipientes devem se encaixar na regra).
PARA (Qualquer): A pesquisa feita no endereo de destino da mensagem (pelo menos
um recipiente deve se encaixar na regra).
DE: A pesquisa feita no endereo de origem da mensagem.
CC: A pesquisa realizada sobre a lista de endereos que iro receber uma cpia da
mensagem.
REPLY-TO: A pesquisa feita no campo REPLY-TO, que indica o endereo para o qual a
mensagem deve ser respondida.
ASSUNTO: A pesquisa feita no campo que define o assunto da mensagem.
CABEALHO: A pesquisa realizada sobre todos os campos que compem o cabealho
da mensagem.
CORPO: A pesquisa feita no corpo da mensagem (onde existe efetivamente a
mensagem).
Os campos TO e CC so tratados de forma diferente pelo proxy SMTP: o campo TO tratado com
uma lista dos vrios recipientes da mensagem, retirados do envelope da mensagem. O campo CC
tratado como um texto simples, retirado do cabealho da mensagem, e sua utilidade bastante
limitada.
Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. So elas:
CONTM: O campo a ser pesquisado deve conter o texto informado em qualquer

posio.
NO CONTM: O campo a ser pesquisado no pode conter o texto informado.
: O contedo do campo a ser pesquisado deve ser exatamente igual ao texto
informado.
NO : O contedo do campo a ser pesquisado deve ser diferente do texto informado.
COMEA COM: O contedo do campo a ser pesquisado deve comear com o texto
informado.
NO COMEA COM: O contedo do campo a ser pesquisado no pode comear com o
texto informado.
TERMINA COM: O contedo do campo a ser pesquisado deve terminar com o texto
informado
NO TERMINA COM: O contedo do campo a ser pesquisado no pode terminar com o
texto informado.
CONTM PALAVRAS: Neste tipo de pesquisa, o texto informado considerado como
formado por palavras individuais (separadas por espaos), ao invs de um texto
contnuo. Para se enquadrar na pesquisa, o campo em questo deve conter todas as
palavras informadas, independente de sua posio.
633
Texto: Texto a ser pesquisado. Este campo tratado como um texto contnuo que ser
comparado com o campo especificado, exceto no caso da pesquisa CONTM PALAVRAS,
quando ele tratado como diversas palavras separadas por espaos. Em ambos os casos,
letras maisculas e minsculas so consideradas como sendo iguais.
Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma, possvel definir at 3
condies distintas que uma mensagem deve cumprir para que seja enquadrada pela regra. Caso
no queira especificar trs condies, basta deixar as demais com o valor NENHUM no parmetro
campo.
Ativao dos filtros: Este campo s tem sentido quando especifica mais de uma condio.
Ele indica que tipo de operao ser usada para relacion-las:
Somente se todos so verdadeiros: Para que uma mensagem enquadre na regra,

necessrio que ela satisfaa todas as condies.
Se qualquer um for verdadeiro: Para que uma mensagem enquadre na regra, basta ela
satisfazer uma das condies.
Ao: Este campo indica se as mensagens que se enquadrarem na regra devem ser aceitas
ou rejeitadas pelo proxy SMTP.
Registrar na lista de eventos: Este campo indica se as mensagens que se enquadrarem na
regra devem ou no ser registradas na lista de eventos.
Enviar cpia: Para toda mensagem que se enquadrar na regra, independentemente de ter
sido aceita ou rejeitada, possvel enviar uma cpia completa dela para um endereo de email qualquer. Este campo indica se deve ou no ser enviada esta cpia. Caso ele esteja
marcado, deve-se escolher uma das seguintes opes de envio:
Padro: A cpia da mensagem enviada para o e-mail padro.

e-mail: A cpia da mensagem enviada para o endereo especificado no campo
direita.
634
Aba de DNS
Figura 454 - Servio: DNS.
Nesta pasta so mostradas todas as regras de filtragem de DNS para o contexto. Estas regras
possibilitam que o administrador configure filtros de e-mails baseados no nome retornado
pelo DNS reverso do servidor SMTP que estiver enviando a mensagem.
que se pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste
635
636
A janela de edio de regras DNS reverso
Figura 456 - Servio: DNS.
Para criar uma regra deve-se preencher os seguintes campos:

Nome: Nome que define unicamente a regra dentro do contexto. Este nome ser mostrado
na lista de regras do contexto SMTP. No podem existir duas regras com o mesmo nome.
Operador de pesquisa: Os mesmos operadores utilizados nas regras de filtragem SMTP
podem ser utilizados para a filtragem do DNS reverso.
Texto: Definir o texto a ser pesquisado.
Registrar na lista de eventos: Registrar no log de eventos do firewall caso a regra tenha sido
executada.
Verificar alias: Se esta opo estiver marcada, o firewall comparar todos os nomes
retornados pelo DNS para verificar se algum deles se encaixa na regra.
Ao: Ao a ser executada pelo firewall caso a regra seja atendida. Ela pode ser Aceita ou
Rejeitada.
637
Aba de Anexos
Figura 457 - Servio: anexos.
Esta pasta so especificadas as regras de tratamento de arquivos anexados. Essas regras

permitem que, caso uma mensagem tenha sido aceita, ela tenha seus arquivos anexados
removidos ou checados contra vrus. Elas permitem tambm que se rejeite uma mensagem
por completo, caso ela contenha um arquivo anexo inaceitvel (com vrus, por exemplo).
Agente de antivrus para checagem dos arquivos: Esse campo indica o agente antivrus que
ser utilizado para checar vrus dos arquivos anexados a mensagens de e-mail. Esse agente
deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo
intitulado Cadastrando entidades.
Permitir a passagem de anexos mal codificados: Se esta opo estiver marcada, anexos que
apresentem erros de codificao sero aceitos pelo firewall, caso contrrio mensagem
ser recusada.
que se pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste
638
A ordem das regras na lista de regras de filtragem de arquivos anexados de fundamental
importncia. Para cada arquivo anexado de uma mensagem, o firewall pesquisar a lista a partir do
incio procurando uma regra na qual ele se enquadre. To logo uma seja encontrada, a ao
639
A janela de edio de regras de anexos
Figura 459 - Regra: edio de regras e anexos.

Nesta janela so configurados todos os parmetros relativos a uma regra de filtragem de
arquivos para um contexto SMTP. Ela consiste dos seguintes campos:
Nome: Definir unicamente a regra dentro do contexto. Este nome ser mostrado na lista de
regras de arquivos. No podem existir duas regras com o mesmo nome.
Filtrar por tipo MIME: Permitir a definio de uma regra de filtragem de arquivos baseandose em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo.
Filtrar por nome: Permitir a realizao de filtragens a partir (de parte) do nome, do arquivo
anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a
640
ser pesquisado. Estes campos so anlogos aos campos de mesmo nome da regra de
filtragem SMTP, descrita acima.
Operador de pesquisa: Este campo anlogo ao campo de mesmo nome da regra de
filtragem SMTP, descrita acima.
Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se enquadrar na
regra. Ela consiste de trs opes:
Aceita o anexo: Se essa opo for selecionada o firewall ir manter o arquivo anexado
na mensagem.
Remove o anexo: Se essa opo for selecionada o firewall ir remover o arquivo
anexado da mensagem.
Descarta mensagem: Se essa opo for selecionada o firewall recusar a mensagem
completa.
Remove anexo infectado: Se essa opo for selecionada o firewall ir verificar o arquivo
anexado da mensagem contra vrus. Caso exista vrus o firewall tomar uma das
seguintes aes: se o arquivo puder ser desinfectado, o vrus ser removido e o arquivo
reanexado mensagem. Caso o arquivo no possa ser desinfectado, o firewall o
remover e acrescentar uma mensagem informando ao destinatrio desse fato.
Descarta mensagem infectada: Se essa opo for selecionada o firewall ir verificar o
arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall tomar uma das
reanexado mensagem. Caso o arquivo no possa ser desinfectado, o firewall recusar a
mensagem.
Recomenda-se utilizar as aes que removem os arquivos anexados nos e-mails recebidos pela
companhia e as que bloqueiam a mensagem por completo nas regras aplicadas aos e-mails que
saem.
Remove arquivos encriptados: Se essa opo estiver marcada, o firewall remover os
arquivos anexados que estejam cifrados, de forma que no possam ser checados quanto
presena de vrus.
Remove arquivos corrompidos: Se essa opo estiver marcada, o firewall remover os
arquivos anexados que estejam corrompidos.
Notifica emissor no caso de remoo do arquivo anexado: Se essa opo estiver marcada,
o firewall enviar uma mensagem para o emissor de um e-mail todas as vezes que um ou
mais de seus arquivos anexados for removido.
Envia cpia para o administrador do arquivo anexado for removido: Se essa opo estiver
marcada, o firewall enviar uma cpia de todos os arquivos removidos para o
administrador. Caso ela esteja marcada, deve-se escolher uma das seguintes opes de
envio:
641

E-mail: A cpia da mensagem enviada para o endereo especificado no campo
direita.
Aba RBL (Real-time Black List)
Figura 460 - Regra: edio de regras e anexos.

Esta pasta contm opes de bloqueio de sites considerados fontes de SPAM. O bloqueio
feito em tempo real, mediante consulta a uma ou mais listas de bloqueio dinmicas,
mantidas por terceiros. Ela consiste das seguintes opes:
Black list padro: So trs listas negras que contm vrios relays acusados de fazer SPAM
(envio de mensagem no desejada). Elas so gerenciadas por organizaes e o firewall
simplesmente consultam-nas, antes de aceitar os e-mails. Marque as opes
correspondentes se desejar utilizar esta facilidade.
SBL: Para saber mais acesse o endereo http://www.mail-abuse.org/rbl/

CBL: Para saber mais acesse o endereo http://www.orbs.org/
SORBS: Para saber mais acesse o endereo http://www.sorbs.net/
642
Black list do usurio: So listas negras configurveis pelo administrador do firewall. Ela
consiste de uma lista de listas negras, cada uma com os seguintes campos:
Nome: Nome pelo qual deseja chamar a blacklist.
URL: URL explicativa para ser mostrada para o usurio que tiver seus e-mails recusados.
Zona de DNS: a zona completa de DNS que dever ser consultada pelo firewall. Caso um
endereo IP esteja presente nessa zona, e-mails vindos dele sero recusados.
Alguns servios de black list costumam ter seu funcionamento interrompido temporariamente
devido aos problemas de natureza judicial. Quando isto acontece, ou eles se tornam inefetivos ou
bloqueiam mais e-mails do que deveriam. Por favor verifique o funcionamento correto da blacklist
desejada antes de coloc-la em uso.
Aba de Spam Meter
Figura 461 - Servio: Spam Meter.

Esta aba contm as opes de configurao da comunicao do firewall com o Spam Meter,
um produto criado pela Aker Security Solutions com o objetivo de atribuir notas a
mensagens de e-mail, de acordo com a probabilidade de estas serem ou no SPAM. Ela
consiste das seguintes opes:
643
Habilitar Spam Meter: Habilita o uso de o Spam Meter pelo firewall.

Agente de Spam Meter a usar: Esse campo indica o Spam Meter que ser utilizado para se
atribuir notas a mensagens de e-mail. Esse agente deve ter sido previamente cadastrado no
firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades.
Base a usar: O Spam Meter permite a utilizao de diversas bases para realizar a
classificao de mensagens. A ideia por trs disso permitir que cada pessoa ou grupo de
pessoas com caractersticas semelhantes possam ter suas mensagens classificadas por uma
base que melhor reflita sua definio de SPAM. O Aker Firewall no permite a utilizao de
bases distintas por pessoas ou grupos, porm possvel utilizar uma base distinta para cada
contexto SMTP. Este campo serve para especificar o nome da base que ser utilizada por
este contexto.
Nveis de Spam: Este controle permite a definio de dois limites de notas (entre 0 e 100)
para a filtragem de mensagens: Limite 1 e Limite 2.
Limite 1: Define o limite, faixa verde, at o qual as mensagens so consideradas como no
SPAM.
Limite 2: Define, junto com o Limite 1, as faixas amarelas e vermelhas. A faixa amarela
indica e-mails que potencialmente so SPAM mas que o SPAM Meter no tem certeza
suficiente. A faixa vermelha indica mensagens que foram consideradas SPAM.
Deteco de SPAM aprimorada: Se esta opo estiver selecionada o Spam Meter tentar
detectar a maior quantidade possvel de mensagens SPAM, com o inconveniente de
eventualmente poder gerar mais falsos positivos, ou seja, mensagens que seriam vlidas
classificadas como potenciais SPAM.
Reduo de Falso-positivo: Se esta opo estiver selecionada, o Spam Meter tentar reduzir
ao mximo os falsos positivos, com o inconveniente de eventualmente classificar como
inofensiva uma mensagem que seria SPAM.
Ao: Este campo indica as aes que devem ser executadas pelas mensagens que se
enquadrarem em cada uma das reas definidas pelos limites 1 e 2. As seguintes opes
esto disponveis:
Aceitar: As mensagens que se enquadrarem nesta faixa sero aceitas sem qualquer
modificao. Normalmente esta ao associada faixa verde.
Descartar: As mensagens que se enquadrarem nesta faixa sero descartadas pelo firewall,
isto , elas sero recebidas por ele e o servidor que as enviou ser informado do sucesso no
envio, no entanto elas nunca sero reenviadas aos usurios que as deveriam receber. Esta
ao deve ser utilizada apenas na faixa vermelha e seu objetivo impedir que potenciais
emissores de SPAM saibam se conseguiram ou no enviar suas mensagens.
644
Rejeitar: As mensagens que se enquadrarem nesta faixa sero rejeitadas pelo firewall, isto
, o servidor que as enviou ser informado que elas foram recusadas e que ele no deve
tentar envi-las novamente. Esta ao deve ser utilizada apenas na faixa vermelha.
Adicionar assunto: As mensagens que se enquadrarem nesta faixa sero aceitas porm
tero seu assunto precedido de um texto qualquer definido pelo administrador. O campo
direita serve para o administrador definir o texto que ser adicionado ao assunto. Esta ao
normalmente utilizada na faixa amarela, mas pode tambm ser utilizada na vermelha. A
ideia configurar um filtro, para o texto a ser adicionado, nos leitores de e-mail de modo a
fazer com que as mensagens suspeitas ou consideradas SPAM sejam automaticamente
separadas em outra caixa postal.
Enviar cpia: Para toda mensagem, independentemente de ter sido aceita ou rejeitada,
possvel enviar uma cpia completa dela para um endereo de e-mail qualquer. Este campo
indica se deve ou no ser enviada esta cpia. Caso ele esteja marcado, deve-se escolher
uma das seguintes opes de envio:

E-mail: A cpia da mensagem enviada para o endereo especificado no campo
direita.
Modificar mensagem para treinamento: Uma das caractersticas fundamentais do Spam

Meter sua possibilidade de aprender novas caractersticas de SPAM, de modo sempre
oferecer um timo nvel de acerto. Os campos contidos nesta opo indicam quais usurios
podem realizar treinamento da base de dados do contexto e de que forma as mensagens
devem ser modificadas para possibilitar este treinamento. As seguintes opes esto
disponveis:
Usar plugin: Esse campo indica os destinatrios que treinaro mensagens por meio do
plugin de treinamento disponibilizado pela Aker (disponvel inicialmente para Outlook e
Thunderbird). Neste caso, as mensagens no sero modificadas em nenhuma forma, apenas
alguns campos novos sero acrescentados no cabealho. Ele especifica uma entidade do
tipo de e-mails que deve ter sido previamente cadastrada no firewall (para maiores
informaes veja o captulo intitulado Cadastrando entidades).
Usar sub-mensagens (.eml): Os destinatrios que estiverem neste campo recebero suas
mensagens originais encapsuladas em outra, que conter botes que os possibilitar de
realizar o treinamento (a mensagem inicial vir sem nenhuma modificao, porm em
alguns leitores de e-mail ser necessrio clicar sobre ela para pode visualiz-la). Ele
especifica uma entidade do tipo de e-mail que deve ter sido previamente cadastrada no
firewall (para maiores informaes veja o captulo intitulado Cadastrando entidades).
Usar layout HTML: Os destinatrios que estiverem neste campo recebero suas mensagens
originais acrescidas de um novo layout HTML, que conter botes que os possibilitar de
realizar o treinamento. Ele especifica uma entidade do tipo de e-mails que deve ter sido
645
previamente cadastrada no firewall (para maiores informaes veja o captulo intitulado

Cadastrando entidades).
Ajustar mensagens: Se umas das opes Usar sub-mensagens ou Usar Layout HTML for
selecionada, este boto ser habilitado e permitir a definio das mensagens que sero
mostradas aos usurios para que eles possam realizar o treinamento.
Endereo para treinamento: Este campo deve ser preenchido com o nome ou endereo IP
da mquina na qual o firewall est rodando, de modo a que os leitores de e-mails dos
clientes saibam para onde enviar o resultado do treinamento.
As listas sero pesquisadas pelo firewall na ordem em que aparecem, isto , se um destinatrio
estiver em duas ou mais listas, a mensagem ser modificada de acordo com a lista superior.
Caso um usurio no aparea em nenhuma lista ele no poder realizar treinamento da base.
Aba Avanado
Figura 462 - Servio: Avanado.

Esta pasta permite o acesso s opes de configurao avanadas do proxy SMTP. Elas
permitem um ajuste fino do funcionamento do proxy. As opes so:
646
Permite cabealho incompleto: Se esta opo estiver marcada como NO, no sero
aceitas mensagens cujos cabealhos no contenham todos os campos obrigatrios de uma
mensagem SMTP.
Nmero de processos: Este campo indica o nmero mximo de cpias do proxy que
podero estar ativas em um determinado momento. Como cada processo trata uma
conexo, este nmero tambm representa o nmero mximo de mensagens que podem ser
enviadas simultaneamente para o contexto em questo. Caso o nmero de conexes ativas
atinja este limite, os clientes que tentarem enviar novas mensagens sero informados que o
servidor se encontra temporariamente impossibilitado de aceitar novas conexes e que
devem tentar novamente mais tarde.
possvel utilizar este nmero de processos como uma ferramenta para controlar o nmero
mximo de mensagens simultneas passando pelo link, de forma a no satur-lo.
Tempo limite de resposta do cliente: Este parmetro indica o tempo mximo, em segundos,
que o proxy espera entre cada comando do cliente que est enviando a mensagem SMTP.
Caso este tempo seja atingido sem receber nenhum comando do cliente, o proxy assume
que este caiu e derruba a conexo.
Tempo limite de resposta para servidor: Para cada um dos possveis comandos vlidos do
protocolo SMTP, existe um tempo mximo de espera por uma resposta do servidor. Caso
no receba nenhuma resposta dentro deste perodo, o proxy assume que o servidor caiu e
derruba a conexo. Neste grupo possvel configurar o tempo mximo de espera, em
segundos, para cada um destes comandos.
Todos os demais parmetros se referem aos tempos limites de resposta para cada comando
SMTP e no devem ser modificados a no ser que haja uma razo especfica para faz-lo.
647
648
Este captulo mostra como configurar o proxy telnet para realizar autenticao de usurios.
O que o proxy Telnet?

O proxy Telnet um programa especializado do Aker Firewall feito para trabalhar com o
protocolo Telnet, que o protocolo utilizado para emulao de terminais remotos. A sua
funo bsica possibilitar a realizao de uma autenticao em nvel de usurio para as
sesses telnet a serem estabelecidas. Este tipo de autenticao permite uma grande
flexibilidade e um elevado nvel de segurana.
existncia.
Utilizando o proxy Telnet
Para utilizar o proxy Telnet para realizar autenticaes em uma comunicao, necessrio
executar uma sequncia de 2 passos:
1. Criar um servio que ser desviado para o proxy Telnet e editar os parmetros do
2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para
as redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado O
Filtro de Estados).
A partir deste momento, todas as vezes que uma sesso telnet enquadrar na regra criada
que foi estabelecida, o firewall solicitar uma identificao do usurio e uma senha. Se a
identificao e a senha forem vlidas e o usurio em questo tiver permisso, a sesso ser
estabelecida. Caso contrrio o usurio ser informado do erro e a sesso cancelada.
26.1.1. Editando os parmetros de um contexto Telnet
A janela de propriedades de um contexto Telnet ser mostrada quando a opo Proxy

Telnet for selecionada. Por meio dela possvel definir o comportamento do proxy Telnet
quando este for lidar com o servio em questo.
649
A janela de propriedades de um contexto Telnet
Figura 463 - Servio: propriedade de um contexto Telnet.

a um determinado servio. Ela consiste dos seguintes campos:
Somente aceita conexes de mquinas com DNS reverso vlido: Ao selecionar essa opo,
somente sero aceitas conexes de mquinas cujo DNS reverso esteja configurado e aponte
para um nome vlido.
Permisso Padro: Indicar a permisso que ser aplicada a todos os usurios que no
estiverem presentes e que no faam parte de nenhum grupo presente na lista de
permisses. O valor aceita permite que a sesso de telnet seja estabelecida e o valor rejeita
impede sua realizao.
Nmero mximo de sesses simultneas: Definir o nmero mximo de sesses telnet que
podem estar ativas simultaneamente neste contexto. Caso o nmero de sesses abertas
atinja este limite, os usurios que tentarem estabelecer novas conexes sero informados
que o limite foi atingido e que devem tentar novamente mais tarde.
Tempo limite de inatividade: Definir o tempo mximo, em segundos, que o proxy pode ficar
sem receber dados da sesso Telnet e ainda consider-la ativa.
650
O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite
TCP, nos parmetros de configurao globais. (para maiores informaes, veja o captulo
intitulado Configurando os parmetros do sistema)
Lista de permisses: Definir de forma individual, as permisses de acesso para usurios ou
grupos.
Para executar qualquer operao sobre um usurio ou grupo na lista de permisses, basta
clicar com o boto direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser
acionado sempre que se pressionar o boto direito, mesmo que no exista nenhum
usurio/grupo selecionado. Neste caso, somente as opes Incluir e Colar estaro
habilitadas).
Figura 464 - Menu (inserir).
Inserir: Permitir a incluso de um novo usurio/grupo na lista. Se algum usurio/grupo

estiver selecionado, o novo ser inserido na posio selecionada. Caso contrrio, o novo
usurio/grupo ser includo no final da lista.
Editar: Permite alterar a permisso de acesso do usurio/grupo selecionado.
Excluir: Remover da lista o usurio/grupo selecionado.
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se o
usurio/grupo, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
A ordem dos usurios e grupos na lista de permisses de fundamental importncia. Quando
um usurio se autenticar, o firewall pesquisar a lista a partir do incio procurando pelo nome desse
usurio ou por um grupo de que ele faa parte. To logo um desses seja encontrado, a permisso
associada ao mesmo ser utilizada.
Para alterar a posio de um usurio ou grupo dentro da lista, deve-se proceder da seguinte
forma:
1. Selecionar o usurio ou grupo a ser movido de posio.
2. Clicar em um dos botes em formato de seta, localizados a direita da lista. O boto com
o desenho da seta para cima far com que o usurio/grupo selecionado seja movido
651
uma posio para cima. O boto com a seta para baixo far com que este seja movido
uma posio para baixo.
No caso de incluso de usurios/grupos, ser mostrada a seguinte janela:
A janela de incluso de usurios/grupos
Figura 465 - Janela de incluso de usurios ou grupos.

A janela de incluso permite definir a permisso de acesso para um usurio ou um grupo de
um determinado autenticador. Para faz-lo, deve-se proceder da seguinte forma:
Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos, clicando-se
com o boto esquerdo sobre seu nome na lista superior da janela (se o autenticador
desejado no aparecer na lista, necessrio acrescent-lo na lista de autenticadores a
serem pesquisados. Para maiores informaes, veja o captulo intitulado Configurando
parmetros de autenticao).
1. Selecionar entre listagem de usurios ou grupos, clicando-se nos botes
correspondentes localizados entre as duas listas.
2. Clicar com o boto esquerdo sobre o nome do usurio ou grupo que queira incluir, na
lista inferior da janela.
3. Definir a permisso de acesso para o usurio ou grupo, escolhendo entre os valores
aceita (que possibilitar o estabelecimento da sesso) ou rejeita (que impedir seu
estabelecimento).
4. Clicar no boto OK, o que provocar o fechamento da janela e a incluso do usurio ou
grupo na lista de permisses da janela de propriedades do contexto.
652
653
Este captulo mostra como configurar o proxy FTP, de forma a bloquear determinados
comandos da transferncia de arquivos.
O que o proxy FTP?

O proxy FTP um programa especializado do Aker Firewall feito para trabalhar com o
protocolo FTP, que o protocolo utilizado para a transferncia de arquivos pela Internet. A
sua funo bsica possibilitar que o administrador defina os comandos que podem ser
aceitos e impedir, por exemplo, a criao de novos arquivos ou de diretrios.
existncia.
Utilizando o proxy FTP
Para utilizar o proxy FTP para realizar o controle de uma transferncia de arquivos
necessrio executar uma sequncia de 2 passos:
1. Criar um servio que ser desviado para o proxy FTP e editar os parmetros do contexto a
ser usado por este servio (para maiores informaes, veja o captulo intitulado
Cadastrando Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para as
redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado O Filtro
de Estados).
O proxy FTP no realiza autenticao de usurios. Para possibilitar que certos usurios tenham
privilgios diferentes necessrio criar servios do proxy FTP com contextos distintos e associar
cada um destes servios com um perfil de acesso.
654
27.1.
Editando os parmetros de um contexto FTP
A janela de propriedades de um contexto FTP ser mostrada quando selecionar a opo

Proxy FTP, na janela de edio de servios. Por meio dela possvel definir o
comportamento do proxy FTP quando este for lidar com o servio em questo.
A janela de propriedades de um contexto FTP
Figura 466 - Servios: propriedades de um contexto FTP.

Somente aceita conexes de mquinas com DNS reverso vlido: Ao selecionar essa opo,
somente sero aceitas conexes de mquinas cujo DNS reverso esteja configurado e aponte
para um nome vlido.
Permitir que o servidor abra conexes em qualquer porta com o cliente: Esta opo
permite que o servidor FTP comunique-se com o cliente por uma porta diferente da padro
que TCP 20.
655
Habilitar logs de downloads e uploads: Esta opo far com que seja gerado um evento
informando dados sobre os downloads e uploads realizados passando pelo proxy.
Nmero mximo de conexes simultneas: Definir o nmero mximo de sesses FTP que
podem estar ativas simultaneamente neste contexto. Caso o nmero de sesses abertas
atinja este limite, os usurios que tentarem estabelecer novas conexes sero informados
que o limite foi atingido e que devem tentar novamente mais tarde.
Tempo limite de inatividade: Definir o tempo mximo, em segundos, que o proxy pode ficar
sem receber dados da sesso FTP e ainda consider-la ativa.
O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite
TCP, nos parmetros de configurao globais. (para maiores informaes, veja o captulo
intitulado
Configurando
os
parmetros
do
sistema.
Esta janela permite a criao de uma lista de regras que podero ser aceitas ou no, de
acordo com cone na coluna Ao que tero as opes Aceita ou Rejeita.
Para poder inserir um comando na coluna FTP necessrio clicar com o boto direito dentro
do componente e selecionar a opo inserir, assim depois de inserida a regra, deve-se clicar
na coluna FTP e selecionar a opo desejada ou digitar outro comando.
.
Figura 467 - Janela de lista de regras (aceitas ou no).
Abaixo segue a descrio de todas as opes:
mkd - Criar diretrio: Ao selecionar essa opo, ser possvel a criao de diretrios por
meio
das
conexes
FTP
que
se
encaixarem
neste
contexto.
xmkd - Criar diretrio estendido: Ao selecionar essa opo, ser possvel a criao de
diretrios estendidos por meio das conexes FTP que se encaixarem neste contexto.
656
rmd - Apagar diretrio: Ao selecionar essa opo, ser possvel a remoo de diretrios por
meio das conexes FTP que se encaixarem neste contexto.
xrmd - Apaga um diretrio estendido: Ao selecionar essa opo, ser possvel remover
diretrios estendidos por meio das conexes FTP que se encaixarem neste contexto.
list - Listar diretrio: Ao selecionar essa opo ser possvel a visualizao do contedo de
diretrios (comandos DIR ou LS) por meio das conexes FTP que se encaixarem neste
contexto.
nlst - Listar nomes dos diretrios: Ao selecionar essa opo ser possvel a visualizao dos
nomes dos diretrios, por meio das conexes FTP que se encaixarem neste contexto.
retr - Download de arquivos: Ao selecionar essa opo, ser possvel fazer download de
arquivos por meio das conexes FTP que se encaixarem neste contexto.
stor - Upload de arquivos: Ao selecionar essa opo, ser possvel fazer upload de arquivos
por meio das conexes FTP que se encaixarem neste contexto.
stou - Upload de apenas um arquivos: Ao selecionar essa opo, ser possvel fazer upload
de um arquivo com o nome nico no diretrio corrente.
appe - Adicionar arquivo com a criao: Ao selecionar essa opo, ser possvel concatenar
os dados no fim de um arquivo. Caso o arquivo no exista ele ser criado.
rest - Retomada de transferncia de arquivos: Ao selecionar essa opo, ser possvel
recomear o download ou upload do ponto de onde foi interrompido.
dele - Remove arquivos: Ao desmarcar essa opo, no ser possvel remover arquivos por
meio das conexes FTP que se encaixarem neste contexto.
rnfr - Renomear arquivos: Se esta opo estiver desmarcada, no ser possvel renomear
arquivos por meio das conexes FTP que se encaixarem neste contexto.
As regras que no forem listadas obedecero a "ao padro".
657
658
Este captulo mostra quais as funes oferecidas pelo proxy POP3 e como realizar a sua
configurao.
O que o proxy POP3?

O proxy POP3 um programa especializado do Aker Firewall feito para trabalhar com
correio eletrnico. Este proxy possibilita realizar filtragens de e-mails baseadas em seus
arquivos anexos. Ele tambm atua como uma barreira protegendo o servidor POP3 contra
diversos tipos de ataques.
existncia.
POP3 um anagrama para protocolo Post Office, que o nome completo do servio de
download de mensagens de correio eletrnico na Internet.
Ataques contra um servidor POP3
Existem diversos ataques passveis de serem realizados contra um servidor POP3. So eles:
Ataques explorando bugs de um servidor

Neste caso, o atacante procura utilizar um comando ou parmetros de um comando que
conhecidamente provocam falhas de segurana.
O proxy POP3 do Aker Firewall impede estes ataques na medida em que s permitem a
utilizao de comandos considerados seguros e validando os parmetros de todos os
comandos.
Ataques explorando estouro de reas de memria (buffer overflows)

Estes ataques consistem em enviar linhas de comando muito grandes, fazendo com que
um servidor que no tenha sido corretamente desenvolvido apresente falhas de
segurana.
O proxy POP3 do Aker Firewall impede estes ataques na medida em que limita o
tamanho mximo das linhas de comando que podem ser enviadas para o servidor.
659
Utilizando o proxy POP3

Para utilizar o proxy POP3 em uma comunicao, necessrio executar uma sequncia de 2
passos:
1. Criar um servio que ser desviado para o proxy POP3 e editar os parmetros do
2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para
as redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado O
Filtro de Estados).
28.1.
Editando os parmetros de um contexto POP3
A janela de propriedades de um contexto POP3 ser mostrada quando a opo Proxy POP3
for selecionada. Por meio dela possvel definir o comportamento do proxy POP3 quando
este for lidar com o servio em questo.
A janela de propriedades de um contexto POP3
Figura 468 - Propriedades de um contexto POP3.
660

a um determinado servio. So eles:
Configuraes: formado por diversos campos que indicam as aes a serem executadas
pelo proxy POP3:
Agente de antivrus: Indicar o agente antivrus que ser utilizado para checar vrus
dos arquivos anexados a mensagens de e-mail. Esse agente deve ter sido
previamente cadastrado no firewall. Para maiores informaes veja o captulo
intitulado Cadastrando entidades.
E-mail padro: Indicar o endereo de e-mail padro, para o qual sero enviadas as
cpias das mensagens que no se enquadrarem em nenhuma regra deste contexto
(se a opo Envia Cpia estiver marcada). Este e-mail tambm pode ser referenciado
em qualquer regra de filtragem do contexto.
Nmero mximo de processos: Indicar o nmero mximo de cpias do proxy que
podero estar ativas em um determinado momento. Como cada processo trata uma
conexo, este nmero tambm representa o nmero mximo de mensagens que
podem ser transmitidas simultaneamente para o contexto em questo. Caso o
nmero de conexes ativas atinja este limite, os clientes que tentarem enviar novas
mensagens devem repetir a tentativa posteriormente.
Tempo limite de resposta: Indicar o tempo mximo, em segundos, que o proxy
espera a conexo em inatividade. Caso este tempo seja atingido o proxy encerra a
conexo.
Permitir anexos mal formatados: Permitir que anexos que estejam mal codificados
passem pelo firewall e sejam entregues aos clientes de email.
Lista de regras: Nessa lista so especificadas as regras de tratamento de arquivos anexados

que permitem que uma mensagem tenha seus arquivos anexados removidos ou checados
contra vrus.
Para executar qualquer operao sobre uma determinada regra, deve-se clicar com o boto
que pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste
Figura 469 - Operaes sobre determinada regra.
661
selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a
nova regra ser includa no final da lista.
Renomear: Renomear a regra selecionada.
A ordem das regras na lista de regras de filtragem de arquivos anexados de fundamental
importncia. Para cada arquivo anexado de uma mensagem, o firewall pesquisar a lista a partir do
incio procurando uma regra na qual ele se enquadre. To logo uma seja encontrada, a ao
A janela de edio de regras de arquivos
662
Figura 470 - Edio de regras de arquivos.

Nesta janela so configurados todos os parmetros relativos a uma regra de filtragem de
arquivos para um contexto POP3. Ela consiste dos seguintes campos:
Nome: Definir unicamente a regra dentro do contexto. Este nome ser mostrado na lista de
regras de arquivos. No podem existir duas regras com o mesmo nome.
Filtrar por tipo MIME: Permitir definir uma regra de filtragem de arquivos baseando-se em
seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo.
Filtrar por nome: Permitir realizar filtragens a partir (de parte) do nome, do arquivo
anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a
ser pesquisado. As seguintes opes de pesquisa esto disponveis:
CONTM: O nome deve conter o texto informado em qualquer posio.

NO CONTM: O nome no pode conter o texto informado.
: O contedo do nome deve ser exatamente igual ao texto informado.
NO : O contedo do nome deve ser diferente do texto informado.
663
COMEA COM: O contedo do nome deve comear com o texto informado.

NO COMEA COM: O contedo do nome no pode comear com o texto informado.
TERMINA COM: O contedo do nome deve terminar com o texto informado.
NO TERMINA COM: O contedo do nome no pode terminar com o texto informado.
CONTM PALAVRAS: Neste tipo de pesquisa, o texto informado considerado como
formado por palavras individuais (separadas por espaos), ao invs de um texto
contnuo. Para enquadrar na pesquisa, o nome deve conter todas as palavras
informadas, independente de sua posio.
Ativao do filtro: Caso tenha especificado filtragem por tipo MIME e por nome, esse
campo permite especificar se a regra deve ser aplicada Somente se ambos so verdadeiros
(valor E) ou Se qualquer um for verdadeiro (valor OU).
Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se enquadrar na
regra. Ela consiste em trs opes:
Aceita o anexo: Ao selecionar essa opo o firewall ir manter o arquivo anexado na

mensagem.
Remove o anexo: Ao selecionar essa opo o firewall ir remover o arquivo anexado da
mensagem.
Remove anexo infectado: Ao selecionar essa opo o firewall ir verificar o arquivo
anexado da mensagem contra vrus. Caso exista vrus o firewall tomar uma das
reanexado mensagem. Caso o arquivo no possa ser desinfectado, o firewall o
remover e acrescentar uma mensagem informando o destinatrio desse fato.
Caso a caixa Registrar na lista de eventos estiver marcado, quando a regra for atendida a
mesma ser registrada no log de eventos.
Remover arquivos encriptados: Ao selecionar essa opo, o firewall remover os arquivos
anexados que estejam compactados e cifrados, porque no poder examin-los para testar
a presena de vrus.
Remover arquivos corrompidos: Ao selecionar essa opo, o firewall remover os arquivos
anexados que estejam compactados, porm corrompidos, porque no poder examin-los
para testar a presena de vrus.
Notifica emissor no caso de remoo do arquivo anexado: Ao selecionar essa opo, o
firewall enviar uma mensagem para o emissor de um e-mail todas as vezes que um ou mais
de seus arquivos anexados for removido.
Envia cpia para o administrador se o arquivo anexado for removido: Ao marcar essa
opo, o firewall enviar uma cpia de todos os arquivos removidos para o administrador.
Caso ela esteja marcada, deve-se escolher uma das seguintes opes de envio:
E-mail Padro: A cpia da mensagem enviada para o e-mail padro, definido na janela
de propriedades do contexto.
664
outro: A cpia da mensagem enviada para o endereo especificado no campo direita.
665
666
Este captulo mostra como so utilizadas as quotas.
O que so quotas?
A produtividade dos funcionrios de fundamental importncia para o desenvolvimento e o
crescimento de uma empresa. Portanto, os seus recursos de rede devem ser utilizados de
forma racional. A partir dessa necessidade, o Aker Firewall tornou-se uma ferramenta
indispensvel para o controle de acesso s pginas web, que so visitadas pelos empregados
de uma corporao. Com o uso desse produto, os usurios s tero acesso a sites dentro
dos limites estabelecidos pelas quotas de acesso. As Quotas so utilizadas para controlar e
racionalizar o tempo gasto pelos funcionrios, com acesso a sites da WEB. Assim as quotas
so os limites em termos de tempo de acesso e volume de dados, por usurio. Estes limites
so definidos na seguinte forma:
Quanto periodicidade de acesso, pode ser definido diariamente, semanalmente e

mensalmente;
Quanto quantidade de horas e de dias disponveis;
Quanto ao volume de dados de bytes trafegados.
Observao 1:
Filtro Web: Consumo de cota o tempo calculado aproximado mdia de tempo de
carregamento de um site.
MSN: Consumo de cota o tempo calculado aproximado mdia de tempo de utilizao
do MSN, como chats, envio de arquivo, uso de jogos, vdeo chamada ou qualquer outra
funcionalidade do MSN.
Observao 2:
Filtro Web: Para os casos de acesso simultneos (de um mesmo usurio) somente o tempo
de carregamento do maior site que ser contabilizado.
Observao 3: A contagem de tempo funciona da seguinte forma: quando o usurio acessa
uma pgina, conta um relgio de 31 segundos, se o usurio acessar outra pgina, comea a
contar do zero, mas no deixar de contar, por exemplo, os 10 segundos que o usurio
gastou ao acessar a pgina anterir.
MSN: para cada janela de conversao, o tempo contado separadamente;
667
Editando os parmetros do Uso de Quota
29.1.
Figura 471 - Uso de quotas.
Clicar no menu Informao da janela do firewall.

Selecionar o item Uso de Quotas.
668
Visualizao do Usurio
Figura 472 - Uso de quotas: visualizao do usurio.

Esta janela permite mostrar todas as informaes de quota de acesso, especificadas por
usurio.
Reiniciar o tempo do usurio: Ao clicar com o boto direito do mouse em cima do usurio e
ao selecionar essa opo zera toda a quota de tempo de acesso para todas as quotas desse
usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a
esse usurio.
Reiniciar o trfego do usurio: Ao clicar com o boto direito do mouse em cima do usurio
e ao selecionar essa opo opta em zerar todas as quotas de volume de dados desse
esse usurio.
Reiniciar hora e trfego do usurio: Ao clicar com o boto direito do mouse em cima do
usurio e ao selecionar essa opo opta em zerar toda quota de tempo de acesso e a quota
de volume, para esse usurio. Caso clique em cima da quota, s ser zerado aquela quota
especfica referente a esse usurio.
669
Usurio: Usurio para qual foi aplicado quota.

Quota: Nome da quota criada.
Time: Tempo gasto da quota.
Volume: Quantidade de bytes trafegados.
Regularidade: Perodo que a quota vai ser aplicada se diariamente, semanalmente ou
mensalmente.
Mostra valores relativos: Mostra os valores das quotas gastas em forma de porcentagem.
Visualizao da Quota
Figura 473 - Uso de quotas: visualizao da quota.

Esta janela permite mostrar todas as informaes de quota de acesso, especificados por
quota.
Reinicia o tempo do usurio: Ao clicar com o boto direito do mouse em cima do usurio e
ao selecionar essa opo zera toda a quota de tempo de acesso para todas as quotas desse
670
esse usurio.
Reinicia o trfego do usurio: Ao clicar com o boto direito do mouse em cima do usurio e
ao selecionar essa opo opta em zerar todas as quotas de volume de dados desse usurio.
Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse
usurio.
Reinicia hora e trfego do usurio: Ao clicar com o boto direito do mouse em cima do
usurio e ao selecionar essa opo opta em zerar toda quota de tempo de acesso e a quota
de volume, para esse usurio. Caso clique em cima da quota, s ser zerado aquela quota
especfica referente a esse usurio.
Mostra valores relativos: Mostra os valores das quotas em forma de porcentagem.
Quota: Nome da quota criada.
Usurio: Usurio para qual foi aplicado quota.
Tempo: Tempo gasto da quota.
Volume: Quantidade de bytes trafegados.
Regularidade: Perodo que a quota vai ser aplicada se diariamente, semanalmente ou
mensalmente.
671
672
Este captulo mostra para que serve e como configurar o Filtro Web.
30.1.
O que o Filtro Web do Aker Firewall?

O filtro web um programa especializado do Aker Firewall feito para trabalhar com os
protocolos que compem a chamada WWW (World Wide Web). Dentre entre estes
protocolos, esto o HTTP, HTTPS, FTP e Gopher.
Este produto possui como principal funo controlar o acesso dos usurios internos
Internet, definindo quais pginas os usurios podero acessar e se podem ou no transferir
arquivos, por exemplo. Alm disso, ele pode bloquear tecnologias consideradas perigosas
para algumas instalaes como o Active-XTM, scripts (JavaScript) e at applets JavaTM. Mais
ainda, ele possibilita a remoo dos banners das pginas, de forma a aumentar a sua
velocidade de carga e reduzir a utilizao do link.
Ele um proxy simultaneamente transparente e no transparente facilitando a instalao
do sistema.
Para que o proxy no transparente tenha a mesma performance do transparente, necessrio

que os browsers suportem o envio de requisies HTTP 1.1 via proxies.
O que um servidor de cache WWW?

Um servidor de cache um programa que visa aumentar a velocidade de acesso s pginas
da Internet. Para conseguir isso, ele armazena internamente as pginas mais utilizadas pelas
diversas mquinas clientes e todas as vezes que recebe uma nova solicitao, ele verifica se
a pgina desejada j se encontra armazenada. Caso a pgina esteja disponvel, ela
retornada imediatamente, sem a necessidade de consultar o servidor externo, caso
contrrio pgina ser carregada normalmente do servidor desejado e armazenada,
fazendo com que as prximas requisies a esta pgina sejam atendidas rapidamente.
673
O filtro web do Aker Firewall trabalhando com um servidor de cache

O Aker Firewall implementa automaticamente um servidor de cache no seu Filtro Web,
entretanto ele pode ser configurado para trabalhar com qualquer um que siga os padres
de mercado. Este servidor de cache pode estar rodando na prpria mquina onde o firewall
se encontra ou em uma mquina separada.
Caso utilize-se de um servidor de cache em uma mquina separada (modo de instalao
recomendado), esta mquina deve ficar em uma sub-rede diferente de onde esto as
mquinas clientes, caso contrrio, todo o controle de segurana pode ser facilmente
ultrapassado. Este tipo de configurao pode ser visualizado na seguinte figura:
Figura 474 - Conexo (internet, rede interna, firewall e DMZ.
Neste tipo de instalao, para assegurar uma total proteo, basta configurar o filtro de
estados (para maiores informaes, veja o captulo intitulado O Filtro de Estados) de forma
a permitir que a mquina com o cache seja a nica que possa acessar os servios ligados ao
WWW, e que as mquinas clientes no possam abrir nenhuma conexo em direo
mquina onde se encontra o cache. Feito isso, configura-se todas as mquinas clientes para
utilizarem o Filtro Web do firewall e configura-se o firewall para utilizar o cache na mquina
desejada.
674
Utilizando o Filtro Web

Para se utilizar o filtro web do Aker Firewall no modo no transparente (normal),
necessria a seguinte sequncia de passos:
1. Criar os perfis de acesso desejados e os associar com os usurios e grupos desejados.
(Isso foi descrito no captulo chamado Perfis de acesso de usurios);
2. Editar os parmetros de configurao do Filtro Web (isso ser mostrado no tpico
chamado Editando os parmetros do filtro web);
3. Criar uma regra de filtragem possibilitando que as mquinas clientes tenham acesso ao
proxy (para maiores informaes, veja o captulo intitulado O Filtro de Estados).
O filtro web no transparente escuta conexes na porta 80, utilizando o protocolo TCP.
Caso seja necessrio, pode-se alterar este valor para qualquer porta, bastando para isso
acrescentar o parmetro -p porta, onde porta o nmero da porta que queira que ele
escute, na hora de inici-lo. A linha de comando a ser alterada se encontra no arquivo
/aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall /fwhttppd para
/aker/bin/firewall/fwhttppd -p 8080, por exemplo.
Para utilizar o filtro web no modo transparente necessrio executar uma sequncia de 2
passos:
1. Criar um servio que ser desviado para o Filtro Web transparente (HTTP e/ou
HTTPS) e editar os parmetros do contexto a ser usado por este servio (para
maiores informaes, veja o captulo intitulado Cadastrando Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1,
intitulado O Filtro de Estados).
675
Editando os parmetros de Filtro Web
30.2.
Para utilizar o filtro web, necessria a definio de alguns parmetros que determinaro
caractersticas bsicas de seu funcionamento. Esta definio feita na janela de
configurao do Filtro Web. Para acess-la, deve-se:
Figura 475 - Filtro web.
Clicar no menu Aplicao da janela do firewall.

Selecionar o item Filtro Web.
676
A janela de configurao de parmetros do Filtro Web

Aba Geral
Figura 476 - Configurao dos parmetros do filtro web (geral).
O boto OK far com que a janela de configurao do Filtro Web seja fechada e as
alteraes salvas.
janela aberta.
seja fechada.
O boto Retornar Configurao Inicial - Desconsidera as configuraes personalizadas e

retorna ao padro; aplicvel em todas as abas e encontra-se na barra de ferramentas do
Firewall, bem como o boto Assistente.
677
Cache
Cache Interno Habilitado: Esta opo permite que o firewall funcione como servidor de
cache.
Cache externo Habilitado: Esta opo permite definir se o Filtro Web ir redirecionar
suas requisies para um servidor de cache. Caso esta opo esteja habilitada, todas as
requisies recebidas sero repassadas para o servidor de cache, no endereo IP e porta
especificada. Caso contrrio, o Filtro Web atender todas as requisies.
Pginas que contenham o campo Expires definido no cabealho HTTP sero apagadas
do cache quando o valor Expires for alcanado. Caso esta informao no esteja no
cabealho HTTP, ela ser mantida no cache pelo priodo de 72 horas.
IP: Este campo especifica o endereo IP do servidor de cache para onde as requisies
sero redirecionadas, caso a opo habilita cache estiver ativa.
Porta: Este campo especifica a porta na qual o servidor de cache espera receber
conexes, caso a opo habilita cache estiver ativa.
Para o cliente de autenticao em Java funcionar em seu browser, ele deve ter o suporte
Java instalado e habilitado, alm de permitir o uso do protocolo UDP para applets Java.
Autentica usurios WWW

Este campo ativa ou no a autenticao de usurios do Filtro Web. Caso ele esteja
marcado, ser solicitada ao usurio uma identificao e uma senha todas as vezes que
ele tentar iniciar uma sesso, e esta somente ser iniciado caso ele seja autenticado por
algum dos autenticadores.
Utiliza cliente de autenticao em Java: Esta opo instrui o proxy a utilizar o cliente de
autenticao em Java, mesmo quando operando de modo no transparente. A
vantagem deste cliente permitir que a autenticao do usurio seja completa (como
quando se usa o cliente de autenticao para Windows, e no apenas para o Filtro Web).
Caso o usurio esteja utilizando o Cliente de Autenticao Aker para Windows esteja
com uma sesso estabelecida com o Firewall, ento no ser solicitado nome nem senha, ou
seja, o proxy se comportar como se no estivesse realizando autenticao de usurios, mas
ele est de fato fazendo-o. Se a sesso do Cliente de Autenticao for finalizada, ento o
proxy solicitar um nome de usurio e senha no prximo acesso. Para maiores informaes
sobre o Cliente de Autenticao Aker, leia o captulo (Autenticao de usurios).
678
Para o cliente de autenticao em Java funcionar em seu browser, ele deve ter o suporte
Java instalado e habilitado, alm de permitir o uso do protocolo UDP para applets Java.
Forar autenticao: Se esta opo estiver marcada o proxy obrigar a autenticao do
usurio, ou seja, somente permitir acesso para usurios autenticados. Se ela estiver
desmarcada e um usurio desejar se autenticar, ele poder faz-lo (para ganhar um
perfil diferente do padro), mas acessos no identificados sero permitidos.
Tempos Limites
Leitura: Definir o tempo mximo, em segundos, que o proxy aguarda por uma requisio
do cliente, a partir do momento que uma nova conexo for estabelecida. Caso este
tempo seja atingido sem que o cliente faa uma requisio, a conexo ser cancelada.
Resposta: Definir o tempo mximo, em segundos, que o proxy aguarda por uma
resposta de uma requisio enviado para o servidor WWW remoto ou para o servidor de
cache, caso a opo habilita cache esteja ativa. Caso este tempo seja atingido sem que o
servidor comece a transmitir uma resposta, a conexo com o servidor ser cancelada e o
cliente receber uma mensagem de erro.
HTTPS: Definir o tempo mximo, em segundos, que o proxy pode ficar sem receber
dados do cliente ou do servidor em uma conexo HTTPS, sem que ele considere a
conexo inativa e a cancele.
Manter ativo: Definir quanto tempo um usurio pode manter uma conexo keep-alive
(HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o processo para
outro usurio. Recomenda-se manter este tempo bastante baixo, para evitar o uso
desnecessrio de todos os processos do sistema.
Timeout das sesses web: Indica quanto tempo uma sesso web vai ficar sendo
monitorada, permitindo ao administrador do firewall saber quais so as sesses web
ativas do seu firewall.
Exemplo: Se for marcado 30 segundos nesse campo, a janela de sesses web
(Informao -> Sesses Web) s vai mostrar as sesses ativas dos ltimos 30 segundos.
Para redefinir os valores dos Tempos Limites clique no boto
Performance
No permitir a transferncia de arquivos comprimidos: Permite que o Firewall no
aceite transferncias do filtro Web que tenham dados compactados.
679
Em uma requisio HTTP e ou HTTPS, pode ser especificado que os dados venham
compactados. Caso os dados venham comprimidos e caso exista ActiveX, Java ou
JavaScript compactados, o firewall precisa descompact-los para fazer a anlise dos
dados, por isso que nesses casos, essa opo bastante importante. O mais aconselhado
deixar esta opo desmarcada, pois o padro da janela.
Logar toda URL aceita: Permite que o Firewall logue todas as URL que so realizadas em
mtodo (GET, POST e etc), sendo assim teremos um volume de logs muito maior para
gerao de relatrios e contabilizao de Quotas.
Exemplo: com esta opo desmarcado o acesso ao endereo http://www.terra.com.br
ser gerado apenas um log informando o acesso ao portal, j com a opo marcada ser
gerado logs para cada GET que o browser faz para receber todo o site.
Para melhorar o desempenho e a gesto de recursos, os processos do Filtro Web so
criados automaticamente pelo firewall, conforme a demanda de requisies.
Quotas
Interromper download caso o volume seja excedido: Essa opo permite interromper a
transferncia dos arquivos caso a quota tenha excedido. Caso essa opo no esteja
marcada o firewall vai verificar a quota do usurio antes dele comear a fazer o
download.
Exemplo: Se o usurio tiver 50 MB de quota, e quer fazer um download de um arquivo
de 100 MB, com certeza ele no ir conseguir finalizar essa transferncia pois a
transferncia ser interrompida. Todas s vezes que essa opo estiver marcada, e for
mais de um download simultneo ou um download que no foi informado o seu
tamanho, o firewall permite o download, mas ir interromper antes do trmino.
Interromper downloads caso o tempo seja excedido: Permite que o tempo da quota
seja "gasto" enquanto durar o tempo do download, por exemplo, se o usurio quiser
fazer o download de um arquivo de 100 MB e esse download levar 30 minutos, vo ser
gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opo no esteja
marcada, s vo ser gastos 100 MB, e no os 30 minutos.
Normalmente o tempo de quota s utilizado quando o usurio fica navegando,
mandando mensagens pelo MSN e etc. Quando ele est fazendo o download de um
arquivo grande, no gasto o tempo de sua quota, somente o volume de bytes.
680
Aba Cliente de autenticao
Figura 477 - Filtro Web: cliente de autenticao.
Esta aba serve para compor o Layout da janela de autenticao do Aker Firewall.
Crie um ttulo para a janela de autenticao.
Autenticao - Este campo composto por duas opes que sero disponibilizadas para o
usurio quando do logon no Firewall; e poder se conectar habilitando:
Mostrar boto S/Key - Esta opo permite que os usurios se autentiquem usando
S/Key.
Mostrar campo domnio - O usurio informar o domnio para logar-se no Filtro Web.
Logotipo
Usar logo personalizada - Ao marcar esta opo, ser necessario indicar o caminho que
se encontra a logotipo.
E possvel acompanhar as mudanas na Visualizao.
681
Figura 478 - Visualizao da Logotipo
Habilitar tela de splash: Esta opo exibe uma janela com a URL especificada antes de
solicitar a autenticao do usurio por meio do cliente de autenticao em Java.
Aba Site de autenticao (Clientless)
Figura 479 Aba Site de autenticao
Esta aba usada para configurar a autenticao de usurios antes que estes possam ter
acesso Internet. Esta autenticao usada para reforar o nvel de segurana em websites,
e tambm para ter controle sobre o acesso Internet em sua rede.
Ttulo do site de autenticao: Nesta opo criado o ttulo do site de autenticao.
682
Certificado X.509
Certificado do site de autenticao: Especificar o certificado X.509 que ser apresentado ao
cliente quando ele tentar estabelecer conexo.
Tempo limite
Tempo limite de autenticao: Definir o tempo mximo (em minutos) que a autenticao
do usurio permanecer ativa, aps este tempo o usurio dever se autenticar novamente.
Valor padro 120 minutos.
Opes
Mostrar campo Domnio: Ao marcar esta opo o usurio dever informar o domnio para
logar-se no Filtro Web.
Logo
Usar logo personalizado: Ao marcar esta opo, ser necessrio indicar o caminho que se
encontra a logotipo.
Para que a autenticao ClientLess seja estabelecida com sucesso necessrio que o
common name (CN) do certificado esteja como entrada no DNS, ou seja, o usurio deve
inserir uma entrada no DNS com o mesmo nome usado no common name (CN) do
certificado, apontando para as interfaces internas que sero autenticadas.
683
Figura 480 Certificado X.509
Figura 481 Detalhes do certificado
684
Figura 482 - DNS
A opo Forar autenticao que se encontra na aba Geral dever estar selecionada
para o que a autenticao seja requisitada toda vez que um usurio tente acessar a Internet.
Figura 483 Forar autenticao
necessrio criar regras que liberem as portas de autenticao como no exemplo

a seguir:
Figura 484 - Regras para liberao das portas de autenticao
Regra 3
Da rede LAN para a Interface Interna do FW, liberando as portas 80 e 443 sem proxy.
Regra 4
685
Da rede LAN para a Internet liberando as portas 80 e 443 com proxy

Ao tenta obter acesso Internet em um computador sem o certificado instalado como uma
autoridade certificadora, ser mostrada esta janela a seguir:
Figura 485 - Certificado no confivel
Ao tenta obter acesso Internet o usurio ser redirecionado pagina a seguir:
Figura 486 Janela de autenticao ClientLess
Em dispositivos moveis, ser solicitado uma permisso para o uso de um certificado no

instalado.
A autenticao ClientLess funciona em dispositivos moveis como: Tablets, Smartphones, ,

e outros dispositivos moveis com acesso Internet.
686
Aba Controle de contedo
Figura 487 - Filtro Web: controle de contedo.
Analisador de URL: Especificar o agente analisador de URLs que ser utilizado para
categorizar as pginas da Internet. Esse agente deve ter sido previamente cadastrado no
URL Bloqueada: Permitir a configurao de qual ao deve ser executado pelo firewall
quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes:
opes:
Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo, o firewall

mostra uma mensagem de erro informando que a URL que se tentou acessar se
encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opo, o firewall redirecionar todas
as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo
administrador. Nesse caso, deve-se especificar a URL para quais os acessos
bloqueados sero redirecionados (sem o prefixo http://) no campo a seguir.
Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando a
tentativa de acesso a uma URL for bloqueada. Ento pode optar em mostrar a pgina
padro ou redirecionar para a pgina escolhida, que ser personalizada de acordo com os
checkboxes selecionados. Segue abaixo a descrio de cada opo e o detalhamento das
variveis criadas.
687
Cada um desses checkbox selecionado um parmetro. Isso utilizado para identificar

aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi bloqueada porque caiu
em alguma categoria, passar por parmetro qual a categoria que causou o bloqueio
da pgina.
Domnio: Ao selecionar essa opo ser mostrado o domnio da URL.

Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br. Ao selecionar o
domnio, criada a varivel domain.
Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT, POST.
Ao selecionar o Mtodo criada a varivel method.
Nome do perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar essa
opo criada a varivel perfil.
IP do usurio: Endereo IP do usurio que tentou acessar a URL que foi bloqueada.
Ao selecionar o Mtodo criada a varivel IP.
Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa opo ser
mostrada a razo do bloqueio do site. Por exemplo, temos as seguintes razes:
"categoria da URL",
"connect para a porta especificada no permitida
Nome da categoria: Nome da Categoria que a URL foi associada. Ao selecionar a
Nome do usurio: Nome do usurio que tentou acessar a URL. Ao selecionar o nome
do usurio criada a varivel user.
Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi bloqueada.
Ao selecionar o Site da URL bloqueado criada a varivel url.
No preview, aparece como ser a URL e o que ser enviado via mtodo GET.
688
Aba Tipos de arquivos
Figura 488 - Filtro Web: tipo de arquivo.
Arquivos Bloqueados
Especificar os arquivos que sero bloqueados pelo Filtro Web.
ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um destes critrios for
atendido, em outras palavras, se a extenso do arquivo estiver entre aquelas a serem
analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, ento o
arquivo dever ser bloqueado pelo firewall.
arquivo.
URL Bloqueada: Permitir a configurao de qual ao deve ser executado pelo firewall
quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes:
opes:
689

encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opo, o firewall redirecionar
todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo
bloqueados sero redirecionados (sem o prefixo http://) no campo abaixo.
Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando a
tentativa de acesso a uma URL for bloqueada. Ento pode optar em mostrar a pgina
padro ou redirecionar para a pgina escolhida, que ser personalizada de acordo com os
checkboxes selecionados. Segue abaixo a descrio de cada opo e o detalhamento das
variveis criadas.
Cada um desses checkbox selecionado um parmetro. Isso utilizado para identificar
aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi bloqueada porque caiu
em alguma categoria, passar por parmetro qual a categoria que causou o bloqueio
da pgina.
Domnio: Ao selecionar essa opo ser mostrado o domnio da URL.

Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br.
Ao selecionar o domnio, criada a varivel domain.
Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT,
POST. Ao selecionar o Mtodo criada a varivel method.
Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar essa
opo criada a varivel perfil.
IP do usurio: Endereo IP do usurio que tentou acessar a URL que foi
bloqueada. Ao selecionar o Mtodo criada a varivel IP.
Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa opo
ser mostrada a razo do bloqueio do site. Por exemplo, temos as seguintes
razes:
"categoria da URL",
"connect para a porta especificada no permitido
Nome da categoria: Nome da Categoria que a URL foi associada. Ao selecionar a

Nome do usurio: Nome do usurio que tentou acessar a URL. Ao selecionar o
nome do usurio criada a varivel user.
690

Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi
bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url.
No preview, aparece como ser a URL e o que ser enviado via mtodo GET.
Downloads
Especificar os arquivos que sero analisados contra vrus pelo Download manager do Aker
Firewall, ou seja, para os quais o firewall mostra ao usurio uma pgina web com o status do
download do arquivo e realizar seu download em background. Esta opo interessante
para arquivos potencialmente grandes (arquivos compactados, por exemplo) ou para
arquivos que normalmente no so visualizveis de forma on-line pelo navegador.
ser analisado: a extenso do arquivo ou seu tipo MIME. Se um destes critrios for atendido,
em outras palavras, se a extenso do arquivo estiver entre aquelas a serem analisadas ou o
tipo MIME da mensagem estiver entre aqueles a serem analisados, ento o arquivo dever
ser analisado pelo firewall.
arquivo.
Sites Excludos:
Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se enquadrarem
na lista de excludos no sero analisados.
As opes de operao podem ser vistas a seguir:
691
Figura 489 - Escolha de operao.
Configuraes:
Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo encriptado.
Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo corrompido.
Online
Da mesma maneira que em downloads o administrador do firewall deve escolher os tipos
MIME e as extenses.
692
Aba Antivrus
Figura 490 - Filtro Web: antivrus.
Habilitar antivrus: Ao selecionar essa caixa, permitir que o firewall faa a verificao
antivrus dos contedos que tiverem sendo baixados.
O boto Retornar configurao padro restaura a configurao original do firewall para
esta pasta.
Agente antivrus utilizado: Permitir a escolha de um agente antivrus

previamente cadastrado para realizar a verificao de vrus. Esse agente deve ter
sido previamente cadastrado no firewall. Para maiores informaes veja o
captulo intitulado Cadastrando entidades.
Ignorar erros online do antivrus (podem permitir a passagem de anexos
contaminados): Quando este campo estiver selecionado, se houver um erro de
anlise do antivrus no trfego on-line, o mesmo no bloquear o contedo,
permitindo a transferncia dos dados. Caso o campo no esteja marcado, a
transferncia de dados ser bloqueada.
Ignorar erros de download do antivrus (pode permitir a passagem de anexos
contaminados): Quando este campo estiver selecionado, se houver erro de
anlise do antivrus no trfego on-line, o mesmo no bloquear o download,
permitindo a transferncia dos dados. Caso o campo no esteja marcado, o
download ser bloqueado.
693
Habilitar janela de progresso do antivrus: Esta opo permite desabilitar o

Download manager do Aker Firewall.
Intervalo de atualizao do status: Esta opo determina o tempo em a pgina
de download exibida pelo firewall deve ser atualizada.
Nmero de tentativas: Nmero mximo de tentativas de download para cada
arquivo, caso seja necessrio tentar mais de uma vez.
Nmero mximo de downloads simultneos: Configura o nmero mximo de
downloads simultneos que o firewall ir permitir.
Analise de Vrus: Opo para mostrar uma pgina caso seja encontrado um vrus
durante a anlise do antivrus. A pgina poder ser a do prprio firewall ou
personalizada pelo usurio. possvel personalizar a mensagem para cada tipo de
vrus encontrado, bastando utilizar a string {VIR} que ser substituda pelo nome do
vrus.

encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opo, o firewall redirecionar
todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo
bloqueados sero redirecionados (sem o prefixo http://) no campo a seguir.
O Aker Antivrus Module suporta diversas opes de varredura de vrus, worms, dialers, hoax,
cavalo de troia e analise heursticas, abaixo segue uma lista de opes suportadas:
Opes de anlise: Utilizado para selecionar quais os tipos de bloqueio que devem ser
realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se ser ou no utilizado um
mtodo de deteco heurstico (caso seja marcado, poder ser utilizado s opes baixo,
mdio ou alto);
Habilitar anlise heurstica: A Heurstica um conjunto de regras e mtodos que

podem levar o parceiro instalado a detectar um vrus sem a necessidade de uma
base de assinaturas de vrus, ou seja, um algoritmo capaz de detectar programas
maliciosos baseando-se em seu comportamento;
Detectar Malware: Habilita a analise de programas maliciosos e ferramentas
hackers.
Varredura de Arquivos:
Habilitado: Permite habilitar a anlise do contedo de arquivos compactados;

Nvel Mximo de profundidade: Define o nvel mximo de recurso ao analisar um
arquivo compactado;
Tamanho mximo do Arquivo: Define o tamanho mximo permitido de um arquivo
a ser analisado dentro de um arquivo compactado;
694
Nmero Mximo de Arquivos: Define a quantidade mxima de arquivos a serem

analisados dentro de um arquivo compactado.
O Aker Antivrus Module suporta a analise de arquivos compactados das seguintes

extenses: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR, BZIP2, UPX, AsPack, PEPack,
Petite, Telock, FSG, Crunch, WWWPack32, DOC, PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO,
Gzip, MS OLE2, MS Cabinet Files (+ SFX), MS SZDD compression format, BinHex, SIS
(SymbianOS packages), AutoIt, NSIS, InstallShield.
Aba SSL
O proxy HTTPS a parte do Filtro Web que trata as conexes TCP pela porta 443. O princpio
de funcionamento o de um ataque man-in-the-middle: as mquinas clientes que fazem o
acesso por meio do Aker Firewall, e este com o servidor remoto, de forma transparente.
Entendendo um pouco de certificados
O que um certificado digital?
Certificado digital um documento fornecido pela Entidade Certificadora para cada uma das
entidades que ir realizar uma comunicao, de forma a garantir sua autenticidade.
Para os certificados utilizados na comunicao HTTPS o padro utilizado o X.509. Este
comumente utiliza-se das extenses pem, cer e crt.
Formato PKCS#12
O formato PKCS#12 foi criado pela RSA Laboratories para armazenamento do certificado
X.509 acompanhado da chave privada. Esse arquivo geralmente tem a extenso pfx e
p12.
Comunicao HTTPS
A comunicao HTTPS utiliza-se do sistema de certificao digital.
Quando o cliente acessa um site com HTTPS o servidor envia ao cliente o certificado X.509
(que contm sua chave pblica).
De posse deste certificado o navegador (cliente) faz algumas validaes:
Validade do certificado;
Se o CN (Common Name) do certificado o host da url;
Se a autoridade certificadora que assinou o certificado uma autoridade confivel.
Aps a validao ocorrer com sucesso o cliente efetua o processo de comunicao de requisies e
respostas HTTP.
695
Vejam o diagrama a seguir:
Figura 491 - Diagrama de certificados envolvidos no acesso.
O diagrama mostra os certificados envolvidos no acesso:
Certificado do servidor remoto: certificado original de onde alguns dados como

data de expirao e common name so copiados para os certificados gerados no
firewall.
Certificado do proxy: certificado criado a cada requisio, que contm cpia
daqueles dados do certificado original que identificam o site. Assinado pela CA
inserida pelo administrador.
Os clientes precisam confiar nessa CA inserida no Aker Firewall para que seu browser no
detecte o ataque. Logo, dois certificados so necessrios, um para os clientes e outro para o
Aker Firewall.
Outros certificados que aparecem so os utilizados pelo Aker Firewall para validar os sites
remotos.
696
Gerando certificado para utilizao do Firewall

Para o firewall poder gerar certificados ele atua como uma Autoridade certificadora (CA), ou
seja, ele gera os certificados para os sites no qual acessado por meio do Proxy. Para poder
realizar este processo alguns pr-requisitos so necessrios:
O firewall necessita de um certificado digital no formato PKCS#12, pois somente este

tem a chave privada;
O Certificado X.509 contido no PKCS#12 necessita ser um certificado com prerrogativas
especficas para que este certificado possa assinar novos certificados, ou seja, atuar
como uma CA.
Para o processo de gerao do certificado h vrias possibilidades, neste FAQ sero

explicadas duas delas. Para o correto funcionamento do firewall no necessrio realizar
estas duas formas, portanto escolha uma delas e realize somente ela.
1. Gerando um certificado auto-assinado com o OpenSSL;
2. Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows.
Ao final de qualquer um dos dois processos escolhidos haver dois arquivos que sero
utilizados no processo do Proxy HTTPS:
1. Arquivo no formato X.509, com extenso .cer;
2. Arquivo no formato PKCS#12, com extenso .pfx.
O Arquivo PKCS#12 ser utilizado na configurao do Proxy HTTPS. O arquivo X.509 precisa
ser importado na seo de autoridades certificadoras raiz confiveis dos navegadores
conforme demonstrado posteriormente.
697
Configurao
Figura 492 - Filtro web: configurao.

O proxy HTTPS ativo habilitado por padro e tem como opo a filtragem do servio para
determinadas portas e entidades.
Alm de bloqueios fitos pelo HTTPS transparente (man-in-the-middle) tambm
possvel fazer bloqueios pelo nome do certificado, pelo Common Name Search que
uma forma mais simples de fazer bloqueios. Para mais informaes veja o tpico
3.10Common Name Search
Controle SSL -proxy Ativo: Permitir a definio das portas de conexo segura (HTTPS) que
sero aceitas pelo firewall. Caso um cliente tente abrir uma conexo para uma porta no
permitida, o firewall mostra uma mensagem de erro e no possibilitar o acesso.
Permite HTTPS apenas para a porta padro (443): caso queira utilizar apenas a
porta padro (443), deve-se selecionar a primeira opo. Essa a configurao a
ser utilizada na grande maioria dos firewalls.
Permite HTTPS para todas as portas: indica ao firewall que ele deve aceitar
conexes HTTPS para quaisquer portas. Essa configurao no recomendada
para nenhum ambiente que necessite de um nvel de segurana razovel, j que
possvel para um usurio utilizar o proxy para acessar servios no permitidos
simulando uma conexo HTTPS.
698
Permite HTTPS para as entidades listadas abaixo: que possibilita ao

administrador definir exatamente quais portas sero permitidas. Nesse caso
devem ser cadastradas as entidades correspondentes aos servios desejados.
Para maiores informaes, veja o captulo intitulado Cadastrando Entidades.
Advanced HTTPS proxy

Para habilitar o proxy HTTPS transparente (Man-in-the-middle), crie uma regra de
filtragem para o servio HTTPS e habilite o proxy no combo box da entidade de
servio (da mesma forma como se faz para o proxy HTTP). Nesta janela, marque a
caixa Certificado local proxy transparente.
Para que o certificado seja importado no Proxy HTTPS transparente,

necessrio que o mesmo tenha o parmetro Restries Bsicas com o valor
Autoridade de Certificao. Para habilitar essa configurao no openssl use o
parmetro a seguir:
basicConstraints= CA:TRUE"
Lista de excees do HTTPS: aqui vo entidades do novo tipo Listas de Common

Name SSL, que ficam na aba listas no widget de entidades. Devem ser
cadastrados os Common Names dos sites que no devem passar pelo proxy.
A lista de Common Names no to simples. Por exemplo, www.gmail.com e

mail.google.com, precisam estar na lista pra liberar o Gmail do proxy. Uma lista
com www.bb.com.br tambm no suficiente para proteger o Banco do Brasil,
visto que j ao logar um novo certificado apresentado, para
www2.bancobrasil.com.br.
Usar um certificado personalizado em caso de erro no proxy: caso o proxy

detecte que o certificado da outra ponta no vlido, deve avisar o usurio,
como faz o browser. Caso esta checkbox esteja marcada o Filtro Web assina o
certificado da comunicao com uma CA de erro importada pelo administrador,
para que seja possvel adicionar excees ao proxy em nvel de usurio. Com a
checkbox desmarcada o acesso bloqueado, um evento gerado e uma pgina
de erro vai para o usurio.
699
Figura 493 - Certificado de erro do Firefox.

Erro do Firefox ao detectar certificado assinado pela CA de erro.
Figura 494 - Certificado assinado pela CA de erro.

Certificado assinado pela CA de erro.
700
Figura 495 - Erro de acesso.

Sem a CA de erro o acesso bloqueado.
Certificado da CA do proxy: aqui possvel importar/exportar a CA utilizada para assinar os
certificados gerados. Siga os passos abaixo para gerar este certificado corretamente:
Utilizando Open SSL

1.
2.
3.
4.
5.
Efetue a instalao do OpenSSL;

Crie um diretrio para utilizaes durante este processo;
Crie um arquivo, dentro deste diretrio, vazio, com o nome database.txt;
Crie um arquivo, dentro deste diretrio, vazio, com o nome serial.txt;
Crie um arquivo nomeado autoassinado.conf e adicione o seguinte contedo:
RANDFILE
= .rnd
[ ca ]
default_ca
= CA_default
[ CA_default ]
certs
= certs
crl_dir
= crl
database
= database.txt
new_certs_dir = certs
certificate
= cacert.pem
serial
= serial.txt
crl
= crl.pem
private_key = private\cakey.pem
RANDFILE
= private\private.rnd
701
default_days = 365
default_crl_days= 3
default_md = sha1
preserve
= no
policy
= policy_match
[ policy_match ]
commonName
= supplied
emailAddress
= optional
countryName
= optional
stateOrProvinceName
= optional
localityName
= optional
organizationName = optional
organizationalUnitName
= optional
[ req ]
default_bits
= 1024
default_keyfile
= privkey.pem
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
commonName
name)
commonName_max
emailAddress
emailAddress_max
countryName
countryName_min
countryName_max
countryName_default
stateOrProvinceName
localityName
0.organizationName
organizationalUnitName
countryName_default
= Common Name (eg, your website's domain

= 64
= Email Address
= 40
= Country Name (2 letter code)
=2
=2
= BR
= State or Province Name (full name)
= Locality Name (eg, city)
= Organization Name (eg, company)
= Organizational Unit Name (eg, section)
= BR
[ v3_ca ]
certificatePolicies=2.5.29.32.0
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints=critical,CA:TRUE
702
keyUsage = critical,cRLSign, keyCertSign, digitalSignature
6. Crie a chave privada que ser utilizada:

openssl genrsa -des3 -out ca.key 1024
Neste momento ser solicitada a senha para armazenamento da chave, est senha
ser utilizada posteriormente para abertura da chave privada.
Loading 'screen' into random state - done
Generating RSA private key, 1024 bit long modulus
..............++++++
...............++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
7. Crie o certificado X.509. Este o arquivo que ser utilizado futuramente para
instalao nos clientes:
openssl req -extensions v3_ca -config autoassinado.conf -new -x509 -days 3650 -key
ca.key -out firewall.cer
Neste momento algumas informaes sero solicitadas, a primeira delas a senha da chave
privada criada no passo anterior.
Agora sero solicitados os dados do certificado, o nico item obrigatrio o Common Name
(CN), nele adicione o nome como deseja que a sua CA seja identificada.
Aps a finalizao deste processo temos o nosso certificado conforme imagem a seguir:
703
Figura 496 - Certificado de informao.

Porm temos dois arquivos, um para a chave privada e outro para o certificado, desta forma
ser necessrio coloc-los em um nico arquivo no formato PKCS#12, que o formato
reconhecido pelo firewall.
8. Crie o arquivo PKCS#12 com a chave privada e o certificado
openssl pkcs12 -export -out firewall.pfx -in firewall.cer -inkey ca.key
Neste processo sero solicitadas duas senhas, a primeira para abertura da chave privada e a
segunda para a exportao do arquivo PKCS#12. Esta segunda senha ser utilizada no
momento da importao do arquivo PKCS#12 no firewall.
Enter Export Password:
Verifying - Enter Export Password:
704
Utilizando CA Microsoft:
Este item no demonstra como efetuar a instalao de uma autoridade certificadora (CA) no
Windows, e sim como utilizar uma j instalada, sendo a instalao desta um pr-requisito
para continuidade deste processo.
1. Abra a console de gerenciamento de autoridade certificadora em Start >
Administrative Tools > Certification Authority (Iniciar > Ferramentas
Administrativas > Autoridade de certificao)
Figura 497 - Certificado de informao.
705
2. Selecione a sua CA
Figura 498 Certification Authority.
3. Nestes prximos passos iremos exportar o certificado X.509 da CA.

Clique com o boto direito do mouse e clique em Properties (Propriedades)
Figura 499 - Certificado CA properties.

706
4. Selecione o ltimo certificado da CA e clique em View Certificate (Exibir certificado)
Figura 500 - Certificado CA General.
707
5. Na tela de visualizao do certificado clique em Details (detalhes) e depois em Copy

to file (Copiar para arquivo)
Figura 501 - Certificado CA Details.

6. Selecione um local para salvar o arquivo. Este o arquivo que ser utilizado
futuramente para instalao nos clientes.
7. Nestes prximos passos iremos Exportar o arquivo no formato PKCS#12 para a
utilizao no firewall.
8. Volte para a tela principal da autoridade certificadora. Clique com o boto direito do
mouse no nome da CA e clique em All Tasks (Todas as tarefas) e clique em Back up
CA (Fazer Backup da autoridade de cert...)
708
Figura 502 - Certificado CA All tasks / Back up Ca.

9. Na prxima tela clique em Avanar. Na tela subsequente selecione somente o item
Private key and CA certificate (Chave particular e certificado de autoridade de
certificao), indique o diretrio onde ser salvo o arquivo, clique em avanar.
Figura 503 - Certificado Authority Backup Wizard.
709
10. a tela abaixo, indique a senha de proteo do arquivo PKCS#12. Esta senha ser
utilizada no momento da importao do arquivo PKCS#12 no firewall.
Figura 504 - Certificado Authority Backup Wizard senha e confirmao.

Aps este processo, ser gerado o arquivo PKCS#12 com a chave privada e o certificado
desta CA.
Usar um certificado de CA personalizado em caso de erro no proxy: aqui possvel
importar/exportar CA utilizada quando h erro na validao do certificado remoto. Quando
a opo de utilizar CA de erro desmarcada, a opo de visualizar a CA de erro fica
desabilitada.
Importando certificado X.509 no Windows
A importao deste certificado na base do Windows tem efeito em todos os aplicativos que
consultam esta base como base dos certificados confiveis desta forma os certificados
gerados pelo Filtro Web sero validados nas estaes de trabalho filtradas, sem apresentar
as mensagens de segurana mostradas acima. Na lista destes aplicativos esto:
Internet Explorer;
Google Chrome;
Windows live messenger (MSN).
1. Abra a Microsoft Management Console. Acesse: Iniciar > Executar e digite mmc e
clique em OK.
710
Figura 505 - Microsoft Management Console.
2. Na tela do MMC clique em File (Arquivo) depois clique em Add/Remove snap-in...

(Adicionar/remover snap-in...).
3. Selecione a opo Certificates (Certificados) e clique em Add (Adicionar)
711
Figura 506 - Adicionar ou remover Snap-is.
4. Selecione a opo Computer account (Conta de computador), selecione a opo

Local Computer (Computador local).
712
5. Na opo Certificates > Trusted Root Certification Authorities > Certificates

(Certificados > Autoridade de certificao raiz confiveis > Certificados) clique com
o boto direito e clique em All tasks > Import (Todas as tarefas > Importar).
Figura 507 - Microsoft Management Console certificates, all task, import).
713
6. Selecione o arquivo X.509, ou seja, o arquivo com a extenso .cer.
Figura 508 - Escolha do diretrio onde deseja importar o relatrio.
Importando certificado X.509 no Mozilla Firefox

1. Clique em Ferramentas > Opes
Figura 509 - Mozilla Firefox (importar certificado).
714
2. Selecione a opo Avanado > Criptografia
Figura 510 - Mozilla Firefox (criptografia).
3. Selecione a opo Certificados, na tela de certificados selecione a aba Autoridades e

clique no boto Importar.
715
Figura 511 - Gerenciador de certificados autoridades.
716
4. Selecione o arquivo X.509, ou seja, o arquivo com a extenso .cer.

Aba Avanado
Filtro Navegador
Figura 512 - Filtro Web: avanado.
Ao selecionar a opo Filtro de navegador habilitado, permite ao usurio aceitar ou rejeitar

os navegadores inseridos na lista.
Essa lista criada pelo prprio usurio e nela devem ser inseridos os vrios tipos de
navegadores que se deseja bloquear ou liberar, abaixo segue um exemplo de como devem
ser includos:
Internet Explorer 6: MSIE 6.0;

Internet Explorer 7: MSIE 7.0";
Internet Explorer (qualquer um): MSIE;
Media Player: " Windows-Media-Player ";
Firefox: Firefox;
Firefox 2: Firefox/2.
A validao do browser feita ANTES do header stripping, assim sendo possvel substituir
verso por uma string fixa sem perder esta filtragem.
Reescrita de URLs
717
A reescrita de URL semelhante ao redirecionamento de sites. um processo interno ao

servidor web que funciona de forma transparente resolvendo os problemas com links
quebrados no site web.
No campo URL anterior como o prprio o nome j diz deve ser informado o endereo que
ser traduzido para um novo endereo informado no campo. URL reescrita.
Por exemplo:
URL anterior: www.aker.com.br
URL reescrita: www.aker.security.com.br
Stripping do cabealho HTTP
718
Essa opo permite remover e modificar partes do Header. Potencialmente aumenta a

segurana interna, evitando que informaes internas sejam enviadas para fora. Por
exemplo: cookies e verso do navegador do usurio.
O Header stripping funciona da seguinte forma, todas as linhas do header HTTP so
comparadas individualmente com todas as expresses cadastradas. Caso uma se encaixe, a
linha substituda e a prxima linha tratada. A primeira linha (com a requisio) no
filtrada (ou seja, no comparada com as expresses). O Header stripping funciona apenas
na remoo do header do cliente para o servidor;
O Header Stripping realizado imediatamente aps a verso de o browser cliente ser
verificada e ANTES de todos os demais processamentos do proxy HTTP, sendo assim, o proxy
tratar a verso modificada do header (caso ele tenha sido) como o que foi enviado pelo
cliente;
Seguem abaixo, exemplos de como preencher os campos: O que procurar e o Substituir por:
Para a remoo de cookies (sem as aspas):
Procurar: Cookie: * - Substituir por: "" (nada).
Para esconder a verso dos browsers dos clientes:

Procurar: User-Agent: *\r\n - Substituir por: User Agent: Mozilla/4.0\r\n".
Adio de cabealho HTTP
719
Figura 515 - Adio de cabealho HTTP
Esta opo permite que o administrador configure o bloqueio o acesso a contas especificas
em seu domnio, controlando quais domnios de e-mail os usurios podero acessar
evitando a perda de produtividade por exemplo, prevenindo que os usurios de sua rede
acessem servios da web que no estejam relacionados a sua empresa (na imagem acima
foi usado o Google). Nesta janela o administrador pode adicionar linhas de configurao no
cabealho HTTP das conexes HTTP e HTTPS, (sendo que o campo domnio pode ter
at 156 caracteres e o campo Linhas pode ter vrias linhas de no mximo 512
caracteres) fazendo com que o cabealho identifique quais os domnios os usurios podem
acessar.
Para mais informaes sobre esta funcionalidade visite o link abaixo:
https://support.google.com/a/answer/1668854?hl=pt-BR.
Domnio: Neste campo deve-se inserir o domnio do servidor no qual sero adicionadas as
linhas no cabealho HTTP.
Ex: Google.com (apenas contas especificadas no campo abaixo podero ser acessados no
domnio Google.com)
Linha: Neste campo o usurio deve inserir os valores que sero permitidos no domnio
especificado acima.
Ex: X-GoogApss-Allowed-Domains : econtabilidade.com.br
720
Qualquer outro valor que no esteja entre os valores especificados no campo Linha sero
bloqueados. Como no exemplo abaixo que o usurio tentou acessar o Gmail.com e tem seu
acesso bloqueado pois o Gmail.com no foi especificado no campo Linha.
Figura 516 - Mensagem de bloqueio
O usurio pode colocar a quantidade de regras que desejar no cabealho, contudo a

performance do Filtro web ser reduzida.
O usurio pode inserir quantas linhas desejar para cada domnio configurado, contudo
isso poder ultrapassar o limite do cabealho HTTP e alguns servidores no aceitaram o
pacote. Caracteres como acentuao, cedilha, ou qualquer outro caracter que no seja alfa
numrico no sero permitidos.
A configurao do Header Stripping deve ser feita com muito cuidado j que ele pode
potencialmente inviabilizar o uso da Internet.
Deve-se tomar o cuidado de SEMPRE acrescentar um \r\n no final de uma substituio
que envolva uma linha.
A validao do browser feita ANTES do header stripping, assim sendo
possvel substituir verso por uma string fixa sem perder esta filtragem. Neste
contexto, atente-se quanto a descrio do navegador (user-Agent), pois a string
digitada sensvel ao case.
Para que o bloqueio dos navegadores seja de fato realizado, faz-se necessrio
que as estaes que tentem utiliz-los passem por proxy.
721
Editando os parmetros do Cache (cache hierrquico)
30.3.
Para configurar as caches cadastradas necessrio a definio de alguns parmetros que

determinaro caractersticas bsicas de seu funcionamento. Esta definio feita na janela
de configurao da cache. Para acess-la, deve-se:
Figura 517 - Cache
No Firewall desejado, clique no menu Aplicao;

Selecione a opo Cache
722
Figura 518 - Editando os parmetros de Filtro Web
Para configurar esta janela necessrio clicar no checkbox habilitar cahce hierrquico.
Esta janela exite a lista de caches remotos, e ainda permite que o usurio adicione, edite ou
delete caches remotos.
Para adicionar um novo cache remoto, clique com o boto direito no espao em branco na
lista de caches remotos, e selecione a opa Inserir. A janela a seguir ser exibida:
723
Figura 519 - Configurao de um nodo de cache
Para configurar as caches cadastradas necessrio preencher os seguintes campos:

Nome do host: Define o endereo da cache.
Tipo: Define a hierarquia de cache, podendo optar pelo "Pai" e pelo "Filho".
Porta de Cache: Nmero da porta pelo qual o proxy atende aos seus pedidos.
Porta ICP: Utilizada para perguntar a sua vizinhana sobre o estado dos objetos.
Logar na cache: Permite definir um usurio e senha, para logar na cache pai e nas caches
filhos, para que assim possa obter informaes sobre o estado dos objetos, atravs do
protocolo ICP.
No buscar na cache os domnios: Nessa opo permite restringir quais os domnios estaro
relacionados para cada cache.
724
30.4.
Utilizando a Interface Texto (via SSH-fwcache)
A Interface Texto (via SSH) exibe as informaes do cache e permite que o usurio apage o
cache (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando
fwshell, ento todos os comando podero ser acessados sem o prefixo FW).
Localizao do programa: /aker/bin/firewall # fwcache

Sintaxe:
fwcache apaga
fwcache informao
Exemplo 1: (visualizando a informao do cache)
# fwcache informacao
http_port 33128
cache_effective_user squid
cache_effective_group squid
pid_filename /var/run/squid.pid
visible_hostname aker firewall
error_directory /usr/local/squid/share/errors/Portuguese
cache_log /usr/local/squid/log/cache.log
cache_access_log none
cache_store_log none
725
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY
refresh_pattern ^ftp:
1440 20%
refresh_pattern ^gopher:
1440 0%
refresh_pattern .
20%
10080
1440
4320
acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl semcache url_regex -i "/usr/local/squid/etc/nocache.txt"
no_cache deny semcache
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
cache_mem 32 MB
cache_dir ufs /var/spool/squid 10240 16 256
#debug_options ALL,9
O tamanho do diretrio de cache utilizado: 422M

Por padro o cache configurado com a seguinte configurao:
726
10 Gigas de espao em disco para o cache

16 diretrios, e para cada diretrio 256 subdiretrios
Esta informao exibida na linha: cache_dir ufs /var/spool/squid 10240 16 256
30.5.
Editando os parmetros de Sesses Web
Sesses Web
Esta janela permite ao administrador do Firewall, visualizar as sesses ativas, verificando o
que foi acessado e por quem foi acessado, no tempo definido na janela de Filtro Web, aba
Geral, opo Timeout das sesses web.
Para ter acesso a janela de sesses web, deve-se:
727
Figura 520 - Sesses Web.
Clicar no menu Informao

Selecionar o item Sesses Web
As informaes sero visualizadas e distribudas nos seguintes campos:

Tempo: Indica o dia e horrio e a URL que foi acessada.
Host: Indica a mquina de onde foi acessada a URL.
Usurio: Indica o usurio que acessou a URL.
Perfil: Indica qual o perfil de acesso que o usurio caiu quando tentou acessar a URL.
Regra: Indica qual a regra de acesso que a URL se enquadrou.
Categoria: Indica qual a categoria que a URL se enquadrou.
Ao: Indica se as sesses web que passaram pelo firewall foram aceitas ou rejeitadas.
728
30.6.
Como Calcular o tempo de conexo WEB
Para saber a contabilidade de tempo que um usurio gasta em um site, necessrio

configurar o Proxy e habilitar a contabilidade de trfego web para ser gerado um relatrio
com o tempo que esse usurio ficou em determinado site.
Para gerar o relatrio com o tempo de conexo WEB deve-se:
Habilitar no firewall a contabilidade de trfego web no menu Configurao do

Sistema
Clicar duas vezes em Aes, conforme figura abaixo;
Figura 521 Configuraes do sistema (Aes)
Agora deve-se habilitar os eventos 340 (Contabilidade de trfego HTTP WWW) e 341
(Contabilidade de trfego HTTP downloads) que se encontram na pasta Proxy HTTP, para
habilitar-los deve-se clicar com o boto direto do mouse no campo ao e marcar a opo
Logar conforme figura abaixo:
729
Figura 522 - Aes
Por padro estes eventos estaro desabilitados.

Agora deve-se criar uma nova regra no perfil desejado para passar pelo Proxy, conforme a
figura a seguir:
730
Figura 523 Criando uma nova regra
731
Agora deve-se criar o relatrio, para isso siga os passos abaixo:
Figura 524 Auditoria (Relotrio)
Selecione o menu Auditoria;

Selecione a opo Relatrio;
Em Relatrio selecione a aba Especfico, e clique em Gerar Relatrio especfico agora

Conforme a figura abaixo:
732
Figura 525 - Relatrio

Preencha as opes Ttulo do relatrio, Formato de relatrio e o Perodo conforme a
figura abaixo:
733
Figura 526 Configurao de relatrio (Aba Geral)
Na aba Sub-relatrio deve-se clicar com o boto direito na coluna de Dados de relatrio,
e adicione um novo item, ento selecione Contabilidade do trfego web tempo
consumido para este. Na coluna Agrupar por deve-se clicar com o boto direito e
selecionar a opo No agrupar conforme a figura abaixo:
734
Figura 527 - Configurao de relatrio (Sub-relatrio)
Depois de configurado o tipo de sub-relatrio deve-se clicar no boto OK e o relatrio ser

exibido como na figura abaixo, mostrando o tempo consumido em cada site.
735
Figura 528 Log de chats
736
737
Este captulo mostra para que serve e como configurar o Proxy Socks.
31.1.
O que o proxy SOCKS do Aker Firewall?

O proxy SOCKS um programa especializado do Aker Firewall feito para trabalhar com
programas que suportem o protocolo SOCKS nas verses 4 ou 5.
Este proxy possui como funo principal prover uma melhor segurana para protocolos
passarem por meio do firewall, principalmente protocolos complexos que utilizam mais de
uma conexo. possvel por meio do uso do SOCKS 5 realizar autenticao de usurios para
quaisquer servios que passem pelo firewall, mesmo sem o uso do cliente de autenticao.
Ele um proxy no transparente (para maiores informaes, veja o captulo intitulado
Trabalhando com proxies), desta forma, os clientes que forem utiliz-lo devem ter suporte
para trabalhar com proxies e devem ser configurados para us-lo.
Utilizando o proxy SOCKS
Para utilizar o proxy SOCKS do Aker Firewall, necessrio a seguinte sequncia de passos:
1. Criar os perfis de acesso desejados e associ-los aos usurios e grupos desejados. (isso
foi descrito no captulo chamado Perfis de acesso de usurios);
2. Editar os parmetros de configurao do proxy SOCKS (isso ser mostrado no tpico
chamado Editando os parmetros do proxy SOCKS);
3. Criar uma regra de filtragem possibilitando que as mquinas clientes tenham acesso ao
proxy (para maiores informaes, veja o captulo intitulado O Filtro de Estados).
O proxy SOCKS do Aker Firewall escuta conexes na porta 1080, utilizando o protocolo TCP.
Caso seja necessrio, pode-se alterar este valor para qualquer porta, bastando para isso
acrescentar o parmetro -p porta, onde porta o nmero da porta que queira que ele
escute, na hora de inici-lo. A linha de comando a ser alterada se encontra no arquivo
/aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall/fwhttppd para
/aker/bin/firewall/fwhttppd -p 8080, por exemplo.
738
Editando os parmetros do Proxy SOCKS
31.2.
Para utilizar o Proxy SOCKS, necessrio definio de alguns parmetros que

determinaro caractersticas bsicas de seu funcionamento. Esta definio feita na janela
de configurao do proxy SOCKS. Para acess-la, deve-se:
Figura 529 - Proxy Socks
Clicar no menu Aplicao da janela de administrao.

Selecionar o item Proxy Socks.
A janela de configurao de parmetros do proxy SOCKS
Figura 530 - Autenticao dos usurios Socks.
O boto OK far com que a janela de configurao do proxy SOCKS seja fechada e as
alteraes salvas.
janela aberta.
739
seja fechada.
Significado dos parmetros:

Autentica usurios SOCKS: Este campo ativa ou no a autenticao de usurios do proxy
SOCKS. Caso ele esteja marcado, ser solicitada ao usurio uma identificao e uma senha
todas as vezes que ele tentar iniciar uma sesso e esta somente ser iniciado caso ele seja
autenticado por algum dos autenticadores.
Caso o usurio esteja utilizando o Cliente de Autenticao Aker e esteja com uma sesso
estabelecida com o Firewall, ento no ser solicitado nome nem senha, ou seja, o proxy se
comportar como se no estivesse realizando autenticao de usurios, mas ele est de fato
fazendo-o. Se a sesso do Cliente de Autenticao for finalizada, ento o proxy solicitar um
nome de usurio e senha no prximo acesso. Para maiores informaes sobre o Cliente de
Autenticao Aker, leia o captulo Autenticao de Usurios.
A verso 4 do protocolo SOCKS no permite realizar autenticao de usurios, dessa
forma, a nica maneira de autenticar clientes utilizando essa verso do protocolo com o
uso do cliente de autenticao. Caso essa opo esteja marcada, a verso suportada pelo
cliente for a 4 e no existir uma sesso de perfil de acesso ativa, ento o firewall no
permitir acessos para o cliente.
Tempo limite de resposta: Este parmetro define o tempo mximo, em segundos, que o
proxy aguarda por dados do cliente, a partir do momento que uma nova conexo for
estabelecida. Caso este tempo seja atingido sem que o cliente envie os dados necessrios, a
conexo ser cancelada.
Nmero mximo de processos: Este campo define o nmero mximo de processos do proxy
SOCKS que podero estar ativos simultaneamente. Como cada processo atende uma nica
conexo, este campo tambm define o nmero mximo de requisies que podem ser
atendidas simultaneamente.
740
741
Este captulo mostra como configurar o proxy RPC e o proxy DCE-RPC.
O que o proxy RPC?

O proxy RPC um programa especializado do Aker Firewall feito para trabalhar com o
protocolo RPC, mais especificamente, o SUN RPC, descrito na RFC1050. A sua funo bsica
fazer chamadas a funes remotas (Remote Procedure Call), ou seja, funes
disponibilizadas por outras mquinas acessveis por meio do firewall. Exemplos de
protocolos que usam o RPC so os portmapper e o NFS.
Quando um cliente deseja realizar uma chamada RPC para um determinado nmero de
processo, o firewall verifica a ao relacionada quele processo. Se permitir, o proxy insere
as regras de liberao de portas direta e automaticamente no kernel. Caso contrrio, o
firewall bloqueia o processo como se ele estivesse indisponvel.
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da sua
existncia.
Utilizando o proxy RPC
Para utilizar o proxy RPC, necessrio executar uma sequncia de 2 passos:
Criar um servio que ser desviado para o proxy RPC e editar os parmetros do
intitulado Cadastrando Entidades);
Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1,
intitulado Filtro de Estados).
O que o proxy DCE-RPC?

O proxy DCE-RPC um programa especializado do Aker Firewall feito para trabalhar com o
protocolo RPC, mais especificamente, o DCE- RPC. A sua funo bsica fazer chamada s
funes remotas (Remote Procedure Call), ou seja, funes disponibilizadas por outras
mquinas acessveis por meio do firewall. Exemplos de protocolos que usam o DCE- RPC so
os Transmission Control Protocol (TCP) e o HTTP.
Quando um cliente deseja realizar uma chamada DCE-RPC para um determinado nmero de
processo, o firewall verifica a ao relacionada quele processo. Se permitir, o proxy insere
as regras de liberao de portas direta e automaticamente no kernel. Caso contrrio, o
firewall bloqueia o processo como se ele estivesse indisponvel.
742

Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da sua
existncia.
Utilizando o proxy DCE-RPC
Para utilizar o Proxy RPC, necessrio executar uma sequncia de 2 passos:
Criar um servio que ser desviado para o proxy DCE-RPC e editar os parmetros do
contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado
Cadastrando Entidades).
Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para as
redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado O Filtro
de Estados).
32.1.
Editando os parmetros de um contexto RPC
A janela de propriedades de um contexto DCE-RPC ser mostrada quando for selecionado o

protocolo UDP e a opo Proxy RPC na janela de edio de servios. Por meio dela
possvel definir o comportamento do proxy RPC quando este for lidar com o servio em
questo.
743
A janela de propriedades de um contexto RPC
Figura 531 - Propriedades de um contexto RCP.

Ao padro: Indicar a ao que ser aplicada a todos os servios remotos que no
estiverem presentes na lista de permisses. O valor aceita permite que o servio seja
utilizado e o valor rejeita impede sua utilizao.
Lista de permisses: Definir, de forma individual, as permisses de acesso aos servios
remotos.
Habilitar Antivrus: Habilita a analise de vrus para os arquivos transferidos.
Para executar qualquer operao sobre um servio na lista de permisses, basta clicar com
o boto direito do mouse sobre ele na coluna RPC. Aparecer o seguinte menu (Caso no
exista nenhum servio selecionado, somente as opes Inserir e Apagar estaro presentes):
744
Figura 532 - Menu de execuo da janela RPC.
Inserir: Permitir a incluso de um novo servio na lista. Se algum servio estiver

selecionado, o novo ser inserido na posio selecionada. Caso contrrio, o novo servio
ser includo no final da lista.
Excluir: Remover da lista o servio selecionado.
Lista de servios: Contm uma lista pr-definida de servios e seus respectivos nmeros.
possvel acrescentar servios que no estejam presentes nessa lista. Para isso, basta
clicar no campo logo abaixo da opo Apagar e digitar o cdigo do novo servio.
Para alterar a ao aplicada a um servio, deve-se clicar com o boto direito do mouse sobre
ele na coluna Ao e escolher uma das opes, Aceita ou Rejeita, que aparecero no menu
seguinte:
Figura 533 - Menu de execuo da janela RPC (inserir, apagar, rejeitar ou aceitar).
745
Editando os parmetros de um contexto DCE-RPC
A janela de propriedades de um contexto RPC ser mostrada quando for selecionado o

protocolo TCP e a opo Proxy DCE-RPC na janela de edio de servios. Por meio dela
possvel definir o comportamento do proxy DCE-RPC quando este for lidar com o servio em
questo.
A janela de propriedades de um contexto DCE-RPC
Figura 534 - Propriedades de um contexto DCE-RPC.

Ao padro: Indicar a ao que ser aplicada a todos os servios remotos que no
estiverem presentes na lista de permisses. O valor aceita permite que o servio seja
utilizado e o valor rejeita impede sua utilizao.
746
Lista de permisses: Definir, de forma individual, as permisses de acesso aos servios

remotos.
Habilitar Antivrus: Habilita a analise de vrus para os arquivos transferidos
Para executar qualquer operao sobre um servio na lista de permisses, basta clicar com
o boto direito do mouse sobre ele na coluna RPC. Aparecer o seguinte menu (Caso no
exista nenhum servio selecionado, somente as opes Inserir e Apagar estaro presentes):
Figura 535 - Menu de execuo da janela DCE-RPC.
Inserir: Permitir a incluso de um novo servio na lista. Se algum servio estiver

selecionado, o novo ser inserido na posio selecionada. Caso contrrio, o novo
servio ser includo no final da lista.
Excluir: Remover da lista o servio selecionado.
Lista de servios: Contm uma lista pr-definida de servios e seus respectivos
nmeros. possvel acrescentar servios que no estejam presentes nessa lista. Para
isso, basta clicar no campo logo abaixo da opo Apagar e digitar o cdigo do novo
servio.
Para alterar a ao aplicada a um servio, deve-se clicar com o boto direito do mouse sobre
ele na coluna Ao e escolher uma das opes, Aceita ou Rejeita, que aparecero no menu
seguinte:
Figura 536 - Menu de execuo da janela DCE-RPC (inserir, apagar, rejeitar ou aceitar).
747
748
749
Este captulo mostra para que serve e como configurar o proxy MSN.
33.1.1. Planejando a instalao
O que o MSN Messenger?

MSN Messenger, ou apenas MSN, um programa de mensagens instantneas criado pela
Microsoft Corporation. O programa permite que um usurio da Internet converse com outro
que tenha o mesmo programa em tempo real por meio de conversas de texto, voz ou at
com vdeo. Ele uma ferramenta gratuita com um grande nmero de funcionalidades,
algumas potencialmente prejudiciais ao ambiente coorporativo como a transferncia de
arquivos on-line, fazendo com que as empresas busquem solues para melhor trabalhar
com este servio.
O que o proxy MSN - Messenger do Aker Firewall?
Este proxy possui como funo principal controlar um importante canal de trnsito de
informaes que o MSN Messenger, possibilitando que no se abra mo de seu uso, ao
mesmo tempo em que se evita a perda de produtividade. Integrado ao sistema de perfis de
acesso, esse sistema se adaptar realidade das corporaes, onde cada usurio ter
privilgios distintos.
As funcionalidades do produto baseiam-se em:
Estar integrado ao sistema de perfil de acesso (permitindo controle por usurios e

grupos).
Definir white-lists e black-lists por perfil.
Controlar o horrio de uso.
Controlar o tempo de uso por dia (configurado no perfil) para cada usurio.
Controlar o envio/recebimento de arquivo (inclusive por tipo).
Controlar convites para outros servios (vdeo, udio, games, etc..).
Realizar um log de sesses.
Utilizando o proxy MSN

O MSN Messenger por padro trabalha na porta TCP 1863, porm tambm pode se
conectar aos servidores por meio do protocolo HTTP e SOCKS. O Proxy MSN da Aker
controla os dados que trafegaro por meio de um proxy transparente (ver mais detalhes em
Trabalhando com proxies).
Para utilizar o proxy MSN do Aker Firewall necessrio a seguinte sequncia de passos:
750
1. Definir os parmetros genricos do proxy MSN.

2. Criar os perfis de acesso desejados e associ-los aos usurios e grupos desejados. (Isso
foi descrito no captulo chamado Perfis de acesso de usurios).
3. Associar a uma regra de filtragem possibilitando que os usurios possam utilizar o
servio MSN (para maiores informaes, veja o captulo intitulado O Filtro de Estados).
Editando os parmetros do Proxy MSN
33.2.
Para utilizar o proxy MSN necessrio definio de alguns parmetros que determinaro
caractersticas bsicas de seu funcionamento. Esta definio feita na janela de
configurao do proxy MSN. Para acess-la, deve-se:
Figura 537 - Proxy Messenger.
Clicar no menu Aplicao da janela de administrao do Firewall

Selecionar o item Proxy Messenger
A janela de configurao de parmetros do proxy MSN
O boto OK far com que a janela de configurao do proxy MSN seja fechada e as
alteraes salvas.
janela aberta.
seja fechada.
Esta janela composta por quatro abas:

751
Aba Tipos de Servios
Figura 538 - Proxy Messenger Aba Tipo Servio.
Esta aba define os servios adicionais que podero ser utilizados por meio de uma conexo
MSN. Estes servios podero posteriormente ser controlados a partir das regras dos perfis
de cada usurio.
Para inserir um novo tipo de servio, deve-se clicar com o boto direito e selecionar a opo
Novo.
Para remover um tipo de servio, deve-se clicar com o boto direito sobre o servio a ser
removido e escolher a opo Remover.
Para editar qualquer um dos campos de um servio, basta clicar com o boto direito sobre a
coluna cujo valor se deseja alterar e modificar o dado diretamente no menu que ir
aparecer.
possvel adicionar automaticamente vrios servios pr-configurados, bastando para isso
clicar no boto Adicionar Servios Padro, localizado na barra de tarefas.
Aba Mensagens
752
Figura 539 - Proxy Messenger Aba Mensagens.
Esta aba permite configurar as mensagens que sero mostradas aos usurios internos e
externos quando eles no tiverem permisso de executar uma determinada ao por meio
do proxy Messenger.
753
Aba Controle de Acesso
Figura 540 - Proxy Messenger Controle de acesso.
Essa aba controla o acesso dos usurios, por meio da vinculao de um passport a um perfil.
No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa entidade ser
associada a algum perfil definido no Firewall.
Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usurios que
tiverem o login no MSN terminando por @aker.com.br ir automaticamente cair no perfil
teste.
754
Aba Configuraes
Figura 541 - Proxy Messenger Configuraes.
Essa aba permite configurar a quantidade mxima de descritores (socket) e/ou arquivos que
o processo do proxy MSN pode abrir. O valor padro de 1024, mas pode chegar a at 8192
no mximo.
O Aker Firewall conta com a anlise de vrus para arquivos transferidos. Para ativar essa
verificao marque a opo Habilitar Antivrus no MSN caso deseje que o firewall analise
os arquivos.
A opo Permitir a passagem de arquivos se ocorrer erro no Antivrus permite
transferncia de arquivos infectados, caso o servidor de antivrus estiver indisponvel.
Marque "Usar Antivrus Local" para que o firewall utilize o antivrus j includo nele, caso
contrrio, inclua a autenticao e o endereo de IP do seu servidor Antivrus.
33.3.
Como calcular os tempos de navegao dos chats do MSN Messenger.
755
O que so quotas?
So limites em termos de tempo de acesso ao volume de dados por usurios na WEB. Elas
so utilizadas para controlar e racionalizar o tempo gasto de cada funcionrio com acessos a
Internet. As quotas so definidas das seguintes formas:
Quanto periodicidade de acesso que pode ser: diariamente, semanalmente e

mensalmente;
Quanto quantidade de dias e horas disponveis;
Quanto ao volume de dados trafegados.
Primeiro deve-se configurar o Firewall, para isso siga os passos abaixo:
Crie uma nova entidade de tipo Quota
Figura 542 Criando nova entidade do tipo: Quota
Configure a nova entidade como no exemplo abaixo:

756
Figura 543 Entidade tipo Quota
Agora uma nova regra deve ser criada para isso siga os passos abaixo:
Dentro do Firewall o qual esteja configurando, selecione o menu Perfis;
Dentro do Perfil selecione a opo MSN Messenger;
Crie uma nova regra, e nesta regra selecione a entidade tipo Quota que foi criada, e ento
habilite a opo Logar;
757
Figura 544 Criando uma nova regra
Agora deve-se criar uma entidade do tipo Lista de e-mails, liberando o domnio desejado;
Figura 545 Criando entidades de Tipo: Lista de e-mails
No exemplo abaixo, todos os domnios esto sendo liberados;
758
Figura 546 Entidade tipo Lista de e-mails
Agora deve-se criar uma regra no Perfil, que esteja passando pelo proxy;
Figura 547 Perfis

759
Uma vez que tudo esteja configurado, verifique os logs do firewall filtrando pelo proxy MSN
o tempo de conexo. Este tempo dado aps o termino da conexo;
Figura 548 Logs do Firewall
760
761
Este captulo mostra para que serve e como configurar O DPI - Deep Packet Inspection
(Filtragem de Aplicaes IDS/IPS).
34.1.1. Planejando a instalao
O que a Filtragem de Aplicaes?

Esta filtragem baseia-se no controle dos dados que esto passando por meio do Aker
Firewall. possvel analisar o contedo de protocolos e tipos reais de arquivos que esto
trafegando, independentemente de que porta de comunicao esteja utilizando e
automaticamente bloque-los ou coloc-los em uma prioridade de trfego mais baixa,
evitando o consumo de banda com recursos desnecessrios.
Esta filtragem pode ser realizada de forma global, tratando qualquer pacote que passe pelo
firewall ou por perfis de acesso. Em especial, os seguintes tipos de trfego podem ser
identificados:
Download de tipos de arquivos especficos via FTP, HTTP e aplicativos peer-to-peer.

Conexes de controle de aplicativos peer-to-peer (GNUTELLA, Napster, Kazaa, etc) e de
comunicao (Messenger, ICQ, etc.) sobre qualquer mdia (TCP ou UDP direto e proxy
HTTP).
Utilizando o DPI - regras de Filtragem de Aplicao

Para utilizar o DPI (Filtragem de Aplicao IDS/IPS) do Aker Firewall deve-se seguir os
passos abaixo:
1. Criar os filtros desejados;
2. Criar regras de filtragem de aplicaes globais ou para os perfis de acesso desejados;
762
34.1.2. Criando Regras de Filtragem de Aplicaes

Para acessar a janela do DPI deve-se:
Figura 549 DPI Deep Packet Inspection (Filtragem de aplicaes IDS/IPS).
Clicar no menu Aplicao da janela de administrao do Firewall.

Selecionar o item DPI (Filtragem de Aplicaes IDS/IPS).
763
Janela do DPI (Filtragem de aplicaes IDS/IPS)
Figura 550 - DPI Regras de Filtragem de Aplicaes
Esta janela composta por duas abas, uma com a definio das regras globais da filtragem
de aplicaes e outra que permite a criao dos filtros que sero utilizados nestas regras e
nas regras de filtragem dos perfis de acesso.

janela aberta.
seja fechada.
DPI Deep Packet Inspection - Regras de Filtragem de Aplicao

Esta aba disponibiliza as regras de aplicao que sero utilizadas pelo firewall de forma
global. possvel tambm criar regras especficas para os perfis de acesso (para maiores
informaes veja Cadastrando perfis de acesso).
764
Estas regras permitem, por exemplo, que determinados tipos de arquivos sejam bloqueados
de acordo com seu tipo real, independentemente de sua extenso ou protocolo que esteja
sendo utilizado para envi-los. possvel tambm ao invs de bloque-lo, simplesmente
mudar a prioridade de um servio ou tipo de arquivo sendo transmitido.
Uma das grandes utilizaes destes filtros para otimizao do acesso Internet. possvel,
por exemplo, que todos os usurios tenham um acesso rpido Internet, porm quando
estes tentarem baixar arquivos cujos tipos no sejam considerados importantes, i.e, mp3,
vdeos, etc, a conexo sendo utilizada para transferir estes arquivos automaticamente fique
com uma largura de banda bastante reduzida.
esto disponveis:
Figura 551 - Menu de operao sobre uma regra.

Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo com seu
estado atual.

Origem: Especificar as origens da comunicao que o filtro estar inspecionando, para isso
765
Filtragem de Aplicaes: Indicar quais os filtros que estaro ativos para as conexes que
forem em direo a um dos destinos especificados na regra e utilizando um dos servios
tambm especificados. A definio dos filtros feita na janela de Filtragem de Aplicaes.
Ao: Indicar a ao que ser tomada pelo firewall caso um dos filtros especificados seja
aplicado. Ela consiste das seguintes opes:
Aceita: Significa que a conexo ser autorizada a passar por meio do firewall.
Rejeita: Significa que a conexo no passar pelo firewall e ser enviado um pacote
de reset para a mquina originria da comunicao.
Descarta: Significa que a conexo no passar pelo firewall, mas no ser enviado
nenhum pacote para a mquina de origem.
Mudar prioridade: Indica que a conexo ser aceita, porm com uma prioridade
diferente, que dever ser especificada na coluna Canal.
Bloqueia origem: Indica que a mquina que originou a conexo dever ser
bloqueada por algum tempo (isso significa que todas as conexes originadas nela
sero recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto
tempo a mquina permanecer bloqueada.
Canal: Esta coluna s estar habilitada caso a ao Mudar prioridade tenha sido
selecionada. Ela indica a nova prioridade que ser atribuda conexo. Deve-se
inserir uma entidade do tipo canal (para maiores informaes veja o captulo
Cadastrando entidades).
Tempo de bloqueio: Esta coluna s estar habilitada caso a ao Bloqueia origem tenha
sido selecionada. Ela indica por quanto tempo a mquina origem ser bloqueada.
34.2.
Criando Filtros de Aplicaes
Os filtros de aplicaes informam ao firewall o que deve ser buscado em uma comunicao
para possibilitar a identificao de um determinado protocolo ou tipo de arquivo. O produto
j vem com vrios filtros pr-configurados, porm possvel que o administrador configure
novos filtros para atender s suas necessidades.
Para acessar a janela de criao dos Filtros de Aplicaes deve-se:
766
Figura 552 DPI (Filtragem de aplicaes IDS/IPS).
Clicar no menu Aplicao da janela de administrao do Firewall.

Selecionar o item DPI (Filtragem de Aplicaes IDS/IPS).
Clicar na aba Filtros de Aplicaes.
A janela de criao de Filtros de Aplicaes
Figura 553 Filtro de Aplicaes.
Esta janela est dividida em trs partes. Na parte superior aparece uma lista dos filtros
atualmente criados. Ao selecionar um filtro, sero mostrados na parte inferior da janela as
operaes de pesquisa relacionadas a ele. E na parte esquerda da janela exibido a diviso
das aplicaes por grupos de assinaturas.
767
Nome: Nome pelo qual o filtro ser referenciado no restante do firewall;

Grupo: Exibe o grupo que o filtro foi designado;
Filtros predefinidos no podem ser editados, apenas os filtros criados pelo
usurio podem ser editados. Filtros criados pelo usurio por padro so
designados para o grupo LOCAL".
No possvel criar novos grupos ou remover grupos existentes.
Protocolo: Indica em que protocolo o ataque ser pesquisado. As seguintes opes esto
disponveis:
Figura 554 - Opes de protocolos
UDP: Procura dados diretamente no protocolo UDP.

TCP: Procura dados diretamente no protocolo TCP.
Filtros que vem da base podem ser do tipo IP. Usurios s podem criar filtros
com os protocolos TCP e UDP.
Porta1: Define a porta primaria do fluxo de pacotes;

Porta2: Define a porta secundria destino;
Direo: Direo em que os dados sero analisados para verificar a existncia da sequncia
definida em O que filtrar;
Figura 555 - opes de direo
Concatenao das operaes: Define a regra de concatenao para a regra em questo, as

opes disponveis so:
E: Ao receber um pacote necessrio que todas as operaes do filtro em questo sejam
analisadas;
768
OU: Ao receber um pacote necessrio que apenas uma das operaes do filtro em
questo sejam analisadas;
Apenas operaes de filtros locais so exibidos.
Figura 556 - Opes de concatenao
Parte 2
Operaes
O que filtrar: Neste campo deve-se colocar a sequncia de bytes que identifica o ataque;
Lugar da busca: Especificar se a procura deve ser a partir do incio do arquivo ou da
comunicao ou em um ponto qualquer do mesmo;
Figura 557 - Opes de busca
Iniciar em (bytes): Este campo serve para especificar em que posio do fluxo de dados
deve-se comear a pesquisa;
Profundidade da procura: Este campo indica a quantidade de bytes que ser analisada a
partir da posio de incio de pesquisa;
Sequncia de bytes: Definir a sequncia de dados que ser pesquisada nos dados do
arquivo/protocolo ou nos metadados (cabealho);
Figura 558 - Opes de sequncia de bytes
Url de referncia: URL que permite obter maiores informaes sobre o ataque (este campo
puramente informativo);
769
Para executar qualquer operao sobre um filtro, basta clicar sobre ele com o boto direito
e a seguir escolher a opo desejada no menu que ir aparecer. As seguintes opes esto
disponveis:
Figura 559 - Menu de operao sobre um filtro.
Inserir: Permite a incluso de um novo filtro na lista.

Copiar: Copiar o filtro selecionado para uma rea temporria.
Colar: Copiar o filtro da rea temporria para a lista.
Excluir: Remover da lista o filtro selecionada.
Para alterar o nome do filtro ou a forma de concatenao das operaes do mesmo, basta
clicar com o boto direito sobre a coluna correspondente. Para incluir, editar ou excluir
operaes de um determinado filtro, deve-se selecion-lo na parte superior da janela e a
seguir clicar com o boto direito sobre qualquer uma das operaes. O seguinte menu
aparecer:
Figura 560 - Menu de operao para acessar o nome do filtro ou forma de concatenao.
Inserir: Permite a incluso de uma nova operao para o filtro selecionado.

Editar: Abrir a janela de edio para modificar a operao selecionada.
Remover: Remover da lista a operao selecionada.
Ao editar uma operao, a seguinte janela ser mostrada:

770
Figura 561 - Operaes de filtragem.
771
772
Este captulo mostra as funes oferecidas pelo conjunto IPS/IDS e como realizar sua
configurao.
Sobre o mdulo de IPS/IDS

O mdulo de IPS/IDS do Aker Firewall rene diversas funes para identificao e bloqueio
de ataques em tempo real. Este mdulo trabalha de forma integrada com o firewall e
consegue, com isso, oferecer um alto grau de proteo. O mdulo interno vem com vrios
ataques pr-configurados, sendo possvel sua atualizao por meio da Internet. Alm do
mdulo interno, possvel tambm utilizar um IDS externo, de forma a complementar ainda
mais o nvel de segurana da soluo.
Para o funcionamento satisfatrio do modulo IPS/IDS se sugere o uso mnimo de
2 Gigas de memoria RAM (o recomendado 6 Gigas).
35.1.
Acessando o mdulo IPS/IDS
Para ter acesso a janela de configurao dos parmetros de IPS/IDS, deve-se:
Figura 562 - IPS/IDS.
773
Clicar no menu Segurana na janela do Firewall que queira administrar.

Selecionar o item IPS/IDS.

A janela de configurao do IDS/IPS

Esta janela composta por quatro abas, cada uma responsvel por um aspecto distinto da
configurao do mdulo de IDS.

janela aberta.
seja fechada.
Regras IDS
Figura 563 - IPS/IDS Regras IDS.
774
Esta aba contm todas as regras de IDS definidas no Aker Firewall. Cada regra ser mostrada
em uma linha separada, composta de diversas clulas. Caso uma das regras esteja
selecionada, ela ser mostrada em uma cor diferente.
esto disponveis:
Figura 564 - Menu para execuo de operao de regras.

Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo com seu
estado atual.

Origem: Especificar as origens da comunicao que o filtro estar inspecionando, para isso
Filtros IDS: Nesta coluna deve-se selecionar os filtros IDS que estaro ativos para esta
comunicao. Deve-se escolher um dos grupos de filtros disponveis e posteriormente, caso
seja desejado, habilitar individualmente os filtros dentro de cada grupo. Uma vez inseridos
os filtros, possvel clicar sobre esta mesma coluna com o boto direito, escolher o nome
do grupo de filtros desejado e indicar se os ataques pertencentes a este grupo devem ser
selecionados automaticamente, opo Selecionar todo o grupo, ou manualmente por meio
da opo Seleo manual.
775
Ao: Esta coluna indica a ao que ser tomada pelo firewall caso um dos filtros
especificados seja aplicado. Ela consiste das seguintes opes:
Ignora: Significa que o ataque ser ignorado pelo firewall.
Bloqueia: Indica que a mquina que originou a conexo dever ser bloqueada por algum
tempo (isso significa que todas as conexes originadas nela sero recusadas).
Tempo de Bloqueio: Esta coluna indica por quanto tempo uma mquina atacante
permanecer bloqueada.
Filtros IDS
Figura 565 - IPS/IDS Filtros IDS.
Esta janela serve para se ver os filtros de IDS que esto disponveis no firewall bem como
criar novos filtros. Ela consiste de uma lista com os filtros atualmente criados. possvel ver
esta lista de trs maneiras distintas: por grupo de filtros (conforme mostrado no tpico
anterior), por classe de ameaa ou uma lista linear com todos os filtros. O campo Organizar
por, localizado na parte superior da janela permite a escolha da forma de visualizao mais
adequada.
Organizar por: Permite que o usurio selecione o modo de exibio, as opes disponveis
so:
776
Grupos de filtros;
Classes de ameaa;
Mostrar todos os filtros;
Nome: Nome pelo qual o filtro ser referenciado no restante do firewall;

Grupo: Exibe o grupo que o filtro foi designado.
Filtros predefinidos no podem ser editados, apenas os filtros criados pelo
usurio podem ser editados. Filtros criados pelo usurio por padro so
designados para o grupo LOCAL".
No possvel criar novos grupos ou remover grupos existentes.
Classificao: Classificao que o filtro est atribudo.
Figura 566 - Classificaes
disponveis:
777
Figura 567 - Opes de protocolos
Filtros que vem da base podem ser do tipo IP. Usurios s podem criar filtros
com os protocolos TCP e UDP.

definida em O que filtrar.
Concatenao das operaes: Define a regra de concatenao para a regra em questo, as
opes disponveis so:
E: Ao receber um pacote necessrio que todas as operaes do filtro em questo sejam
analisadas;
OU: Ao receber um pacote necessrio que apenas uma das operaes do filtro em
questo sejam analisadas;
Apenas operaes de filtros locais so exibidos.
Figura 568 - Opes de concatenao
Parte 2
Operaes
O que filtrar: Neste campo deve-se colocar a sequncia de bytes que identifica o ataque.
778
Lugar da busca: Especificar se a procura deve ser a partir do incio do arquivo ou da

comunicao ou em um ponto qualquer do mesmo.
Iniciar em (bytes): Este campo serve para especificar em que posio do fluxo de dados
deve-se comear a pesquisa.
Profundidade da procura: Este campo indica a quantidade de bytes que ser analisada a
partir da posio de incio de pesquisa.
Url de referncia: URL que permite obter maiores informaes sobre o ataque (este campo
puramente informativo).
Grupos dos filtros:
Ao selecionar um filtro mostrada na parte inferior da janela uma URL de referncia, que
permite ao administrador obter maiores informaes sobre o ataque.
Para inserir um novo filtro, deve-se clicar com o boto direito sobre a lista de filtros e
selecionar a opo Novo filtro. A seguinte janela ser mostrada:
Figura 569 - Filtros IDS Configurao do filtro.
Nome do filtro: Nome pelo qual o filtro ser referenciado no restante do firewall;
URL de referncia: URL que permite obter maiores informaes sobre o ataque (este campo
puramente informativo);
779

Grupo: Exibe o grupo que o filtro foi designado;
Grupos predefinidos no podem ser editados, apenas os filtros criados pelo usurio podem
ser editados. Filtros criados pelo usurio por padro so designados para o grupo LOCAL":
disponveis:
Figura 570 - Opes de protocolo
Classificao: Classe de ameaa que ser detectado pelo filtro, as opes disponveis so:
Figura 571 - Classe de ameaas
definida em O que filtrar;
Figura 572 - Opes de direo
A janela de criao/edio de filtros
780
O boto OK e novo far com que a janela seja fechada, as alteraes salvas porm a
janela permanea aberta. Isso particularmente til quando se deseja cadastrar vrios
ataques seguidamente.
O boto Cancelar, far com que todas as alteraes feitas sejam desprezadas e a janela
seja fechada.
Portscan
Figura 573 - IPS/IDS - Portscan.
Esta aba serve para configurar a proteo contra ataques de varreduras de portas. Estes
ataques consistem em tentar acessar todas ou vrias portas de comunicao em uma ou
mais mquinas de uma rede. Ele normalmente o primeiro ataque feito por um hacker, j
que objetiva determinar quais os servios e mquinas que esto ativos em uma rede.
Para configurar a proteo contra varredura de portas, os seguintes parmetros devem ser
preenchidos:
781
Deteco de portscan ativada: Esta opo deve estar marcada para ativar o suporte
deteco de varreduras de portas.
Nmero permitido de portas varridas: Este campo indica o nmero mximo de portas que
podem ser acessadas em uma mesma mquina. Tentativas de acesso de um nmero maior
de portas faro que a mquina origem seja bloqueada.
Nmero permitido de mquinas x portas: Este campo indica o nmero mximo de portas
que podem ser acessadas em uma ou mais mquinas. Para este parmetro a mesma coisa
se um potencial atacante acessa duas portas em uma mquina ou uma porta em duas
mquinas. Tentativas de acesso de um nmero maior de portas faro que a mquina origem
seja bloqueada.
Exemplo: Se o valor deste parmetro for 12, uma pessoa qualquer poderia acessar as
seguintes combinaes sem ser considerado um ataque:
12 portas por mquina em uma mquina

6 portas por mquina em 2 mquinas
1 porta por mquina em 12 mquinas
Tempo limite de deteco: Este campo indica o tempo em que as informaes de acesso
sero mantidas pelo firewall. Valores muito baixos possibilitaro varreduras de portas muito
lentas (por exemplo, 1 porta por hora). Valores muito altos ocuparo memria
desnecessariamente.
Bloquear a mquina do ataque por: No caso de deteco de um ataque de varredura de
portas, esta coluna indica por quanto tempo a mquina atacante permanecer bloqueado,
sem poder iniciar nenhuma conexo por meio do firewall.
Entidades protegidas: Esta lista indica as entidades (mquinas, redes ou conjuntos) que
estaro protegidas contra ataques de varreduras de portas.
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos:

diretamente para a lista.
Abrir o menu de contexto na lista entidades protegidas com o boto direito do
mouse ou com a tecla correspondente no teclado e selecionar Adicionar entidades,
para ento escolher aquelas que sero efetivamente includas na lista.
Para remover uma entidade da lista, deve-se marc-la e pressionar a tecla delete, ou
escolher a opo correspondente no menu de contexto, acionado com o boto direito do
mouse ou com a tecla correspondente:
782
Entidades que podem fazer portscan: Esta lista indica as entidades (mquinas, redes ou
conjuntos) que podero executar ataques de varreduras de portas. Esta lista serve
basicamente para liberar acesso a ferramentas de deteco de vulnerabilidades ou de
monitorao.
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos:

diretamente para a lista.
Abrir o menu de contexto na lista entidades que podem fazer portscan com o boto
direito do mouse ou com a tecla correspondente no teclado e selecionar Adicionar
entidades, para ento escolher aquelas que sero efetivamente includas na lista.
Para remover uma entidade da lista, deve-se marc-la e pressionar a tecla delete, ou
escolher a opo correspondente no menu de contexto, acionado com o boto direito do
mouse ou com a tecla correspondente:
IDS Externo
Figura 574 - IPS/IDS IDS Externo.
783
Nessa aba so configurados todos os parmetros que propiciam que agentes de IDS Externo
acrescentem regras de bloqueio no Firewall. Os seguintes parmetros esto disponveis:
Habilitar agente de IDS: Esta opo deve estar marcada para ativar o suporte a agentes IDS
externos e desmarcada para desativ-lo. (ao se desabilitar o suporte a agentes IDS, as
configuraes antigas continuam armazenadas, mas no podem ser alteradas).
Agente de IDS a ser usado: Esse campo indica o agente IDS que estar habilitado a incluir
regras de bloqueio no firewall. Esse agente deve ter sido previamente cadastrado no
Status permite ao administrador verificar o status da conexo com o agente IDS. Um valor
verde, com a palavra Conectados, indica que o firewall conseguiu autenticar-se e
estabelecer com sucesso a comunicao com o agente.
O boto Atualizar far com que o status da conexo seja renovado.
O boto Remover far com que todas as regras cadastradas pelo agente IDS sejam excludas
do firewall.
35.2.
Configurando os parmetros DPI, e IDS/IPS.
Esta funcionalidade proporciona ao Aker Firewall uma poderosa plataforma para o sistema de
deteco e preveno de intruses (IDS/IPS) e tambm para o filtro de aplicaes. Atuando em
modo passivo e ativo, analisando o trfego de rede de acordo com as regras definas pelo usurio, e
ainda executando as aes para cada tipo de ameaa detectada. Nesta janela o usurio pode criar
variveis para anlise e tratamento automtico, configurao da atualizao automtica da base de
assinaturas de ataques dos filtros DPI (Deep Packet Inspection) e os filtros IDS/IPS, ou fazer esta
atualizao no momento desejado.
Para o funcionamento satisfatrio do modulo IPS/IDS se sugere o uso mnimo de 2 Gigas de
memoria RAM (o recomendado 6 Gigas).
Para acessar a Janela de configuraes DPI/IPS, siga os passos a seguir:
784
Figura 575 - IPS/IDS
No Firewall desejado, acesse o menu Configuraes do sistema;

Clique duas vezes na opo DPI/IPS parameters;
A janela a seguir ser exibida;
A janela IPS/IDS possui trs abas que sero abordadas a seguir:

Configuraes geral:
Nesta janela possvel que o usurio crie variveis (entidades) que sero usadas pelos filtros
melhorando a capacidade de identificao de padres de dados dentro das conexes,
possibilitando assim o tratamento automtico.
Esta aba possui duas colunas:
Nome: Nome definido para a varivel em questo;
Ex: HOME_NET,FTP_PORTS
Valor: O valor a ser analisado;
Ex: any,(21,2100,3535)
785
Figura 576 - Configurao geral
Download das bases de filtros:

Esta janela permite que o usurio configure o download automtico da base de assinaturas
de ataques dos filtros DPI (Deep Packet Inspection) e os filtros IDS/IPS.
A base de assinaturas do usurio e atualizada, de acordo com a sua licena sendo que:
Usurios que possuam licena bsica: Esta licena permite que o usurio receba
as assinaturas de IDS/IPS e de filtros de aplicao da Aker.
Usurios que possuam licena avanada: Esta licena permite que o usurio
receba todas as assinaturas disponveis da base Sourcefire VRT Certified Rules.
786
Figura 577 - Download das bases de filtros
Habilitar download automtico das bases de filtros: Permite que o usurio define o
perodo de atualizao automtica dos filtros.
Perodo: Neste campo o usurio deve definir o perodo que a atualizao ser feita, as
opes disponveis so:
o Dirio;
o Semanal;
o Mensal;
Hora: Neste campo o usurio deve selecionar o horrio que a atualizao automtica ser
feita;
Estado das bases de filtros
Esta janela permite que o usurio faa a atualizao de sua base de assinaturas de ataques
atualizando os filtros DPI (Deep Packet Inspection) e filtros IDS/IPS no momento desejado.
Para fazer a atualizao simplesmente clique no boto

787
Figura 578 - Estado das bases de filtros
35.3.
Visualizando os IPs bloqueados
possvel a qualquer momento visualizar a lista de IPs que esto bloqueados no firewall,
devido incluso de uma regra de bloqueio temporria do mdulo de IDS/IPS.
Para ter acesso a janela de IPs bloqueados, deve-se:
788
Figura 579 -: IPs bloqueados.
Clicar no menu Informao na janela do Firewall que queira administrar.

Selecionar o item IPs bloqueados.
789
A janela de IPs bloqueados
Figura 580 - IPs bloqueados.
Esta janela consiste de uma lista onde cada IP bloqueado mostrado em uma linha, com as
seguintes informaes:
IP Bloqueado: Endereo IP de uma mquina que foi bloqueada;
Inserido por: Mdulo que inseriu a regra de bloqueio temporria;
Data de expirao: At quando este IP permanecer bloqueado;
Para remover um IP da lista, basta selecion-lo e ento clicar com o boto direito. Ao ser
mostrado o menu pop-up , basta selecionar a opo Remover IP;
Para atualizar a lista de IPs, basta clicar com o boto direito e selecionar a opo Atualizar
no menu pop-up.
790
35.4.
Instalando o Plugin para IDS Externo no Windows
No caso de se desejar utilizar um IDS externo, alm da configurao mostrada em IDS

Externo, faz-se necessrio a instalao do plugin para possibilitar a comunicao deste IDS
externo com o firewall. A instalao do plugin para IDS bastante simples. Efetue o
download no site da Aker (http://www.aker.com.br), inicie o programa que acabou de
efetuar o download.
O programa inicialmente mostra uma janela pedindo uma confirmao para prosseguir com
a instalao. Deve-se clicar no boto Continuar para prosseguir com a instalao. A seguir
ser mostrada uma janela com a licena de uso do produto e pedindo uma confirmao
para continuar. Deve-se clicar no boto Eu Concordo para continuar com a instalao.
Configurao do plugin do Aker Firewall para IDS Externo
Depois de realizada a instalao do plugin necessrio proceder com a sua configurao.
Esta configurao permite fazer o cadastramento de todos os firewalls que sero
notificados, bem como a definio de que regras sero acrescentadas.
Para ter acesso ao programa de configurao deve-se clicar no menu Iniciar, e selecionar o
grupo Aker Firewall. Dentro de este selecionar, o grupo Deteco de Intruso e ento a
opo Deteco de Intruso. A seguinte janela ser mostrada:
791
Figura 581 - Configurao IDS configurao.
Esta janela consiste de 4 abas. Na primeira, que est sendo mostrada acima, onde feita a
configurao do plugin. Ela consiste de uma lista com o nome das diversas configuraes
criadas pelo administrador e que depois sero mostradas como opo de ao no console
de administrao do Real Secure. Pode-se especificar o nome de uma das configuraes
quando na execuo de um evento ou utilizar o boto Default para especificar uma
configurao que ser executada por padro, isto , quando no for especificada o nome de
nenhuma configurao.
Para criar uma nova configurao, basta clicar no boto Inserir , localizado na parte
esquerda superior da janela. Fazendo isso, uma configurao em branco ser criada. Para
editar os parmetros desta ou de qualquer outra configurao basta clicar sobre seu nome e
a seguir modificar os parmetros desejados.
792
Significado dos parmetros

Nome da configurao: Este o nome que ser mostrado no console de administrao do
Real Secure, NFR, Dragon Enterasys e Snort. Quando selecionado, executar as aes
definidas pelo administrador.
Notificao: Este campo permite definir que aes sero executadas pelo firewall quando
uma regra de bloqueio for acrescentada pela execuo da configurao. Caso a opo
Padro seja selecionada, ento as aes associadas mensagem Regra de bloqueio IDS
acrescentada sero executadas. Caso contrrio pode-se especificar exatamente que aes
devem ser tomadas. Para maiores informaes sobre a configurao das aes, veja o
captulo Configurando as aes do sistema.
Bloqueio: Este campo permite definir que tipo de bloqueio ser realizado quando a
configurao for executada. Existem trs opes possveis que podem ser selecionadas
independentemente (quando mais de uma opo for selecionada, a regra bloquear
pacotes que se enquadrem em todas as opes marcadas e no em apenas algumas):
Origem: Os pacotes que tiverem endereo origem igual ao da regra sero bloqueados.
Destino: Os pacotes que tiverem endereo destino igual ao da regra sero bloqueados.
Servio: Os pacotes que utilizarem servio igual ao da regra sero bloqueados. Se esta
opo for marcada, deve-se selecionar quais protocolos estaro associados ao servio por
meio do campo Protocolo. Isto necessrio devido a uma limitao do Real Secure na
medida em que no fornece o protocolo de um determinado servio, apenas seu nmero.
Como o NFR inspeciona apenas trfego TCP, esse protocolo deve ser selecionado no caso
desse IDS.
Tempo de ativao da regra: Este campo permite definir por quanto tempo as regras
acrescentadas por esta configurao ficaro ativas. Caso a opo Tempo de ativao esteja
marcada, deve-se especificar o tempo, em segundos, que a regra ficar ativa. Caso esta
opo no esteja marcada, a regra ser mantida at a prxima reinicializao do firewall.
Firewalls Usados: Este campo serve para definir em quais firewalls as regras temporrias
sero acrescentadas. Para cada firewall deve-se configurar uma senha de acesso e seu
endereo IP. A senha de acesso deve ser a mesma configurada na definio da entidade do
agente IDS (para maiores informaes veja o captulo Cadastrando Entidades). Ao clicar no
boto incluir ou editar, a seguinte janela ser mostrada:
793
Figura 582 - Firewalls usados.
Os firewalls definidos acima devem ser adicionados s configuraes fazendo-se os

seguintes passos: Selecione os firewalls requeridos; Pressione o boto de seta -> para que os
firewall selecionados apaream na lista da direita da janela.
O boto de Flush utilizado para apagar as regras dinmicas adicionadas pelos IDS nos
firewalls selecionados.
Aps realizar todas as modificaes deve-se clicar no boto Aplicar. Caso esteja utilizando o
Real Secure ser ento mostrada uma janela informando que os Global Responses do Real
Secure sero alterados e pedindo uma confirmao para continuar. Deve-se clicar no boto
Sim para salvar a nova configurao.
794
Log
Figura 583 - Configurao de IDS log.
Todos os bloqueios enviados pelo IDS sero registrados nesta janela.
795
Eventos
Figura 584 - Configurao de IDS eventos.
Esta aba muito til para acompanhar o funcionamento do agente. Ela consiste de uma
lista com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um
cone colorido, simbolizando sua prioridade.
796
35.5.
Utilizando a Interface Texto (via SSH-fwportscan) - Portscan
A utilizao da Interface Texto (via SSH) na configurao do suporte ao Portscan bastante

simples e possui todos os recursos da Interface Remota (E possvel usar todos os comandos
sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando
podero ser acessados sem o prefixo FW).
Localizao do programa: /aker/bin/firewall/fwportscan
Sintaxe:
fwportscan [ajuda | mostra | ativa | desativa]
fwportscan [max_portas | max_acessos] <numero>
fwportscan [tempo_deteccao | tempo_bloqueio] <tempo em segundos>
fwportscan [inclui | remove] protegida <entidade>
fwportscan [inclui | remove] autorizada <entidade>
Ajuda do programa:
fwportscan - Configura parmetros da portscan
Uso: fwportscan [ajuda | mostra | ativa | desativa]
mostra = mostra a configurao atual.
ativa = ativa proteo contra portscan.
desativa = desativa proteo contra portscan.
max_portas = define o nmero mximo de portas que podem ser acessadas por uma
mquina em um mesmo servidor sem que isso seja considerado portscan.
max_acessos = define o nmero mximo de acessos distintos(portas X No. de servidores)
que podem ser acessadas por uma mquina, sem ser considerado portscan.
tempo_deteccao = define o tempo, em segundos, que um acesso feito por uma mquina
no mais ser contabilizado em futuras deteces contra portscan
tempo_bloqueio = define o tempo, em segundos, que uma mquina ser bloqueada aps
se detectar um portscan.
inclui = inclui uma nova entidade na lista especificada.
remove = remove uma entidade da lista especificada.
ajuda = mostra esta mensagem.
Para inclui/remove temos:
797
protegida = inclui/remove entidade da lista de entidades protegidas contra portscan.

autorizada = inclui/remove entidade da lista de entidades que podem realizar portscan.
Exemplo 1: (Ativando o suporte a deteco de portscan)
#/aker/bin/firewall/fwportscan ativa
Exemplo 2: (Mostrando a configurao atual da proteo contra portscan)
#/aker/bin/firewall/fwportscan mostra
35.6.
Utilizando a Interface Texto (via SSH-fwids) - IDS Externo
A utilizao da Interface Texto (via SSH) na configurao do suporte ao IDS Externo

bastante simples e possui todos os recursos da Interface Remota (E possvel usar todos os
comando podero ser acessados sem o prefixo FW).
Localizao do programa: /aker/bin/firewall/fwids
Sintaxe:
fwids [habilita | desabilita | mostra | limpa | ajuda]
fwids agente <entidade>
fwids bloqueia [origem <ip origem>] [destino <ip destino>]
[servico <servico/protocolo>] [tempo]
Ajuda do programa :
fwids - Configura parmetros do agente IDS externo
Uso: fwids [habilita | desabilita | mostra | limpa | ajuda]
fwids agente <entidade>
798
fwids bloqueia [origem <ip origem>] [destino <ip destino>]

[servico <servico/protocolo>] [tempo]
habilita = habilita o funcionamento de agentes IDS externos
desabilita = desabilita o funcionamento de agentes IDS externos
bloqueia = inclui uma regra de bloqueio temporria
limpa = remove todas as regras de bloqueio temporrias
agente = especifica nome da entidade com dados do agente
Para bloqueia temos:
origem = Especifica que se deve bloquear conexes originadas no
endereo IP especificado
destino = Especifica que se deve bloquear conexes destinadas ao
endereo IP especificado
servico = Especifica que se deve bloquear conexes que utilizem o
servio especificado. Neste caso, deve-se especificar o
servio como a porta, para os protocolos TCP e UDP, o
tipo de servio, para ICMP, ou o nmero do protocolo, no
caso de outros protocolos (ex: 23/tcp, 53/udp, 57/outro)
tempo = tempo, em segundos, no qual a regra permanecera ativa. No
caso de no ser especificado, a regra ficara ativa at a
prxima inicializao do firewall
Exemplo 1: (Habilitando o suporte a deteco de intruso)

#/aker/bin/firewall/fwids habilita
Exemplo 2: (Definindo o agente IDS)

#/aker/bin/firewall/fwids agente Agente_IDS
A entidade Agente_IDS deve ter sido previamente cadastrada no sistema. Para maiores
informaes sobre como cadastrar entidades no Aker Firewall , veja o captulo intitulado
Cadastrando Entidades.
Exemplo 3: (Mostrando a configurao atual)
799
#/aker/bin /firewall/ fwids mostra

--------------------------Agente IDS externo: habilitado
Agente: Agente_IDS
Exemplo 4: (Acrescentando uma regra de bloqueio da mquina 192.168.0.25 para a

mquina 10.0.0.38, no servio WWW, porta 80 do protocolo TCP, por uma hora)
#/aker/bin/firewall/ fwids bloqueia origem 192.168.0.25 destino 10.0.0.38 servico 80/ tcp
3600.
800
801
Este captulo mostra para que serve e como configurar a rede no Aker Firewall.
Configurao TCP/IP
36.1.
Esta opo permite configurar todos os parmetros de TCP/IP do firewall por meio da
Interface Remota. possvel configurar os endereos de interfaces de rede, DNS e
roteamento bsico e avanado, bem como as opes de PPPoE, 3G/4G e Servidor/Relay
DHCP.
Para ter acesso janela de configurao TCP/IP deve-se:
Figura 585 - TCP/IP.
Clicar no menu TCP/IP na janela de administrao do firewall.
802
DHCP
36.2.
Para ter acesso janela de configurao DHCP, deve-se:
Figura 586 - DHCP.
Clicar no menu TCP/IP na janela do Firewall que queira administrar.

Selecionar o item DHCP
803
Figura 587 - Servidor DHCP.

Nesta aba so definidas as opes do firewall em relao ao servio DHCP. Ela consiste das
seguintes opes:
No est usando DHCP: Ao selecionar essa opo, o firewall no atuar como servidor
DHCP nem efetuar relay entre redes conectadas a ele.
Relay DHCP entre redes: Permitir que se defina que o firewall realizar o relay de pacotes
DHCP entre as redes selecionadas. Ela utilizada quando se possui apenas um servidor
DHCP e se deseja que ele fornea endereos para mquinas localizadas em sub-redes
distintas, conectadas diretamente ao firewall.
804
Figura 588 - Relay DHCP entre redes.

Ao selecion-la, deve-se especificar em Interfaces de Escuta as interfaces nas quais o
firewall escutar broadcasts DHCP e os encaminhar para os servidores, especificados em
Servidores DHCP. No caso de haver mais de um servidor, o firewall encaminhar as
requisies para todos e retornar ao cliente a primeira resposta recebida.
Servidor DHCP Interno: Esta opo designada para redes pequenas que no possuem um
servidor DHCP ou que possuam em um modem ADSL. Ela permite que o firewall atue como
um servidor DHCP.
805
Figura 589 - Servidor DHCP interno.

Ao selecion-la, deve-se especificar um ou mais Escopos de endereos, i.e. a faixa de
endereos, configuraes DNS, Wins/NBT e WINS/NBT Node Type, excees, Gateway
padro e reservas de endereos IP que sero atribudos aos clientes.
O firewall enviar aos clientes seu endereo como o servidor de DNS e seu domnio como nome
do domnio para estes clientes.
806
DNS
36.3.
Para ter acesso janela de configurao DNS deve-se:
Figura 590 - DNS.
Clicar no menu TCP/IP do firewall que queria administrar.
Selecionar o item DNS.
807
Figura 591 - TCP/IP - DNS

Nesta pasta so configuradas todas as opes relacionadas com a resoluo de nomes ou
DNS. Ela consiste dos seguintes campos:
Host: Nome da mquina na qual o firewall est rodando.
Domnio: Nome do domnio no qual o firewall est rodando.
Ativar DNS: Esta opo deve ser marcada para ativar a resoluo de nomes via DNS e
desmarcada para desativ-la.
Servidor primrio: Definir o servidor DNS primrio que ser consultado para se resolver um
nome. Ele obrigatrio se a opo DNS ativo estiver marcada.
Servidor secundrio: Definir o servidor DNS secundrio que ser consultado se o primrio
estiver fora do ar. Ele opcional.
Servidor tercirio: Definir o servidor DNS tercirio que ser consultado se o primrio e o
secundrios estiverem fora do ar. Ele opcional.
36.4.
Interfaces de Rede
Para ter acesso janela de configurao Interfaces de rede deve-se:
808
Figura 592 - Interfaces de rede.
Clicar no menu TCP/IP do firewall que queira administrar.
Selecionar o item Interfaces de rede.
Figura 593 - Interfaces de redes.
Nesta aba podem ser configurados os endereos IP atribudos a todas as interfaces de rede
reconhecidas pelo firewall. Ela consiste de uma lista onde so mostrados os nomes de todas
as interfaces e os endereos IP e mscaras de cada uma ( possvel configurar at 31
endereos distintos para cada interface). Caso uma interface no tenha um endereo IP
809
configurado, os campos correspondentes ao endereo e mscara sero mostrados em

branco. Possui os seguintes campos:
IPv4
IP: Endereo da rede. No pode ser informado um endereo auto-configurado.
Mscara de rede: Informa o endereo da mscara de rede.
Ponto a ponto: Configurao ponto a ponto
IPv6
IP: Endereo da rede. No pode ser informado um endereo auto-configurado.
Prefixo: Informam quantos bits a rede composta.
Alias
Para configurar ou modificar o endereo IP ou mscara de uma interface e at mesmo
atribuir um alias para a interface, deve-se clicar sobre a entrada do dispositivo
correspondente e usar o menu suspenso que ir surgir:
Figura 594 - Menu: configurao ou modificao de endereo IP.
VLAN
Para criar uma VLAN associada a uma interface, deve-se clicar na interface desejada no lado
esquerdo da janela. Aparecer o seguinte menu suspenso:
810
Figura 595 - Menu de criao: VLAN.
Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma conexo
somente o switch tenha acesso a todas as suas VLANs, inclusive controlando o acesso entre
elas. Para cada uma, uma interface virtual ser criada dentro do Firewall.
Habilitar monitoramento: possibilita monitorar todas as interfaces de rede do cluster e
detalhes de replicao de sesso, identificando possveis falhas, caso uma interface de
algum no do cluster falhe "falta de conectividade ou falha de rota, ou etc."
Desabilitar interface: desativa todas as outras interfaces e fazer com que outro n assuma,
permitindo assim uma maior disponibilidade dos links.
Por padro ao criar ou deletar uma VLAN a pilha TCP reinicializada.
Usar PPPoE: permite definir que esta interface trabalhe com PPPoE (usado basicamente
para a conexo com modems ADSL). Ao ser selecionada, a seguinte janela ser mostrada:
811
Figura 596 - Configurao PPPoE.
Nome do dispositivo: Este campo indica o nome do dispositivo interno que ser utilizado na
comunicao PPPoE. importante que no caso de que haja mais de uma interface
trabalhando em PPPoE, que eles sejam distintos.
Ativar no boot: Se esta opo estiver marcada, o firewall ativar o PPPoE

automaticamente, ao iniciar a maquina.
Servio PPPoE ativado sob demanda: Se esta opo estiver marcada, o firewall ativar o
servio PPPoE apenas quando houver trfico de rede direcionado por meio desta interface
de rede.
Nome do Usurio: Nome do usurio que ser utilizado na autenticao durante o
estabelecimento da sesso PPPoE.
Senha: Senha que ser utilizada na autenticao durante o estabelecimento da sesso
PPPoE.
Confirmao: Confirmao da senha que ser utilizada na autenticao durante o
estabelecimento da sesso PPPoE.
Provedor: o provedor do servio de PPPoE.
812
MTU: O protocolo IP permite a fragmentao de pacotes, possibilitando que um datagrama

seja dividido em pedaos, cada um pequeno o suficiente para poder ser transmitido por
uma conexo com o MTU menor que o datagrama original. Esta fragmentao acontece na
camada IP (camada 3 do modelo OSI) e usa o parmetro MTU da interface de rede que ir
enviar o pacote pela conexo. O processo de fragmentao marca os fragmentos do pacote
original para que a camada IP do destinatrio possa montar os pacotes recebidos,
reconstituindo o datagrama original.O protocolo da Internet define o "caminho MTU" de
uma transmisso Internet como o menor valor MTU de qualquer um dos hops do IP do
path" desde o endereo de origem at ao endereo de destino. Visto de outro modo, o
"caminho MTU" define o maior valor de MTU que pode passar pelo caminho sem que os
seus pacotes sofram posterior fragmentao.
S possvel configurar endereos IP de interfaces de rede reconhecidas pelo sistema
operacional no qual o firewall est rodando. Caso tenha acrescentado uma nova interface
de rede e seu nome no aparea na lista de interfaces, necessrio configurar o sistema
operacional de forma a reconhecer esta nova interface antes de tentar configur-la nesta
pasta. Valor padro de 1500.
O IP e o prefixo tm que ser informados juntos.
No ser possvel ao usurio remover ou editar os endereos auto-configurados (que so
derivados dos endereos MAC).
As interfaces que estiverem em vermelho, indicam que no esto presentes em todos os
nodos do cluster.
No possvel realizar a configurao de uma interface PPPoE no Firewall, quando o
mesmo estiver em modo cluster.
Roteamento
Roteamento uma atividade realizada na camada de rede, cujo objetivo definir qual ser o
caminho trilhado pelos dados (empacotados) at que cheguem ao seu destino. O dispositivo
responsvel por esta atividade o roteador que possui em sua memria tabelas com as
informaes necessrias para determinar o destino dos pacotes que recebe. Visando oferecer
uma rede de alta performance e com mais segurana, o Aker Firewall oferece roteamento
avanado usando os protocolos RIP,RIPng, OSPF, OSPF6, e BGP. A seguir mais informaes
sobre estes protocolos.
36.5.
Para acessar a janela de configurao de Roteamento deve-se:
813
Figura 597 - Roteamento.
Clicar no menu TCP/IP do firewall que queria administrar.
Selecionar o item Roteamento.
814
Figura 598 - Janela de Roteamento.
815
36.5.1. Geral
Figura 599 - Roteamento - Geral.
Esta janela possibilita configurar rotas IPv4 e Ipv6 no firewall. Divide-se em duas partes:
A primeira parte se refere configurao do endereamento IPv4 e consiste dos seguintes
campos:
Rede: Configurao dos endereos IP
Mscara de rede: Informa o endereo da mscara de rede
Gateway: Nesse campo deve ser informado o endereo IP do roteador.
Mtrica: o valor de distncia da rede. A distncia pode ser medida, por nmero de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor
associado velocidade do link.
Rota Padro: Pode-se especificar o roteador padro, por qual todos os pacotes sero
encaminhados.
Para a incluso de uma nova rota, basta clicar no boto direito do mouse e ir aparecer o
menu
Para remover ou editar uma rota, basta clicar com o boto direito sobre ela.
816
A segunda parte se refere configurao do endereamento IPv6 e consiste dos seguintes

campos:
Habilita Roteamento IPV6: Essa opo permite ativar ou desativar o roteamento de pacotes
IPv6
Dispositivos: Define a interface de rede usada para rota esttica.
Rede: Configurao dos endereos IP
Prefixo: Informa quantos bits a rede composta. Valor entre 0 e 128 que define quantos
bits do endereo sero usados no roteamento
Gateway: Nesse campo deve ser informado o endereo IP do roteador.
Mtrica: o valor de distncia da rede. A distncia pode ser medida, por nmero de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor
associado velocidade do link.
Rota padro: Nesse campo deve ser informado o endereo IP da rota padro. A validao
normal dos endereos IPv6 se aplica tambm a este campo.
Dispositivos de Gateway Padro: Pode-se especificar a porta padro, por qual todos os
pacotes sero encaminhados. Pode-se deixar em branco, no ser opcional se o gateway
padro for auto-configurado.
Rotas com escopo de link so as que comeam pelo prefixo fe80: definido na macro
FWTCPIP_IPV6_AUTOCONF_PREFIX.
Devido a uma limitao do Linux, no possvel remover o mdulo de IPv6 uma vez que
ele tenha sido instalado. Tambm, se o mdulo no estava instalado no kernel, os daemons
todos do firewall estavam escutando um socket IPv4. Sendo assim, ao modificar o valor desta
opo, a GUI dever mostrar um aviso ao administrador dizendo: This setting will be fully
functional only after the next firewall reboot.
36.6.
RIP
O protocolo RIP (Routing Information Protocol) foi o primeiro protocolo de roteamento

padro desenvolvido para ambientes TCP/IP. O RIP um protocolo de roteamento dinmico
que implementa o algoritmo vetor de distncia e se caracteriza pela simplicidade e
817
facilidade de soluo de problemas. Em seu mtodo, os equipamentos so classificados em

ativos e passivos. Roteadores ativos informam suas rotas para outros, e passivos apenas
escutam e atualizam suas rotas baseadas nas informaes recebidas, mas no informam.
Normalmente, os roteadores usam o protocolo RIP em modo ativo e as estaes (hosts) em
modo passivo. O RIP transmite sua tabela de roteamento a cada 30 segundos, e permite 15
rotas por pacote; sendo assim, em redes grandes so exigidos vrios pacotes para enviar a
tabela de roteamento inteira.
Vantagens: Em redes pequenas no consume muita largura de banda e tempo de
configurao e gerenciamento e de fcil implementao;
Desvantagens: Convergncia lenta para redes de tamanho mdio ou maior; Existncia de
loops e contagem ao infinito; Limitaes do nmero saltos por caminho (15) e Limitao de
mtrica.
RIP Interface Texto (via SSH)
36.7.
Para acessar o RIP na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:
Abra o Firewall na via SSH
Entre com o comando fwroute
O usurio deve entrar com o comando enable verificando seu acesso, para efetuar
futuras configuraes
Figura 600 - Rip via Interface Texto (via SSH)
Configurao RIP
818
Comando: router rip

O comando router rip e necessrio para habilitar o RIP. Para desabilitar o RIP, use o
comando no router. O RIP deve ser habilitado antes de realizar qualquer comando RIP.
Comando: no router rip
Desabilita o RIP.
Comando RIP: network network
Comando RIP: no network network
Define a interface RIP habilitada pela network. As interfaces que tem os endereos
correspondentes com a network sero habilitadas.
Este grupo de comandos ativa ou desativa interfaces RIP entre determinados nmeros de
um endereo de rede especificado. Por exemplo, se a rede para 10.0.0.0/24 esta com o RIP
ativado, isso resultaria em todos os endereos de 10.0.0.0 a 10.0.0.255 serem habilitados
para o RIP. A comando no network desativar o RIP para a rede especificada.
Comando RIP: network ifname
Comando RIP: no network ifname
Define uma interface RIP ativada pelo ifname. O envio e recebimento de pacotes RIP ser
ativado na porta especificada com o comando network ifname. O comando no network
ifname desativar o RIP na interface especificada..
Comando RIP: neighbor a.b.c.d (ip)
Comando RIP: no neighbor a.b.c.d (ip)
Especifica o RIP neighbor quando um vizinho no entende o multicast, este comando
usado para especificar os vizinhos. Em alguns casos, nem todos os roteadores sero capazes
de compreender o multicast, onde os pacotes so enviados a uma rede ou a um grupo de
endereos. Numa situao em que um vizinho no pode processar pacotes multicast,
necessrio estabelecer uma ligao direta entre os roteadores.
O comando neighbor permite que o administrador de rede especifique um roteador como
um RIP neighbor. O comando no neighbor a.b.c.d desativar o RIP neighbor.
No exemplo abaixo segue uma configurao de RIP muito simples. Sendo que a
interface eth0 a interface que corresponde ao endereo de 10.0.0.0/8 que so RIP
enabled.
!
819
router rip
network 10.0.0.0/8
network eth0
!
Passive interface
Comando RIP: passive-interface (IFNAME|default)
Comando RIP: no passive-interface IFNAME
Este comando define a interface selecionada para o modo passivo (passive mode). Com a
interface em mode passivo todos os pacotes recebidos so processados normalmente e o
ripd no envia pacotes RIP multicast ou unicast exceto para RIP neighbors que forem
especificados com o comando neighbor. A interface pode ser especificada como default
para fazer que o ripd seja padro passivo em todas as interfaces.
O padro ser passive em todas as interfaces.
RIP split-horizon
Comando de Interface: ip split-horizon
Comando de Interface: no ip split-horizon
Control split-horizon (para evitar o loop de roteamento) na interface o padro ip splithorizon. Se voc no executar o split-horizon na interface, use o comando no ip splithorizon.
Controle de verso RIP

O RIP pode ser configurado para enviar pacotes tanto da Verso 1 quanto da Verso 2. O
padro e enviar o RIPv2 embora este aceite tanto o RIPv1 quanto o RIPv2 (respondendo
com pacotes apropriados a verso do pedido aciona a atualizao). A verso para enviar
receber pode ser especificada globalmente, e depois anulada pela base da interface se for
necessrio enviar ou receber separadamente.
importante notar que RIPv1 no pode ser autenticado. Alm disso, se o RIPv1 estiver
ativado, o RIP ir responder aos pacotes solicitados (REQUEST packets), enviando o estado
de sua tabela de roteamento RIP para quaisquer roteadores remotos.
RIP Comando: version version
820
Define a verso RIP parar leitura e envio. A verso poder ser tanto verso 1, quanto a
verso 2.
Desabilita o RIPv1 especificando a verso 2 fortemente recomendado.
Padro: Enviar Verso 2, e aceitar qualquer verso 1 ou 2.
Comando RIP: no version
Redefine a configurao da verso global de volta para padro (default).
Comando de Interface: ip rip send version
A Verso poder ser 1, 2 ou 1 e 2.
Este comando substitui a configurao da verso global do RIP, e seleciona qual verso do
RIP enviar pacotes para a interface especifica. Escolha o RIP Verso 1, RIP Verso 2, ou as
duas verses. Em casos aonde as duas verses forem especificadas, os pacotes sero tanto
Broadcast quanto Multicast.
Padro: Enviar pacotes de acordo com a verso global (verso 2)
Comando de Interface: ip rip receive version
A verso pode ser 1, 2 or 1 e 2.
Este comando substitui a configurao da verso global do RIP, e seleciona qual verso de
pacotes RIP sero aceitas nesta interface. Escolha o RIP Verso 1, RIP Verso 2, ou as duas
verses.
Padro: Aceitar pacotes de acordo com a verso global (verses 1 e 2).
Anunciando rota RIP
Comando RIP: redistribute kernel

Comando RIP: redistribute kernel metric <0-16>
Comando RIP: redistribute kernel route-map route-map
Comando RIP: no redistribute kernel
O comando redistribute kernel redistribui informaes de roteamento das entradas de rota
do kernel dentro das tabelas RIP. O comando no redistribute kernel desativar as rotas.
Comando RIP: redistribute static
821
Comando RIP: redistribute static metric <0-16>

Comando RIP: redistribute static route-map route-map
Comando RIP: no redistribute static
O comando redistribute static redistribui informaes de roteamento das entradas de rota
estticas para dentro das tabelas RIP. O comando no redistribute static desativar as rotas.
Comando RIP: redistribute connected
Comando RIP: redistribute connected metric <0-16>
Comando RIP: redistribute connected route-map route-map
Comando RIP: no redistribute connected
Este comando redistribui roteadores conectados na tabela RIP. O comando no redistribute
connected desabilita os roteadores conectados na tabela RIP. O roteador conectado na
interface RIP que esta habilitado ser anunciado por padro.
Comando RIP: redistribute ospf
Comando RIP: redistribute ospf metric <0-16>
Comando RIP: redistribute ospf route-map route-map
Comando RIP: no redistribute ospf
O comando redistribute ospf redistribui informaes de roteamento das entradas da rota
ospf dentro das tabelas RIP. O comando no redistribute ospf desabilita as rotas.
Comando RIP: redistribute bgp
Comando RIP: redistribute bgp metric <0-16>
Comando RIP: redistribute bgp route-map route-map
Comando RIP: no redistribute bgp
O comando redistribute bgp redistribui informaes de roteamento das entradas da rota
bgp para dentro das tabelas RIP. O comando no redistribute bgp desabilita as rotas.
Para especificar apenas rotas estticas RIP:
Comando RIP: default-information originate
Comando RIP: route a.b.c.d/m
822
Comando RIP: no route a.b.c.d/m

O comando route faz com que a rota esttica somente dentro do RIP. Este comando deve
ser usado apenas por usurios avanados que tenham conhecimento maior sobre o
protocolo RIP. Na maioria dos casos, recomendamos a criao de uma rota esttica, que
esta rota seja redistribuda no RIP usando o comando redistribute static.
Filtragem de rotas RIP
Rotas RIP podem ser filtradas pelo comando distribute-list.
Comando: distribute-list access_list direct ifname
Voc pode aplicar access list (mais conhecido como ACL) para a interface com um comando
distribute-list. Access_list o nome da lista de acesso.
Direct significa IN ou OUT. Se o direct for IN a lista de acesso ser aplicada para os pacotes
de entrada.
O comando distribute-list pode ser usado para filtrar o caminho do RIP (RIP path). O
comando distribute-list pode aplicar o access-list para uma interface escolhida. Primeiro
deve-se especificar uma access-list, e ento o nome da access-list ser usado no comando
distribute-list. Por exemplo, na configurao eth0 ser permitido apenas os caminhos que
correspondam rota 10.0.0.0/8
!
router rip
distribute-list private in eth0
!
access-list private permit 10 10.0.0.0/8
access-list private deny any
!
O comando distribute-list pode ser aplicado para dados de entrada e sada.

Comando: distribute-list prefix prefix_list (in|out) ifname
Voc pode aplicar o prefix-list para a interface com um comando distribute-list. Prefix_list
o nome da lista de prefixo. Direct significa IN ou OUT, se o direct for IN a lista de prefixo ser
aplicada para os pacotes de entrada.
823
RIP Metric Manipulation

RIP metric um valor para a distncia da rede. Normalmente o ripd incrementa a mtrica
quando a informao da rede recebida. A mtrica das rotas redistribudas (Redistributed
routes metric) e definida com 1.
Comando RIP: default-metric <1-16>
Comando RIP: no default-metric <1-16>
Este comando modifica o valor mtrico padro para as rotas redistribudas. Este comando
no afetar rotas conectadas mesmo que sejam redistribudas pelo o comando redistribute
connected. Para modifica o valor mtrico das rotas conectadas (connected routes
value) use o comando redistribute connected metric ou route-map. O comando offsetlist tambm afeta as rotas conectadas.
Comando RIP: offset-list access-list (in|out)
Comando RIP: offset-list access-list (in|out) ifname
RIP distance
O valor da distncia usado no Zebra daemon.
Distncia RIP padro 120.
Comando RIP: distance <1-255>
Comando RIP: no distance <1-255>
Este comando define a distncia RIP padro para o valor desejado.
Comando RIP: distance <1-255> A.B.C.D/M
Comando RIP: no distance <1-255> A.B.C.D/M
Define a distncia padro do RIP para o valor especificado quando o endereo IP de origem
da rota corresponde ao prefixo especificado.
Comando RIP: distance <1-255> A.B.C.D/M access-list
Comando RIP: no distance <1-255> A.B.C.D/M access-list
Define a distncia RIP padro para o valor especificado quando o endereo IP de origem da
rota corresponde ao prefixo especificado e a lista de acesso especificada (access-list).
RIP route-map
824
O uso do route-map support do ripd.

O parmetro opcional do route-map MAP_NAME pode ser adicionado em cada comando
redistribute.
redistribute static [route-map MAP_NAME]

redistribute connected [route-map MAP_NAME]
O ripd aplica route-map aps as rotas estarem listadas na tabela de rotas e antes que as
rotas sejam anunciadas a uma interface (algo como um filtro de sada).
Route Map: match interface word
Este comando corresponde interface de entrada. O Ripd permite que apenas um nome.
Cisco significa interface que inclui o next-hop das rotas. Ripd significa interface para onde
esta rota ser enviada.
Route Map: match ip address word

Route Map: match ip address prefix-list word
Associa (match) o IP se a rota de destino for permitida pela lista de acesso.
Route Map: match metric <0-4294967295>

Este comando corresponde ao valor mtrico de atualizaes RIP. Para compatibilidade com
outro protocolo, a metric range ser mostrada como <0-4294967295>. Mas, para o
protocolo RIP apenas o intervalo de valor <0-16> faz sentido.
Route Map: set ip next-hop A.B.C.D
Este comando define o valor do next hop no protocolo RIPv2. Este comando no afeta RIPv1
porque no h nenhum campo next hop no pacote.
Route Map: set metric <0-4294967295>
Define uma mtrica para uma rota correspondente ao enviar o pacote. A faixa de valor
mtrica muito grande para compatibilidade com outros protocolos. Para RIP, os valores
mtricos validos so de 1 a 16.
825
Autenticao RIP
O RIPv2 permite que os pacotes sejam autenticados, por meio de uma simples senha de
texto, includo com o pacote, ou por meio de uma checagem MD5 mais segura baseada em
HMAC (keyed-Hashing for Message AuthentiCation), o RIPv1 no pode ser autenticado,
assim quando a autenticao configurada o RIPD descartar as atualizaes de
roteamento recebidas via pacotes RIPv1.
No entanto, a menos que recepo RIPv1 esteja completamente desativada, os pacotes de
solicitao RIPv1(RIPv1 REQUEST packets) que so recebidos, e que consultam o roteador
em busca de informaes de roteamento, sero honrados pelo Ripd, e o Ripd responder a
esses pacotes. Isso permite que o RIPD honre estas solicitaes (que s vezes so usadas por
equipamentos antigos e dispositivos muito simples para inicializao de sua rota padro),
enquanto continua a fornecer segurana para as atualizaes de rotas que so recebidos.
A ativao da autenticao impede rotas de serem atualizadas por roteadores remotos
no autenticados, mas ainda pode permitir que as rotas (ou seja, toda a tabela de
roteamento RIP) sejam consultadas remotamente, potencialmente por qualquer pessoa na
internet, por meio do RIPv1.
Para evitar consultas de rotas no autenticadas, desative o RIPv1.
Comando de Interface: ip rip authentication mode md5
Comando de Interface: no ip rip authentication mode md5
Define a interface com a autenticao RIPv2 MD5.
Comando de Interface: ip rip authentication mode text
Comando de Interface: no ip rip authentication mode text
Define a interface com a autenticao de senha simples RIPv2.
Comando de Interface: ip rip authentication string string
Comando de Interface: no ip rip authentication string string
A verso 2 do RIP tem autenticao de texto simples (simple text authentication). Este
comando define a sequencia da autenticao. A sequencia deve ser menor que 16
caracteres.
Comando de Interface: ip rip authentication key-chain key-chain
Comando de Interface: no ip rip authentication key-chain key-chain
826
Especifica a chave MD5 (Keyed MD5 chain).

!
key chain test
key 1
key-string test
!
interface eth1
ip rip authentication mode md5
ip rip authentication key-chain test
!
RIP Timers
Comando RIP: timers basic update timeout garbage

O RIP protocolo tem vrios temporizadores (Timers). O usurio pode configurar os valores
dos temporizadores pelo comando timers basic.
As configuraes padres para os temporizadores so as seguintes:
O temporizador de atualizao de 30 segundos. A cada segundo o temporizador de

atualizao, o processo de RIP despertado para enviar uma mensagem de resposta
no solicitada contendo a tabela de roteamento completa para todos os roteadores
RIP vizinhos.
O tempo limite de 180 segundos. Aps a expirao do tempo limite, a rota no
mais vlida, no entanto, ser mantida na tabela de roteamento de um curto perodo
de tempo para que os vizinhos possam ser notificados que a rota caiu.
Garbage collect timer de 120 segundos. Aps a expirao do garbage-collection
timer, a rota ser finalmente removida da tabela de roteamento.
O comando timers basic permite que os valores padro dos temporizadores listados acima
sejam alterados.
Comando RIP: no timers basic
O comando no timers basic redefinir os temporizadores para a configurao padro que foi
mostrada acima.
Show RIP Information

Este comando e usado para exibir as rotas RIP.
Comando RIP: show ip rip

Mostra as rotas RIP.
827
O comando exibe todas as rotas RIP. Para as rotas que sero recebidas por meio de RIP, este
comando exibir o tempo que o pacote foi enviado e as suas informaes. tambm ir
exibir esta informao para rotas redistribudas no RIP.
Comando: show ip protocols

O comando exibe o status atual do RIP, ele inclui o RIP Timer, filtragem, verso, a interface
RIP habilitada RIP peer information.
ripd> show ip protocols
Routing Protocol is "rip"
Sending updates every 30 seconds with +/-50%, next due in 35 seconds
Timeout after 180 seconds, garbage collect after 120 seconds
Outgoing update filter list for all interface is not set
Incoming update filter list for all interface is not set
Default redistribution metric is 1
Redistributing: kernel connected
Default version control: send version 2, receive version 2
Interface
Send Recv
Routing for Networks:
eth0
eth1
1.1.1.1
203.181.89.241
Routing Information Sources:
Gateway
BadPackets BadRoutes Distance Last Update
RIP Debug Commands

Depurao para o protocolo RIP.
Comando: debug rip events
Depura os eventos rip.
O comando debug rip mostrar os eventos do RIP. Envio e recebimento de pacotes,
temporizadores.
Comando: debug rip packet
Depura o pacote rip.
828
O comando debug rip packet exibir informaes detalhadas sobre os pacotes RIP. A origem
o nmero da porta do pacote, o packet dump sero mostrados.
Comando: debug rip zebra
Depura o rip entre a comunicao zebra.
Este comando ir mostrar a comunicao entre Ripd zebra. A principal informao incluir
a adio e excluso de caminhos enviados para o kernel, o envio e recebimento de
informaes da interface.
Comando: show debugging rip
Mostra as opes de depurao do Ripd.
O comando show debugging rip mostrar todas as informaes atualmente definidas para o
Ripd debug.
36.8.
OSPF
O protocolo OSPF (Open Shortest Path First) a alternativa para redes de grande porte,
onde o protocolo RIP no pode ser utilizado, devido s suas caractersticas e limitaes.
O OSPF permite a diviso de uma rede em reas, e torna possvel o roteamento dentro de
cada rea (o roteamento das reas e feito por meio do roteadores de borda. Com isso,
usando o OSPF, possvel criar redes hierrquicas de grande porte, sem que seja necessrio
que cada roteador tenha uma tabela de roteamento gigantesca, com rotas para todas as
redes, como seria necessrio no caso do RIP. O OSPF projetado para intercambiar
informaes de roteamento em uma interconexo de rede de tamanho grande ou muito
grande,
como
por
exemplo,
a
Internet.
O OSPF eficiente em vrios pontos, requer pouqussima sobrecarga de rede mesmo em
interconexes de redes muito grandes, pois os roteadores que usam OSPF trocam
informaes somente sobre as rotas que sofreram alteraes e no toda a tabela de
roteamento, como feito com o RIP.
A suas vantagens so: Maior velocidade de convergncia, suporte a vrias mtricas,
caminhos mltiplos, sem loop nem contagem ao infinito e sincronismo entre os bancos.
As suas desvantagens so: Complexidade no gerenciamento e implementao.
829
Custo OSPF: O custo OSPF tambm chamado de mtrica, ou seja, a mtrica expressa
como um valor de custo. O melhor caminho possui o custo mais baixo, sendo tipicamente
o de maior largura de banda. o custo da rota para se chegar a um determinado lugar.
Velocidade OSPF: a velocidade do link, ou seja, a velocidade da conexo entre dois
roteadores que informada em Kbits/seg.
rea OSPF: rea a designao atribuda a um subconjunto dos roteadores e redes que
constituem o sistema autnomo e que participam numa instncia do protocolo OSPF, isto ,
as rotas de uma rea no se propagam para as demais e vice versa. Verifica cada rea e rota
de modo a privilegiar as rotas de menor custo e com o mesmo destino.
Logar rotas adicionadas e removidas: Ao selecionar essa opo as rotas adicionadas e
removidas sero exibidas na lista de eventos.
Redistribuir: Nessa opo so escolhidas as rotas que sero informadas para os outros
roteadores.
Redes Locais: So Rotas localmente conectadas, correspondem s sub redes configuradas
nas interfaces de redes.
Rotas de Outros Protocolos: Ao selecionar essa opo as rotas redistribudas sero aquelas
determinadas pelos protocolos RIP e o OSPF. Haver uma troca de informaes na
comunicao entre eles, ou seja, o que foi aprendido por um protocolo ser informado pelo
outro e vice versa.
Rotas Estticas: As rotas estticas so explicitamente configuradas pelo administrador, ou
seja, rotas fixas pelos quais os dados sero transmitidos na aba Rotas dessa mesma janela.
Filtrar redes distribudas e recebidas
Ativando esta opo devem-se selecionar quais as redes e hosts deseja-se receber e
distribuir novas rotas por meio dos protocolos RIP e/ou OSPF. Por meio deste filtro
desconsideram-se as informaes que no so necessrias para nosso ambiente e tambm
assim no informado aos outros roteadores rotas de redes que no so utilizadas pela
Aker.
830
OSPF Interface Texto (via SSH)
36.9.
Para acessar o OSPF na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:
futuras configuraes
Figura 601 - Rip via Interface Texto (via SSH)

OSPF Terminologia
Interface: Interface geralmente refere-se ao Link;
Link State: O status entre dois routers. advertido por pacotes LSA;
Cost: Valor atribudo a um enlace;
AS: Grupo de routers que trocam informaes de roteamento e usam um mesmo

protocolo;
831
Area: Uma coleo de redes e routers que possuem a mesma identificao de rea e
trocam informaes de estado de link;
Neighbors: Dois routers que possuem suas interfaces em uma mesma rede, geralmente
descobertos e mantidos em relao pelos pacotes hello;
Hello: Protocolo usado para estabelecer e manter relaes entre vizinhos, enviados de 10
em 10 segundos no endereo: 224.0.0.5;
Router ID: Nmero nico de 32-bit usado para identificar o router dentro da AS. O maior
IP na interface que esta ativa ser escolhido como padro. Usado para definir o DR e o BDR
no caso de empate.
Hello intervals: o tempo em segundos que o router envia pacotes hello (10s default);
Dead intervals: o tempo em segundos que o router espera um hello de um vizinho, se
no responder ele coloca o router como down. O tempo de dead 4 vezes o tempo do
hello;
Area-ID: Identificao da rea;
Router Priority: Um nmero de 8-bit que indica a prioridade de um router se tornar DR ou
BDR. Default=1, DROTHER=0;
DR e BDR IP address: O endereo IP do router DR e BDR da rede especfica;
Auth Password: Se a auth estiver habilitada, 2 router devem trocar a mesma senha;
Stub area Flag: Dois routers devem ter o mesmo Flag de rea Stub no pacote hello.
Neighborship database: Uma lista de todos os vizinhos que o router mantm uma
comunicao bidirecional;
Link-state database or Topological database: Base de dados do estado dos links de todos
os routers da rede. Todos os routers da mesma rea tm a mesma informao de Link-state;
Routing table or forwarding database: Base de dados gerada quando o algoritmo SPF
executado na base de dados de Link-state;
Topologia Broadcast multiaccess: Redes que suportam mais de dois routers ligados juntos
com capacidade de mensagens broadcast. O seguimento ethernet um exemplo dessa
topologia;
Topologia Point-to-Point: Uma rede que associa um nico par de routers. Uma linha serial
T1 exemplo.
Topologia Non-Broadcast multiaccess (NBMA): Redes que suportam muitos routers mas
no tm a capacidade de executar broadcast. O Frame-Relay e X.25 so exemplos de NBMA.
832
No h opes especficas do ospfd, opes comuns podem ser especificadas para o ospfd .
O ospfd precisa adquirir as informaes da interface zebra para poder funcionar. Portanto
o zebra deve estar em execuo antes de carregar o ospfd . Alm disso, se o zebra for
reiniciado ento o ospfd deve ser reiniciado tambm.
Como outros daemons, a configurao ospfd feita no arquivo de configurao ospfd.conf
`' .
Roteador OSPF
Para iniciar o processo OSPF voc tem que especificar o roteador OSPF (o ospfd no suporta
vrios processos OSPF).
Tipos de Routers
Router Interno So roteadores cujas interfaces pertencem a mesma rea. Todos os routers
na mesma rea compartilham do mesmo Banco de Dados (DB) de estado de enlace
(idnticos);
Router do Backbone So roteadores que tem pelo menos uma interface conectada na
rea 0. A rea 0 serve como rea de trnsito entre reas do OSPF;
Area Border Router (ABR) Roteadores que tem interfaces conectadas as diversas reas.
Esse router mantm Link-state database distintos para cada rea qual esto conectados.
Os ABRs so pontos de sada da rea. Os ABRs podem resumir as informaes de Link-state
database e distribuir no backbone, em seguida o backbone encaminha para outras reas.
Autonomous System Boundary Router (ASBR) Routers que tem pelo menos uma interface
em uma rede externa (outro AS) e outra dentro da rede OSPF. Esse router faz Redistribuio
de rotas entre o OSPF e o no-OSPF.
Comando: router ospf

Comando: no router ospf
Ativa ou desativa o processo OSPF.
O ospfd ainda no suporta mltiplos processos OSPF, ento voc no pode especificar um
nmero de processo OSPF.
Comando OSPF: ospf router-id a.b.c.d
833
Comando OSPF: no ospf router-id

Este comando define o router-ID do processo OSPF. O router-ID pode ser um endereo IP do
roteador, mas no e obrigatrio, ele pode ser qualquer nmero arbitrrio de 32 bits. No
entanto, deve ser nico dentro de todo o domnio OSPF para o speaker OSPF (No
recomendado configurar vrios speakers OSPF com o mesmo router-ID). Se no for
especificado, ento o ospfd obter um router-ID automaticamente do zebra.
Comando OSPF: ospf abr-type type
Comando OSPF: no ospf abr-type type
O OSPF type pode ser cisco|ibm|shortcut|standard. Os tipos "Cisco" e "IBM" so iguais.
O padro do OSPF para o comportamento ABR no permite que um ABR considere rotas por
meio de reas que no sejam backbone, mesmo quando suas ligaes com o backbone
estiverem desligadas, ou quando houver outros ABRs anexados em non-backbone areas que
ainda podem alcanar o backbone. Esta restrio existe principalmente para garantir que os
loops de roteamento sejam evitados.
Note-se que as reas com links virtuais totalmente adjacentes so considerados "transit
capable" e pode sempre ser usada para o trfego da rota backbone, portanto, no so
afetados por esta configurao.
Observao: Embora a definio da ABR (Area Border Router) na especificao OSPF no
requer que um roteador com mltiplas reas anexadas tenha uma conexo backbone,
necessrio para fornecer roteamento para rea interna destinos externos. Se este
requerimento no for cumprido, todo o trfego, destinado para as reas que no estejam
conectadas a um ABR ou fora do domnio OSPF, ser descartado.
Comando OSPF: ospf rfc1583compatibility
Comando OSPF: no ospf rfc1583compatibility
O sucessor do RFC1583 (RFC2328), sugere uma alterao no caminho do algoritmo para
evita possveis loops de roteamento que eram possveis na verso antiga do OSPFv2. Mais
especificamente, exige que os inter-area path e intra-area path tenham a mesma
preferncia, mas os dois ainda preferem caminhos externos.
Este comando no deve ser definido como Normally.
Comando OSPF: log-adjacency-changes [detail]
Comando OSPF: no log-adjacency-changes [detail]
834
Configura o ospfd para registrar as mudanas nas adjacncias. Com o parmetro opcional,
todas as alteraes do status da adjacncia sero mostradas. Sem detalhes, apenas as
mudanas completas ou regresses sero mostradas.
Comando OSPF: passive-interface interface
Comando OSPF: no passive-interface interface
Comando OSPF: timers throttle spf delay initial-holdtime max-holdtime

Comando OSPF: no timers throttle spf
Este comando define o primeiro delay entre a initial-holdtime o maximumholdtime quando SPF calculado, e o evento que motivou o clculo. Os tempos so
especificados em milissegundos e deve estar no intervalo de 0-600000 milissegundos.
O delay especifica a quantidade mnima de tempo de atraso de clculo SPF.
Clculos consecutivos SPF sero sempre separados pelo menos por tempo de espera
(holdtime) em milissegundos. O tempo de espera adaptvel e inicialmente est definido
para o initial-holdtime configurado com o comando acima. Eventos que ocorrem dentro do
tempo de espera do clculo SPF anterior faram com que o tempo de espera aumente pela
initial-holdtime , interligado pelo maximum-holdtime configurado com este comando. Se o
tempo de espera adaptvel passar sem acionar qualquer evento SPF ento o holdtime atual
ser redefinido para o initial-holdtime. O atual holdtime pode ser visualizado com o
comando show ip ospf.
router ospf
timers throttle spf 200 400 10000
Neste exemplo, o delay definido como 200 ms, o initial holdtime definido como 400ms
o maximum holdtime de 10s. Por isso sempre haver pelo menos 200 ms entre um evento
que requer o clculo SPF e o clculo SPF atual. Clculos futuros consecutivos SPF sero
sempre separados entre 10s a 400ms, o tempo de espera aumentar 400ms cada vez que
um evento de SPF ocorre dentro do tempo de espera do clculo SPF anterior.
Comando OSPF: max-metric router-lsa [on-startup|on-shutdown] <5-86400>
Comando OSPF: max-metric router-lsa administrative
Comando OSPF: no max-metric router-lsa [on-startup|on-shutdown |administrative]
Este suporte pode ser habilitado administrativamente ( indefinidamente) ou
condicionalmente. Habilitao condicional de max-metric router-lsas pode ser por um
perodo de segundos aps a inicializao ou por um perodo de segundos antes de desligar.
835
Quando ativado por um perodo aps a inicializao permite OSPF a convergir primeiro sem
afetar as rotas existentes usadas por outros roteadores, enquanto permite que quaisquer
stub link conectados e/ou rotas redistribudas para serem acessveis quando habilitados por
um perodo de tempo antes do desligamento permite que o roteador se-exime do domnio
OSPF.
Ativando este recurso administrativamente permite a interveno administrativa por
qualquer motivo, por um perodo de tempo indefinido. Note que se a configurao foi
escrita em um arquivo, esta forma administrativa do comando stub-router tambm ser
gravada em arquivo. Se ospfd for reiniciado depois, o comando ficara em vigor at que seja
manualmente desconfigurado.
Comando OSPF: auto-cost reference-bandwidth <1-4294967>
Comando OSPF: no auto-cost reference-bandwidth
Este comando define a largura de banda de referncia (reference bandwidth) para os
clculos de custos, onde esta largura de banda considerada equivalente a um custo OSPF
1, especificado em MB. O padro 100 MB.
Esta configurao deve ser consistente em todos os roteadores dentro do domnio OSPF.
Comando OSPF: network a.b.c.d/m area a.b.c.d
Comando OSPF: network a.b.c.d/m area <0-4294967295>
Comando OSPF: no network a.b.c.d/m area a.b.c.d
Comando OSPF: no network a.b.c.d/m area <0-4294967295>
Este comando especifica a interface OSPF que esta habilitada. Se a interface tem um
endereo 192.168.1.0/24 ento o comando abaixo permite ospf nesta interface de modo
que o roteador possa fornecer informaes sobre a rede para os outros roteadores OSPF
por meio desta interface.
router ospf
network 192.168.1.0/24 area 0.0.0.0
O comprimento do prefixo na interface deve ser igual ou maior, que o comprimento do
prefixo da rede. Por exemplo, a parmetro acima no habilita o ospf na interface com
endereo 192.168.1.1/23, mas o habilita na interface com endereo 192.168.1.129/25.
Comando OSPF: area a.b.c.d range a.b.c.d/m

Comando OSPF: area <0-4294967295> range a.b.c.d/m
836
Comando OSPF: no area a.b.c.d range a.b.c.d/m

Comando OSPF: no area <0-4294967295> range a.b.c.d/m
router ospf
network 192.168.1.0/24 area 0.0.0.0
network 10.0.0.0/8 area 0.0.0.10
area 0.0.0.10 range 10.0.0.0/8
A configurao acima de um Type-3-Summary LSA com encaminhamento 10.0.0.0 / 8 que
ser anunciado na rea backbone, se a 0.0.0.10 rea tiver pelo menos uma rede intra-rea a
partir desta faixa.
Comando OSPF: area a.b.c.d range IPV4_PREFIX not-advertise

Comando OSPF: no area a.b.c.d range IPV4_PREFIX not-advertise
Em vez de sumerizar os caminhos intra area deve-se filtr-los. Intra area paths deste
intervalo no so anunciados em outras reas. Este comando faz sentido apenas no ABR.
Comando OSPF: area a.b.c.d range IPV4_PREFIX substitute IPV4_PREFIX
Comando OSPF: no area a.b.c.d range IPV4_PREFIX substitute IPV4_PREFIX
Este comando substitui o prefixo sumerizado com outro prefixo.
router ospf
network 192.168.1.0/24 area 0.0.0.0
network 10.0.0.0/8 area 0.0.0.10
area 0.0.0.10 range 10.0.0.0/8 substitute 11.0.0.0/8
Um Type-3 summary-LSA com informao de roteamento 11.0.0.0 / 8 ser anunciado na
rea de backbone, se a rea 0.0.0.10 tiver pelo menos uma rede intra-area da faixa 10.0. 0,0
/ 8. Este comando faz sentido apenas no ABR.
Comando OSPF: area a.b.c.d virtual-link a.b.c.d
Comando OSPF: area <0-4294967295> virtual-link a.b.c.d
Comando OSPF: no area a.b.c.d virtual-link a.b.c.d
837
Comando OSPF: no area <0-4294967295> virtual-link a.b.c.d

Comando OSPF: area a.b.c.d shortcut
Comando OSPF: area <0-4294967295> shortcut
Comando OSPF: no area a.b.c.d shortcut
Comando OSPF: no area <0-4294967295> shortcut
Configura a rea como um Shortcut capable. Esta ao requer que o 'abr-type' esteja
definido para 'shortcut'.
Comando OSPF: area a.b.c.d stub
Comando OSPF: area <0-4294967295> stub
Comando OSPF: no area a.b.c.d stub
Comando OSPF: no area <0-4294967295> stub
Configurar a rea para ser uma stub area. Ou seja, uma rea onde nenhum roteador origina
rotas externas ao OSPF, assim uma rea onde todas as rotas externas so via ABR (s). Por
isso o ABRs para essa rea no precisa passar AS-External LSAs (type-5s) ou ASBR-Summary
LSAs (type-4). Eles precisam apenas passar o Network-Summary (type-3) LSAs em tal rea,
juntamente com uma sumerizao da rota padro.
Comando OSPF: area a.b.c.d stub no-summary
Comando OSPF: area <0-4294967295> stub no-summary
Comando OSPF: no area a.b.c.d stub no-summary
Comando OSPF: no area <0-4294967295> stub no-summary
O comando acima impede que um ospfd ABR coloque as sumerizaes da inter-area dentro
da stub area especificada.
Comando OSPF: area a.b.c.d default-cost <0-16777215>
Comando OSPF: no area a.b.c.d default-cost <0-16777215>
Define o custo do default-summary LSAs anunciado para stubby areas.
Comando OSPF: area a.b.c.d export-list NAME
Comando OSPF: area <0-4294967295> export-list NAME
Comando OSPF: no area a.b.c.d export-list NAME
838
Comando OSPF: no area <0-4294967295> export-list NAME

A Filtragem Type-3 summary-LSA e anunciada para outras reas que foram originadas de
caminhos intra-area (intra-area paths) de reas especificas.
router ospf
network 192.168.1.0/24 area 0.0.0.0
network 10.0.0.0/8 area 0.0.0.10
area 0.0.0.10 export-list foo
!
access-list foo permit 10.10.0.0/16
access-list foo deny any
No exemplo acima quaisquer intra-area paths da rea de 0.0.0.10 de faixa 10.10.0.0/16 (por
exemplo: 10.10.1.0/24 10.10.2.128/30) foram anunciados em outras reas como Type-3
summary-LSA, mas quaisquer outros (por exemplo 10.11.0.0/16 ou 10.128.30.16/30) no
so.
Este comando s relevante se o roteador for um ABR para a rea especificada.
Comando OSPF: area a.b.c.d import-list NAME
Comando OSPF: area <0-4294967295> import-list NAME
Comando OSPF: no area a.b.c.d import-list NAME
Comando OSPF: no area <0-4294967295> import-list NAME
O comando acima tem a mesma funo do comando export-list, mas se aplica a caminhos
anunciados em reas especificadas como Type-3 summary-LSAs.
Comando OSPF: area a.b.c.d filter-list prefix NAME in
Comando OSPF: area a.b.c.d filter-list prefix NAME out
Comando OSPF: area <0-4294967295> filter-list prefix NAME in
Comando OSPF: area <0-4294967295> filter-list prefix NAME out
Comando OSPF: no area a.b.c.d filter-list prefix NAME in
Comando OSPF: no area a.b.c.d filter-list prefix NAME out
Comando OSPF: no area <0-4294967295> filter-list prefix NAME in
Comando OSPF: no area <0-4294967295> filter-list prefix NAME out
839
Filtragem Type-3 summary-LSAs para a rea que esteja usando as listas de prefixo (prefix
lists). Este comando s faz sentido no ABR.
Comando OSPF: area a.b.c.d authentication
Comando OSPF: area <0-4294967295> authentication
Comando OSPF: no area a.b.c.d authentication
Comando OSPF: no area <0-4294967295> authentication
O comando acima especifica que a autenticao de senha simples ( simple password
atuthentication) deve ser usada para a rea fornecida.
Comando OSPF: area a.b.c.d authentication message-digest
Comando OSPF: area <0-4294967295> authentication message-digest
Especifica que os pacotes OSPF devem ser autenticados com MD5 HMACs dentro da rea
fornecida. Keying material tambm deve ser configurado em uma per-interface basis.
Autenticao MD5 tambm pode ser configurada em uma per-interface basis. Tais
configuraes per-interface iro substituir qualquer configurao per-area authentication.
OSPF interface
Comando de Interface: ip ospf authentication-key AUTH_KEY
Comando de Interface: no ip ospf authentication-key
Define a chave de autenticao OSPF para uma senha simples. Depois de definir AUTH_KEY,
todos os pacotes OSPF so autenticados (AUTH_KEY tem comprimento de at 8 caracteres).
Autenticao de senha simples de texto (Simple text password authentication) insegura e
obsoleta favorecendo da autenticao MD5 HMAC.
Comando: ip ospf authentication message-digest
O comando acima especifica que a autenticao MD5 HMAC deve ser utilizada nesta
interface. MD5 Keying material tambm deve ser configurado substitui qualquer
autenticao habilitada em uma per-area basis.
Note que a autenticao OSPF MD5 requer que o tempo nunca v em sentido contrrio
(hora correta no importante, apenas que ele nunca v em sentido contrario mesmo por
meio de redefinies). Se o ospfd for capaz de reestabelecer adjacncias com seus vizinhos
depois de restart/reboot, o host deve ter o tempo do sistema para ser definido no boot a
partir de uma fonte externa ou no voltil (por exemplo, battery backed clock, NTP, etc) ou
840
ento o relgio do sistema devem ser periodicamente salvo a um non-volative storage ser
restaurado no boot se a autenticao MD5 funcionar de forma confivel.
Comando de Interface: ip ospf message-digest-key KEYID md5 KEY
Comando de Interface: no ip ospf message-digest-key
O comando acima define uma chave de autenticao OSPF para uma senha de
criptografia. O algoritmo de criptografia o MD5.
O Keyid identifica a chave secreta usada para criar o message digest. Esta identificao
parte do protocolo e deve ser consistente em roteadores em um link.
KEY a chave atual do message digest key, de at 16 caracteres (maiores sequencias de
caracteres sero descartadas), e est associada com o keyid fornecido.
Comando de Interface: ip ospf cost <1-65535>
Comando de Interface: no ip ospf cost
Define custo de link para a interface especificada. O valor do custo ser definido para o
campo mtrico do roteador LSA (router-LSAs metric field) e ser utilizado para o clculo
SPF.
Comando de Interface: ip ospf dead-interval <1-65535>
Comando de Interface: ip ospf dead-interval minimal hello-multiplier <2-20>
Comando de Interface: no ip ospf dead-interval
Este comando define o nmero de segundos para o valor RouterDeadInterval timer utilizado
para o Wait Time o Inactivity Timer. Este valor deve ser o mesmo para todos os roteadores
ligados a uma rede comum. O valor padro 40 segundos.
Se "minimal" for especificado, ento o dead-interval ser definido para 1 segundo e um
deve especificar um hello-multiplier. O hello-multiplier especifica quantos Hellos devem ser
enviados por segundo, de 2 (cada 500ms) a 20 (cada 50ms). Assim, pode-se ter 1s de tempo
de convergncia para OSPF. Se o formulrio for especificado, ento o hello-interval
anunciado nos pacotes Hello ser definido como 0 o hello-interval nos pacotes Hello
recebidos no estaro marcados, assim, o hello-multiplier no precisa ser o mesmo em
vrios roteadores em um link comum.
Comando de Interface: ip ospf hello-interval <1-65535>
Comando de Interface: no ip ospf hello-interval
O comando acima define o nmero de segundos para o valor do Hello Interval timer.
841
Definindo este valor, o pacote Hello ser enviado a todos os segundo do valor do
temporizador (timer value seconds) na interface especificada. Este valor deve ser o mesmo
para todos os roteadores ligados a uma rede comum. O valor padro 10 segundos.
Este comando no tem efeito se o ip ospf dead-interval minimal tambm for especificado
para a interface.
Comando de Interface: ip
multipoint|point-to-point)
ospf
network
(broadcast|non-broadcast|point-to-
Comando de Interface: no ip ospf network

Este comando define o tipo de rede para a interface especfica.
Comando de Interface: ip ospf priority <0-255>
Comando de Interface: no ip ospf priority
Este comando define o valor full do Router Priority. O roteador com a maior prioridade ser
mais elegvel para se tornar o Designated Router(Router mestre). Definindo o valor 0, far
com que o roteador se tornar inelegvel para o Designated Router.
O valor padro 1.
Comando de Interface: ip ospf retransmit-interval <1-65535>
Comando de Interface: no ip ospf retransmit interval
Este comando define o nmero em segundos para o valor do Rxmt Interval timer. Esse valor
usado quando a Database Description e o Link State esto sendo retransmitindo(estado do
link e informaes do router). O valor padro de 5 segundos.
Comando de Interface: ip ospf transmit-delay

Comando de Interface: no ip ospf transmit-delay
Este comando define o nmero de segundos para o valor InfTransDelay (tempo de demora
para nova transmisso). A LSAs' age (idade da LSA) deve ser incrementado comeste valor
durante a transmisso.
O valor padro 1 segundo.
Redistribuindo rotas para o OSPF
842
Comando OSPF: redistribute (kernel|connected|static|rip|bgp)

Comando OSPF: redistribute (kernel|connected|static|rip|bgp) route-map
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric-type (1|2)
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric-type (1|2) routemap word
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric <0-16777214>
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric <0-16777214>
route-map word
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric-type (1|2) metric
<0-16777214>
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric-type (1|2) metric
<0-16777214> route-map word
Comando OSPF: no redistribute (kernel|connected|static|rip|bgp)
Este comando redistribui rotas do protocolo especificado ou OSPF, com o tipo e conjunto
mtrico se especifico, que filtra as rotas utilizando o route-map fornecido se
especificado. As Rotas redistribudas tambm podem ser filtradas como listas de
distribuio.
As rotas redistribudas sero distribudas no OSPF como o Type-5 External LSAs em links para
reas que aceitam rotas externas.
Para as rotas conectadas, pode-se usar o comando passive-interface.
Comando OSPF: default-information originate
Comando OSPF: default-information originate metric <0-16777214>
Comando OSPF: default-information originate metric <0-16777214> metric-type (1|2)
Comando OSPF: default-information originate metric <0-16777214> metric-type (1|2)
route-map word
Comando OSPF: default-information originate always
Comando OSPF: default-information originate always metric <0-16777214>
Comando OSPF: default-information originate always metric <0-16777214> metric-type
(1|2)
843
Comando OSPF: default-information originate always metric <0-16777214> metric-type

(1|2) route-map word
Comando OSPF: no default-information originate
Este comando gera um AS-External (type-5) LSA descrevendo uma rota padro em todas
external-routing capable areas.
Comando OSPF: distribute-list NAME out (kernel|connected|static|rip|ospf
Comando OSPF: no distribute-list NAME out (kernel|connected|static|rip|ospf
Aplica o filtro da lista de acesso (access-list filter) NAME, para as rotas redistribudas do tipo
fornecido, antes de permitir que as rotas sejam redistribudas no OSPC.
Comando OSPF: default-metric <0-16777214>
Comando OSPF: no default-metric
Comando OSPF: distance <1-255>
Comando OSPF: no distance <1-255>
Comando OSPF: distance ospf (intra-area|inter-area|external) <1-255>
Comando OSPF: no distance ospf
Comando: router zebra
Comando: no router zebra
Exibindo a informao do OSPF

Comando: show ip ospf
Mostra informaes sobre o OSPF, o estado das reas e informaes de configurao.
Comando: show ip ospf interface [INTERFACE]
Mostra o estado e a configurao da interface do OSPF especificado, ou todas as interfaces
caso nenhuma interface seja fornecida.
Comando: show ip ospf neighbor
Comando: show ip ospf neighbor INTERFACE
Comando: show ip ospf neighbor detail
844
Comando: show ip ospf neighbor INTERFACE detail

Comando: show ip ospf database
Comando: show ip ospf database (asbr-summary|external|network|router |summary)
Comando: show
ip
|summary) link-state-id
ospf
database
Comando: show
ip
ospf
database
|summary) link-state-id adv-router adv-router
(asbr-summary|external|network|router

adv-router adv-router
Comando: show
ip
ospf
database
|summary) link-state-id self-originate

self-originate
Comando: show ip ospf database max-age
Comando: show ip ospf database self-originate
Comando: show ip ospf route
Mostrar a tabela de encaminhamento OSPF (OSPF routing table), com base no SPF mais
recente.,
Debugging OSPF
Comando: debug ospf packet (hello|dd|ls-request|ls-update|ls-ack|all) (send|recv)

[detail]
Comando: no debug ospf packet (hello|dd|ls-request|ls-update|ls-ack|all) (send|recv)
[detail]
Comando: debug ospf ism
Comando: debug ospf ism (status|events|timers)
Comando: no debug ospf ism
Comando: no debug ospf ism (status|events|timers)
Comando: debug ospf nsm
845
Comando: debug ospf nsm (status|events|timers)

Comando: no debug ospf nsm
Comando: no debug ospf nsm (status|events|timers)
Comando: debug ospf lsa
Comando: debug ospf lsa (generate|flooding|refresh)
Comando: no debug ospf lsa
Comando: no debug ospf lsa (generate|flooding|refresh)
Comando: debug ospf zebra
Comando: debug ospf zebra (interface|redistribute)
Comando: no debug ospf zebra
Comando: no debug ospf zebra (interface|redistribute)
Comando: show debugging ospf
Exibindo as informaes do OSPF6
Comando: show ipv6 ospf6 [INSTANCE_ID]

Este comando exibe o router ID o OSPF instance ID, basta digitar "show ipv6 ospf6 <cr>".
Comando: show ipv6 ospf6 database
Este comando mostra o LSA database summary.
Comando: show ipv6 ospf6 interface
Este comando e usado para ver a configurao de interface OSPF como custos.
Comando: show ipv6 ospf6 neighbor
Mostra o estado e o backup do Roteador designado (DR) do visinho.
846
Comando: show ipv6 ospf6 request-list A.B.C.D

Mostra a lista de solicitaes do visinho.
Comando: show ipv6 route ospf6
Este comando mostra tabela de roteamento interno.
36.10.
BGP
BGP (Border Gateway Protocol), um protocolo de roteamento dinmico, que utilizado

para comunicaes entre sistemas autnomos (ASs). O BGP foi projetado para evitar loops
de roteamento em topologia arbitrarias.
847
Para acessar o OSPF na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:
futuras configuraes
Figura 602 - Acesso ao protocolo BGP
Todos os comandos de bgpd devem ser configurados no `bgpd.conf '.

As opes do bgpd sero descritas a seguir. Opes comuns tambm podem ser
especificadas.
`-p PORT'
`--bgp_port=PORT'
Define o nmero da porta do protocolo BGP.
`-r'
848
`--retain'
Quando o programa termina, retm as rotas BGP adicionadas pelo zebra.
BGP router
Primeiramente voc deve configurar o roteador BGP com o comando router bgp. Para
configurar o roteador BGP, voc precisa AS number. O AS number uma identificao do
sistema autnomo (AS autonomous system). O protocolo BGP utiliza o AS number para
detectar se a conexo BG e interna ou externa.
Comando: router bgp asn
Este comando ativa um processo de protocolo BGP com o asn (ASN-Autonomous system
number) que foi especificado . Com parmetro voc pode introduzir quaisquer comandos
BGP, mas voc no pode criar diferentes processo BGP, sob diferentes asn sem
especificar o multiple-instance.
Comando: no router bgp asn
Este comando destri um processo do protocolo com a asn especificada.
COMANDO BGP: bgp router-id A.B.C.D
Este comando especifica o router-ID se o bgpd conectar-se ao zebra ele obter informaes
de interface e endereo. Nesse caso, o valor padro do router ID ser selecionado como o
maior endereo IP das interfaces. Quando o router zebra no est habilitado, o bgpd no
pode obter informaes interface para que o router-id seja definido como 0.0.0.0, ento o
router-id deve ser definido manualmente.
BGP distance
COMANDO BGP: distance bgp <1-255> <1-255> <1-255>
Este comando muda o valor de distncia do BGP. Cada parmetro o valor de distncia para
rotas externas, rotas internas e rotas locais.
COMANDO BGP: distance <1-255> A.B.C.D/M
COMANDO BGP: distance <1-255> A.B.C.D/M word
Processo de deciso do BGP

849
O processo de deciso do BGP baseia-se nos valores dos atributos de cada anncio. Nos
Sistemas autnomos multihomed (conexo com mais de uma AS, contendo mais de um
caminho de sada para a Internet) normal existncia de mltiplas rotas para a mesma
rede, nestes casos o algoritmo de deciso do BGP tomar a deciso da melhor rota a ser
utilizada.
1. Weight check >(Verificao de peso)
2. Local preference check. > (Verifica a preferncia local)
3. Local route check. > (Verificao da rota local)
4. AS path length check. > (Verifica o comprimento do caminho AS)
5. Origin check. > (Verifica a Origem)
6. MED check. > (Verifica o MED)
COMANDO BGP: bgp bestpath as-path confed

Este comando especifica que o comprimento e as sequncias dos conjuntos do caminho da
confederao (length of confederation path sets and sequences) devem ser levados para em
conta, durante o processo de escolha do melhor caminho para o BGP (BGP best path
decision process).
Rota BGP
COMANDO BGP: network A.B.C.D/M

Este comando adiciona a rede de anncio (announcement network).
router bgp 1
network 10.0.0.0/8
O exemplo acima mostra que a rede 10.0.0.0 / 8 ser anunciada para todos os
vizinhos. Alguns roteadores de fornecedores no anunciam rotas se estas no estiverem
presentes em suas tabelas de roteamento IGP.
COMANDO BGP: no network A.B.C.D/M
850
Agregao de rotas
A sumerizao ou agregao de rotas permite que protocolos de roteamento dinmico

faam a divulgao de varias subnets utilizando uma nica rota.
Comando BGP: aggregate-address A.B.C.D/M

Este comando especifica um endereo agregado.
Comando BGP: aggregate-address A.B.C.D/M as-set
Este comando especifica um endereo agregado. Rotas resultantes incluem um AS set.
Comando BGP: aggregate-address A.B.C.D/M summary-only
Este comando especifica um endereo agregado. Rotas agregadas no sero anunciadas.
Comando bgp: no aggregate-address A.B.C.D/M
Redistribute to BGP
Comando bgp: redistribute kernel

Redistribui uma rota kernel para o processo BGP.
Comando bgp: redistribute static
Redistribui uma rota esttica para o processo BGP.
Comando bgp: redistribute connected
Redistribui uma rota conectada para o processo BGP.
Comando bgp: redistribute rip
Redistribui uma rota RIP para o processo BGP.
Comando bgp: redistribute ospf
Redistribui uma rota OSPF para o processo BGP.
851
Defining Peer
Comando bgp: neighbor peer remote-as asn

Este comando cria um novo vizinho, cujo remote-as ser asn. O Peer pode ser um endereo
IPv4 ou um endereo IPv6.
router bgp 1
neighbor 10.0.0.1 remote-as 2
No exemplo acima, o roteador em AS-1 est tentando agrupar com AS-2 em 10.0.0.1.
Este comando deve ser o primeiro comando usado quando um neighbor esta sendo
configurado. Se o remote-as no for especificado, o bgpd vai mostrar a seguinte mensagem:
can't find neighbor 10.0.0.1
BGP Peer commands

Em uma clusula de router bgp existem configuraes especficas exigidas pelo vizinho.
Comando BGP: neighbor peer shutdown
Comando BGP: no neighbor peer shutdown
Podemos excluir a configurao do vizinho com o comando no neighbor peer remote-as asnumber, mas toda configurao do vizinho ser apagada, quando voc quiser preservar a
configurao, mas deseja deixar o BGP peer, use esta sintaxe.
Comando BGP: neighbor peer ebgp-multihop
Comando BGP: no neighbor peer ebgp-multihop
Comando BGP: neighbor peer description ...
Comando BGP: no neighbor peer description ...
Define a descrio para o peer.
Comando BGP: neighbor peer version version
852
Configura a verso BGP do visinho (neighbor's BGP version) que pode ser verso 4 , 4 + ou 4 . O BGP verso 4 o padro usado para o BGP peering. BGP verso 4 + significa que o
vizinho suporta extenses multiprotocolo para BGP-4, e o BGP verso 4 - semelhante, mas
o vizinho usa extenses multiprotocolo para BGP-4 do old Internet-Draft revision 00. Alguns
softwares de roteamento ainda esto usando esta verso.
Comando BGP: neighbor peer interface ifname
Comando BGP: no neighbor peer interface ifname
Ao se conectar a um BGP peer usando um endereo link-local IPv6, voc tem que especificar
o ifname da interface usado para a conexo. Para especificar endereos IPv4, veja o
comando neighbor peer update-source abaixo.
Comando BGP: neighbor peer next-hop-self
Comando BGP: no neighbor peer next-hop-self
Este comando especifica uma rota nexthop, que ser anunciada como equivalente ao
endereo do roteador BGP.
Comando BGP: neighbor peer update-source <ifname|address>
Comando BGP: no neighbor peer update-source
Este comando especifica o endereo de origem IPv4. Para usar a sesso BGP para este
vizinho, pode ser especificado diretamente como um endereo IPv4 ou como um nome de
interface (caso o zebra esteja sendo usado, o daemon deve estar em execuo para que
BGPD possa recuperar o interface state).
router bgp 64555
neighbor foo update-source 192.168.0.1
neighbor bar update-source lo0
Comando BGP: neighbor peer default-originate
Comando BGP: no neighbor peer default-originate
O padro bgpd no e usado para anunciar a rota padro (0.0.0.0 / 0) mesmo que esteja na
tabela de roteamento. Este comando deve e usado para anunciar as rotas padres para os
peers.
Comando BGP: neighbor peer port port
Comando BGP: neighbor peer port port
Comando BGP: neighbor peer send-community
853
Comando BGP: neighbor peer send-community

Comando BGP: neighbor peer weight weight
Comando BGP: no neighbor peer weight weight
Este comando especifica um valor padro de peso (default weight) para as rotas do vizinho.
Comando BGP: neighbor peer maximum-prefix number
Comando BGP: no neighbor peer maximum-prefix number
Peer filtering
Comando BGP: neighbor peer distribute-list name [in|out]
Este comando especifica uma lista de distribuio (distribute-list) para os peers. O Direct
deve ser in ou out.
Comando BGP: neighbor peer prefix-list name [in|out]
Comando BGP: neighbor peer filter-list name [in|out]
Comando BGP: neighbor peer route-map name [in|out]
Este comando aplica um mapa de rotas (route-map) sobre o vizinho. O Direct deve ser in
ou out.
BGP Peer Group

Comando BGP: neighbor word peer-group
Este comando define um novo peer group.
Comando BGP: neighbor peer peer-group word
Este comando bind especfica peer to peer group word.
Autonomous System
O AS number (Autonomous System) um dos elementos essenciais do BGP. O AS-Path
framework oferece distance vector metric loop detection para BGP.
854
O AS number um valor de dois octetos, variando no valor de 1 a 65535. Os AS numbers de

64512 a 65535 so definidos como nmeros AS privados (private AS numbers). Private AS
numbers no devem ser anunciados na Internet global.
AS Path Regular Expression
AS path regular expression pode ser usado para exibir BGP routes e AS path access
list. AS path regular expression baseada na POSIX 1003.2 regular expression.
Seguindo a descrio apenas um subconjunto de POSIX regular expression., o usurio
pode usar a POSIX regular expression completa (Caracteres especiais so adicionados
para AS path regular expression.).
BGP routes AS Path

Para mostrar rotas BGP que tem informaes especficas sobre AS path use o comando
show ip bgp.
Comando: show ip bgp regexp line
Este comando mostras as rotas BGP que se correspondem com o AS Path regular
expression line.
AS Path Access List
A lista de acesso baseada em AS-Path usada para fazer filtros das rotas que sero
divulgadas ou aprendidas com base no AS o qual elas pertencem. O AS Path Access List
usa expresses regulares para descrever um filtro.
Comando: ip as-path access-list word {permit|deny} line
Este comando define uma nova AS path access list.
Comando: no ip as-path access-list word
Comando: no ip as-path access-list word {permit|deny} line
Usando o AS Path em Route Map
Route Map: match as-path word
Route Map: set as-path prepend as-path
BGP Communities Attribute

BGP communities attribute amplamente utilizado para a implementao de polticas
de roteamento. Os operadores de rede podem manipular atributos das comunidades
855
BGP com base em sua poltica de rede. O BGP atributo de comunidades definido
em RFC1997, BGP Communities Attribute e RFC1998, Uma aplicao do BGP Community
Attribute in Multi-home Routing, ele um atributo opcional transitivo, pois a poltica
local pode viajar por meio do sistema autnomo diferente.
O atributo comunidades um conjunto de valores comunidades. Cada valor de
comunidades tem 4 octetos de comprimento, o seguinte formato utilizado para
definir o valor de comunidades.
AS: VAL
Este formato representa 4 octetos dos valores das comunidades. O AS tem 2 octetos de
alta ordem em formato de dgitos. O VAL tem 2 octetos de baixa ordem em formato de
dgitos. Este formato til para definir o valor da poltica orientada AS ( AS oriented
policy value). Por exemplo,7675:80 pode ser usado quando o AS 7675 quer passar pelo
valor da poltica local 80 para o neighboring peer.
Internet
Internet representa well-known communities com valor 0.
no-export
no-export
representa
well-known
communities
com
valor NO_EXPORT
(0xFFFFFF01). Todas as rotas que levam este valor no devem ser anunciadas para fora
de um limite da confederao BGP(BGP confederation boundary). Se um neighboring
BGP peer for parte da confederao BGP, o peer ser considerado como parte de um
BGP confederation boundary, para que a rota seja anunciada para o peer.
no-advertise
no-advertise representa comunidades bem conhecidas com valor NO_ADVERTISE
(0xFFFFFF02). Todas as rotas que levam este valor no devem ser anuncias a outros
peers BGP.
local-AS
Local-AS
representa
comunidades
bem
conhecidas
com
valor NO_EXPORT_SUBCONFED (0xFFFFFF03). Todas as rotas que levam este valor no
devem ser anuncias para external BGP peers. Mesmo se o roteador vizinho fizer parte
da confederao, ele ser considerado como external BGP peer, de modo que a rota
no seja anunciada para o peer.
Quando BGP communities atribute for recebido, os valores das comunidades duplicadas
no atributo das comunidades sero ignorados e os valores de todas as comunidades
sero classificados em ordem numrica.
856
BGP Community Lists

BGP community list um usurio definido pela BGP communites attribute list. O BGP
community list pode ser usado para corresponder ou manipular o BGP communities
attribute nas atualizaes.
Existem dois tipos de listas de comunidade; uma delas a lista de comunidade padro
(standard community list),a outra e a lista de comunidade expandida (expanded
community list). A lista de comunidade padro define o atributo das comunidades e
a lista de comunidade expandida define a sequncia de atributo das comunidades com
expresso regular. A lista de comunidade padro compilada em formato binrio
quando definida pelo usurio. A lista de comunidade padro ser comparada
diretamente com o BGP communities attribute nas atualizaes do BGP, portanto,
comparao ser mais rpido do que a lista de comunidade expandida.
Comando: ip community-list standard name {permit|deny} community
Este comando define uma nova lista de comunidade padro. Community o valor das
comunidades (Community compilado na estrutura da comunidade). Podemos definir
mltiplas listas de comunidade sobre o mesmo nome. Uma vez que a community list
corresponde commuinity attribute nas atualizaes do BGP, este comando permitir
ou negar a definio da lista de comunidade (community list definition). Quando no
houver nenhuma entrada que corresponda definio, o pedido ser negado. Quando
a community estiver em branco ela corresponde a qualquer rota.
Comando: ip community-list expanded name {permit|deny} line
Este comando define uma nova lista de comunidade expandida. Line uma expresso
de sequncia do atributo das comunidades (string expression. Of communities
atribute). Line pode incluir uma expresso regular para corresponder o atributo das
comunidades nas atualizaes de BGP.
Comando: no ip community-list name
Comando: no ip community-list standard name
Comando: no ip community-list expanded name
Estes comandos eliminam as listas da comunidade especificadas pelo comando
name. Todas as listas da comunidade compartilham um nico espao para o
nome, assim as listas da comunidade podem ser removidas simplesmente especificando
o nome da lista de comunidade.
Comando: show ip community-list
Comando: show ip community-list name
857
Este comando mostra a informao atual da lista de comunidade. Quando name for
especificado as informaes da lista de comunidade especificadas sero mostradas.
# show ip community-list
Named Community standard list CLIST
permit 7675:80 7675:100 no-export
deny internet
Named Community expanded list EXPAND
permit :
# show ip community-list CLIST

Named Community standard list CLIST
permit 7675:80 7675:100 no-export
deny internet
Numbered BGP Community Lists

Quando o nmero for utilizado para o nome da lista de comunidade BGP, este nmero
tem significados especiais. O nmero da lista de comunidade na faixa de 1 a 99, a lista
de comunidade padro e o nmero da lista de comunidade na faixa de 100 e 199 a
lista de comunidade expandida. Estas listas de comunidade so chamadas de listas de
comunidade numeradas (Numbered community lists). Por outro lado, as listas de
comunidade normais so chamadas de listas de comunidade nomeadas (named
community lists).
Comando: ip community-list <1-99> {permit|deny} community
Este comando define uma nova lista de comunidade. <1-99> o nmero da lista de
comunidade padro. O nome da comunidade de lista dentro desta faixa define a lista de
comunidade padro. Quando community est em branco ela corresponde a qualquer
rota.
Comando: ip community-list <100-199> {permit|deny} community
Este comando define uma nova lista de comunidade. <100-199> o nmero da lista de
858
comunidade expandida. O nome da comunidade de lista dentro desta faixa define a

lista de comunidade expandida.
Comando: ip community-list name {permit|deny} community
Quando o tipo de lista de comunidade no definido, o tipo da lista de comunidade
ser detectado automaticamente. Se community pode ser compilado no atributo de
comunidades (communities atribute), a lista de comunidade ser definida como uma
lista de comunidade padro, caso contrrio ela ser definida como uma lista de
comunidade expandida. O uso deste recurso no recomendado.
BGP Community in Route Map
No Mapa da Rota podemos definir o BGP communities atribute, usando este recurso o
operador de rede pode implementar sua poltica de rede com base no BGP communities
attribute.
Abaixo temos os comandos que podem ser usados no Mapa de Rota.
Route Map: match community word
Route Map: match community word exact-match
Este comando combinar atualizaes BGP usando a lista de comunidade word(
communit list word). Quando a palavra-chave exact-match for especificada , a
combinao acontecer apenas quando as atualizaes BGP tm os mesmos valores de
comunidades especificados na lista da comunidade.
Route Map: set community none
Route Map: set community community
Route Map: set community community additive
Este comando manipula os valores das comunidades nas atualizaes
BGP. Quando none for especificado como valor de comunidades, ele remover
completamente communities atribute das atualizaes BGP. Quando community no for
especificado como none, o valor das comunidades especificadas ser definido para
atualizaes BGP. Se as atualizaes BGP j tem um valor de comunidades BGP, o valor
existente ser substitudo pelo valor de comunidade especificado. Quando a palavrachave additive for especificada, community ser acrescentado ao valor de comunidades
j existente.
Route Map: set comm-list word delete
Este comando remove o valor das comunidades do BGP communities attribute. Word
o nome da lista de comunidade. Quando o valor de comunidade da rota BGP
corresponde lista de comunidade word, o valor de comunidades ser removido.
859
Quando todos os valores de comunidades forem removidos, os communities attribute

da atualizao BGP sero completamente removidos.
Display BGP Routes by Community
Para mostrar quais rotas BGP tem BGP communities atribute especficos, use o
comando show ip bgp.
Comando: show ip bgp community
Comando: show ip bgp community community
Comando: show ip bgp community community exact-match
O comando show ip bgp community exibe rotas BGP, que tem atributo de
comunidades (community atribute). Quando community for especificada, as rotas BGP
que correspondem ao valor da comunidade sero exibidas. Para esse comando, a
palavra-chave internet no pode ser utilizada para um valor de comunidade (community
value). Quando exact-match for especificado, exibir apenas as rotas que tm uma
correspondncia exata (exact-match).
Comando: show ip bgp community-list word
Comando: show ip bgp community-list word exact-match
Este comando exibe as rotas BGP que correspondem lista de
comunidade word . Quando exact-match for especificado, exibira somete as rotas que
tm uma correspondncia exata.
Usando atributos de comunidades BGP
O AS 7675 proporciona conexo Internet para o AS 100. Quando a seguinte
configurao existe no AS 7675, o operador de redes do AS 100 pode definir a
preferncia local na rede 7675 AS para definir o atributo de comunidade BGP (BGP
communities ttribute) para s atualizaes.
router bgp 7675

neighbor 192.168.0.1 route-map RMAP in
!
ip community-list 70 permit 7675:70
ip community-list 70 deny
!
860
route-map RMAP permit 10

match community 70
set local-preference 70
!
match community 80
!
match community 90
Seguindo a configurao acima 10.0.0.0/8 de AS 100 para AS 7675. A rota tem o valor
de comunidade 7675:80 de forma que quando a configurao acima existe no AS 7675,
a preferncia local da rota anunciada ser ajustada para o valor 80.
router bgp 100

network 10.0.0.0/8
neighbor 192.168.0.2 route-map RMAP out
!
ip prefix-list PLIST permit 10.0.0.0/8
!
match ip address prefix-list PLIST
set community 7675:80
A seguinte configurao um exemplo de BGP route filtering usando o atributo de
comunidades. Essa configurao s permitir rotas BGP, que tem valor BGP comunidades
0:80 ou 0:90. O operador de rede pode colocar um valor de comunidade interna
especial (special internal communities value) no roteador de borda BGP, ento
limitando os anncios de rotas BGP para a rede interna.
router bgp 7675
!
ip community-list 1 permit 0:80 0:90
!
route-map RMAP permit in
match community 1
O seguinte exemplo de rotas de filtro BGP tem o valor da comunidade 1:1. Quando no
houver correspondncia na lista de comunidade o comando ira negar). Para evitar a
861
filtragem de todas as rotas, e preciso definir a permisso de pelo menos uma rota.
router bgp 7675

!
ip community-list standard FILTER deny 1:1
ip community-list standard FILTER permit
!
match community FILTER
No exemplo abaixo keyword internet corresponde a todas as rotas BGP, mesmo que a
rota no tem o atributo de comunidades (communities atribute). Ento a lista de
comunidade INTERNET ser a mesma do exemplo acima FILTER.
ip community-list standard INTERNET deny 1:1
ip community-list standard INTERNET permit internet
A seguinte configurao um exemplo de eliminao dos valores das comunidades
(communitities value deletion). Com esta configurao do valor de comunidades, o
100:1 o 100:2 sero removidos das atualizaes BGP. Para a eliminao dos valores
das comunidades (communitities value deletion), somente o permit community-list ser
usado. O DENY community-list ser ignorado.
router bgp 7675
!
ip community-list standard DEL permit 100:1 100:2
!
set comm-list DEL delete
BGP Extended Communities Attribute

BGP extended communities attribute introduzida com a tecnologia MPLS VPN /
BGP. VPN MPLS / BGP expande a capacidade da infraestrutura de rede para fornecer a
funcionalidade da VPN. Ao mesmo tempo exige uma nova estrutura para a poltica de
roteamento. Com o BGP Extended Communities Attribute podemos usar o alvo da rota
(Rote Target) ou o site de origem (Site of origin) para a implementao da poltica de
rede para MPLS VPN / BGP.
Existem dois formatos para definir o Extended Community value. Uma deles AS based
862
format o outro IP address based format.

AS: VAL
Este um formato usado para definir AS based Extended Community value.
7675:100
7675 representa AS 100 representa o valor da politica (policy value).
IP-Address:VAL
Este um formato usado para definir o endereo IP baseado no Extended Community
value.
10.0.0.1:100
10.0.0.1 representa o endereo de IP e 100 representa o valor da politica.
BGP Extended Community Lists

Expanded Community Lists um usurio definido pela BGP Expanded Community List.
Comando: ip extcommunity-list standard name {permit|deny} extcommunity
Este comando define uma nova extcommunity-list (Extcommunity o extended
communities value). Extcommunity compilado em extended community structure e
podemos definir mltiplas extcommunity-list sobre o mesmo nome. Nesse caso a
combinao acontecera na ordem definida pelo usurio. Uma vez que a extcommunitylist corresponda a extended communities attribute nas atualizaes de BGP ele
retornar permit ou deny baseada na definio da extcommunity-list. Quando no h
nenhuma entrada correspondida, deny ser retornado. Quando extcommunity est em
branco corresponder a qualquer rota.
Comando: ip extcommunity-list expanded name {permit|deny} line
Este comando define uma nova Expanded extcommunity-list (Line uma sequncia de
expresses (string expression) da Extended communities attribute). Line pode incluir
uma expresso regular para corresponder ao Extended communities attribute nas
atualizaes BGP.
Comando: no ip extcommunity-list name
Comando: no ip extcommunity-list standard name
Comando: no ip extcommunity-list expanded name
863
Estes comandos excluem as Extended community lists especificadas pelo nome. Todas
as comunidades estendidas (extended communities) dividem um nico namespace para
que as Extended community lists possam ser removidas simplesmente especificar ao o
nome.
Comando: show ip extcommunity-list
Comando: show ip extcommunity-list name
Este comando exibe informaes extcommunity da lista atual.
# show ip extcommunity-list
BGP Extended Communities in Route Map
Route Map: match extcommunity word
Route Map: set extcommunity rt extcommunity
Este comando define o valor da rota (Route Target value).
Route Map: set extcommunity soo extcommunity
Este comando define o valor da origem mapeada (Site of Origin value).
Show IP BGP
Comando: show ip bgp
Comando: show ip bgp A.B.C.D
Comando: show ip bgp X:X::X:X
Este comando exibe rotas BGP, quando nenhuma rota for especificada este comando
exibir todas as rotas BGP IPv4.
BGP table version is 0, local router ID is 10.1.1.1

Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
*> 1.1.1.1/32
Next Hop
0.0.0.0
Metric LocPrf Weight Path

0
32768 i
864
Total number of prefixes 1

Show IP BGP
Comando: show ip bgp regexp line
Este comando de exibe as rotas BGP usando AS path regular expression.
Comando: show ip bgp community community
Comando: show ip bgp community community exact-match
Este comando de exibe as rotas BGP usando community .
Comando: show ip bgp community-list word
Comando: show ip bgp community-list word exact-match
Este comando de exibe as rotas BGP usando community list .
Comando: show ip bgp summary
Comando: show ip bgp neighbor [peer]
Comando: clear ip bgp peer
Este comando limpa os peers que tm endereos de X.X.X.X
Comando: clear ip bgp peer soft in
Este comando limpa o peer usando reconfigurao suave.
Comando: show debug
Comando: debug event
Comando: debug update
Comando: debug keepalive
Comando: no debug event
Comando: no debug update
Comando: no debug keepalive
Capability Negotiation
865
Por padro, o Firewall trar o peering com capacidade mnima para ambos os lados. Por
exemplo, o roteador local tem capacidade Unicast e Multicast, e o roteador remoto tem
capacidade unicast.
Se voc deseja combinar completamente as capacidades com peer remoto, use o
comando strict-capability-match.
Comando BGP: neighbor peer strict-capability-match
Comando BGP: no neighbor peer strict-capability-match
Este comando compara as capacidades remotas e recursos locais. Se os recursos forem
diferentes, o comando enviar mensagem Unsupported Capability error, reiniciar
conexo.
Comando BGP: neighbor peer dont-capability-negotiate
Comando BGP: no neighbor peer dont-capability-negotiate
Suprimir o envio da capacidade de negociao como OPEN message optional parameter
para os peers. Este comando afeta apenas o peer configurado, exceto o IPv4 unicast
configuration.
Quando peer remoto no tem recurso de capacidade de negociao (capability
negotiation feature), o peer remoto no vai enviar nenhuma capacidade. Nesse caso, o
BGP configura o peer com capacidades configuradas.
Comando BGP: neighbor peer override-capability
Comando BGP: no neighbor peer override-capability
Este comando substitui o resultado da capacidade de negociao (Capability
Negotiation) com a configurao local e ignorar o valor da capacidade do peer remoto
(remote peers capability value).
Route Reflector
Comando BGP: bgp cluster-id a.b.c.d
Comando bgp: neighbor peer route-reflector-client
Comando bgp: no neighbor peer route-reflector-client
IPv6 Support
866
Router Advertisement
Comando de Interface: no ipv6 nd suppress-ra

Envia mensagens de anncio de roteador (router advertisment messages).
Comando de Interface: ipv6 nd suppress-ra

No envia mensagens de anncio de roteador.
Comando de Interface: ipv6 nd prefix ipv6prefix [valid-lifetime] [preferred-lifetime]
[off-link] [no-autoconfig] [router-address]
Configurando o prefixo IPv6 para incluir em anncios de roteador.
valid-lifetime O perodo de tempo em segundos, que o prefixo ser vlido para on-link determination.
Range: <0-4294967295> Default: 2592000
preferred-lifetime O perodo de tempo em segundos, que os endereos gerados a partir do prefixo

permanecem preferenciais.
Range: <0-4294967295> Default: 604800
off-link - indica que a propaganda no faz afirmaes sobre as propriedades on-link ou
off-link do prefixo.
Padro: sem definio, ou seja, este prefixo pode ser usado para on-link determination.
no-autoconfig indica para os hosts no link local ,que o prefixo especifico no

pode ser usado pela auto configurao IPv6 (IPv6 autoconfiguration).
Padro: sem definio, ou seja, este prefixo pode ser de autoconfigurao.
router-address - indica aos hosts no link local ,que o prefixo especifico contm
um endereo IP completo por configurao R flag (complete IP address by setting
867
R flag)
Padro: sem definio, ou seja, os hosts no permitiram que um endereo de IP
completo seja colocado.
Comando de Interface: ipv6 nd ra-interval SECONDS
Comando de Interface: no ipv6 nd ra-interval
O comando acima define o tempo mximo permitido entre o envio de anncios no
solicitados do roteador multicast da interface em segundos. Este valor no deve ser
menos que 3 segundos.
Default: 600
Comando de Interface: ipv6 nd ra-interval msec MILLISECONDS
Comando de Interface: no ipv6 nd ra-interval msec
Define o tempo mximo permitido entre o envio de anncios no solicitados do
roteador multicast da interface em milissegundos. Este valor deve ser menos que 30
milissegundos.
Default: 600000
Comando de Interface: ipv6 nd ra-lifetime SECONDS
Comando de Interface: no ipv6 nd ra-lifetime
Indica o valor que ser colocado no campo Router Lifetime de anncios de roteador
enviados da interface em segundos. Definindo o valor zero indica que o roteador no
deve ser considerado um roteador padro nesta interface. Este numero deve ser zero
ou entre um valor especificado com ipv6 nd ra-interval (ou padro) e 9000 segundos.
Default: 1800
Comando de Interface: ipv6 nd reachable-time MILLISECONDS
Comando de Interface: no ipv6 nd reachable-time
Indica o valor que ser colocado no campo Reachable Time nas mensagens de anncio
do roteador que foram enviadas pelo roteador em milissegundos. O tempo configurado
permite que o roteador detecte vizinhos indisponveis. O valor zero significa no
especificado por este roteador. Este nmero no dever ser maior que 3.600.000
milissegundos (1 hora).
Default: 0
Comando de Interface: ipv6 nd managed-config-flag
868
Comando de Interface: no ipv6 nd managed-config-flag

Ativa/desativa Flag nos anncios de roteador IPv6 (IPv6 router advertisements) que
indicar aos hosts que eles devem usar um protocolo gerenciado (stateful) para auto
configurao de endereos, na incluso de qualquer endereo auto configurado usando
a autoconfigurao de endereo sem estado (stateless address autoconfiguration).
Default: no definido
Comando: ipv6 nd other-config-flag
Comando: no ipv6 nd other-config-flag
indicar aos hosts que eles devem usar o protocolo administrado (stateful) para obter
informaes de autoconfigurao que no sejam de endereos.
Default: not set
Comando de Interface: ipv6 nd home-agent-config-flag
Comando de Interface: no ipv6 nd home-agent-config-flag
indicar aos hosts que o roteador vai agir como um Home Agent.
Default: not set
Comando de Interface: ipv6 nd home-agent-preference
Comando de Interface: no ipv6 nd home-agent-preference
Indica o valor que ser colocado na opo Home Agent, quando o Home Agent config
flag estiver definido, indicar aos hosts a preferncia do Home Agent.
Default: 0
Comando de Interface: ipv6 nd home-agent-lifetime
Comando de Interface: no ipv6 nd home-agent-lifetime
Indica o valor que ser colocado na opo Home Agent, quando o Home Agent config
flag estiver definido indicar o Home Agent Lifetime para os hosts. O valor 0 significa
que Router Lifetime deve ser colocado.
Default: 0
Comando de Interface: ipv6 nd adv-interval-option
869
Comando de Interface: no ipv6 nd adv-interval-option

Adiciona uma opo Advertisement Interval que indica aos hosts o tempo mximo em
milissegundos, entre sucessivos Router Advertisements que no foram solicitados.
Default: not set
36.11.
Avanado
Figura 603 - Roteamento avanado.
Esta configurao permite a utilizao de rotas por origem e o balanceamento de link por
rotas, onde possvel direcionar o trfego de rede para um determinado gateway a partir
de sua origem e ainda balancear este trfego em at 3 links diferentes. No possvel
configurar rotas por origem pela tabela de roteamento Geral, por esse motivo as regras
criadas aqui tm maior prioridade.
Para realizar com sucesso esta configurao, necessrio cadastrar as entidades de origem,
destino e servio antes do incio do processo. Este cadastramento pode ser feito tanto na
Interface Remota do Aker Control Center como no modo texto utilizando o comando
fwent no console do Aker Firewall.
Abaixo segue alguns exemplos de configuraes:
Teste da funcionalidade balanceamento de link por rota:

870
Laboratrio
Figura 604 - Exemplo de laboratrio de teste balanceamento de rotas.
Testes e configuraes
Configuraes do FW A:
Figura 605 - Teste e configuraes NAT exemplo A.
871
Figura 606 - Teste e configuraes Balanceamento de link exemplo B.
Via linha de comando:

fwadvroute inclui 1 -src 192.168.0.0/255.255.255.0 -dst 172.16.21.0/255.255.255.0 -bal 1 2
3
Configuraes do FW B:
Figura 607 - Teste e configuraes NAT exemplo B.
Figura 608 - Teste e configuraes Balanceamento de link exemplo B.
872
Figura 609 - Roteamento.
Via linha de comando:

fwadvroute inclui 1 -src 172.16.21.0/255.255.255.0 -dst 192.168.0.0/255.255.255.0 -bal 1 2
3
Esta configurao faz com que todo o trfego entre as redes 192.168.0.0/24 e
172.16.21.0/24 seja balanceado pelos 3 links.
Utilizando a Interface Texto (via SSH)Interface Texto (via SSH):
Localizao do programa: /aker/bin/firewall # fwadvroute ajuda
Aker Firewall
Uso: fwadvroute ajuda
fwadvroute mostra
fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc <svc_ents>]
{ -gw <gw_ent> | [-P] -bal <link1> <link2> ... }
fwadvroute remove <pos>
fwadvroute < habilita | desabilita > <pos>
fwadvroute refresh
873
Os parmetros so:
pos: posio da regra na tabela (a partir de 1);
src_ents : Entidades origem (rede/mquina/conjunto);
dst_ents : Entidades destino (rede/mquina/conjunto);
svc_ents : Entidades servio (servico);
gw_ent : Entidade gateway (mquina);
linkN : Nomes dos links para balanceamento (veja 'fwblink mostra');
-P : Persistncia de conexo.
A seguir, sero demonstrados alguns exemplos prticos das sintaxes utilizadas nesta
configurao:
Obs: Os nomes das entidades utilizadas nos exemplos so apenas nomes de demonstrao
para facilitar a compreenso.
Sintaxe: fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc <svc_ents>] -gw
<gw_ent>
Cria e/ou define uma rota especificando a posio, origem, servio (caso haja), destino e o
gateway desejado.
Exemplo:
fwadvroute
inclui
-src
"rede
interna"
-dst
host1
-gw
server1
Note que para indicar a entidade "rede interna" foi utilizada aspas, pois, nomes de
entidades que contenham mais de uma palavra devem estar sempre entre aspas.
Caso o espao para indicar o servio a ser utilizado estiver vazio, sero considerados
todos os servios para esse roteamento.
Sintaxe: fwadvroute remove <pos>
Remove uma rota j criada indicando a posio da mesma.
Exemplo: fwadvroute remove 1
Sintaxe: fwadvroute < habilita | desabilita > <pos>
874
Habilita ou desabilita uma rota indicando a posio da mesma.

Exemplo: fwadvroute habilita 1
36.12.
Utilizando a Interface Texto (via SSH-fwkey) nas Chaves de Ativao
possvel configurar as Chaves de Ativao pela Interface Texto (via SSH).

Localizao do programa: /aker/bin/firewall/fwkey path
Path: Caminho completo do arquivo com a chave de ativao a ser substituda.
36.13.
Utilizando a Interface Texto (via SSH-fwinterface) na Configurao TCP/IP
possvel configurar os parmetros do TCP/IP pela Interface Texto (via SSH).

Localizao do programa:/aker/bin/firewall/fwinterface
O programa interativo e as opes de configurao so as descritas abaixo:
Figura 610 - Modo de configurao para interfaces de rede.
Analogamente a configurao da Interface Remota, a Interface Texto (via SSH) possui 6

opes conforme visualizado na figura acima.
Na janela abaixo possvel visualizar, configurar e desconfigurar uma interface de rede
875
Figura 611 - Configurao de Interfaces.
876
Na tela abaixo apresentada a opo de listar interfaces
Figura 612 - Lista da interfaces de rede.

Para configurar uma interface deve-se digitar o nome da mesma. A tecla <enter> retorna ao
menu anterior.
Figura 613 - Mdulo de configurao para interfaces de rede.
877
Nesta tela apresentada a opo de cadastrar VLAN
Figura 614 - Cadastro de VLan.
878
Aps a digitao dos valores de configurao perguntado se deseja configurar alias para a
interface.
Figura 615 - Configurao de interfaces.
879
Aps a digitao da Opo 2 da tela principal, possvel realizar a configurao de rotas

estticas.
Figura 616 - Configurao de rotas estticas.
880
Aps as informaes terem sido digitadas perguntado se deseja gravar as novas

configuraes.
Figura 617 - Configurao de rotas estticas entrada de dados.
881
Aps a digitao da Opo 3 da tela principal, possvel realizar a configurao dos

Servidores DNS.
Figura 618 - Configurao de DNS.
Aps a digitao da Opo 4 da tela principal, possvel realizar a configurao da rota

padro.
A opo 5 da tela principal salva as novas configuraes.
Figura 619 - Mdulo de configurao para interfaces de rede.
882
36.14.
Utilizando a Interface Texto (via SSH-akwireless) na Configurao de Wireless
Esta opo configurada apenas pelo console do Aker Firewall e est disponvel somente no
Aker Firewall Box com suporte para conexo Wireless.
O Aker Firewall possui suporte a mltiplas SSIDs, ou seja, podem ser configuradas diferentes
redes sem fio no mesmo equipamento conforme a necessidade. Atualmente o limite de SSIDs
4 (1master + 3virtuais), ou seja, 4 redes wireless distintas.
No Aker Firewall, para utilizar mltiplas SSID necessrio criar vrias interfaces utilizando o
seguinte comando:
Sintaxe: wireless cria_interface ath0 ap g
Sintaxe: wireless cria_interface ath...N ap g
As configuraes personalizadas devem ser realizadas para cada interface criada.
A seguir, sero demonstrados seus comandos e alguns exemplos de configurao:
Localizao do programa: /aker/bin/firewall/akwireless
Uso: akwireless cria_interface <interface> <sta|adhoc|ap|monitor|wds|ahdemo> <b:g>
akwireless destroi_interface <interface>
akwireless muda_protocolo <interface> <b:g>
akwireless lista_interface [interface]
akwireless muda_modo <interface> <sta|adhoc|ap|monitor|wds|ahdemo>
akwireless muda_SSID <interface> <SSID>
akwireless wep_chave <interface> <indice> <chave>
akwireless wep_chave_indice <interface> <indice>
akwireless wpa1_chave <interface> <chave> <arq>
akwireless wpa2_chave <interface> <chave> <arq>
akwireless sem_chave <interface>
akwireless escolhe_lista_mac <interface> black:white <mac_arq>
883
akwireless add_mac <interface> <mac>

akwireless del_mac <interface> <mac>
akwireless lista_mac <interface>
akwireless limpa_lista <interface>
akwireless lista_autenticacao |interface|
akwireless muda_canal <interface> |channel|
akwireless lista_usuarios_conectados <interface>
Logo aps um comando, obrigatrio inserir os dados necessrios quando o espao para
inseri-los estiver entre os sinais "< e >" (menor que, e maior que). Caso este espao estiver
entre os sinais "[e]" (colchetes), ser facultativo a insero dos mesmos.
Vrios desses comandos so autoexplicativos, por este motivo ser enfatizada s
particularidades dos comandos mais importantes:
akwireless cria_interface <interface> <sta | adhoc | ap | monitor | wds | ahdemo> <b:g> =
cria uma interface.
Dentre os modos existentes, o mais utilizado o "AP" (Modo Master), que permite outras
mquinas se conectarem nele.
Existem vrios protocolos como A, B, G, N. Os protocolos A e N so suportados pelo Aker
Firewall apenas nas verses 6.5 com patch1 e superiores.
As interfaces wireless so definidas por "ath", logo, caso existam 3 interfaces listadas, estas
sero definidas por: ath0, ath1 e ath2.
akwireless destroi_interface <interface> = destri uma interface.
Sintaxe: wireless destroi_interface ath0
akwireless muda_protocolo <interface> <b:g> = altera o protocolo a ser utilizado.
Sintaxe: wireless muda_protocolo ath0 g
884
Cabe ressaltar que a placa wireless suporta apenas um protocolo para todas as interfaces.
O Aker Box do primeiro semestre de 2010 suportava at 7 interfaces wireless, a partir desta
data ele suportar at 3 interfaces wireless.
akwireless lista_interface [interface] = mostra todas as interfaces listadas.
Sintaxe: wireless lista_interface
Caso queira listar uma determinada interface, basta defini-la na frente do comando.
akwireless muda_modo <interface> <sta | adhoc | ap | monitor | wds | ahdemo> = altera o
modo a ser utilizado.
Sintaxe: wireless muda_modo ath0 ap
akwireless muda_SSID <interface> <SSID> = criar/alterar nome da rede wireless.
Sintaxe: wireless muda_SSID ath0 rede1
akwireless wep_chave <interface> <ndice> <chave> = habilitar autenticao WEP com

ndice e chave indicados.
Sintaxe: wireless wep_chave ath0 1 12345
akwireless wep_chave_indice <interface> <ndice> = altera o ndice corrente.
Sintaxe: wireless wep_chave_indice ath0 1
Pode-se criar at 4 chaves em ndices diferentes.
akwireless wpa1_chave <interface> <chave> <arq> = habilita autenticao WPA1 com a
chave e o arquivo de configurao indicados.
Sintaxe: wireless wpa1_chave ath0 123456789 wpa1.conf
Pode-se obter configuraes avanadas modificando o arquivo de configurao citado
acima.
akwireless wpa2_chave <interface> <chave> <arq> = habilita autenticao WPA2 com a
chave e o arquivo de configurao indicados.
Sintaxe: wireless wpa2_chave ath0 123456789 wpa2.conf
Pode-se obter configuraes avanadas modificando o arquivo de configurao citado
acima.
885
akwireless sem_chave <interface> = desabilitar autenticao.

Sintaxe: wireless sem_chave ath0
akwireless escolhe_lista_mac <interface> black : white <mac_arq> = habilitar a filtragem de
Mac.
Sintaxe: wireless escolhe_lista_mac ath0 white white.conf
Black: lista de macs que no podero se conectar no Firewall.
White: lista dos nicos macs que podero se conectar ao Firewall.
akwireless add_mac <interface> <mac> = adicionar um Mac na lista.
Sintaxe: wireless add_mac ath0 00:13:20:3A:11:5B
akwireless del_mac <interface> <mac> = deletar um Mac da lista.
Sintaxe: wireless del_mac ath0 00:13:20:3A:11:5B
akwireless lista_mac <interface> = listar os Mac adicionados.
Sintaxe: wireless lista_mac ath0
akwireless limpa_lista <interface> = deleta todos os Macs listados.
Sintaxe: wireless limpa_lista ath0
akwireless lista_autenticacao |interface| = listar os tipos de autenticao de cada interface.
Sintaxe: wireless lista_autenticacao ath0
akwireless muda_canal <interface> |channel| = alterar o canal da interface.
Sintaxe: wireless muda_canal ath0 3
Para mostrar os canais disponveis, basta utilizar este comando sem indicar o canal.
akwireless lista_usurios_conectados <interface> = Mostra os usurios que esto
conectados.
Sintaxe: wireless lista_usurios_conectados ath0
Esta configurao feita apenas por meio da Interface Texto (via SSH).
886
36.15.
Mdulo de WIDS
Nos dias atuais as redes wireless so vulnerveis de varias formas (espionagem, uso ilegal,
acessos no autorizado, e ataque de negao de servio conhecidos como warchalking e
DOS Attack). Estes problemas so o principal obstculo no uso de redes wireless, que tanto
preocupa os usurios que esto sujeitos a expor seus computadores a acessos ilegais
atravs de redes Wi-Fi. Em redes cabeadas estes ataques so feitos atravs dos cabos de
rede, em redes wireless este ataque pode vir de qualquer computador o qual esteja em sua
vizinhana.
Para este problema o Aker Firewall oferece o WIDS (Wireless Intrusion Detection System)
que monitora as redes WI-FI com o intuito de detectar a presena de usurios no
autorizados, pontos de acesso no autorizados (Rogue Access Point) e o uso de ferramentas
de ataques a redes wireless em tempo real. O WIDS possui a capacidade de:
Autoaprendizagem, autodefesa e contra ataques, incluindo o envio de alertas ao
administrador de rede. O WIDS similar ao IDS padro, a diferena e que o WIDS possui
recursos especficos para invaso de WLAN.
Configurando o WIDS no Aker Firewall (Interface Texto via SSH)
Primeiramente o administrador deve entrar com o comando akwids, e informar se a

interface WIDS ir rodar em conjunto com uma interface wireless em modo AP ou no. Ao
selecionar sim o usurio deve saber as configuraes da interface wireless (nome das
interfaces utilizadas e canal configurado). Ao selecionar no o usurio deve estar com o
AP desabilitado (este processo e feito por meio da Control Center, e ser explicado a seguir).
Figura 620 Configurando o WIDS
887
Ao especificar S o canal especificado ser monitorado. Caso queira monitorar todos os

canais especifique N. Lembrando que ao especifica N o AP deve estar desabilitado, e
no h necessidade. A seguir instrues de como desabilitar o AP:
Acesse o menu TCP/IP do firewall o qual esta sendo gerenciado, e selecione Wireless:
Figura 621 Desabilitando o AP
Na aba Configuraes desabilite a opo Habilitar Rdio.
No prximo passo o usurio deve especificar o canal o qual a interface AP esta utilizando
Figura 622 Especificando o canal da interface
888
Agora o usurio deve inserir o nome da interface que ser utilizada para o WIDS, lembrando
que este nome no ser o mesmo de nenhuma interface que j esteja criada.
Figura 623 Selecionando o nome da Interface
A interface esta sendo criada, e o servido esta sendo iniciado.
Figura 624 Iniciando o servidor
Janela de monitoramento do WIDS
889
Figura 625 janela de monitoramento do WIDS
Ao sair da janela de monitoramento do WIDS, duas opes sero apresentadas
Figura 626 Opes ao sair do WIDS
Leave Ao selecionar esta opo o monitoramento do WIDS continuar em execuo (para

voltar janela de monitoramento execute o comando kismet_client na via SSH).
Kill Ao selecionar esta opo o monitoramento do WIDS ser encerrado completamente.
36.16.
Utilizando a Interface Texto (via SSH-akddns) na Configurao de DDNS
Esta opo configurada apenas pelo console do Aker Firewall.

A seguir, sero demonstrados seus comandos e alguns exemplos de configurao:
Localizao do programa: /aker/bin/firewall/akddns
890
akddns - Configura um cliente de servico DDNS
Uso: akddns [ajuda | mostra | ativa | desativa | lista | limpa]

akddns interface <interface>
akddns server <servername> <servico> <dynamic_name> [login_server] [pwd_server]
akddns gateway <tipo_gateway> <ip_gateway> <porta_gateway> [login_gateway]
[pwd_gateway]
akddns web <url> [token]
akddns ip <ip>
ajuda
= mostra essa mensagem
ativa
= ativa o cliente de servico DDNS
desativa = desativa o cliente de servico DDNS

mostra
lista
server
= mostra o estado atual do cliente e sua configurao

= lista modelos de gateways que podem ser consultados para obter IP publico
= configura servico DDNS a ser utilizado
<servername> = hostname do servico DDNS
<servico>
= servico utilizado (exemplo: dyndns2, zoneedit1)
<dynamic_name> = hostname a ser configurado no servico DDNS

[login_server] = login no servico DDNS
[pwd_server] = senha no servico DDNS
O cliente DDNS utilizara um dos meios abaixo para obter o IP publico do hostname
configurado:
interface = usa IP da interface fornecida para o hostname sendo configurado
891
<interface>
= nome da interface que possui o IP utilizado
gateway = consulta um gateway (roteador, etc) para obter o IP publico do hostname

sendo configurado
<tipo_gateway> = modelo do gateway a ser consultado (ver comando 'lista')
<ip_gateway> = endereo Eco IP do gateway
<porta_gateway> = porta onde a consulta ser feita
[login_gateway] = login no gateway
[pwd_gateway] = senha no gateway
web
= consulta uma pagina WEB que contem o IP publico para o hostname sendo
configurado
<url>
[token]
= URL da pagina WEB a ser consultada

= Token a partir do qual a consulta pelo IP publico
ser feita
ip
= estabelece um IP publico esttico para o hostname sendo configurado

<ip>
= endereo IP publico esttico

Logo aps um comando, obrigatrio inserir os dados necessrios quando o espao para
inseri-los estiver entre os sinais < e > (menor que, e maior que). Caso esse espao estiver
entre os sinais [e] (colchetes), ser facultativo a insero dos mesmos.
Vrios desses comandos so autoexplicativos, por este motivo ser enfatizada s
particularidades dos comandos mais importantes:
ddns server <servername> <servico> <dynamic_name> [login_server] [pwd_server] =
configura o servidor DDNS a ser utilizado pelo produto.
Sintaxe: ddns server members.dyndns.org dyndns2 meuhost.dyndns.org usurio senha no
comando, especifica-se o hostname do servidor onde se far a atualizao, o protocolo a ser
utilizado para isso (ex. dyndns2), o hostname a ser atualizado, o login e a senha de
atualizao.
ddns interface <interface> = monitora o IP de uma interface.
892
Sintaxe: ddns interface eth0 = Com esse comando, o IP dinmico a ser atualizado no servidor
ser o existente na interface fornecida (ex. eth0).
ddns gateway <tipo_gateway> <ip_gateway> <porta_gateway>
[pwd_gateway] = monitora o IP de um gateway da rede
[login_gateway]
Sintaxe: ddns gateway linksys 10.0.0.1 80 usurio senha com esse comando, o IP dinmico a
ser atualizado no servidor ser o de um gateway (ex. modem) da rede. Normalmente, seria
o IP externo da rede. Para uma lista com os tipos de gateway suportados, execute o
comando ddns lista.
ddns web <url> [token] = monitora o IP fornecido em uma URL.
Sintaxe: ddns web meuip.meudominio.com.br "IP:"
Com esse comando, o IP dinmico a ser atualizado no servidor ser obtido a partir de uma
pgina web localizada na URL fornecida, aps o token configurado.
ddns ip <ip> = especifica um IP fixo a ser fornecido ao servidor DDNS
Sintaxe: ddns ip 200.140.230.137
Define um IP fixo para o seu hostname cadastrado no servidor DDNS.
36.17.
Configurao de Internet mvel
A partir de agora, o Aker Firewall UTM passa a suportar conexo pelos modems 3G e 4G. Essa
funcionalidade foi desenvolvida para garantir maior mobilidade e facilidade no acesso
Internet.
Conexo via modem de Internet mvel
O Aker Firewall permite que voc conecte um modem 3G/4G em sua porta USB e essa
conexo passa a ser utilizada como um link de dados para acesso Internet.
possvel assim, proporcionar maior economia e facilidade na instalao para os usurios
do Aker Firewall, pois os links de dispositivos mveis, alm de mais baratos e rpidos,
possuem uma instalao simples, que dispensa equipamentos e cabos de rede, e permite
que o usurio os configure logo que o modem 3G/4G plugado.
Configurao do modem de Internet mvel no Aker Firewall
893
A configurao de Internet mvel do Aker Firewall muito simples e intuitiva.

Primeiramente o usurio deve conectar o seu modem 3G/4G para que o reconhecimento
seja feito automaticamente. O restante das configuraes ser feito na Control Center por
meio do menu TCP/IP > opo Interface de rede".
Figura 627 - Interfaces de rede
Na janela Interfaces de rede, ao conectar o seu modem 3G/4G, uma nova interface
chamada Internet Mvel ser exibida.
Figura 628 - Interface de rede Internet Mvel
894
Para configurar sua conexo de internet mvel, clique com o boto direito na interface
virtual do dispositivo mvel e opte pela opo "Usar internet mvel". A janela a seguir ser
exibida:
Figura 629 - Configurao 3G
Ao realizar o procedimento acima, uma janela de configurao ser aberta com os seguintes
campos:
Nome do dispositivo: neste campo o usurio deve selecionar a interface que ser usada
na conexo 3G/4G.
Ativar no boot: esta opo permite efetuar a conexo automaticamente, aps ligar o
Aker Firewall BOX;
Usar configurao DNS do servidor: permite a utilizao das configuraes de DNS,
fornecidas pela operadora do 3G/4G;
Usar rota Padro do Servidor: esta opo permite que se utilize como rota padro o link
de internet mvel (apenas no caso da rota padro no ter sido configurada
previamente);
Provedor: neste campo, o usurio deve selecionar o provedor de Internet de sua rede
3G/4G.
APN: neste campo, o usurio deve definir a APN (Access Point Name) de seu provedor
para que este possa se conectar a Internet.
Existem trs opes j criadas:
TIM;
CLARO;
VIVO.
895
Testando a conexo
Aps configurar a interface de dispositivo mvel, o Aker Firewall vai tentar discar para a
operadora. Esse procedimento pode no funcionar por problemas na operadora.
Para verificar se conexo foi efetuada com sucesso, observe a cor da interface criada. Se
tiver com uma cor clara, quer dizer que o modem conectou-se normalmente. Se a cor for
escura, significa que houve algum problema. Ento, repita o procedimento e, se o problema
continuar, contate o departamento de suporte da Aker Security Solutions.
Segue a lista de modens 3G e 4G suportados:
Option
GlobeSurfer
Icon
(aka
"Vodafone
Option GlobeSurfer Icon 7.2, new firmware (HSO
EasyBox")
driver)
DefaultVendor= 0x05c6
DefaultVendor= 0x0af0
DefaultProduct= 0x1000
Option GlobeSurfer Icon 7.2
PROLiNK PHS100
Hyundai Mobile MB-810
DefaultVendor= 0x1e0e
DefaultProduct= 0xf000
Option GlobeTrotter GT MAX 3.6 (aka "T-Mobile

Web'n'walk Card Compact II")
AT&T USBConnect Quicksilver (made by Option,

HSO driver)
DefaultProduct= 0xd033
Option GlobeTrotter GT MAX "7.2 Ready"
Huawei devices
DefaultVendor= 0x12d1
Option GlobeTrotter EXPRESS 7.2 (aka "T-Mobile
Huawei E169 and others
wnw Express II")

Huawei E180
896
ZTE AC8710
ZTE AC2726
Huawei E630
Configurao#
DefaultVendor= 0x1033
DefaultProduct= 0xfff5
ZTE MF620 (aka "Onda MH600HS")
Configurao# 2
ZTE MF622 (aka "Onda MDC502HS"), MF100 e

outros
Configurao# 3
ZTE MF628
ZTE AC2710 (EVDO)
ZTE MF622
ZTE MF626
ZTE 6535-Z
ZTE MF628
ZTE MF633
ZTE MF636
ZTE MF637
ONDA MT503HS
ZTE MF638 (aka "Onda MDC525UP")

ONDA MT505UP
897
DATA ADU-500A, ADU-510A, ADU-510L, ADUNovatel Wireless Ovation MC950D HSUPA
520A
Novatel Wireless Merlin XU950D

Novatel Wireless Ovation 930D
BandLuxe C120
Novatel U727 USB modem
DefaultVendor= 0x1a8d
Novatel MC990D
Solomon S3Gm-660
DefaultProduct=0x5020
DefaultVendor= 0x1dd6
Novatel U760 USB modem
C-motech D-50 (aka "CDU-680")
Alcatel One Touch X020 (aka OT-X020, aka MBD-
C-motech CGU-628 (aka "Franklin Wireless CGU-
100HU, aka Nuton 3.5G)
628A" aka "4G Systems XS Stick W12")
Alcatel One Touch X030 (aka OT-X030, aka Nuton

NT36HD)
DefaultVendor= 0x1c9e
Toshiba G450
Alcatel X200/X060S
DefaultProduct= 0x0d46
DefaultVendor= 0x1bbb
UTStarcom UM175
898
DefaultVendor= 0x106c
DefaultProduct= 0x3b03
Hummer DTM5731
ST Mobile Connect HSUPA USB Modem
DefaultVendor= 0x1ab7
A-Link 3GU
MyWave
SW006
Sport
Phone/Modem
Combination
DefaultVendor= 0x1e0e
Sierra Wireless Compass 597
DefaultProduct= 0x0fff
Sierra Wireless AirCard 881U
Cricket A600
DefaultVendor= 0x1f28
DefaultProduct= 0x0fff
Sony Ericsson MD400
EpiValley SEC-7089
DefaultVendor= 0x1b7d
DefaultVendor= 0x0fce
DefaultProduct= 0xd0e1
Samsung U209
LG LDU-1900D EV-DO (Rev. A)
DefaultVendor= 0x04e8
Huawei E270+ )
Huawei E1762
Samsung SGH-Z810 USB
Huawei E1820
MobiData MBD-200HU
Huawei E1550
Huawei E1750
899
ZTE K3565
ZTE K3520-Z
Motorola 802.11 bg WLAN (TER/GUSB3-E)
MobiData
MBD-200HU
(aka
4G
XS
Stick
W10/W14, aka Micromax MMX 300G,
DefaultVendor= 0x148f
aka ChinaBird CBCPL68)
Huawei E1612
D-Link DWM-162-U5, Micromax MMX 300c

Huawei E1690
Huawei E1692
Huawei E1762
Novatel MC760 3G
C-motech CHU-629S
ZTE MF110 (Variant)

DefaultProduct= 0x700a
Sagem F@ST 9520-35-GLR
Philips TalkTalk (NXP Semiconductors "Dragonfly")
DefaultProduct= 0x7f40
Nokia CS-15
HuaXing E600 (NXP Semiconductors "Dragonfly")
900
Huawei K3765
DefaultProduct= 0x84ff
InfoCert
emulation)
Huawei K4505
Business
Key
(SmartCard/Reader
DefaultProduct= 0x100d
UTStarcom UM185E
Vodafone MD950 (Wisue Technology)
DefaultProduct= 0x3b06
Siptune LM-75 ("LinuxModem")
ZTE AC581
Zydas ZD1211RW WLAN USB, Sphairon HomeLink
Huawei U7510 / U7517
1202 (Variant 1)
DefaultVendor= 0x0ace
DefaultProduct= 0x101e
Beceem BCSM250
Zydas ZD1211RW WLAN USB, Sphairon HomeLink
1202 (Variant 2)
DefaultProduct=0xbccd
DefaultVendor= 0x0ace
DefaultProduct= 0x20ff
LG HDM-2100 (EVDO Rev.A USB modem)
Vertex Wireless 100 Series
DefaultProduct=0x607f
Kyocera W06K CDMA modem
AVM Fritz!Wlan USB Stick N
901
DefaultProduct=0x024d
Digicom 8E4455
ZTE MU351
Sony Ericsson MD300
LG L-05A
DefaultProduct=0xd0cf
DefaultProduct= 0x613a
Vodafone (ZTE) K3805-Z
LG LUU-2100TI (aka AT&T USBConnect Turbo)
DefaultProduct= 0x613f
Franklin Wireless U210
LG KP500 Cookie Phone
DefaultVendor= 0x1fac
DefaultProduct=0x607f
Alcatel X220L, X215S
Royaltek Q110 -
ZTE MF112
BandRich BandLuxe C170, BandLuxe C270
Olivetti Olicard 100 and others
Vodafone (Huawei) K4605
DefaultVendor= 0x0b3c
DefaultProduct= 0xc700
DefaultProduct=0x14c1
ZTE MF110 (Variant)
Huawei R201
902
DefaultProduct=0x689a
Atheros Wireless / Netgear WNDA3200
Kobil mIdentity 3G (1)
DefaultVendor= 0x0cf3
DefaultProduct=0x20ff
DefaultProduct=0x45a1
Onda MW833UP
Kobil mIdentity 3G (2)
DefaultVendor= 0x1ee8
DefaultProduct=0x45a5
Onda MW833UP
Huawei U8110 / U8300 / Joy, Vodafone 845
(Android smartphone)
Olivetti Olicard 145
DefaultVendor= 0x0b3c
DefaultProduct=0xf000
Nokia CS-10
Huawei EC168C (from Zantel)
DefaultProduct=0x060c
ZTE WCDMA Stick from BNSL
Nokia CS-17
BSNL Capitel
Nokia CS-18
DefaultProduct= 0x9e00
Samsung GT-B3730
Qtronix EVDO 3G Modem (for TianYi)
903
GW D301 (Advinne AMC)
D-Link DWM-156 HSUPA 3.75G USB Modem
DefaultVendor= 0x0fd1
DefaultProduct=0xa800
LG AD600
Franklin Wireless U210 (Variant)
Pantech / UTStarcom UMW190 (Verizon)
Haier CE 100
DefaultVendor= 0x201e
DefaultProduct=0x3b05
AirPlus MCD-800
Huawei BM358 WiMAX
DefaultVendor= 0x1edf
DefaultProduct=0x380b
Linktop LW272/LW273 (BSNL Teracom)
Huawei E352
DefaultVendor= 0x230d
C-motech CHU-628S
Huawei ET8282
DefaultProduct=0x1da1
HSDPA USB modem from dealextreme
Huawei V725 Phone (aka Vodafone 725)
Exiss Mobile E-190 series (made by C-motech)
Onda MW836UP-K
904
DefaultProduct=0xffe6
ZTE MF637 (Variant for Orange France)
ZTE MF190
Prolink P2000 CDMA
JOA Telecom LM-700r
DefaultVendor= 0x198a
Vibe 3G Modem
Huawei E173 (Viettel 3G)
T-Mobile NL (Huawei E352)
C-motech CHU-629S (Variant)
DefaultProduct=0x14fe
Huawei
U8220,
T-Mobile
Pulse
(Android
ZTE MF691 (T-Mobile Rocket 2.0)
smartphone)
ZTE MF192
D-Link DWM-156 HSUPA 3.75G USB Modem
ZTE MF190 (Variant)
Sony Ericsson MD400G
DefaultProduct= 0xd103
Visiontek 82GH 3G
ZTE "ffe" devices 1 (e.g. Cricket A605)
905
SpeedUp SU-8000U
HP LaserJet Professional P1102
DefaultProduct=0xf00e
Cisco AM10 "Valet Connector"
Mobile Action ("Smart Cable")
DefaultVendor= 0x0df7
Alcatel OT X220L
Vodafone/Huawei K3770
DefaultProduct=0x14d1
Nokia CS-19
Vodafone/Huawei K3771
Huawei ET302
Option iCon 461
DefaultProduct=0x1d50
DefaultProduct= 0x7a05
3GO 3GO11 HSUPA
ZTE AX226 WiMax
Novatel Wireless MC545 HSPA
Huawei EC156
ZTE AC682 (a.k.a. SmartFren Connex)
Longcheer SU9800
DefaultProduct=0xffde
906
ZTE MF820 4G LTE
Celot CT-680
Philips PicoPix 1020 Projector
Huawei E353 (3.se)
DefaultVendor= 0x1de1
DefaultProduct=0x1f01
AnyDATA APE-540H
Haier CE682 (EVDO)
DefaultVendor= 0x201e
LG L-02C LTE
ZTE MF192 (Variant)

DefaultProduct=0x61dd
LG SD711
Qisda H21 Flying Beetle
DefaultVendor= 0x1da5
DefaultProduct=0x61e7
LG L-08C (NTT docomo)
C-motech CDU-685a
DefaultProduct=0x61eb
I-O Data WMX2-U Wimax
StrongRising (China Telcom), Air FlexiNet
DefaultVendor= 0x04bb
Option GlobeTrotter GI1515
BandRich BandLuxe C339
DefaultProduct=0xd001
907
LG L-07A
Samsung GT-B1110
DefaultProduct=0x614e
ZTE A371B
ZTE MF192 (yet annother variant)
ZTE MF652
MediaTek MT6276M
DefaultVendor= 0x0e8d
ZTE MF652 (Variant)
Tata Photon+
Telenet 3G dongle (T&W WU160)
Option Globetrotter (Variant)
Nokia CS-21M-02
Option iCon 711
Telewell TW-3G HSPA+
Celot K-300
ZTE MF637
Hisense E910 EVDO Phone
DefaultVendor= 0x109b
908
Yota Router (Quanta 1QDLZZZ0ST2)
ZTE MF821D
K5005 Vodafone/Huawei
Dymo LabelManager PnP
D-Link DWM-156 (Variant)
Onda MDC655 HSDPA 900/2100 MHz 14.4 Mbps
DefaultVendor = 0x1ee8
DefaultProduct=0xa80b
DefaultProduct =0x004a
Huawei E173 (Moviestar)
Vodafone K5006Z (MF821)
Onda MSA 14.4 (TIM Brasil)
Option GI0643 (aka XYFI)
Alcatel OT-X220D
WeTelecom WM-D300
DefaultVendor= 0x22de
Alcatel OT-X080C
China TeleCom CBP7.0
DefaultVendor= 0x15eb
DefaultProduct=0x00ca
TP-Link MA180
Linktop LW272/LW273 (BSNL Teracom)
909
DefaultProduct=0x14ba
Nokia CS-11
Option Beemo / Pantech P4200 LTE
DefaultProduct=0x061d
ZTE MF190 (Variant)
Huawei E355s-1
Huawei E535
Nokia CS-7M-01
DefaultProduct=0x14fe
ZTE MF190J
LG L-03D LTE/3G
Huawei E171
Franklin Wireless U600
Vodafone / Huawei K3772
Huawei E353
Vodafone / Huawei K3773
Changhong CH690
Huawei E173u-2, E177
Alcatel-Lucent T930S
910
DefaultVendor= 0x04cc
Onda TM201 14.4 (TIM Italy)
Axesstel MU130
DefaultProduct=0xf00e
Onda WM301
Explay Slim
DefaultProduct=0x9e08
Huawei GP02 (E587 Variant)
Nokia CS-12
DefaultProduct=0x1c1b
Huawei U2800 Phone
Axesstel Modems (w/ initial idProduct 0x0010)
KDDI (Huawei) HWD12 LTE
Onda MT8205 LTE
Pantech UML290
Novatel MC996D
D-Link DWR-510
911
Mediatek MT6229
Huawei E3276s-151 and E3251
ZTE MF196
Huawei K4305
ZTE MF656A, MF668A, MF669
BlackBerry Q10 and Z10
ZTE MF680
DefaultVendor= 0x0fca
Pantech LTE Modem
WeTelecom WM-D200
DefaultVendor= 0x10a9
DefaultVendor= 0x22de
Quanta MobileGenie 4G lte

Quanta 1K3 LTE
DefaultProduct=0xea43
AVM Fritz!Wlan USB Stick N v2
DefaultProduct=0xea25
TP-Link MA260
Alcatel-sbell ASB TL131 TD-LTE
Teracom LW272
912
36.18.
Agregao de link
A agregao de link um termo usado em redes de computadores para descrever mtodos

de combinao de vrias conexes de rede em paralelo, para produzir uma nica conexo
de maior velocidade e/ou aumentar a disponibilidade e redundncia desta conexo. Este
tipo de operao tem o intuito de aumentar a capacidade de transporte para mais do que
uma nica conexo seria capaz de tratar, e em algumas ocasies tem o intuito de fornecer
redundncia no caso de falha de um dos links.
Outros termos tambm so utilizados pelos diversos fabricantes para descrever o mtodo,
dentre eles: trunking de porta, link bundling, Ethernet/network/NIC bonding, ou Grupo de
Placas de Rede.
Atualmente o padro definido pelo IEEE (Institute of Electrical and Electronic Engineers) o
IEEE 802.1ax Aggregation Control Protocol (LACP) - que substituiu o anterior: IEEE 802.3ad.
A agregao pode ser implementada em qualquer uma das trs camadas mais baixas do
modelo OSI. Exemplos comuns de agregao na camada 1 so linhas de energia (por
exemplo, IEEE 1901) e dispositivos de redes sem fio (por exemplo, IEEE 802.11) que
combinam mltiplas bandas de frequncia em um nico canal de maior capacidade. Na
camada 2 do modelo OSI (camada de enlace, por exemplo, frame de Ethernet em redes
locais ou multi-link PPP em WANs, endereo MAC) a agregao ocorre, normalmente, nas
portas de switch, que podem ser portas fsicas ou virtuais, gerenciadas por um sistema
operacional - por exemplo, Open vSwitch. A agregao tambm pode ocorrer na camada 3
do modelo OSI, ou seja, na camada de rede (por exemplo, IP ou IPX), usando o round-robin
scheduling - ou com base em valores de hash calculado a partir de campos no cabealho do
pacote ou uma combinao destes dois mtodos. Independentemente da camada de
agregao em que ocorre, a carga da rede balanceada em todos os links. A maioria dos
mtodos fornecem redundncia e failover.
possvel configurar a interface de agrupamento (bonding interface) de acordo com a sua

necessidade. Os tipos de agrupamentos possveis permitem configuraes de acordo com o
parmetro mode (mode=X). Os seguintes modos esto disponveis:
mode = 0 (balanceado rr)

Poltica round-robin: Encaminha os pacotes usando em ordem sequencial, do primeiro canal
at o ltimo disponvel. Este modo fornece balanceamento de carga e tolerncia a falhas.
mode = 1 (failover)
Poltica ativo-backup: Apenas um dos canais no grupo estar em uso efetivo (o canal
principal). Se o canal principal apresentar alguma falha, outro canal ser ativado. O
endereo MAC do vnculo externamente visvel em apenas uma porta (adaptador de rede)
para evitar confundir o switch. Este modo fornece tolerncia a falhas.
mode = 2 (balanceamento XOR)
Poltica XOR: Balanceamento que usa o algoritmo XOR com o MAC da placa de rede de
destino do pacote para selecionar a interface de rede que ser utilizada. Isso seleciona o
mesmo canal para cada endereo MAC de destino. Este modo fornece balanceamento de
carga e tolerncia a falhas.
mode = 3 (broadcast)
Poltica de Broadcast: Transmite tudo em todas as interfaces agrupadas. Este modo fornece
tolerncia a falhas.
mode = 4 (802.3ad)
IEEE 802.3ad - agregao de links dinamicamente: O modo 802.3ad (tambm conhecido
como 802.1ax) o modo habilitado por padro. Ele cria grupos de agregao que
compartilham a mesma velocidade e definies de comunicao (modo duplex). Utiliza
todos os canais ativos no agrupamento de acordo com a especificao 802.3ad.
mode = 5 (balanceamento TLB)
Balanceamento de carga de transmisso: Tipo de agregao que equilibra o trfego de
sada e no exige qualquer suporte especial do switch. O trfego de sada balanceado de
acordo com a carga momentnea (que calculada em relao a velocidade) em cada um
dos canais que participam do grupo. O trfego de entrada recebido pelo canal que esta em
914
uso. Se o canal principal apresentar alguma falha, outro canal ser ativado substituindo-o
automaticamente e assumindo a resposta de recepo/entrada de pacotes.
mode = 6 (balanceado alb)
Balanceamento de carga adaptativo: Funciona como o modo 5 (balanceamento na
transmisso), mas tambm inclui balanceamento de carga de recebimento para trfego IPv4
e, de acordo com o modo anterior, tambm no requer nenhuma capacidade especial do
switch. O balanceamento de carga de recebimento ocorre por meio da negociao ARP. O
mdulo de agrupamento intercepta a resposta ARP enviada pelo sistema local na sada e
sobrescreve o endereo de hardware de origem da comunicao usando o endereo de
hardware nico de um dos canais do grupo, de forma que diferentes pares usem endereos
de hardware diversos para se comunicar com o servidor.
Miimon
Especifica a frequncia de monitorizao MII link em milissegundos (ms). O parmetro
Miimon=100 determina quantas vezes o estado do link de cada canal ser inspecionado no
caso de falhas de link. O valor zero desativa o monitoramento de link MII (100 o valor
recomendado).
36.19.
Padro IEEE de Link Aggregation
O padro inicial do Link Aggregation era o IEEE 802.3ad, mas em 2008, ele foi transferido
formalmente para o grupo 802.1 com o nome 802.1ax, pois algumas camadas do 802.1 se
posicionam acima do Link aggregation. Como o Linux ainda se refere ao padro com o nome
802.3ad, adotaremos esta nomenclatura para evitar confuso, pois ela que ser vista ao se
verificar os arquivos via linha de comando.
No 802.3ad definido o Link Aggregation Control Protocol (LACP), que define um padro
para a troca de informaes entre equipamentos de diferentes fabricantes para definirem a
identidade de cada grupo de Link Agreggation (LAG) - quais interfaces so membros de cada
grupos. Para isso, frames (LACPDUs) sero enviados a todas as interfaces que possuem o
protocolo habilitado. Ao encontrar outro equipamento que possui LACP habilitado, as
informaes so trocadas o que permitem detectar mltiplos links entre as estaes e
combin-las para formar um nico link lgico.
De acordo com a especificao IEEE, os pacotes eniados ao mesmo endereo IP so
encaminhados ao mesmo adaptador. Quando operandos neste modo, os pacotes so
distribudos neste padro (modo padro). Nunca alternando entre as interfaces (roundrobin) para aumentar o throughtput de transmisso.
Entre as limitaes do protocolo, que importante destacar que, para o Link Aggregation
definido pelo IEEE sero necessrias interfaces full-duplex, utilizando MAC definidos pelo
padro IEEE 802.3. Caso as interfaces possuam diferentes velocidades, no ser possvel
equilibrar a carga, por isso, recomenda-se utilizar interfaces com a mesma velocidade.
915
Switch
Alguns switches dependem de mudanas de configurao para funcionar no modo 802.3ad,

outros no precisam de mudanas. Isso varia de acordo com modelo e fabricante do
equipamento (verifique a documentao do seu equipamento para maiores informaes).
Criando interfaces Link Aggregation
No sistema Aker a criao de interfaces feita por meio do configurador padro de rede
chamado akinterface que aplica a configurao desejada e a salva nos arquivos de
configurao do initscripts (ifcfg-eth0, ifcfg-bond0, etc.).
A criao de interfaces Link Aggregation deve ser feita por meio da Interface Texto (via SSH),
utilizando o akinterface.
36.20.
Para cria uma nova Interface Link Aggregation, deve-se:

1. Acessar o Aker Firewall via Interface Texto (via SSH)
2. Selecionar a opo 1 Configura interfaces de rede
916
3. Selecionar a opo 4 - Configurar interfaces Link Aggregation
4. Selecionar a opo 2 - Adicionar Interface
917
5. Nesta janela deve-se inserir o nmero o qual a interface bond ser referenciada
6. Na imagem acima preciso selecionar as interfaces slave, redigir o nome da interface

(ex: eth0).D continuidade a operao pressionando a tecla Enter para inserir a
prxima interface slave. Finalize a operao pressionando a tecla Enter.
918
7. Para visualizar sua interface selecione a opo 1 listar interfaces

36.21.
Customizao Manual
Conforme explicado anteriormente, existem diversos modos de funcionamento do Link

Aggregation, sendo que o modo padro adotado o 802.3ad. No entanto, este modo
poder ser substitudo por outro
Confira os procedimentos para alterar o modo:
Editar a linha BONDING_OPTS do arquivo ifcfg da interface (ifcfg-bond0, por
exemplo).
Abrir o akinterface.
Reaplicar a configurao.
Quando esses passos forem efetuados, a configurao atual ser relida e ento as interfaces
sero reconfiguradas e estaaconfigurao ser aplicada. A seguir esto descritos os
procedimentos passos para se alterar o modo de 802.3ad para balance-rr (Round-Robin).
# cat /proc/net/bonding/bond0 | head -n 3
Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)
Bonding Mode: IEEE 802.3ad Dynamic link aggregation
Vemos que bond0 est com padro, 802.3ad. Editamos o arquivo ifcfg-bond0,
substituindo o modo na linha BONDING_OPTS.
DEVICE=bond0
919
USERCTL=no
BOOTPROTO=static
ONBOOT=yes
AK_CLUSTER_MONITOR=no
BONDING_MASTER=yes
BONDING_OPTS=mode=balance-rr miimon=100
IPADDR=10.0.0.1
NETMASK=255.0.0.0
MTU=1500
IPV6INIT=yes
IPV6ADDR=
Em seguida, basta abrir o programa akinterface e selecionar a opo 6 - Aplicar novas
configuraes. Saia do akinterface e verifique a mudana do modo por meio da linha de
comando:
# cat /proc/net/bonding/bond0 | head -n 3
Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)
Bonding Mode: load balancing (round-robin)
Pronto, o modo de operao do Link Aggregation foi alterado com sucesso!
Por meio deste mtodo, no apenas o modo, mas toda configurao que fica presente na
linha BONDING_OPTS poder ser alterada. Caso esteja utilizando um cluster, as
configuraes sero replicadas para o outro n.
36.22.
Wireless
O Aker Firewall oferece suporte Wireless (transferncia de informao sem a utilizao de

cabos) que uma das tecnologias mais modernas diponiveis no mercado. Com essa nova
incrementao o modo de configurao criao de interfaces wireless poder ser feito
tanto pela Interface Texto (Via SSH), quanto pela Interface Remota (Aker Control Center).
Para ter acesso janela de configurao Wireless, deve-se:
920
Figura 630 Janela de acesso (Wireless)
Clicar no menu TCP/IP do firewall o qual queria administrar.
Selecionar o item Wireless.
921
Figura 631 Wireless aba Configuraes
Nesta aba so definidas as opes do firewall em relao ao servio Wireless. Ela consiste
das seguintes opes:
Habilitar rdio: Habilita ou desabilita o envio do sinal wireless.
SSID: Conjunto nico de caracteres que identifica uma rede sem fio, ou seja, o nome da rede
wireless.
Segurana: Tipo de chave segurana que ser usada na rede wireless, estas so: WPA1-PSK,
WPA2-PSK, WPA1/WPA2-PSK, WEP e Nenhum. Ao configura o WDS, o administrador deve
selecionar o mesmo tipo de chave de segurana nos dois APs (Access Point Master e Access
Point Slave).
Chave: Senha de acesso a rede wireless.
Encriptao: Tipo de criptografia que ser usando na conexo, as seguintes opes esto
disponveis:
AES O AES (Advanced Encryption Standard) algoritimo de criptogrfica que
trabalha byte a byte, porm e considerado uma cifra de bloco.
TKIP O TKIP (Temporal Key Integrity Protocol) algoritmo de criptografia baseado
em chaves que se alteram a cada novo envio de pacote. A sua principal caracterstica
a frequente mudana de chaves que garante mais segurana.
922
Figura 632 Wireless (Avanado)
Canal: Canal que ser usado pelo AP (Access Point) para trocar dados com o dispositivo
cliente na rede wireless. Este canal deve ser o mesmo nos dois roteadores (Master e Slave).
Protocolo: Tipo de protocolo a ser utilizado.
AP Isolation: Ao habilitar esta opo os usurios conectados a rede wireless e no podero
se comunicar, tendo apenas o acesso Internet.
WDS: Habilita a redistrubuio do sinal wireless.
O que o WDS?
WDS (Wireless distribution system Sistema de distribuio sem fio) um sistema que
permite a interconexo de pontos de acesso (AP- Access Point) sem a utilizao de cabos ou
fios. O WDS permite que redes wireless expandam-se utilizando pontos de acesso mltiplos
sem a necessidade de um backbone central (rede principal onde trafegam dados e
informaes de todos os usurios da Internet) para liga-los por meio de cabos. O WDS
realizado quando se deseja expandir o sinal wireless do Access Point(referido como WDSMASTER na imagem abaixo), por meio de um segundo Access Point (Referido como WDSslave na imagem abaixo).
36.23.
A imagen a seguir mostra como configurar o WDS no Aker Firewall.
923
Figura 633 WDS no Aker Firewall
Primeiramente o administrador deve se certificar que o WDS- Master (WDSMaster - Access Point o qual ir expandir o sinal wireless com outro Access
Point - WDS Slave) esta transmitindo internet por meio do sinal wireless
normalmente.
Agora o administrador deve habilitar a opo WDS que se encontra na janela

Avanado dentro da aba Configuraes no menu Wireless. Esta opo deve
ser habilitada nos dois APs (Access Points) para que a redistribuio do sinal
wireless seja feita com sucesso.
Figura 634 Wireless opo Avancado
No prximo passo o administrador deve acessar o WDS-Slave (Access Point o

qual estar recebendo o sinal para redistribuio), com a opo WDS marcado
como explicado no passo anterior, acesse a aba WDS coloque o endereo
MAC do WDS-MASTER , ou seja, Access Point o qual estar transmitindo o sinal
de internet.
924
Figura 635 Wireless aba WDS
Ao executar todos os passos acima, clique em Aplicar para que a conexo

seja estabelecida automaticamente.
925
Figura 636 Wireless aba Usurios Conectados
Nesta aba voc pode visualizar todos os usurios que esto conectados em sua rede
wireless.
926
Figura 637 Wireless aba Filtro MAC
Nesta aba e possivel habilitar a filtragem de endereos MAC com as seguintes ooes:
Permitir apenas estes endereos Mac
Permitir todos endereos MAC, excluindo estes
927
Figura 638 - Wireless aba WDS
Nesta aba possvel inserir o endereo MAC do Access Point Master, para que o Access
Point Slave receba o sinal para redistribuio.
Para que o funcionamento do WDS seja feito com sucesso, as placas wireless devem ser
similares tanto em Aker BOX, ou em terceiros, ou seja, ao usar placas wireless diferentes o
funcionamento do WDS poder apresentar falhas.
928
929
Este captulo mostra para que serve e como configurar o Aker Firewall em modo bridge.
O Aker Firewall modo bridge possibilita ao usurio criar, deletar e visualizar interfaces
Bridge. Tambm possibilita a criao de IPs, VLANs, rotas padro para VLAN e alias, para
Interfaces Bridge. Esta configurao feita via Interface Remota (Control Center) ou
Interface Texto (via SSH).
Como funciona o Aker Firewall em modo bridge?
Os pacotes que passarem por Interfaces filhas de uma Interface Bridge no tero seus
campos de IP modificados, dessa forma, deixando o Firewall indetectvel nessa camada. Ao
receber um pacote, o Firewall analisar as camadas de rede, e de aplicao, assim aplicando
filtros, liberando, descartando ou bloqueando o pacote. Estes filtros so: as regras de
filtragem, proxies transparentes, regras pipes, logs de pacotes, filtro de IPS/IDS, filtro de
aplicativos e outras funcionalidades que no alteram o roteamento o IP do pacote.
No e possvel colocar um IP na interface fsica que foi configurada com Bridge pela
Interface Remota ou Interface Texto (via SSH).
O Aker Firewall em modo bridge permite criao de uma interface Bridge com duas ou
mais interfaces fsicas.
37.1.
Criando Interfaces Bridge
Para cria uma nova interface Bridge, deve-se:
1. Acessar o Aker Firewall via Interface Texto (via SSH), e ento deve-se acessar a opo
1 Configurar Interfaces de rede.
930
Figura 639 - Selecionar a opo 5 Configurar interfaces Bridge
Figura 640 - Selecione a opo 2 Adicionar interface
931
Figura 641 - Insira o nmero o qual a interface Bridge ser referenciada
Figura 642 - Aperte a tecla Enter, para concluir a insero de sua nova interface Bridge.
932
933
Este captulo mostra como configurar a tolerncia a falhas e o cluster cooperativo do Aker
Firewall.
38.1.
Planejando a Instalao
O que um sistema de tolerncia s falhas?

Quanto mais os computadores ganham espao nas empresas, nos escritrios e na vida das
pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um simples e bom
motivo: nenhum usurio quer que a sua mquina pare de funcionar ou que os recursos de
rede no possam mais ser acessados. justamente a alta disponibilidade que vai garantir a
continuidade de operao do sistema na prestao de servios de rede, armazenamento ou
processamento, mesmo se houver falhas em um ou mais de seus elementos.
Assim, alta disponibilidade hoje um assunto que interessa a um nmero cada vez maior de
usurios. Tornou-se um requisito fundamental para os sistemas que ficam no ar 24 horas
por dia, sete dias por semana, ou que no possam ficar fora do ar por at mesmo alguns
minutos. Afinal, paradas no planejadas podem comprometer, no mnimo, a qualidade do
servio, sem contar os prejuzos financeiros.
Tolerncia s falhas nada mais que um agrupamento de recursos que fornece ao sistema a
iluso de um recurso nico. A maioria dos seus componentes, encontram-se duplicados,
desta forma, mesmo que um componente individual apresente falhas o servio no
comprometido. Para possibilitar a redundncia de recursos necessrio um mecanismo de
gerncia, de forma a tornar seu funcionamento transparente.
O que um sistema Cooperativo?
No sistema de tolerncia s falhas foi falado a respeito de alta disponibilidade e de
agrupamento de recursos, mas no sistema cooperativo alm da alta disponibilidade ocorre o
balanceamento de carga entre os sistemas. No sistema cooperativo todos os sistemas ficam
ativos e se o peso entre eles for igual trataro de forma balanceada as conexes e todos os
processos entre eles.
Como trabalha a Tolerncia s Falhas do Aker Firewall?
A tolerncia s falhas do Aker Firewall composta por dois sistemas idnticos, ou seja, duas
mquinas com o mesmo Sistema Operacional, mesmas placas de rede e com a mesma
verso do Firewall, conectadas entre si. A exigncia de se usar o mesmo sistema operacional
934
se d pelo fato de poder aplicar correes por meio da Interface Remota e essas correes
serem replicadas automaticamente de uma mquina para a outra.
Alm de estarem conectadas entre si, o que deve ser feito por uma interface de rede,
necessrio que todas as placas de rede correspondentes das duas mquinas estejam
conectadas em um mesmo hub ou switch, de forma que ambos os firewalls tenham acesso
s mesmas mquinas e roteadores.
Como trabalha o sistema Cooperativo do Aker Firewall?
Antes de tudo a diferena bsica da configurao do cluster cooperativo e do failover est
vinculada licena. A licena do cluster cooperativo faz com que a convergncia de dois
firewalls com pesos iguais seja de 50% para cada um, j a licena do failover faz com que
ocorra convergncia em apenas um dos firewalls.
O que so modos UNICAST e MULTICAST do sistema Cooperativo do Aker Firewall?
No Aker Firewall em modo cooperativo, mais de um host ( os nodos do cluster) precisam
receber os mesmos pacotes, para posteriormente cada um deles possam decidir se estes
pacotes so ou no de sua responsabilidade. Como os switches no esto preparados
nativamente para isso, uma das duas tcnicas precisa ser empregada (UNICAST ou
MULTICAST).
A primeira tcnica chamada de modo unicast, implica-se em re-configurar o switch para
que ele saiba que um determinado endereo ethernet (MAC) est em duas ou mais portas
simultaneamente, significando que ele deve copiar o pacote com esse endereo destino em
todas elas, e jamais aprend-lo como estando em uma porta apenas. Nesse modo, todos os
firewalls do cluster usam o mesmo endereo MAC. O nico inconveniente desse modo que
so raros os switches que o suportam.
A segunda tcnica chamada de modo multicast, ela faz com que os firewalls de um cluster
registrem um endereo ethernet multicast em suas interfaces e respondam as chamadas de
ARP para o IP virtual com esse endereo. Se o switch no for configurado para limitar o
espalhamento de pacotes multicast, todos os pacotes destinados ao firewall sero
redistribudos em todas as portas, como se fossem pacotes broadcast.
Para fazer essa configurao, existem duas opes: faz manualmente no switch, ou ento
utiliza o protocolo IGMP, onde cada firewall anuncia ao switch que membro do grupo
multicast correspondente ao endereo escolhido. Seu switch deve suportar uma dessas
duas opes. Alm disso, existem alguns roteadores que no aprendem o endereo
multicast ethernet da resposta ARP enviada pelo firewall. Nesses casos, as entradas para o
firewall devem ser adicionadas manualmente em suas tabelas.
Existem implicaes srias de performance (flooding, por exemplo) e segurana
(requisio de associao IGMP por qualquer host da rede) no caso de cluster no modo
multicast. Todos os problemas podem ser evitados com corretas configuraes nos
935
switches. Tenha certeza que voc entende o funcionamento desse modo antes de coloc-lo
em funcionamento.
Quando o cluster estiver no ar, qualquer alterao feita nas configuraes de um firewall
por meio da Interface Remota ser replicada automaticamente para o outro firewall.
Configurao do Cluster
38.2.
Para que possa ser iniciada a configurao do Cluster, necessrio que previamente exista
uma licena de cluster e que j tenha sido aplicada no Firewall.
Para se ter acesso janela de Configurao do Cluster deve-se:
Figura 643 - Configurao do cluster.
Clicar no menu Configurao do Sistema na janela de Administrao do Firewall.

Selecionar o item Configurao do Cluster.
936
Caso o usurio opte em configurar, dever clicar no boto "sim", e automaticamente

aparecer a seguinte tela:
Figura 644 - Criar cluster.
Essa janela permite a criao de um novo cluster. O usurio dever preencher os seguintes
campos:
Nome: Nesse campo deve ser informado o nome do Firewall no cluster.
Peso: Esse campo indica o balanceamento do trfego. O administrador poder escolher o
valor mais apropriado.
Interface: Esse campo permite a escolha de uma entidade que representa uma interface de
controle do firewall. Essa entidade ser usada pelo firewall para controle do cluster.
Boto Ok: Ao trmino da escolha das opes, deve-se clicar no boto Ok. Se a licena tiver
sido aplicada anteriormente, o cluster ser habilitado, caso tenha algum problema,
aparecer uma mensagem informando que no foi possvel habilit-lo.
Se a criao do cluster tiver sido feita com sucesso a Interface Remota ser desconectada
para garantir que toda a configurao do firewall seja recarregada, assim o usurio dever
conectar novamente.
937
Caso o usurio deseje fazer alguma alterao nas configuraes do cluster criado, dever
acessar a Janela de Configurao de Cluster. Abaixo seguem as descries dos campos:
Figura 645 - Configurao do cluster configuraes gerais.
Informaes Gerais
Nessa parte da janela so mostradas informaes gerais do cluster criado.
Tipo de Cluster: Esta opo permite selecionar o tipo de cluster desejado ou desabilit-lo.
Interface de Controle: Essa informao definida na hora da criao do cluster, no
podendo ser alterada posteriormente. Todos os seus outros membros utilizaro essa
mesma entidade.
Informaes dos Membros
Nessa parte da Janela mostra todas as informaes sobre os membros do cluster.
938
Identificao: Esse campo informa o ID do Cluster. gerado aleatoriamente, no podendo

ser alterado.
Nome: Indica o nome do firewall do cluster.
Estado: Permite visualizar o status do cluster, se est ativado ou desativado
Interfaces
Nessa parte da janela permite a visualizao das caractersticas de configurao das
interfaces de rede dos membros do cluster. Essas caractersticas pertencem a todos os
membros, incluindo os ativados, desativados e os que vierem a ser includos.
Interface: Nesse componente permite adicionar uma nova interface.
IP Virtual: o IP virtual que representa as mquinas do cluster para a rede atual. Dever ser
definido apenas nos casos de cluster cooperativos.
Modo: Esse campo informa o modo como os pacotes so redistribudos dentro de um grupo
de mquinas. O modo UNICAST o padro, mas pode ser alterado para o modo Multicast
ou Multicast com IGMP.
IP Multicast : As informaes contidas nesse campo, so alteradas de acordo com o modo
indicado/escolhido, mas s poder ser editado quando for escolhido o modo multicast
IGMP.
MAC: Esse campo indica o endereo fsico da placa de rede. Pode ser informado quando o
modo escolhido for o Multicast. Caso no seja especificado o cluster, vai ser utilizado o
endereo que consta na placa, se for escolhido o modo Multicast IGMP o MAC no ser
configurado, ou seja, no poder ser editado.
A opo de adicionar um IP virtual s vlida quando se tratar de cluster cooperativo.
Observao: Deve haver no mnimo um membro ativo.
Janela Adicionar Membro
Nessa janela pode-se incluir um novo membro do cluster. Para inclu-lo, clique com o boto
direito do mouse no componente que mostra as informaes dos membros. Clique no boto
adicionar Membro
, a janela a seguir ser exibida:
939
Figura 646 - Configurao do cluster: Adicionar membro.
Nessa janela se preenche todas as informaes do firewall que ser adicionado ao cluster.
Abaixo segue a descrio dos campos:
Informao da conexo
IP: o endereo da interface de controle a ser adicionada no cluster.
Usurio: Usurio de administrao do firewall.
Senha: Senha do usurio administrador do firewall.
Informao do Firewall
Nome: Nome do Firewall no cluster
Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum.
Mestre: Requisita que durante a primeira convergncia, esta seja a mquina Mestre,
que a maquina ativa que tratar as requisies
940
Escravo: Requisita que durante a primeira convergncia esta mquina seja Escravo,
que um n que ser ativado apenas se a estao mestre cair.
Nenhum: As maquinas iro decidir entre elas quem deve ser a estao mestre e qual
estao ser escravo.
O membro do cluster, tambm pode ser includo por meio do cone

de ferramentas.
presente na barra
Estatstica do Cluster
38.3.
A janela de estatstica do Cluster permite a visualizao das informaes de cada n do

cluster.
Para se ter acesso janela de Estatstica do Cluster deve-se:
Figura 647 - Estatsticas do cluster.
Clicar no menu Informao na janela de Administrao do Firewall.

Selecionar o item Estatstica do Cluster.
941
Aba Firewall 1
A janela possui dois tipos de informaes: as informaes estticas se referem ao nome do
nodo, o identificador e o peso. As outras informaes que constam na janela so estatsticas
do trfego de redes que permite, por exemplo, a visualizao da quantidade de pacotes
trafegados na rede.
Os valores so acumulativos, a cada segundo os dados so somados ao valor anterior.
Figura 648 - Estatsticas do cluster: Firewall 1.
Aba Grfico
Esta janela permite a visualizao grfica das informaes referentes ao tratamento dado
aos pacotes dos nodos que passam pelo Firewall. Esse grfico permite a visualizao de at
8 nodos.
As informaes do trfego de cada nodo so mostradas em porcentagem. Esta aba possui
vrios tipos de filtros, permitindo ao usurio, para uma eventual comparao de dados,
filtrar informaes em percentual, das atividades de cada firewall.
942
Figura 649 - Estatsticas do cluster: Grfico.
38.4.
Configurando um cluster coorporativo
Para iniciar a configurao de um Cluster Cooperativo no Aker Firewall ser considerado a

permisso que os equipamentos j esto devidamente instalados, ou seja, com licenas
aplicadas, configuraes TCP/IP efetuadas e todas as interfaces cadastradas.
Deve-se conectar ao Firewall via Aker Control Center, e ir janela Configuraes do

Sistema e escolher a opo Configurao do Cluster, conforme imagem a seguir:
943
Figura 650 - configurao do Cluster.
Aps clicar na aba Configurao do Cluster ser aberta uma janela mostrando a seguinte
mensagem Voc mo tem um cluster configurada. Deseja criar um agora ?.
Figura 651 - Criar Cluster.

Selecione a opo Sim e ser aberta uma nova janela de configurao:
944
Figura 652 - Preenchimento dos campos para criar cluster.
A seguinte tela deve ser preenchida:
Nome: ser o nome do equipamento;

Peso: ele ir definir qual o balanceamento de trfego que melhor se encaixe a sua
rede;
Interface: Esse campo permite a escolha de uma entidade que representa uma
interface de controle do firewall. Essa entidade ser usada pelo firewall para
controle do cluster.
Hierarquia: selecione a opo Nenhum.
945
Segue o exemplo de configurao abaixo:
Figura 653 Exemplo: criar cluster.
Com todas as informaes preenchidas, clicar no boto OK.

Ser aberta uma janela informando: A nova configurao do cluster foi aplicada com
sucesso!. clicar no boto OK.
Figura 654 - Mensagem de configurao realizada com sucesso.
Clicar no boto OK, em seguida, aparecer uma popup informando que voc ser
desconectado para recarregar as novas configuraes.
946
Figura 655 Mensagem que o usurio ser desconectado para as configuraes serem recarregadas.
Clicar no boto OK. Conecte novamente via Control Center, v em Configuraes do Sistema,
clique em Configurao do Cluster e na opo Tipo de Cluster selecione a opo Cluster
Cooperativo e clique no boto Aplicar.
Figura 656 - Escolha do cluster corporativo.
947
Ser aberta uma janela informando que ao mudar o tipo de cluster, necessrio reiniciar o
servidor.
Figura 657 - Pop-up informando que ao mudar o tipo de cluster ser realizado um reincio do servidor.
Clique no boto Sim e aguarde o servidor ser reiniciado.

Conecte novamente via Control Center, v em Configuraes do Sistema e selecione a
opo Configurao do Cluster e na janela de Interfaces, clique com o boto direito no
espao em branco e adicione as Interfaces cadastradas conforme figura a seguir:
948
Figura 658 - Configurao do Cluster.

Clique com o boto direito sobre cada uma das interfaces cadastradas e selecione a opo
Multicast conforme a figura a seguir:
Figura 659 - Escolha Multicast.
949
Agora clique na opo IP Virtual e selecione a entidade referente ao ip virtual da rede em

que se encontra a placa que est sendo configurada:
Figura 660 - Adicionar entidades.
950
Aps esse procedimento, acesse o servidor via SSH e colete o endereo MAC das interfaces:
Figura 661 - Acesso ao servidor SSH.
Copie os quatro ltimos octetos do endereo MAC de cada interface que nesse caso
17:C6:4E:65 para cadastrar na configurao de cluster.
Na Control Center v em Configurao do Sistema, em Configurao do Cluster, clique
com o boto direito em cima da opo MAC da interface e cadastre todos os MAC de
acordo com a Interface que est sendo configurada de forma que fique configurado.
Figura 662 - Cadastro de MAC.
Repita todo o procedimento em todos os outros servidores que iro participar do Cluster
Cooperativo, tomando cuidado para no repetir os nomes dos servidores.
Aps esse procedimento para confirmar a montagem do cluster, conecte via Aker Control
Center v em Configurao do Sistema e abra a janela Configurao do Cluster:
951
Figura 663 - Cluster cooperativo montado.
Aps esse procedimento, o Cluster Cooperativo est montado.
952
38.5.
Utilizando a Interface Texto (via SSH-fwcluster)
A utilizao da Interface Texto (via SSH) na configurao da tolerncia s falhas bastante

simples.
Localizao do programa: /aker/bin/firewall # fwcluster
/aker/bin/firewall # fwcluster
Aker Firewall
Uso: fwcluster [ajuda | mostra]
fwcluster tipo <off | failover | ha | coop>
fwcluster interface_controle <if>
fwcluster peso <peso>
fwcluster nome <nome>
fwcluster <habilita | desabilita> [master / slave] [ -f ]
fwcluster <inclui | remove> <if> <maquina> [ -f ]
fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast]
fwcluster limpa [ -f ]
(!) onde:
if : entidade interface
peso : peso desta maquina no cluster
maquina : endereo IP virtual a remover ou incluir (entidade maquina)
master : argumento opcional que indicara essa maquina a ser master
slave : argumento opcional que indicara essa maquina a ser slave
-f : argumento opcional que forca a aplicao da configurao mesmo
com a control center autenticada
Exemplo 1: (mostrando a configurao)
A segui um exemplo da topologia de uma rede com trs firewalls em cluster e duas redes
(rede 192 e rede 10).
953
Figura 664 - Interface Texto (via SSH) exemplo 1: mostrando a configurao da interface.
Antes que se inicie a montagem do cluster, primeiramente devem ser cadastradas todas as
interfaces, lembrando que diferente do cluster no firewall 4.5, aqui todos os firewalls
possuem endereos ip diferentes.
Exemplos: Firewall A - rl0 - if_externa - 10.0.0.1 Firewall B - rl0 - if_externa - 10.0.0.2
rl1 - if_interna - 192.168.1.1 rl1 - if_interna - 192.168.1.2
rl2 - if_controle - 172.16.0.1 rl2 - if_controle - 172.16.0.2
Firewall C rl0 - if_externa - 10.0.0.3
rl1 - if_interna - 192.168.1.3
rl2 - if_controle - 172.16.0.3
Em seguida crie uma entidade virtual para cada uma das placas, exceto para a interface de
controle, essas entidades tero valor igual para todos os firewalls do cluster.
Exemplos: Firewall A - externa_firewall (ip 10.0.0.4) Firewall B - externa_firewall (ip 10.0.0.4)
interna_firewall (ip 192.168.1.4) interna_firewall (ip 192.168.1.4)
Firewall C - externa_firewall (ip 10.0.0.4)
interna_firewall (ip 192.168.1.4)
Para iniciar a configurao do cluster, crie primeiro a interface de controle:
/aker/bin/firewall/fwcluster interface_controle interface_cadastrada
Depois inicie o cadastro de cada uma das interfaces participantes do firewall:
/aker/bin/firewall/fwcluster inclui interface_cadastrada mquina_virtual_cadastrada
954
Defina o peso de cada Firewall, se no for definido, por padro ser aplicado peso 1 para
todos:
/aker/bin/firewall/fwcluster peso numero_do_peso
Aps aplicar todas essas configuraes em todos os firewalls participantes, habilite o cluster
em cada um deles:
/aker/bin/firewall/fwcluster habilit
As mquinas do cluster no precisam ser iguais, mas as placas de rede sim.
Para o cluster failover utilize apenas 2 firewalls, j que apenas um responder por todo o
trfego.
O n Master sempre ser o n que possuir o maior nmero de IDS (no possvel visualizar o
IDS) das configuraes, ou seja, o n com menor nmero ser o n Slave e o n com maior nmero
ser o Master.
955
956
Este captulo mostra onde esto localizados e para que so usados os arquivos que fazem
parte do Aker Firewall.
Arquivos do Sistema
39.1.
Neste tpico sero mostrados quais so e onde se localizam os arquivos do sistema. Isto
muito importante na hora de fazer os backups ou para diagnosticar possveis problemas de
funcionamento.
rvore de diretrios
/aker/bin/firewall - contm programas executveis e sub-diretrios

/aker/ config /firewall/x509 - contm os arquivos correspondentes aos certificados
X.509
/aker/bin/firewall/httppd - contm a raiz do sistema de arquivos do servidor local HTTP
do Filtro Web. No remova os arquivos j presentes neste diretrio.
/aker/config/firewall - contm os arquivos de configurao do firewall
/aker/bin/firewall/snmpd - contm o agente SNMP
/var/log - contm os arquivos de log e eventos do Aker Firewall
/var/spool/firewall - usado pelos proxies SMTP e POP3 para armazenar as mensagens a
serem enviadas
Programas executveis
Programas que podem ser executados pelos administradores do Aker Firewall
/aker/bin/firewall/fwadmin - Interface Texto (via SSH) para administrao de usurios

/aker/bin/firewall/fwaction - Interface Texto (via SSH) para configurao das aes do
sistema
/aker/bin/firewall/fwblink - Interface Texto (via SSH) para configurao do
balanceamento de links
/aker/bin/firewall/fwkey - Interface Texto (via SSH) para configurar chave de ativao
do sistema
/aker/bin/firewall/fwcluster - Interface Texto (via SSH) para a configurao da
tolerncia a falhas
/aker/bin/firewall/fwcripto - Interface Texto (via SSH) para configurao da criptografia
e autenticao <>
/aker/bin/firewall/fwedpwd - Interface Texto (via SSH) para configurao das bases de
dados para autenticao local
/aker/bin/firewall/fwent - Interface Texto (via SSH) para a criao de entidades
957
/aker/bin/firewall/fwflood - Interface Texto (via SSH) para configurao da proteo

contra SYN flood
/aker/bin/firewall/fwids - Interface Texto (via SSH) para a configurao do suporte a
agentes de deteco de intruso
/aker/bin/firewall/fwaccess - Interface Texto (via SSH) para a configurao das
associaes de perfis de acesso
/aker/bin/firewall/fwlist - Interface Texto (via SSH) para acesso s conexes e sesses
de usurios ativos
/aker/bin/firewall/fwlog - Interface Texto (via SSH) para acesso ao log e aos eventos do
firewall
/aker/bin/firewall/fwmaxconn - Interface Texto (via SSH) para configurao do controle
de flood
/aker/bin/firewall/fwnat - Interface Texto (via SSH) para a configurao da converso
de endereos (NAT)
/aker/bin/firewall/fwpar - Interface Texto (via SSH) para configurao dos parmetros
gerais
/aker/bin/firewall/fwrule - Interface Texto (via SSH) para configurao do filtro de
pacotes inteligente
/aker/bin/firewall/fwipseccert - Interface Texto (via SSH) para a gerncia dos
certificados X.509 necessrios criptografia IPSEC.
/aker/bin/firewall/fwstat - Interface Texto (via SSH) para a configurao e visualizao
das estatsticas do Firewall.
/aker/bin/common/akinterface - Interface Texto (via SSH) para a configurao das
interfaces de rede do Firewall.
/aker/bin/firewall/fwauth - Interface Texto (via SSH) para a configurao dos
parmetros globais de autenticao do Firewall.
/aker/bin/firewall/akddns Interface Texto (via SSH) para configurao do cliente
DDNS.
/aker/bin/firewall/fwadvroute Interface Texto (via SSH) para configurao de
roteamento avanado.
/aker/bin/firewall/fwedpwd - Interface Texto (via SSH) para configura usurios do
autenticador local do firewall.
/aker/bin/firewall/akhwsig Imprime na tela a chave de hardware do BOX.
/aker/bin/firewall/fwl2tp Interface Texto (via SSH) para configurar a vpn L2TP;
/aker/bin/firewall/fwpptpsrv - Interface Texto (via SSH) para configurar a vpn PPTP;
/aker/bin/firewall/fwlic Imprime na tela informaes sobre a utilizao de licena
limitada por ip.
/aker/bin/firewall/fwpacket Interface Texto (via SSH) para coleta de dumps no Aker
Firewall.
/aker/bin/firewall/fwportscan Interface Texto (via SSH) para configurar o filtro de
deteco de portscan.
/aker/bin/firewall/fwver Imprime a verso e a data de compilao dos arquivos do
Firewall.
Programas que NO devem ser executados diretamente pelo administrador
958
/aker/bin/firewall/2.6.x/aker_firewall_mod-xxxx.o - Mdulo carregvel do kernel com

o firewall (apenas no Linux)
/aker/bin/firewall/fwauthd - Servidor de autenticao de usurios
/aker/bin/firewall/fwcardd - Mdulo de validao de certificados X.509 para smart
cards
/aker/bin/firewall/fwconfd - Servidor de comunicao para a interface remota
/aker/bin/firewall/fwcrld - Mdulo de download de CRLs das autoridades certificadoras
ativas
/aker/bin/firewall/fwcryptd - Servidor de criptografia para clientes
/aker/bin/firewall/fwdnsd - Servidor de resoluo de nomes (DNS) para a interface
remota
/aker/bin/firewall/fwidsd - Programa de comunicao com agentes de deteco de
intruso
/aker/bin/firewall/fwinit - Programa de inicializao do Aker Firewall
/aker/bin/firewall/fwftppd - Proxy FTP transparente
/aker/bin/firewall/fwgkeyd - Servidor de gerao de chaves de criptografia
/aker/bin/firewall/fwhttppd - Proxy HTTP transparente e Filtro Web no transparente
/aker/bin/firewall/fwheartd - Servio de controle do cluster
/aker/bin/firewall/fwhconfd - Servio de configurao distribuda do cluster
/aker/bin/firewall/fwgenericstd - Servio de coleta de informao distribuda do cluster
/aker/bin/firewall/fwstconnd - Servio de replicao de conexes do cluster
/aker/bin/firewall/fwlinkmond - Servio de monitoramento de links
/aker/bin/firewall/fwdlavd - Servio de anti-vrus web
/aker/bin/firewall/fwmachined - Servio de coleta de informaes de performance
/aker/bin/firewall/fwpmapd - Proxy RPC transparente
/aker/bin/firewall/fwlkeyd - Servidor de certificados de criptografia
/aker/bin/firewall/fwmond - Mdulo de monitoramento e reinicializao dos processos
do firewall
/aker/bin/firewall/fwnatmond - Mdulo de monitoramento de mquinas para o
balanceamento de carga
/aker/bin/firewall/fwprofd - Servidor de login de usurios
/aker/bin/firewall/fwrapd - Proxy Real Player transparente
/aker/bin/firewall/fwrtspd - Real Time Streaming Protocol proxy
/aker/bin/firewall/fwsocksd - Proxy SOCKS no transparente
/aker/bin/firewall/fwsmtppd - Proxy SMTP transparente
/aker/bin/firewall/fwpop3pd - Proxy POP3 transparente
/aker/bin/firewall/fwlogd - Servidor de log, eventos e estatsticas
/aker/bin/firewall/fwscanlogd - Servidor de pesquisa de log, eventos e estatsticas
/aker/bin/firewall/fwsyncd - Processo de gerao de sementes de criptografia e
sincronia
/aker/bin/firewall/fwtelnetd - Proxy telnet transparente
/aker/bin/firewall/fwtrap - Mdulo de envio de traps SNMP
/aker/bin/firewall/fwurld - Mdulo de anlise e checagem de permisso de acesso a
URLs
/aker/bin/firewall/fwiked - Mdulo de negociao de chaves para criptografia IPSEC
(protocolo IKE)
/aker/bin/firewall/fwtunneld - Secure Roaming Server para Firewall
959
/aker/bin/firewall/libaker.so - Biblioteca genrica do firewall

/aker/bin/firewall/libconfd.so - Biblioteca de configurao do firewall
/aker/bin/firewall/snmpd/snmpd - Agente SNMP
/aker/bin/firewall/corr.fw - Contm o nvel de correo aplicado
/aker/bin/firewall/fwadmkeys - Gerador de chaves RSA.
/aker/bin/firewall/fwapply - Auxilia aplicao de patches.
/aker/bin/firewall/fwarpd - Resposta de solicitaes ARP.
/aker/bin/firewall/fwdcerpcd Proxy DCE-RPC.
/aker/bin/firewall/fwdeepd Mdulo de IPS/IDS e filtro de aplicativos;
/aker/bin/firewall/fwh2250pd - Proxy H.323.
/aker/bin/firewall/fwh245pd - Proxy H.323.
/aker/bin/firewall/fwhwid - Processo que cria o identificador nico da mquina.
/aker/bin/firewall/fwmsnd Proxy MSN.
/aker/bin/firewall/fwpptpd Mdulo que permite as conexes PPTP passem por
converso de endereo.
/aker/bin/firewall/fwpptpradiusd Mdulo de autenticao da VPN LPPTP
/aker/bin/firewall/fwpscand Mdulo de deteco de PORTSCAN.
/aker/bin/firewall/fwquotad Mdulo de controle das Quotas.
/aker/bin/firewall/fwreportd Mdulo gerador de relatrios.
/aker/bin/firewall/fwrollback Auxilia no rollback de patchs.
/aker/bin/firewall/fwsipd Proxy SIP.
/aker/bin/firewall/fwsslpd Mdulo da VPN SSL e Proxy SSL.
/aker/bin/firewall/fwtraind Mdulo para treinamento de e-mails de o Aker Spam
Meter.
/aker/bin/firewall/fwtunneldpt.qm - Arquivo de traduo
/aker/bin/firewall/fwupdatepatchhis - Auxilia gesto de patches.
/aker/bin/firewall/fwzebrad Mdulo de roteamento avanado, OSPF e RIP.
/aker/bin/firewall/fwvlan Mdulo de criao de VLAN 802.1q.
/aker/bin/firewall/hostapd_run.sh - Inicia o comando hostapd.
/aker/bin/firewall/l2tpns Mdulo da VPN L2TP;
/aker/bin/firewall/libh323.so.1.0.0 - Biblioteca de suporte ao proxy H.323.
/aker/bin/firewall/nsctl - Auxilia o l2tpns.
/aker/bin/firewall/rc.aker - Iniciador padro do Firewall.
/aker/bin/firewall/rpt_files - Arquivos de relatrio
/aker/bin/firewall/squid - Arquivos de cache
/aker/bin/firewall/strings - Auxilia fwver.
Arquivos de Log, Eventos e Estatsticas
/var/log/fw-650-AAAAMMDD.fwlg - Armazena os logs do firewall do dia DD/MM/YYYY

/var/log/fw-650-AAAAMMDD.fwev - Armazena os eventos do firewall do dia
DD/MM/YYYY
/var/log/stat-650-AAAAMMDD.fws - Armazena as estatsticas do firewall do dia
DD/MM/YYYY
960
961
Este captulo mostra os comandos que podem ser utilizados no shell do Aker Firewall Box.
O Aker Firewall Box

O Aker Firewall Box composto por um sistema integrado de hardware e software. A
grande vantagem dessa plataforma que ela dispensa maiores conhecimentos de sistemas
operacionais. Alm disso, por no possuir disco rgido e por ser formada por um hardware
industrial, a plataforma apresenta potencialmente maior resistncia contra danos,
especialmente picos de energia, o que acaba por possibilitar um funcionamento ainda mais
estvel.
O Firewall BOX est disponvel em diversos modelos, que visam atender as necessidades de
pequenas, mdias e grandes empresas.
A lista completa dos modelos disponveis frequentemente atualizada e est disponvel em:
http://www.aker.com.br
Como funciona o shell do Aker Firewall Box?
Ao conectar-se um terminal serial comum configurado a 9600 bps porta serial
correspondente no Aker Firewall Box, ser possvel utilizar a interface de linha de comando
do mesmo, isto , seu shell.
Ao se realizar esse procedimento, primeiro ser necessrio apertar a tecla Enter at que
aparea o pedido de senha, que inicialmente '123456'. Entrando-se corretamente a senha,
o prompt seguinte aparecer: Aker >
Caso tenha perdido a senha de acesso local ao Aker Firewall Box, deve-se entrar em contato
com o suporte tcnico, para realizar o procedimento de reset da mesma.
No prompt do shell, podem ser digitados todos os comandos normais do Aker Firewall,
conforme documentados nos tpicos relativos Interface Texto (via SSH) de cada captulo.
Alm desses, existem comandos especficos ao firewall box que esto documentados a
seguir.
possvel digitar os comandos do firewall no shell sem o prefixo fw, isto , ent ao invs de
fwent.
Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmente apertar as
teclas Ctrl + D.
962
Comandos especficos do Aker Firewall Box

Comando
quit
exit
Descrio
Encerram a sesso de administrao no shell
Comando
help
?
Descrio
Mostram uma tela com a lista de comandos vlidos
Comando
shutdown
Descrio
Paralisa o firewall, para que ele possa ser desligado
Comando
reboot
Descrio
Reinicia o firewall
Comando
ping [-c n_pkt] [-i interv] ip_destino
Descrio
Envia pacotes ping para e espera a resposta do hosts ip_destino

A opo -c especifica o nmero de pacotes a ser enviados
A opo -i especifica o intervalo de transmisso entre os pacotes em
milissegundos (ms)
Comando
password
Descrio
Troca senha de acesso ao console do firewall
963
Comando
date <mostra> | <dd/mm/aaaa>
Descrio
Com o parmetro mostra , informa

Seno, acerta a data para a informada.
data
do
sistema.
Comando
time <mostra> | <hh:mm[:ss]>
Descrio
Com o parmetro mostra , informa hora

Seno, acerta o relgio para o horrio informado.
do
sistema.
964
965
A evoluo tecnolgica traz confortos e tambm cobranas. comum ouvirmos pessoas querendo
que o dia tivesse mais horas e a semana, mais dias. Com esta evoluo, a velocidade com que as
informaes chegam tambm cresceu a passos largos, criando nas pessoas a necessidade de estar
sempre a par dos acontecimentos, quase que na mesma velocidade em que eles acontecem.
Normalmente, as pessoas que mais sentem o impacto destes acontecimentos so os executivos e
profissionais que precisam ausentar-se com frequncia de seus locais de trabalho, j que em vrias
vezes ser necessrio tomar decises estratgicas, sem contar com ferramentas de apoio para
auxili-lo.
Esta prerrogativa motivou a Aker Security Solutions a desenvolver o Aker Client, ferramenta segura
e robusta, focada na necessidade de oferecer ao cliente uma soluo capaz de encurtar distncias
de maneira rpida, sem que isto represente uma vulnerabilidade para a empresa.
Com interface amigvel e de fcil utilizao, o Aker Client permite que um usurio remoto possa
acessar a rede de sua empresa, de onde quer que esteja com a mesma comodidade que teria se
estivesse em seu local de trabalho, utilizando uma conexo segura atravs da Internet sob a forma
de uma VPN. Em outras palavras o uso do Aker Client permite que, mesmo a vrios quilmetros de
distncia, os recursos para executar as tarefas dirias, sejam elas corriqueiras ou estratgicas,
estejam disponveis sempre que for preciso permitindo que qualquer usurio esteja mais prximo
das informaes que necessita para executar seu trabalho de maneira segura e eficiente.
Com o Aker Client, a sensao experimentada pelo usurio a de que sua mquina foi virtualmente
transportada para dentro da rede corporativa, como se ele realmente estivesse nas dependncias
fsicas da empresa, compartilhando switches, impressoras e outros recursos fsicos e lgicos. A
criao de perfis de acesso possibilita um maior controle no fluxo das informaes que passam pelo
tnel, permitindo que o Administrador possa identificar e contornar o uso indevido dos recursos
oferecidos.
Figura 665 - Esquema de funcionamento do Aker Client
966
Por ser a pea-chave na criao do canal encriptado que far a ponte entre a mquina do cliente e
o servidor colocado na rede interna, a preocupao com a segurana oferecida durante a
transmisso de dados deve ser maximizada, sem que isso comprometa a qualidade e facilidade de
uso da ferramenta. A segurana implementada no Aker Client agrega chaves de 256 bits,
autenticao de usurios e outros algoritmos de criptografia reconhecidos no mercado pela
robustez e dificuldade de quebra de segredo.
A ferramenta est dividida em dois componentes distintos: do lado da empresa, o Secure Roaming
do Firewall Aker permanece escutando a rede em tempo integral espera de novas conexes, a fim
de viabilizar a criao do tnel quando solicitado. J do lado do usurio, a conexo com o servidor
estabelecida atravs do Aker Client, mdulo de fcil configurao que introduz os parmetros
necessrios para que o cliente possa negociar com o servidor a criao do tnel e trfego dos
dados, sempre que necessrio.
Todas estas caractersticas fazem do Aker Client uma ferramenta totalmente segura e confivel,
ideal para as empresas que desejam qualidade e confiana na hora de disponibilizar aos seus
funcionrios um produto capaz de prover uma soluo de conexo ao mesmo tempo simples e
eficiente.
41.1.
Autenticao
Atualmente, existe um grande aumento da dependncia de sistemas de computador em quase

todos os aspectos dos negcios, comrcio e educao, e por isso muitas empresas esto confiando
na efetividade de seus sistemas para terem sucesso. A preocupao com a segurana de
computadores significa que, apenas pessoas autorizadas podero acessar as informaes
armazenadas nos sistemas.
O crescimento das redes abertas fez com que surgissem vrios problemas de segurana, que vo
desde o roubo de senhas e interrupo de servios at problemas de personificao, onde uma
pessoa faz-se passar por outra para obter acesso privilegiado.
Com isso, surgiu a necessidade de autenticao, que consiste na verificao da identidade tanto dos
usurios quanto dos sistemas e processos.
Para possibilitar que o firewall saiba exatamente quais usurios esto utilizando quais mquinas, o
Aker Client deve ser instalado em todas as mquinas nas quais se pretende utilizar o controle de
acesso por usurio. Este programa, que funciona de forma totalmente transparente para os
usurios finais, intercepta o logon destes usurios no domnio ou solicita uma nova autenticao
caso esteja utilizando autenticao por token, smart cards ou mesmo usurio e senha, enviando
esses dados de forma criptografada para o firewall. O firewall, ento, valida os dados recebidos
utilizando seus agentes de autenticao, autenticadores token ou autoridades certificadoras e, caso
o usurio tenha sido validado corretamente, estabelece uma sesso para o usurio validado a partir
da mquina na qual ele estabeleceu a sesso.
967
41.2.
VPN
A evoluo tecnolgica traz confortos e tambm cobranas. comum ouvirmos pessoas querendo
que o dia tivesse mais horas e a semana, mais dias. Com esta evoluo, a velocidade com que as
informaes chegam tambm cresceu a passos largos, criando nas pessoas a necessidade de estar
sempre a par dos acontecimentos, quase que na mesma velocidade em que eles acontecem.
Normalmente, as pessoas que mais sentem o impacto destes acontecimentos so os executivos e
profissionais que precisam ausentar-se com frequncia de seus locais de trabalho, j que em vrias
vezes ser necessrio tomar decises estratgicas, sem contar com ferramentas de apoio para
auxili-lo.
Com o Aker Client, a sensao experimentada pelo usurio a de que sua mquina foi virtualmente
transportada para dentro da rede corporativa, como se ele realmente estivesse nas dependncias
fsicas da empresa, compartilhando switches, impressoras e outros recursos fsicos e lgicos. A
criao de perfis de acesso possibilita um maior controle no fluxo das informaes que passam pelo
tnel, permitindo que o Administrador possa identificar e contornar o uso indevido dos recursos
oferecidos. Isso tudo possvel por causa da VPN (Virtual Private Network) que um canal privado
que interliga dois pontos, atravs da formao de um tnel virtual entre eles, utilizando para isso a
infraestrutura de uma rede pblica j existente para o trfego de dados.
Mas por que falar sobre VPNs? O bom entendimento deste conceito e de outros que esto
relacionados a ele sero de fundamental importncia na compreenso do funcionamento do Aker
Client, j que a ferramenta baseia-se justamente na implementao destes conceitos e facilidades.
As VPNs surgiram da necessidade de baratear e facilitar a interconexo de empresas com suas filiais
e parceiros em pontos remotos, tendo em vista que estas expanses sempre esbarraram nos custos
envolvidos na manuteno de linhas privadas de dados e dos equipamentos necessrios para
garantir a comunicao de um ponto a outro.
Como consequncia ao crescimento da Internet, houve uma grande melhoria na qualidade dos
servios, implantao de novos backbones, aumento nas velocidades de transmisso e baixa
acentuada nos custos. Este crescimento acabou contribuindo tambm para a expanso no uso das
VPNs, pois mais fcil aproveitar uma boa estrutura j existente para interligar diversos pontos do
que partir do incio e criar outra, totalmente nova.
Alm do crescimento da Internet, diversos fatores contriburam para a adoo do uso das VPNs
como soluo de interconexo corporativa: a escalabilidade e o leque de servios que podem ser
implementados, aliados ao menor custo de manuteno, podem ser considerados os de maior peso
j que assim fica mais fcil acomodar o crescimento da rede interna, independente do porte da
empresa, e integrar outros servios, conforme a necessidade.
Apesar destas facilidades necessrio levar em considerao que a Internet uma rede pblica
no confivel e qualquer pessoa pode capturar os pacotes de dados e obter acesso a informaes
confidenciais e estratgicas. Esta caracterstica torna necessria a utilizao de meios que garantam
a inviolabilidade dos dados que trafegarem pelo tnel, possibilitando conexes seguras entre as
entidades envolvidas. A maneira mais confivel de fornecer esta segurana combinando
968
diferentes tcnicas, como algoritmos de criptografia, mecanismos de autenticao e trocas de

chaves, a fim de atingir um alto nvel de confiana.
Levando em conta estas premissas e as vantagens no uso das VPNs como soluo de interligao
corporativa, a Aker desenvolveu uma ferramenta capaz de viabilizar este acesso de maneira segura
e confivel. Com o Aker Client o usurio pode acessar a rede de sua empresa, de onde quer que
esteja com a mesma comodidade e eficincia que teria se estivesse fisicamente em seu local de
trabalho.
Por ser a pea-chave na criao do canal encriptado que far a ponte entre a mquina do cliente e
o servidor colocado na rede interna, a preocupao com a segurana oferecida durante a
transmisso de dados deve ser maximizada, sem que isso comprometa a qualidade e facilidade de
uso da ferramenta. A segurana implementada no Aker Client agrega chaves de 256 bits,
autenticao de usurios e outros algoritmos de criptografia reconhecidos no mercado pela
robustez e dificuldade de quebra de segredo.
A ferramenta est dividida em dois componentes distintos: do lado da empresa, o Secure Roaming
do Firewall Aker permanece escutando a rede em tempo integral espera de novas conexes, a fim
de viabilizar a criao do tnel quando solicitado. J do lado do usurio, a conexo com o servidor
estabelecida atravs do Secure Roaming no Aker Client, mdulo de fcil configurao que introduz
os parmetros necessrios para que o cliente possa negociar com o servidor a criao do tnel e
trfego dos dados, sempre que necessrio.
Figura 666 Esquema de funcionamento do Secure Roaming no Aker Client.
Todas estas caractersticas fazem do Aker Client uma ferramenta totalmente segura e confivel,
ideal para as empresas que desejam qualidade e confiana na hora de disponibilizar aos seus
funcionrios um produto capaz de prover uma soluo de conexo ao mesmo tempo simples e
eficiente.
Este manual foi desenvolvido de maneira a abordar os conceitos necessrios para o bom
entendimento do produto, ensinando como a ferramenta deve ser configurada, a fim de obter
melhor desempenho em sua utilizao. Assim, no Captulo 1 entraremos em mais detalhes sobre o
969
que VPN e quais os principais conceitos envolvidos. O Captulo 2 trata de Criptografia, sua
importncia e principais algoritmos utilizados.
J no Captulo 4 faremos um passo-a-passo relativo instalao do Aker Client em ambientes
Windows e Linux. O captulo 5 trata da configurao do Aker Client.
Recomenda-se que este manual seja lido por completo, na ordem apresentada, pelo menos uma
vez, e que seja utilizado como referncia sempre que for necessrio esclarecer dvidas acerca da
utilizao e configurao de quaisquer um dos mdulos.
VPN
As VPNs so redes virtuais que permitem o estabelecimento de canais privados de comunicao
entre dois pontos distintos, utilizando para isso toda a estrutura j previamente criada de uma rede
pblica. Desta maneira, possvel a uma empresa utilizar e disponibilizar um amplo leque de
servios a preos mais competitivos j que so reduzidos os custos com links dedicados e
equipamentos em geral.
Para a implantao de uma VPN, normalmente utilizada a estrutura de uma rede pblica j
existente, como a Internet, mas o acesso tambm pode ser feito atravs do uso de backbones de
empresas que prestam este tipo de servio. Neste caso, h garantia de maior qualidade no servio
prestado, mas ao mesmo tempo ocorre uma ligeira elevao no custo final. Devido ao grande
alcance que a Internet possui, este costuma ser o caminho mais adotado. Ainda assim,
independente da estrutura escolhida, possvel encurtar distncias, fazendo com que as empresas
possam expandir sua rea de atuao de maneira mais efetiva.
No entanto, apesar da Internet ser um meio de grande alcance, deve-se garantir que os dados que
trafeguem por um tnel no sejam interceptados, conhecidos ou mesmo alterados. Por este
motivo, uma VPN deve garantir a Confidencialidade, Integridade e Autenticidade dos dados.
Confidencialidade: tendo em vista que estaro sendo utilizados meios pblicos de
comunicao, a tarefa de interceptar uma sequncia de dados relativamente simples.
imprescindvel que os dados que trafeguem sejam absolutamente privados, de forma que, mesmo
que sejam capturados, no possam ser entendidos.
Integridade: na eventualidade dos dados serem capturados, deve-se garantir que estes no
sejam adulterados e reencaminhados, de tal forma que quaisquer tentativas nesse sentido no
tenham sucesso, permitindo que somente dados vlidos sejam recebidos pelas aplicaes
suportadas pela VPN.
Autenticidade: somente usurios e equipamentos que tenham sido autorizados a fazer parte
de uma determinada VPN que podem trocar dados entre si, ou seja, um elemento de uma VPN
somente reconhecer dados originados por um segundo elemento que seguramente tenha
autorizao para fazer parte da VPN.
A escolha para o transporte dos dados normalmente recai sobre a Internet. No entanto por ser uma
rede pblica, mais simples interceptar os dados que trafegam por ela e, por isso, torna-se
970
necessrio garantir que mesmo sendo interceptados, os dados no podero ser acessados por
pessoas que no estejam autorizadas a conhecer seu contedo. Para garantir a confidencialidade e
inviolabilidade dos dados deve-se implementar tcnicas de criptografia a fim de garantir que os
dados trafeguem seguramente pelo canal.
41.3.
Tunelamento
O tunelamento uma tcnica na qual um canal virtual gerado atravs da rede de comunicao
para permitir o trfego de dados entre dois pontos distintos. Nesta tcnica os dados so
encapsulados e criptografados na entrada do tnel, e quando chegam ao final, so convertidos ao
formato original tornando o acesso ao seu contedo novamente possvel. A aplicao da
criptografia garante que durante o transporte por uma rede no confivel, os dados estejam
inacessveis mesmo que sejam interceptados.
H dois tipos de tneis: os estticos e os dinmicos. Se o tnel criado apenas quando h
necessidade e finalizado quando o trfego de dados torna-se desnecessrio, chamado dinmico.
J os tneis estticos permanecem ativos por um perodo maior de tempo, com uso constante do
canal de dados. Por este motivo costumam ser mais utilizados na interligao entre empresas.
Como, na maioria dos casos os meios de transmisso no ficam alocados o tempo inteiro, ocorre
uma utilizao mais racional dos recursos disponveis, pois com o fechamento de tneis
desnecessrios os meios de transmisso ficam livres para que outros usurios tambm possam
aloc-los quando necessrio.
Figura 667 - Dados encriptados passando pelo tnel virtual atravs de uma rede pblica
Para poder trafegar pelo tnel, os dados devem ser encapsulados na origem e desencapsulados no
destino. Encapsular um dado significa acrescentar ao pacote original um cabealho que contenha as
informaes de criptografia e roteamento necessrias para que ele possa chegar ao seu destino e
ser desencapsulado de maneira correta. A estes dados encapsulados, dado o nome de payload.
Os protocolos utilizados no encapsulamento operam na camada 2 (rede) ou 3 (enlace) do Modelo
OSI, podendo ser utilizados protocolos de mesma camada ou de camadas diferentes sendo que,
neste caso, o protocolo de nvel mais baixo deve encapsular o de nvel mais alto. No caso dos
protocolos da camada 2, so utilizados frames (quadros) como unidade de troca e, nos da camada
3, so utilizados pacotes. No item 3.3 sero abordados mais detalhes quantos aos principais
protocolos utilizados para a criao de tneis.
971
Formas de Conexo
Entre as formas de realizar a conexo usando uma VPN, pode-se citar o acesso atravs da estrutura
de um provedor de acesso Internet, atravs de acesso discado direto ou utilizando um link
dedicado j existente para criar uma nova rede virtual. Classificando cada tipo de acesso a uma
VPN, chegamos s seguintes configuraes:
Client-to-LAN
Esta costuma ser a forma de acesso mais utilizada, pois permite a conexo entre um usurio
remoto e uma rede corporativa, atravs da Internet. Utilizando um software especfico para este
fim, o usurio cria um tnel (dinmico) que o ligue diretamente rede corporativa, a fim de que
possa utilizar seus recursos remotamente.
Pela facilidade de acesso, que pode acontecer atravs de acesso discado comum ou conexo xDSL,
por exemplo, bastante utilizado por usurios que precisam deslocar-se para outras localidades ou
ter acesso aos recursos da rede diretamente de casa.
LAN-to-LAN
Neste caso o acesso acontece atravs de links dedicados que interligam dois locais fisicamente
distantes. Para esta estrutura deve haver um gateway seguro (roteador ou firewall) em cada ponta
do tnel para servir de interface entre o tnel e a LAN privada.
um modelo bastante utilizado para interligar filiais da empresa ou ento prover um acesso seguro
entre uma empresa e seus parceiros, por exemplo. Como estes tneis permanecem ativos por um
tempo prolongado, a conexo LAN-to-LAN encaixa-se perfeitamente na definio de tneis
estticos.
Protocolos de Tunelamento
A definio do protocolo a ser utilizado deve levar em conta o tipo de acesso, criptografia e
compresso dos dados que sero utilizados para o trfego de informaes dentro do tnel.
Os protocolos utilizados para tunelamento devem pertencer camada 2 ou 3 do Modelo OSI.
Dentre os protocolos da camada 2, podemos destacar o L2F, PPTP e L2TP. J na camada 3, o
encapsulamento de pacotes IP feito com cabealhos do prprio protocolo IP, ou utilizado o
protocolo IPSec.
Quando uma conexo estabelecida, as duas extremidades do tnel negociam os parmetros de
compresso, criptografia e endereamento. Para que isso ocorra, as duas pontas devem estar
utilizando o mesmo protocolo de tunelamento.
Nesta sesso sero definidos os principais protocolos utilizados e como ocorre o encapsulamento
dos dados.
972
GRE ( Generic Routing Encapsulation )

Protocolo genrico comumente utilizado em VPNs para encapsulamento de pacotes que sero
enviados atravs de um tnel pela Internet. Tneis formados a partir do GRE devem ser
configurados manualmente nos roteadores de origem e de destino e, devido a esta pouca
mobilidade e dificuldade na configurao, estes tneis costumam ser mais utilizados na interligao
de redes (conexo LAN-to-LAN).
Alm do IP, o GRE tambm suporta outros protocolos de camada de rede, permitindo que o pacote
de um determinado protocolo X seja encapsulado dentro de um pacote GRE e, em seguida
encapsulado por outro protocolo, que ser responsvel pelo envio. Este segundo protocolo
denominado protocolo de entrega.
Figura 668 - Encapsulamento GRE
Por ser um protocolo simples, o GRE no possui informaes suficientes para fazer um controle
efetivo da entrega do pacote transportado e a nica informao relativa rota que carrega em seu
cabealho o endereo do roteador de destino.
PPTP (Point-to-Point Tunneling Protocol)
Protocolo orientado conexo desenvolvido pelo Frum PPTP consrcio formado por vrias
empresas, entre elas US Robotics, Microsoft e 3Com e definido na RFC 2637. Tornou-se bem
popular depois que a Microsoft passou a oferecer suporte a ele no servio RAS (Remote Access
Service ), incorporando-o ao Sistema Operacional Windows NT 4 e criando patches adicionais nos
Sistemas Operacionais Windows 95 e 98.
Como o PPP ( Point-to-point Protocol ) o protocolo mais utilizado para realizar acesso remoto na
Internet, o PPTP aproveita sua estrutura para estabelecer a conexo e, em seguida, fazer o
tunelamento dos pacotes at seu destino final. Na implementao atual, o PPTP encapsula os
pacotes PPP usando uma forma modificada de um protocolo GRE, que acaba por garantir
flexibilidade para trabalhar com protocolos diferentes do IP.
973
Figura 669 - Formato do datagrama da mensagem de controle PPTP
Figura 670 - Encapsulamento de uma mensagem de dados usando PPTP.
Normalmente a conexo realizada atravs de uma linha telefnica ou diretamente atravs da

rede, onde, neste caso, o usurio disca o endereo IP do servidor. O PPP realiza a conexo com
o NAS ( Network Access Server ), que pode tanto ser do provedor de Internet quanto um servidor
da prpria rede, e criptografa os dados. Em seguida, o PPTP cria uma conexo de controle (tnel
PPTP) que vai do cliente at o servidor de destino. Assim que os pacotes chegam, so desmontados
para que os pacotes PPP passem pela descriptografia e sejam encaminhados ao seu destino final.
L2F (Layer 2 Forwarding)
Protocolo desenvolvido pela Cisco que permite a criao de tneis por meio de uma conexo
discada, possibilitando o trfego de dados dos usurios remotos para suas redes corporativas. Por
ser um protocolo da camada 2 e realizar o tunelamento independente do IP, o L2F capaz de
trabalhar com protocolos diferentes, tais como IPX e NetBEUI, e com outros meios de transmisso
como o Frame Relay e o ATM.
Para realizar uma conexo, o usurio estabelece uma conexo PPP com o Provedor de Servios
( ISP ). Em seguida o provedor estabelece um tnel L2F com o gateway da Intranet que, por sua vez,
autentica o nome de usurio e senha do cliente, estabelecendo a conexo PPP entre este dois
ltimos. O passo seguinte a autenticao, que ocorre em duas etapas: a primeira acontece no
Provedor de Servios e a segunda no gateway da intranet. H ainda uma terceira etapa de
autenticao, tambm no gateway da Intranet, mas esta opcional.
O cliente, o provedor e o gateway da intranet usam um sistema triplo de autenticao
via CHAP ( Challenge Handshake Authentication Protocol), que possibilita a transmisso segura da
senha do usurio entre a estao do cliente e o gateway de destino.
974
L2TP (Layer 2 Tunneling Protocol)

Protocolo orientado conexo, formado a partir da juno do L2F e do PPTP. Utiliza o PPP para
realizar a conexo dial-up que ser tunelada atravs da Internet at determinado destino
(endpoint). O protocolo de tunelamento baseado na estrutura fornecida pelo L2F, permitindo o
transporte de pacotes X.25, frame-relay e ATM. Para fortalecer a criptografia dos dados
transmitidos, o L2TP utiliza a criptografia fornecida pelo IPSec.
composto por dois tipos de mensagens: de controle e de dados que tambm so conhecidas por
pacote de controle e pacote de dados, respectivamente. A mensagem de controle usada no
estabelecimento, manuteno e fechamento de conexes de controle e de sesso. Estas
mensagens usam um canal de controle nativo do protocolo para garantir a entrega. J as
mensagens de dados so usadas para encapsular o trfego da Camada de Enlace que esteja sendo
transmitido atravs da sesso L2TP.
A autenticao, realizada via CHAP, ocorre durante o estabelecimento da conexo de controle que,
aps ter sido estabelecida, permite a criao de conexes individuais. Cada sesso corresponde a
um nico caminho entre o servidor (LNS) e o concentrador da conexo (LAC).
As conexes podem ser iniciadas tanto pelo concentrador quanto pelo servidor. No primeiro caso, o
concentrador recebe uma conexo e a encaminha para o servidor; j no segundo caso, o servidor
quem inicia a conexo e solicita ao concentrador que a encaminhe ao seu destino.
Figura 671 - Arquitetura de funcionamento do protocolo L2TP.
Tunelamento em Nvel 3 - Rede (IP sobre IP)

Conforme mostrado na Figura 7, quando um datagrama IP encapsulado por outro datagrama IP,
um novo cabealho inserido externamente ao cabealho inicial. Entre eles, esto todos os outros
cabealhos relativos ao trajeto, tais como os cabealhos de segurana referentes configurao do
tnel e seus limites (ponto de entrada e sada). O cabealho interno armazena os dados do
remetente e destinatrio iniciais do datagrama e no modificado durante o encapsulamento.
975
A segurana da transmisso propriamente dita feita por meio de trocas de chaves de sesso e
certificados. Quando o datagrama chega a seu destino final, desencapsulado e entregue ao
endereo de destino indicado no campo Destination Address original.
Figura 672 - Exemplo de encapsulamento de um pacote para trfego pelo tnel (tunelamento IP).
O IP Security Tunnel Mode (IPSec)

O IPSec um conjunto de protocolos desenvolvido pela IETF que visa garantir maior segurana no
trfego de dados privados em redes pblicas. O principal objetivo assegurar confidencialidade,
integridade e autenticidade durante uma transmisso de dados atravs de uma rede pblica. Sua
implementao obrigatria nas solues que utilizam o IPv6, e apenas opcional para as que
utilizam IPv4. Independentemente da plataforma, tem sido amplamente adotado por diversos
fabricantes de hardware e software.
A arquitetura do IPSec define um novo cabealho que deve ser adicionado entre o cabealho IP e os
dados, permitindo que os pacotes IP sejam criptografados e encapsulados com um cabealho
adicional deste mesmo protocolo para que sejam transportados atravs de um tnel. Seu principal
objetivo oferecer mecanismos de segurana a pacotes IP, atravs de dois cabealhos de extenso:
o AH (Authentication Header) e o ESP (Encapsulation Securty Payload).
O AH foi desenvolvido para garantir a autenticidade e a integridade dos pacotes IP, j que sua
utilizao oferece proteo contra modificaes nos campos de valor fixo do pacote IP, proteo
contra spoofing e, opcionalmente, proteo contra ataques de replay. J o ESP trabalha com a
criptografia do contedo do pacote e inserido entre o cabealho IP e o restante do datagrama.
Figura 673 - Encapsulamento realizado pelo protocolo IPSec.
976
41.4.
Criptografia
Certas informaes so estratgicas e, como tal, s devem ser acessadas por quem de direito. Em
tomadas de decises importantes, vence quem consegue antecipar certos comportamentos (ou
acontecimentos) e planejar as aes necessrias para tirar melhor proveito da situao. Mas como
garantir a confidencialidade e inviolabilidade dos dados? Como ter a certeza que
apenas A e B tiveram acesso a eles? Como saber se a informao final realmente corresponde
informao original?
Enviar mensagens secretas sem que elas sejam interceptadas por terceiros uma arte que j vem
de longa data. O desafio de conseguir que uma informao secreta permanea realmente secreta
consumiu o pensamento de grandes estrategistas, desde o tempo das mais antigas naes at os
dias de hoje. Alexandre, o Grande, costumava trocar a posio das letras em mensagens
confidenciais quando as enviava por seus emissrios atravs de campos inimigos. Desta maneira,
caso a mensagem fosse interceptada, s quem conhecesse o segredo para realizar as
substituies corretamente seria capaz de decifrar seu contedo.
Tal como Alexandre, vrios imperadores, governantes, estadistas, empresrios e at usurios
comuns j buscaram alguma maneira de deixar ocultas certas informaes que no deveriam
chegar ao conhecimento de terceiros, a no ser que fosse realmente necessrio. A Criptografia
justamente a cincia que busca encontrar meios eficientes para garantir este segredo em torno
da informao. A estratgia consiste em, atravs de algoritmos bem definidos e testados, criar
formas complexas de codificar a mensagem, dificultando acessos indevidos ao seu contedo.
Alm de prover confidencialidade, autenticao, integridade dos dados, a criptografia tambm
deve garantir o no repdio da informao.
As implementaes para prover confidencialidade e segurana que a Criptografia oferece, vo
desde identificao digital at operaes bem mais complexas, envolvendo dados altamente
sigilosos e estratgicos. A gama de aplicaes infinita, e sempre h aqueles que tentam tirar
proveito de brechas, buscando favorecimento prprio.
Com os recursos computacionais modernos deve tentar identificar padres ou mesmo forar
diversas combinaes (ataques de fora bruta) at conseguir chegar mensagem original ou
chave de criptografia. Quanto maior a complexidade do algoritmo utilizado, maior o tempo
necessrio para descobrir o padro utilizado e, assim, acessar o contedo encriptado. Esta fora
contrria acaba permitindo que a Criptografia nunca se transforme em uma cincia ultrapassada,
pois dever estar em constante busca por novas formas de dificultar o acesso indevido s
informaes que estiverem resguardadas por ela.
Nesta Seo, vamos abordar os principais conceitos relacionados Criptografia. Falaremos sobre os
principais algoritmos, o que PKI, certificados e outros assuntos correlatos, mas tambm
importantes para o melhor entendimento acerca dos conceitos que sero aplicados no uso do Aker
Client.
977
Algoritmos de Criptografia
A criptografia dos dados deve ser realizada atravs de um algoritmo que tenha a capacidade de
codific-los, de tal maneira que apenas pessoas autorizadas consigam acesso ao contedo original.
Existem diferentes tipos de algoritmos, cada um utilizando tcnicas diferentes para criptografar os
dados, normalmente baseadas na combinao de mtodos matemticos complexos. Assim, na hora
de determinar o algoritmo a ser utilizado, importante levar em considerao o valor da
informao que est sendo protegida, pois o tempo necessrio para quebra da chave deve ser
superior ao tempo necessrio guarda daquela informao.
Os algoritmos que geram as chaves criptogrficas costumam utilizar mtodos matemticos
complexos a fim de garantir robustez ao cdigo e dificuldade na quebra da chave atravs do
mtodo da fora bruta ou sobreposio. Com o poder computacional atual, deve ser levado em
conta que este tempo de quebra poderia diminuir muito, principalmente se dezenas de
computadores forem utilizados em paralelo para a decodificao da chave.
A combinao dos diferentes tipos de algoritmos mostra-se eficiente quando h a necessidade de
utilizar criptografia forte na codificao de informaes sigilosas. Sabe-se que os algoritmos de
chave simtrica so rpidos na cifragem da mensagem, mas o gerenciamento das chaves e o modo
de distribuio so considerados os pontos fracos deste modelo. J os algoritmos assimtricos so
considerados muito mais lentos no processo de codificao e decodificao da mensagem, mas so
mais simples no quesito de gerenciamento de chaves pblicas. No h um algoritmo de criptografia
que seja totalmente seguro, mas comum combinar dois ou mais tipos de algoritmos a fim de
conseguir uma melhor eficincia na codificao. Como exemplo, o usurio A pode usar um
algoritmo simtrico para criptografar uma mensagem e, em seguida, criptografar a chave e a
mensagem resultante, utilizando sua chave privada antes de envi-la para B. Quando B receber a
mensagem, dever usar a chave pblica de A para decodific-la e ter acesso primeira chave
utilizada, usando-a para chegar mensagem original.
Nesta seo vamos explicar os tipos de algoritmos existentes e os principais algoritmos conhecidos
existentes em cada categoria.
Algoritmos de Chave Simtrica
Nesta modalidade a mesma chave utilizada para criptografar uma mensagem utilizada para
descriptograf-la. O problema em haver apenas uma chave para realizar as duas tarefas que faz
com seja necessrio conseguir um meio seguro para transmitir a chave para o destinatrio, j que
sem ela fica quase impossvel decifrar o contedo da mensagem.
Pela dificuldade de distribuio e gerenciamento das chaves de criptografia, as chaves simtricas
caram em desuso para o envio de mensagens codificadas, a no ser quando combinadas com outro
mtodo de criptografia, mas so amplamente utilizadas quando tem que realizar conexes seguras
na Internet e tambm nos processos onde ocorra troca temporria de chaves. Dentre os algoritmos
disponveis para criptografia de chave simtrica, podemos destacar os seguintes:
978
DES (Data Encrypt Standard)

Algoritmo criado pela IBM em 1970 e adotado pelo governo dos EUA como padro de
codificao a ser empregado pelos rgos governamentais daquele pas. considerado de fcil
implementao, utiliza uma chave de 56 bits e opera em blocos de 64 bits, produzindo um texto do
mesmo tamanho que o original.
Como o tamanho da chave pequeno, este algoritmo considerado fraco para os
padres atuais j que pode ser
3DES (Triple Data Encrypt Standard)
Algoritmo baseado no DES. Seu funcionamento consiste em realizar trs cifragens
consecutivas utilizando o DES, sendo que em cada uma, uma chave diferente ser usada no
processo. Com isso, a chave passa a ter 168 bits, tornando o 3DES mais lento que o DES, mas ao
mesmo tempo, mais seguro.
AES (Advanced Encryption Standard)
Algoritmo sucessor do DES e do 3DES, escolhido atravs de um concurso pblico realizado
pelo National Institute of Standards and
Technology (NIST), rgo ligado ao governo
estadunidense, para ser adotado como o novo padro de criptografia para segurana em
transmisso e armazenamento de dados do governo americano.
O algoritmo utilizado pelo AES o Rijndael, criado pelos belgas Vincent Rij men e Joan Dae men, e
que utiliza chaves de 128, 192 e 256 bits. Seu mtodo de codificao baseado em fases, cuja
quantidade depende da chave escolhida. A cada fase so aplicadas vrias tcnicas de cifragem, que
resultam em blocos de dados de 128 bits.
Durante o concurso, o cdigo foi amplamente divulgado para discusses. Estima-se que o tempo
necessrio para ser quebrado gire em torno de 30 anos, fazendo com que seja considerado seguro.
Algoritmos de Chave Assimtrica
Estes algoritmos utilizam o conceito de chave pblica e chave privada. As chaves so geradas
em pares e a privada deve ser mantida em segredo, conhecida apenas por seu dono. J a chave
pblica pode ser distribuda livremente. Quando um usurio X envia uma mensagem para o
usurio Y, deve encript-la com a chave pblica de Y e assin-la com a chave de privada de X. O
usurio Y s ter acesso ao contedo da mensagem se usar a chave pblica de X para verificar a
sua identidade e, depois, a privada de Y, para acess-la. Ao mesmo tempo que serve para
criptografar a mensagem, a chave privada tambm serve para atestar a identidade do remetente,
pois presumido que apenas ele a possui.
So considerados mais seguros que os de chave simtrica, mas ao mesmo tempo muito mais lentos,
sendo que esta caracterstica muitas vezes se torna uma desvantagem. Como presume-se que
apenas o dono tem conhecimento de sua chave privada, estes algoritmos so muito utilizados
quando deseja-se atestar a procedncia de uma mensagem (assinatura digital).
979
RSA
Este algoritmo utiliza a teoria dos Nmeros Primos para escolher as chaves que sero
utilizadas. A chave pblica gerada atravs da multiplicao de dois nmeros primos muito
grandes, gerando um terceiro nmero. Partindo do princpio que muito difcil deduzir um nmero
muito grande atravs de fatorao, considerado difcil de ser quebrado, e por isso tornou-se um
dos algoritmos de chave assimtrica mais populares no mercado.
Diffie Hellman
Baseado em logaritmos discretos, no permite a criptografia ou assinatura digital da
mensagem, mas foi o primeiro algoritmo a implementar o conceito de chaves de sesso, que
quando as partes envolvidas na comunicao permutam suas chaves pblicas e, a partir do uso
conjunto com as respectivas chaves privadas, geram uma chave que ser comum a ambas as
partes. Chaves com tamanho inferior a 512 bits podem ser consideradas frgeis.
Funo HASH
As funes hash so equaes matemticas capazes de receber uma mensagem em texto de
qualquer tamanho e produzir um valor nico, de tamanho fixo, tambm conhecido como resumo
da mensagem (hash).
Na criao do resumo da mensagem, a alterao de qualquer bit faz com que o hash final tambm
seja alterado. Assim, se o destinatrio da mensagem aplicar a funo hash na mensagem recebida,
dever obter o mesmo valor associado mensagem original. Um valor dehash diferente indica que
a mensagem original foi adulterada.
Esses algoritmos costumam ser muito utilizados nas aplicaes de assinaturas digitais, em conjunto
com os algoritmos de chave pblica, onde arquivos maiores precisam ser comprimidos de maneira
segura. Como os resumos das mensagens possuem tamanho fixo, fica mais rpido utilizar uma
funo de hash e resumir a mensagem, e s ento usar a chave privada do usurio para encriptla novamente e, assim, atestar sua identidade.
MD5
Abreviao de Message Digest 5. um algoritmo, que assim como o MD2 e o MD4, cria um
cdigo numrico e exclusivo ( hash ), a partir dos caracteres existentes em uma mensagem seja
qual for o tamanho desta ltima. O resultado ser um nmero de tamanho fixo que serve para
identificar se a mensagem permanece ntegra ou no.
Foi proposto em 1991 aps a descoberta de ataques de criptoanlise contra a funo de hash no
MD4. Como seu hash de apenas 128 bits, est caindo em desuso por ser considerado vulnervel
ao mesmo tipo de ataque.
SHA-1
980
Este algoritmo gera um valor hash de 160 bits, a partir de uma mensagem de tamanho arbitrrio.
Foi originado do MD4, mas com melhorias nas vulnerabilidades que haviam sido encontradas
anteriormente.
Atualmente, no h nenhum ataque de criptoanlise conhecido contra o SHA-1 e ataques de
fora bruta possuem tempo de resposta invivel, devido ao valor do hash implementado no
algoritmo.
PKI
Com o crescimento das transaes realizadas via Internet, tornou-se necessrio instituir um
mecanismo capaz de gerenciar o uso de Certificados e Chaves Pblicas na identificao digital. O
objetivo era criar uma estrutura confivel, cujo objetivo assegurar transparncia e segurana nas
relaes virtuais.
A PKI (Public Key Infrastructure) ou, em portugus, Infra-estrutura de Chaves Pblicas um
conjunto de servios, softwares, normas e especificaes de segurana aplicado ao uso de
certificados digitais incluindo o gerenciamento de chaves pblicas e sua poltica de uso com o
intuito de garantir a autenticidade, confidencialidade, integridade e no-repdio das informaes.
Baseia-se em um sistema de confiana onde duas partes distintas possuem uma relao de
confiana mtua com uma terceira entidade, chamada Autoridade Certificadora (CA), cuja principal
atribuio atestar a identidade das partes envolvidas em uma transao.
Os principais servios que uma soluo PKI deve oferecer so o registro de chaves e emisso,
revogao e cancelamento de certificado para uma chave pblica. Por ser uma soluo recente,
ainda no h uma padronizao quanto a prticas e funcionalidades oferecidas, mas a IETF montou
um grupo denominado PKIX (Public Key Infrastructure Workgroup), cujo objetivo elaborar as
propostas para promover a interoperabilidade e uniformizao de procedimentos.
O Brasil possui sua prpria estrutura de chaves pblicas, denominada ICP Brasil. Foi estabelecida
em 2000 e tem como objetivo regulamentar as prticas e procedimentos relativos certificao
digital baseada em chave pblica que devem ser implementados pelas organizaes
governamentais e privadas brasileiras.
Autoridade Certificadora (AC)
Esta a estrutura-chave de uma soluo PKI. ela quem controla a concesso, emisso e revogao
dos Certificados Digitais. Por serem consideradas totalmente confiveis, possuem autoridade
suficiente para assegurar a identidade das partes envolvidas em uma transao a fim de afastar a
possibilidade de fraudes e garantir a transparncia na negociao. Isto significa que estas entidades
devem manter uma relao de confiana com a AC que assina seu certificado, assim, se uma
entidade confia em uma AC e na poltica adotada para controlar a emisso e gerenciamento de
certificados, quer dizer que tambm confia na validade e teor dos outros certificados emitidos por
aquela mesma AC.
981
As ACs devem disponibilizar relaes dirias e atualizadas sobre os Certificados que forem
revogados. Estas listas so chamadas CRLs (Ceritficate Revocation Lisst) e servem para controlar
Certificados cuja data de validade expirou, ou aqueles que foram revogados por outros motivos.
Uma AC podem estar encadeada a outra AC atravs de hierarquias de certificao. Neste caso, uma
CA deve validar sua assinatura atravs da assinatura de uma CA que esteja hierarquicamente acima
dela.
O controle de emisso, cancelamento e revogao de certificados feito de maneira hierrquica e
altamente organizada.
Os certificados digitais podem ser utilizados por diversas entidades, sejam elas pessoas,
computadores, departamentos, rgos, etc, como forma de garantir a idoneidade de todos as
partes envolvidas em uma transao.
Autoridade Certificadora Raiz
a CA que est localizada no topo de uma hierarquia. Por no haver outra CA acima, ela recorre a si
mesma para certificar sua chave pblica, gerando um certificado auto-assinado.
No Brasil, este papel desempenhado pelo ITI (Instituto Nacional de Tecnologia da Informao),
autarquia responsvel pela definio e atribuio de regras e papis s Autoridades Certificadoras
Brasileiras.
A Autoridade Certificadora Raiz emite, distribui, revoga e gerencia os certificados de todas as
Autoridades Certificadoras que estejam hierarquicamente situadas no nvel logo abaixo ao seu.
Como necessrio manter a confiabilidade do servio e das entidades envolvidas, outra atribuio
da AC Raiz realizar fiscalizaes e auditorias constantes em todas as entidades que estejam
envolvidas no processo de utilizao e concesso de Certificados Digitais.
41.5.
Certificados digitais
Certas atividades desempenhadas na Internet ou em uma rede corporativa necessitam que seja
feita a validao da identidade das partes envolvidas na transao. Como garantir que um usurio
realmente quem diz ser, ou que estamos realmente utilizando a pgina de servios do banco XYZ?
Os Certificados Digitais so documentos emitidos pelas ACs, que contm informaes detalhadas
sobre uma determinada entidade, a fim de atestar a identidade de quem o utiliza. O processo de
emisso de um Certificado iniciado quando uma entidade (empresas, pessoas) faz uma requisio
formal a uma AC, fornecendo dados relevantes sobre ela, que sero utilizados na emisso daquele
Certificado. A AC, por sua vez, verifica se as informaes fornecidas so verdadeiras e, neste caso,
gera o Certificado. Nessa fase, a AC assina o novo Certificado com sua chave privada e o
disponibiliza para a entidade solicitante, juntamente com um par de chaves, sendo uma privada e
uma pblica, que sero usadas para validar a identidade do proprietrio.
A autenticao feita atravs da conferncia da assinatura digital recebida, e como as informaes
codificadas com uma determinada chave privada s sero acessveis com a respectiva chave pblica
982
possvel garantir que apenas o detentor daquela chave privada poder gerar mensagens
assinadas digitalmente usando aquele Certificado. Os certificados provm a validao de chaves.
Uma autoridade certificadora confivel (AC) cria o certificado e o assina digitalmente utilizando sua
chave privada.
A CA assina os certificados, autenticando assim a identidade do requerente, dando garantia pblica
e notria para a assinatura e identidade de um indivduo.
Figura 674 - Certificado
Os exemplos de aplicao de Certificados Digitais so variados, mas os mais comuns ocorrem na

validao das entidades envolvidas em uma transao bancria, comrcio eletrnico e
autenticidade do remetente de uma mensagem eletrnica.
A estrutura de um certificado digital deve conter os seguintes elementos:
Nome do titular do Certificado: pessoa fsica ou jurdica a quem ele pertence;
983
Informaes sobre a validade do Certificado Digital: data de emisso e expirao do

Certificado;
Nome da Entidade Certificadora emissora do Certificado Digital: entidade a qual o
titular do Certificado est
ligado, hierarquicamente;
Nmero do Certificado Digital: nmero nico que identifica aquele certificado;
Assinatura digital da Entidade Certificadora: chave pblica do titular do Certificado,
que assegura que ele
detm a respectiva Chave Privada.
Data de validade: data de incio e expirao do certificado;
41.6.
Cliente de Autenticao
O que o Cliente de Autenticao Aker?

Para possibilitar que o firewall saiba exatamente quais usurios esto utilizando quais mquinas,
existe um programa chamado Cliente de Autenticao Aker, que deve ser instalado em todas as
mquinas nas quais pretende-se utilizar controle de acesso por usurio. Este programa, que
funciona de forma totalmente transparente para os usurios finais, intercepta o logon destes
usurios no domnio, ou solicita uma nova autenticao caso se esteja utilizando autenticao por
token ou smart cards, e envia esses dados, de forma criptografada, para o firewall. O firewall ento
valida os dados recebidos utilizando seus agentes de autenticao, autenticadores token ou
autoridades certificadoras e caso o usurio tenha sido validado corretamente, estabelece uma
sesso para o usurio validado a partir da mquina na qual ele estabeleceu a sesso.
A partir deste momento, o usurio ter seu perfil de acesso configurado e ter acesso a todos os
servios liberados para ele. Quando ele efetuar logoff, o cliente de autenticao detectar este fato
e informar ao firewall que o usurio finalizou sua sesso. Novamente, tudo feito de forma
transparente e automtica.
O cliente de autenticao utilizar a porta 1022/UDP (servio Aker-CL) para se comunicar
com os firewalls com os quais ele estabelecer as sesses de usurios, est mesma porta usada
para encerrar a sesso de autenticao, ou seja, necessrio liberar a porta 1022 para realizar a
autenticao e para encerrar a autenticao. necessrio que exista pelo menos uma regra de
filtragem liberando o acesso a partir das mquinas com o cliente instalado para o firewall, caso
contrrio no ser possvel o estabelecimento das sesses.
O cliente de autenticao no funciona atravs de converso de endereos, ou seja, no
possvel para uma mquina atrs de um firewall que realiza converso de endereos estabelecer
uma sesso com um firewall localizado no lado externo da converso.
984
41.7.
Instalao do Aker Client
Pr-requisitos
Software
Windows XP ou mais recente;
Fedora Core (kernel 2.6.17 ou mais recente) com KDE ou Gnome;

Hardware
Memria: aproximadamente
5
MB
de
memria
fsica;
CPU: atinge no mnimo uma velocidade de 100 Kb/s sem sacrificar uma parcela significativa da
CPU em plataformas Pentium-2 , com processadores de 500MHz.
OBS: antes da utilizao do produto, necessrio verificar se todos perifricos do computador
so suportados pelo sistema operacional utilizado.
Sistema Operacional Windows
Ao fazer a atualizao do sistema operacional Windows 8 para Windows 8.1,
necessrio a reinstalao do Aker Client.
A instalao no Sistema operacional Windows rpida e pode ser concluda em poucos minutos.
Aps finalizada, necessrio realizar as configuraes necessrias para conect-lo ao servidor,
conforme ser mostrado abaixo:
1 Execute o programa de instalao a partir do arquivo obtido da pgina da Aker.
2 Para iniciar o processo de instalao, clique no boto Avanar;
985
Figura 675 - Instalando o Aker Client
3 A tela seguinte traz o Contrato de Licena do Programa. Leia todos os termos

atentamente e, caso concorde com todos eles,
selecione a opo Aceito os termos do
contrato de licena;
986
Figura 676 Contrato de licena do programa
4 Preencha as informaes referentes ao nome do usurio (aquele que utilizar o Cliente) e

a organizao a qual pertence. Em seguida, escolha os usurios que tero acesso ao
programa e clique no boto Avanar.
987
Figura 677 Informao do usurio
5 Agora necessrio definir onde o aplicativo ser instalado. O produto indica o local de
instalao padro. Se no desejar utiliz-lo, clique no boto Alterar e especifique o local da
instalao. Caso contrrio, clique no boto Avanar;
988
Figura 678 Pasta de destino
6 Agora que todos os parmetros necessrios j foram definidos, clique no

boto Instalar para prosseguir com a instalao;
Figura 679 Aplicativo pronto para instalao

989
7 Nesta etapa necessrio aguardar que a instalao seja concluda. possvel conferir o
andamento atravs do aumento da
barra de progresso;
Figura 680 Atualizando o sistema
Aguarde o aparecimento da tela que informa a concluso da instalao do produto e clique

no boto Concluir para finalizar.
990
Figura 681 Aker Client foi instalado com sucesso
9 Reinicie o computador, para que a instalao do produto possa ser concluda.

Sistema Operacional Fedora Core
A verso do kernel deve ser 2.6.17 ou superior. importante ressaltar que alguns pr-requisitos
devem ser atendidos, como por exemplo a existncia do pacote Kernel-Devel correspondente ao
kernel do sistema operacional.
No exemplo demonstrado abaixo foi utilizado o Sistema Operacional Fedora Core 7 verso
2.6.21.
1 Descompactao do pacote de instalao: para descompactar a pasta necessrio que o

administrador (root) entre com os comandos "tar jxvf Aker Client", o resultado ser impresso na
tela.
991
Figura 682 - Descompactao
2 Aps a descompactao, criada a pasta AkerClient-pt-fc5-1.0, onde se encontra o script de

instalao "instalar_akerclient.sh".
992
Figura 683 Iniciando o instalador
3 Assim que o script de instalao for iniciado, ele verifica a existncia de trs pacotes que devem
estar previamente instalados. So eles: kernel-devel (com a mesma verso do kernel do Sistema
Operacional), GCC e Make. Caso no seja encontrado algum dos 3 pacotes, a instalao ser
abortada.
993
Figura 684 Verificando o Kernel
Figura 685 Verificando o pacote GCC

994
Figura 686 Verificando a instalao da ferramenta make
4 O script ir instalar o pacote qt-aker. necessrio a confirmao do usurio para o que o

pacote seja instalado, caso no seja instalado, ele prosseguir com a instalao, mas o Aker
Client poder ter problemas com sua execuo.
995
Figura 687 Verificando o pacote qt-aker
5 Finalmente iniciada a instalao do Aker Client.
996
Figura 688 Instalao do Aker Client
Ao final da instalao, basta executar o comando /usr/local/AkerClient/akerclient_init.sh e a

Interface Remota do Aker Client ser iniciada e aparecer um icone na bandeja do sistema. Tambm
possvel inici-la pelo atalho criado no menu KDE ou GNOME.
997
Figura 689 Instalao finalizada
41.8.
Configurao do Aker Client
O Aker Client a verso utilizada pelos usurios remotos para conectar-se ao servidor atravs de
uma VPN ou para autenticao dos empregados no ambiente da empresa. uma ferramenta de
fcil configurao e a sua utilizao pelo usurio final simples e intuitiva. Neste captulo, ser
demonstrada como feita a configurao do Aker Client, explicando as telas envolvidas e
apresentando algum outro conceito que seja necessrio para o completo entendimento do
produto.
A tela inicial do produto est dividida em 6 abas, que sero descritas abaixo:
Servidores
O primeiro passo configurar a conexo com o servidor. Podem ser configuradas vrias conexes
diferentes, caso haja mais de um servidor responsvel por responder s requisies para
estabelecimento da VPN/Autenticao, ou mais de um usurio utilizando o mesmo computador.
Todas as conexes configuradas sero listadas na tela inicial do produto, informando o status da
conexo.
998
Figura 690 Aba Servidores
Nesta tela os botes disponveis so:

Novo Servidor: este boto abre uma nova janela, onde devem ser feitas as configuraes
necessrias;
Editar Servidor: modifica uma conexo j existente. Caso a conexo j tenha sido estabelecida,
ser necessrio desfaz-la para poder editar os parmetros de conexo.
Remover Servidor: remove uma conexo criada.
Exportar Servidores: Este campo tem a funo de salvar toda as configuraes feitas no Aker
Client em um arquivo XML. importante ressaltar que s so gravadas as configuraes globais, ou
seja, as que no so configuraes exclusivas de um determinado usurio (Essa configuraes
globais sero explicadas logo abaixo).
Essas informaes gravadas sero utilizadas na "ferramenta para reempacotar" do Aker Control
Center no Aker Firewall 6.1. (Para saber mais sobre a ferramenta de reempacotar, consulte o
manual do Fw6.1)
Conectar/Desconectar: faz ou desfaz uma conexo com o servidor. Enquanto a conexo estiver
sendo feita, ser mostrado o botoAbortar, que se for pressionado, far com que o processo de
conexo seja finalizado.
999
Para que os todos os botes de configurao, que ficam na parte superior da janela, sejam
habilitados necessrio selecionar o item que representa o servidor. Tambm possvel ter acesso
a esses botes pelo menu suspenso que surge ao clicar com o boto direito do mouse em cima do
item selecionado.
Toda configurao do Secure Roaming global. Por isso no necessrio configurar as
permisses de acesso, como feita na autenticao.
Figura 691 menu de opes
Para criar um servidor novo, clique no boto Novo Servidor localizado na parte superior da janela,
ou clique com o boto direito do mouse dentro da tela principal.
A tela de configurao est dividida em Autenticao e Secure Roaming, conforme mostrado a
seguir:
1000
Figura 692 Editar servidor
Descrio: nome pelo qual a conexo ser conhecida, facilitando sua identificao.
Nome/Endereo do Servidor: neste campo deve ser inserido o nome de DNS ou o endereo IP
do servidor onde ser realizada a conexo. Esse endereo IP pode ser diferente do endereo real do
servidor caso ele se encontre atrs de um gateway que faz NAT (traduo de endereos).
Protocolo por usurio (FW 6.1 ou maior): essa opo poder ser selecionada apenas quando a
conexo a ser estabelecida for com o Aker Firewall 6.1 ou posteriores. Deve ser utilizada para
autenticao por usurios, quando mais de um usurio usar mais de um endereo IP de origem
(p.ex: quando mais de um usurio usar o mesmo endereo IP de origem).
Modo de Ativao: define quando a sesso de autenticao deve comear e terminar. Existem
duas opes possveis:
- Manual: a conexo estabelecida e encerrada manualmente, independetemente do usurio que
a iniciou ter efetuado logout.
1001
- Incio manual/Final automtico: So conexes acionadas manualmente por usurios que tm

permisso de acesso e cujo fim ocorre automaticamente ao fim de sua sesso no sistema
operacional. O fim tambm pode ocorrer antes disso, a critrio do usurio.
- Incio automtico/Final automtico: So conexes iniciadas e terminadas automaticamente junto

com a sesso do usurio no sistema operacional
- Permanente: A conexo estabelecida no momento em que o servio do Aker Client iniciado

pelo sistema operacional e encerrada no momento em que o servio finalizado. Pode ser
encerrada a qualquer momento por um administrador, mas ser restabelecida assim que o servio
precisar recarregar a configurao.
- Sincronizar com conexo dialup: o estado da conexo ser sincronizado com o adaptador dial-up.
Assim a VPN ser estabelecida quando o usurio conectar-se a um servidor dial-up, e derrubada
quando ele desconectar-se. Este mtodo o mais recomendado para aqueles usurios que no
possuem acesso permanente Internet.
Modo de login: esse campo permite definir o modo de login. O Aker Client oferece 4 tipos:
Logon do sistema, Usurio/Senha, Certificados X509 e RSA SecurID.
- Logon do sistema: Utiliza o usurio e senha cadastrado no sistema operacional ou no domnio

para autenticao no Aker Client.
Figura 693 Informao de Acesso
- Usurio/Senha: Utiliza o nome de usurio e a senha informados manualmente.

Usurio: Nome do usurio que vai se autenticar.
Senha: Senha de autenticao do usurio.
Domnio: Nome do domnio no qual o usurio ir se autenticar.

1002
Figura 694 Informaes de Acesso (Usurio /Senha)
- Certificados x509: Utiliza uma autenticao por meio de um certificado x509.

Assunto: Nome do proprietrio do certificado.
Emissor: Autoridade certificadora que atesta a validade do certificado.
Senha: informa a senha do certificado.
Salvar senha: ao selecionar essa opo, permite salvar a senha informada no campo anterior.
Selecionar certificado: seleciona o certificado de uma lista.
Figura 695 - Informaes de Acesso (Certificado X509)
- RSA SecurID:
1003
Usurio: Informa o usurio do servidor.
Senha: senha do usurio.
Domnio: Domnio no agente de autenticao da Aker.
Salvar senha: ao selecionar esse campo permite salvar a senha do usurio.

Os dados de PIN e de prximo token a serem obtidos do dispositivo criptogrfico sero solicitados
interativamente no momento do logon.
Figura 696 Informaes de Acessp (RSA SecurID)
Permisses de acesso: So as permisses de acessos dos usurios do Aker Client. Para cada
servidor pode-se definir quais os usurios tero acesso a ele. Essas permisses dividem-se em dois
tipos de acesso, a global e a especfica.
Figura 697 Permisses de Acesso
Global: Todos os usurios que tm acesso mquina tero a permisso de iniciar ou encerrar a
conexo com esse servidor.
1004
Especfica: uma permisso de acesso exclusiva para o usurio selecionado no campo "usurio
permitido". Apenas ele ter permisso de iniciar ou encerrar a conexo com esse servidor.
Usurio permitido: Nesse campo so listados os usurios que tm acesso mquina. Podem ser
tanto usurios locais como usurios de domnio.
Figura 698 Editar servidor
Descrio: nome pelo qual a conexo ser conhecida, facilitando sua identificao.
Nome/Endereo do Servidor: neste campo deve ser inserido o nome de DNS ou o endereo IP do
servidor onde ser realizada a conexo. Esse endereo IP pode ser diferente do endereo real do
servidor caso ele se encontre atrs de um gateway que faz NAT (traduo de endereos). possvel
inserir trs endereos diferentes para o estabelecimento da conexo, apenas o primeiro desses
campos de preenchimento obrigatrio.
1005
Trfego de dados: permite escolher o protocolo usado para o trfego de dados e se eles sero
enviados de forma comprimida ou no. Caso as opes UDP e TCP estejam simultaneamente
selecionadas, o Aker Client dar preferncia para o protocolo UDP e, se no conseguir, tentar usar
o protocolo TCP.
Portas: aqui devem ser selecionadas as portas TCP e UDP que sero utilizadas para o trfego de
dados e estabelecimento da conexo. Obrigatoriamente, essas portas devem ser as mesmas
constantes na configurao do servidor ou os nmeros de porta traduzidos, se o servidor estiver
com suas portas traduzidas por um gateway de NAT.
As portas padro na configurao so 1011 TCP e 1011 UDP.
Modo de ativao: define quando a conexo VPN deve comear e terminar. Existem cinco opes
possveis:
- Manual: a conexo estabelecida e encerrada manualmente, independetemente do usurio que
a iniciou ter efetuado logout.
- Incio manual/Final automtico: So conexes acionadas manualmente por usurios que tm

permisso de acesso e cujo fim ocorre automaticamente ao fim de sua sesso no sistema
operacional. O fim tambm pode ocorrer antes disso, a critrio do usurio.
- Incio automtico/Final automtico: So conexes iniciadas e terminadas automaticamente junto

com a sesso do usurio no sistema operacional
- Permanente: A conexo estabelecida no momento em que o servio do Aker Client iniciado

pelo sistema operacional e encerrada no momento em que o servio finalizado. Pode ser
encerrada a qualquer momento por um administrador, mas ser restabelecida assim que o servio
precisar recarregar a configurao.
- Sincronizar com conexo dialup: o estado da conexo ser sincronizado com o adaptador dial-up.
Assim a VPN ser estabelecida quando o usurio conectar-se a um servidor dial-up, e derrubada
quando ele desconectar-se. Este mtodo o mais recomendado para aqueles usurios que no
possuem acesso permanente Internet.
1006
Configurao de Proxy:
Figura 699 Informaes de Proxy
Usar configuraes do sistema: Ao selecionar essa opo, no ser necessrio preencher as

informaes de localizao. Sero utilizadas as informaes de proxy HTTP j configuradas no
sistema.
Endereo: neste campo deve ser inserido o endereo IP do servidor de proxy.
Porta: aqui deve ser selecionada a porta utilizada no proxy HTTP. Por padro, a porta 80.
Obter dados do logon: Ao selecionar essa opo no ser necessrio preencher as informaes
de logon para autenticao no proxy. Sero utilizadas as informaes j configuradas no sistema.
Nome de usurio: Nome do usurio a ser autenticado no proxy.
Senha: Senha do usurio a ser autenticado no proxy.
Para que o valor da porta seja um valor padro, o boto "Padro" deve ser pressionado.
41.9.
Certificados
Janela onde so gerenciados todos os certificados que sero usados durante a autenticao de
usurios, com as informaes pertinentes de cada certificado indentificadas nas colunas de cada
item. Desta maneira fica mais fcil realizar atualizao, remoo ou insero de novos certificados,
sempre que necessrio.
1007
Figura 700 Aba Certificados
Os botes localizados na parte superior da tela so teis para executar as aes de gerenciamento
de certificados, como segue abaixo. Os campos destinatrio indica o proprietrio do certificado, o
emissor quem valida o certificado, os campos Vlido a partir de e Vlido at, indicam a janela de
tempo de validade do certificado, nao pode ser utilizado nem antes e nem depois dessa data. Local
de: o local onde a chave privada correspondente ao certificado est instalada. (reescrever)
Carregar certificado: carrega um arquivo de certificado, que pode estar codificado em DER ou
Base 64. Esse arquivo gerado pela CA a partir da requisio que deve ser criada anteriormente.
Quando um certificado carregado sua requisio removida do disco, mas possvel fazer cpias
de segurana com o boto Salvar requisio localizado na aba "Requisies de Certificado, caso
deseje usar a mesma requisio para criar certificados a partir de CAs diferentes.
Ver certificado: Este campo permite uma visualizao dos detalhes do certificado, como mostra a
figura abaixo:
1008
Figura 701 Detalhes do certificado
Remover certificado: remove o certificado e a chave privada associada. Se o certificado que deve
ser deletado estiver em um token criptogrfico, ser necessrio informar a senha do token para
poder remover o certificado;
Carregar backup: carrega um certificado e seu par de chaves no formato PKCS#12;
Salvar backup: salva um certificado e seu par de chaves no formato PKCS#12, que um
documento distribudo pelo RSA Laboratories que define um formato de arquivo usado para
guardar uma chave privada e seu certificado correspondente protegidos por um senha baseada em
uma chave simtrica;
41.10.
Requisies de Certificado
As Requisies so documentos criados quando uma entidade deseja solicitar um certificado digital
a uma CA. Em um primeiro momento, um par de chave assimtrico gerado. Em seguida, a chave
pblica anexada s informaes da entidade (nome, endereo, etc.) e por fim, tudo assinado
com a chave privada do par. O documento resultante pode ento ser enviado a uma CA e as
informaes contidas nele podem ser usadas para gerar um certificado.
1009
Figura 702 Aba requisies de certificado
Os botes existentes para realizar o gerenciamento de requisies so os seguintes:

Nova Requisio: abre uma janela para a criao de novas requisies e chaves privadas;
Salvar Requisio: este boto faz com que seja salva uma cpia da requisio j criada em disco,
com a extenso '.csr'. Este arquivo pode ser usado pela CA para emitir um certificado;
Remover Requisio: este boto remove uma requisio e a chave privada associada a ela. Caso
a Requisio seja criada em um token criptogrfico, ser necessrio inserir a senha do token em
questo para apagar a chave privada;
Para criar uma requisio necessrio clicar no boto Nova Requisio e preencher os seguintes
campos:
Alvo da Requisio: determina qual campo do certificado X.509 ser usado na identificao.
possvel escolher entre Pessoa, onde a necessrio fornecer um endereo eletrnico, e Servidor,
onde necessrio fornecer o domnio;
1010
Figura 703 Nova requisio
Pas: cdigo identificador de duas letras (BR para Brasil por exemplo);
Estado ou Provncia: identificao do estado (Distrito Federal, So Paulo, Minas Geris, etc.).
Nome da Localidade: nome da cidade, bairro, etc.
Nome da Organizao: nome completo ou outro identificador relativo Organizao cuja
requisio est sendo feita;
Nome da Unidade da Organizao: nome da seo, departamento, etc.
Especificaes da Chave: nessa opo deve ser especificado onde ser gerada a chave, se no
disco rgido ou em um token criptogrfico.
Tamanho: Indica o tamanho da chave criptogrfica, em bits.

Senha da chave privada: Neste campo informada a senha usada para a criao da chave
privada.
Confirmao da senha: Deve ser informada a mesma senha da chave privada.
1011
De acordo com o meio de gerao do par de chaves assimtricas, a criao do certificado pode
demorar alguns segundos, fazendo com que durante a gerao da chave alguns botes das janelas
de criao de requisies e de certificados sejam desabilitados.
Quando o Aker Client apresentar a mensagem No encontrada na coluna Chave armazenada em,
significa que a chave pode ter sido apagada ou estar em um token criptogrfico que no est
carregado naquele momento.
41.11.
Dispositivos Criptogrficos
Os tokens utilizados pelo Aker Client so dispositivos criptogrficos externos, cuja funo
armazenar chaves e certificados de forma segura, impossibilitando que sejam copiados. Eles
permitem a utilizao de um esquema de autenticao de dois fatores, pois necessrio ter a
posse do token e tambm conhecer a senha ou pin de segurana, para que possa ser utilizado.
Figura 704 - token
O suporte do Aker Client para tokens criptogrficos baseado na especificao PKCS#11, verso
2.20, do RSA Laboratories. Para que o token esteja em conformidade com o Aker Client
necessrio que tenha suporte a este padro, por meio de uma biblioteca dinmica que pode ser
obtida com o prprio fabricante do token (arquivos com extenso dll no Windows, ou so, no UNIX).
Na janela de gerenciamento de Tokens possvel verificar quais dispositivos esto fisicamente
conectados e as bibliotecas dinmicas PKCS#11 utilizadas por cada um.
1012
Figura 705 Aba dispositivos
Bibliotecas dos Tokens

Esta janela mostra a biblioteca dinmica que est sendo utilizada, bem como sua verso, o nome do
fabricante e a descrio. Os tokens ou certificados presentes no token so carregados apenas
quando uma biblioteca corretamente carregada.
Estas bibliotecas podem ser adicionadas, removidas ou recarregadas, de acordo com o boto
utilizado:
O boto Carregar biblioteca: cadastra uma nova biblioteca dinmica junto ao Aker Client,
deixando-a passvel de ser carregada posteriormente;
O boto Remover biblioteca retira uma biblioteca da lista das bibliotecas cadastradas junto ao
Aker Client;
Procurar bibliotecas: procura bibliotecas associadas a tokens comuns e cadastra as que foram
encontradas junto ao Aker Client.
O boto Recarregar: ativa as bibliotecas selecionadas e desativa as no selecionadas, verificando
quais so os tokens conectados no sistema. Sempre que um token colocado ou retirado
necessrio clicar no boto Recarregar para ativar a biblioteca associada ao token e atualizar a lista
de certificados de acordo com os dados que se encontram no token em questo.
Se desejar cadastrar uma nova biblioteca necessrio seguir alguns passos:
Clique no boto Carregar biblioteca e procure pelo arquivo com extenso dll (Windows) ou so
(Unix) da biblioteca;
1013
No quadro de bibliotecas disponveis, marque a caixa localizada direita do nome;

Clique no boto Recarregar.
Se o arquivo selecionado for uma biblioteca vlida, as informaes adicionais referentes a ela sero
mostradas na janela. Caso contrrio, uma mensagem de erro ser mostrada indicando que aquela
no uma biblioteca vlida.
Pode ocorrer da biblioteca dinmica do token no ser encontrada ou ele no ser reconhecido pelo
Sistema Operacional. Neste caso, entre em contado com revendedor para obter maiores
informaes de como utilizar as funes PKCS#11 do token, ou as atualizaes necessrias.
41.12.
Segurana
Esta aba exibe os status da segurana do seu sistema. importante que o sistema em uso
esteja com a segurana ativada e atualizada, para que o Aker Client estabelea a coneo.
Figura 706 - Aba segurana
Nome: Exibe o nome da ferramenta de segurana detectado no sistema;

Estado: Exibe o estado da ferramenta de segurana detectada no sistema;
Descrio do estado: Exibe uma descrio sobre a ferramenta de segurana detectado no
sistema;
1014
41.13.
Logs
Tela que mostra o registro de atividade do Aker Client. As aes de conexo, desconexo e erros
ocorridos durante estas operaes ficam armazenadas no cliente, facilitando para o Administrador
o diagnstico de algum problema que esteja ocorrendo durante a conexo. A pgina possui o
seguinte formato:
Figura 707 - Logs
Atravs do boto Salvar possvel exportar todos os registros em arquivos texto para anlise
futura. Quanto ao boto Limpar, atravs dele possvel remover todas as mensagens de registro
armazenadas pelo Aker Client. importante ressaltar que quando o log totalmente apagado
atravs do boto Limpar, a nica possibilidade de recuperao se alguma cpia de segurana que
tenha sido feita atravs do boto Salvar for restaurada.
possvel ainda determinar as prioridades que sero mostradas na tela. Cada uma possui um nvel
de criticidade diferente e todas so referenciadas por cores, a fim de facilitar a identificao visual.
Informao (cor verde): mensagens com esta prioridade acrescentam informaes teis para a
administrao do Aker Client, tais como status da conexo.
Ateno (cor amarela): mensagens com esta prioridade indicam que certas aes foram
rejeitadas ou descartadas pelo sistema, devido a algum erro ocorrido. Em algumas situaes, estas
mensagens podem ser precedidas por outras mensagens explicativas.
Erro (cor vermelha): as mensagens com esta prioridade indicam problemas importantes para a
execuo do Aker Client e so acompanhadas de uma mensagem explicativa.
1015
Erro Fatal (cor preta): as mensagens com esta prioridade indicam problemas que impossibilitam
a execuo do Aker Client e so acompanhadas de uma mensagem explicativa.
41.14.
Sobre
Figura 708 - Aba Sobre
Esta janela mostra as informaes da verso atual do produto e sua data de compilao, que pode
ser importante ao usurio quando entrar em contato com o suporte da Aker.
Nessa janela tambm possvel mudar o idioma do produto, podendo o usurio optar entre dois
idiomas: o Portugus e o Ingls.
Interface Remota em modo no administrativo
O usurio que no tiver permisso de administrador, s ter acesso para visualizar as configuraes
relacionadas ao seu perfil. Caso necessite fazer alguma alterao dever contactar o administrador
da mquina ou do domnio.
A GUI que vai aparecer para esse tipo de usurio ter apenas dois botes habilitados: "Visualizar
Servidor" e "Conectar" conforme imagem abaixo
1016
Figura 709 - Interface Remota em modo no administrativo
Para o usurio ter a GUI com privilgios administrativos, ter que est cadastrado no "Domain
controllers".
Glossrio
Backbone
CHAP
IPX
IP masquerading
Tambm conhecida como espinha dorsal de uma rede. Pode ser

local ou abranger longas distncias.
No primeiro caso, uma linha que conecta vrias redes locais. No
segundo caso um conjunto de linhas que interliga
diversas redes locais ou regionais, transportando os dados
reunidos pelas redes menores que esto a ela conectados
formando uma espcie de teia de comunicao.
Challenge Handshake Authentication Protocol . Esquema de
autenticao usado por servidores PPP para validar a
identidade do usurio que deseja conectar-se. A validao
pode ocorrer no momento da conexo ou ento aps seu
estabelecimento. definido pela RFC 1994.
Internerwork Packet Exchange . Protocolo desenvolvido pela
Novell, no orientado conexo que trabalha na camada
de rede (camada 3).
Configurao realizada no roteador que faz com que mquinas
sem um endereo de rede vlido possam se conectar a
1017
LAN
LDAP
Modelo OSI
PAP
RFC
WAN
WINS
outras redes com endereos vlidos, atravs de um

gateway. Este recurso esconde a rede atrs do Gateway,
que passa a ser o nico equipamento visvel na Internet.
Local Area Network . uma rede de computadores local limitada a
curtas distncias.
Lightweight Directory Access Protocol.
Open Systems Interconnection . Modelo de referncia
desenvolvido
pela
ISO
(International
Standards
Organization) com a finalidade de padronizar o
desenvolvimento de produtos para redes de comunicao
de dados, permitindo a comunicao entre equipamentos
heterogneos.
Password Authentication Protocol . Protocolo de autenticao de
texto em formato simples. considerado inseguro pois o
nome do usurio e senha so enviados pelo cliente remoto
em texto de formato simples.
Request for Comments . Documentos tcnicos que descrevem os
padres a serem adotados na utilizao e implementao
de protocolos para a Internet.
Wide Area Network . Rede privada que utiliza linhas dedicadas
para conectar computadores que esto fisicamente
distantes.
Windows Internet Naming Service . Servio de resoluo de nomes
utilizado exclusivamente por computadores que utilizam o
Windows como sistema operacional.
Links Indicados
ITI Brasil: Instituto Nacional de Tecnologia da Informao. rgo do Governo que atua como
Autoridade Certificadora Raiz da ICP Brasil. Divulgao de eventos, software livre, literatura
especfica e fruns virtuais.
http://www.iti.br/
PPTP: pgina da Microsoft com um artigo explicativo com uma viso geral do trfego PPTP.
www.technetbrasil.com.br/Downloads/ArtigosTecnicos/windows2003/CG0103.pdf
IEC (International Engineering Consortium): organizao internacional que busca, atravs de
parcerias com empresas e Universidades de renome, divulgar e desenvolver a tecnologia disponvel
no mundo. Possui cursos on-line, fruns e tutoriais sobre diversas tecnologias.
http://www.iec.org
L2TP: pgina da CISCO com as definies acerca do protocolo L2TP.
1018
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t1/l2tpt.h
tm
RFC 2003 - IP Encapsulation within IP: RFC que traz as especificaes necessrias para realizar o
encapsulamento de datagramas IP dentro de outro datagrama IP.
ftp://ftp.rfc-editor.org/in-notes/rfc2003.txt
RFC 2661 Layer Two Tunneling Protocol L2TP: RFC que descreve as caractersticas do
protocolo L2TP.
ftp://ftp.rfc-editor.org/in-notes/rfc2661.txt
RFC 2341 Cisco Layer Two Forwarding Protocol L2F: RFC que descreve as caractersticas do
protocolo L2F.
Anexo Protocolos e Servios

Conforme mostrado no Captulo X, neste anexo vamos diferenciar as opes de servios existentes
para cada protocolo. O leitor notar que apesar da ocorrncia de nomes iguais de servios,
normalmente estes referem-se a assuntos distintos e, por isso, importante saber diferenci-los na
hora de criar uma regra.
ICMP
Echo Reply (porta 0): Resposta de um ping.
Destination Unreachable (porta 3): Destino inacessvel.
Source quench (porta 4): Aviso ao host solicitante que diminua a intensidade da comunicao.
Redirect (porta 5): Redirecionamento alterao da rota.
Echo Request (porta 8): Sada de um ping para um host.
Time exceded (porta 11): Indica quando excedido o tempo mximo para chegarem todas as
partes de um datagrama.
Parameter problem (porta 12): Cabealho incoerente, possivelmente os parmetros de
preenchimento opcionais.
Timestamp Request (porta 13): Solicitao da hora corrente.
Timestamp Reply (porta 14): Sincronizao dos relgios das mquinas.
1019
Information Request (porta 15): Solicitao de endereo da rede qual corresponde.

Information Reply (porta 16): Posio do endereo na rede corrente.
IP
Echo Reply (porta 0): Resposta de um ping.
ggp (porta 1): Usado por um gateway para troca de informaes de roteamento.
egp (porta 8): Protocolo que informa a um dispositivo de rede IP como alcanar outras redes IP.
pup (porta 12): Programas ou aplicativos indesejados.
hmp (porta 20): Protocolo de monitorao.
xns-idp (porta 22): Protocolo de mensagem de controle
rdp (porta 27): Protocolo de rea de trabalho remota.
rvd (porta 66): Protocolo para disco remoto virtual.
TCP
echo (porta 7): Repetio do que j foi digitado.
discard (porta 9): Descartar o que est sendo digitado.
sysstat (porta 11): Usurios de status ativo no sistema.
daytime (porta 13): Data corrente do sistema.
qotd (porta 17): Criaes do protocolo do dia.
chargen (porta 19): Gerar respostas de caracteres enviados por meio da rede.
ftp (porta 21): Protocolo de transferncia de arquivos.
ssh (porta 22): Permite acessar remotamente a console de outra mquina.
telnet (porta 23): Protocolo para servio de Terminal Remoto.
smtp (porta 25): Protocolo para Transmisso de mensagem de e-mail de uma mquina para
outra.
time (porta 37): Tempo.
nameserver (porta 42): Nome do Servidor.
1020
domain (porta 53): Domnio.

gopher (porta 70): Servios de informaes usado na Internet.
finger (porta 79): Protocolo para busca de informaes do Usurio.
http (porta 80): Protocolo de transferncia de Hypertexto.
pop2 (porta 109): Verso 2 do protocolo de correio eletrnico.
pop3 (porta 110): Verso 3 do protocolo de correio eletrnico.
sunrpc (porta 111): Protocolo de chamada de recebimento remoto.
nntp (porta 119): Protocolo de transferncia de notcias de rede.
ntp (porta 123): Protocolo de hora da rede.
loc-srv (porta 135): Protocolo de localizao do Servio.
netbios-ssn (porta 139): Servio de sesses do Netbios usado no Red hat Enterprise Linux pelo
Samba.
https (porta 443): Protocolo de transferncia de Hypertexto seguro.
exec (porta 512): Autenticao para execuo do processo remoto.
login (porta 513): Autenticao remota.
cmd (porta 514): Cpia remota sem autenticao.
printer (porta 515): Spooler da impressora em linha.
Aker Log Server (porta 1013): No est sendo aplicada.
Aker Log Server (porta 1014): No est sendo aplicada.
Aker URL Analyser (porta 1015): No est sendo aplicada.
Aker Anti-virus Agent (porta 1017): No est sendo aplicada.
Aker IDS Agent (porta 1018): No est sendo aplicada.
Aker Firewall (porta 1020): No est sendo aplicada.
Aker Authentication Agent (porta 1021): No est sendo aplicada.
socks (porta 1080): Suportar o trfego TCP atravs de servidor proxy.
1021
Ltus note (porta 1352): Usada para administrao remota do Lotus notes.
pm-console (porta 1643): Porta console dedicada.
real-audio (porta 7070): Transmisso de audio pela internet.
UDP
echo (porta 7): Mostra o payload do datagrama que voc quer enviar..
discard (porta 9): Descarta o datagrama que voc quer enviar.
daytime (porta 13): Servidor da hora certa.
chargen (porta 19): Descarta e responde com uma string de 72 caracteres.
time (porta 37): Permitir que o horrio do servidor seja consultado pelas estaes.
domain (porta 53): Permite consulta de nome no servidor DNS.
bootps (porta 67): Permite acesso ao Servidor de protocolo Bootstrap.
bootpc (porta 68): Permitir acesso ao Cliente do protocolo Bootstrap.
tftp (porta 69): Permite transferncia de arqivos.
netbios-ns (porta 137): Permite resolver nomes.
netbios-dgm (porta 138): enviar broadcast UDP ou broadcasts direcionados.
snmp (porta 161): Protocolo de Gerenciamento da Rede.
snmptrap (porta 162): Alarmes de dispositivos de rede.
ike (porta 4500): Gerencia a troca de chaves da internet.
doom (porta 666): Porta privilegiada.
Aker CL (porta 1022): No est sendo aplicada.
radius (porta 1645): Protocolo de Autenticao.
radacct (porta 1646): Protocolo de Contabilizao.
Aker CDP (2473): No est sendo aplicada.
icp (porta 3030): Verifica se um servidor de cache possui determinada pgina.
1022
1023
1024
Este captulo mostra como instalar e utilizar o AWCA no Aker Firewall.
Introduo
42.1.
A Web permite que cada documento na rede tenha um endereo nico, que indica o nome
do arquivo, diretrio, nome do servidor e o mtodo pelo qual ele deve ser requisitado e se
esse endereo foi chamado de URL. URL (Uniform Resource Locator, numa traduo literal,
localizador uniforme de recursos). Uma URL tem a seguinte estrutura:
http://www.seed.net.tw/~milkylin/htmleasy.html . Onde: http:// o mtodo pelo qual
ocorrer a transao entre cliente e servidor. HTTP (Hypertext Transfer Protocol, ou
protocolo de transferncia de arquivos de hipertexto) o mtodo utilizado para transportar
pginas de Web pela rede. Outros mtodos comuns so: ftp:// (para transferir arquivos),
news:// (grupos de discusso) e mailto:// (para enviar correio eletrnico).
A produtividade fundamental para todas as empresas. Para isso, buscam utilizar de forma
racional seus recursos de rede. Apesar de a Web ser uma incrvel ferramenta de trabalho,
ela tambm pode causar uma enorme queda na produtividade. Definir algumas regras pode
proteger seu negcio e seus funcionrios. Pginas Web contm programas que so
usualmente inocentes e algumas vezes teis - por exemplo, animaes e menus pop-up.
Mas existem sites questionveis e maliciosos que nem sempre esto com as melhores
intenes. Ao navegar na Web, operadores de sites podem identificar seu computador na
Internet, dizer quais pginas voc acessou, de que pgina voc veio, usar cookies para criar
um perfil seu e instalar spywares em seu computador - tudo sem o seu conhecimento.
Worms destrutivos podem ainda entrar em seu sistema por meio de seu navegador:
Cookies: so informaes que um servidor web pode armazenar temporariamente

junto a um browser. um pacote de informao que viaja entre um aplicativo
navegador de Internet (browser) e o servidor (web);
Spywares: so programas de computador que, em vez de serem teis, estes tentam
rastrear alguma informao do computador, como os sites que voc navega
programas que possui e outras informaes do seu computador;
Worms: um software que tem objetivos maliciosos. Neles se incluem: trojans ,
vrus e spywares .
Alm de atividades maliciosas instigadas por usurios externos, os negcios podem ser
colocados em uma posio vulnervel por funcionrios que se engajarem em uma atividade
ilegal e/ou indesejvel durante o horrio de trabalho e usando computadores da empresa.
Apresentando o produto AWCA
1025
O acesso descontrolado internet, a produtividade comprometida, o acesso s pginas de

contedos indevidos e o comprometimento do uso da rede, tm feito com que as
organizaes criem polticas de uso da internet. A partir dessa necessidade, o Analisador de
URL tornou-se uma ferramenta indispensvel para o controle de pginas web vistas por
funcionrios dentro de uma corporao. Com o produto, os usurios s tero acesso a sites
com contedos autorizados pelo administrador.
Esta prerrogativa motivou a Aker Security Solutions a desenvolver o Web Content Analyzer,
ferramenta segura e inteligente, focada em oferecer ao cliente uma soluo capaz de suprir
as necessidades de monitoramento e controle em tempo real do uso da Internet pelos
usurios, com limitao dos sites possveis de acesso, proteo antivrus e emisso de
relatrios de utilizao.
O produto faz toda filtragem a partir da pesquisa do endereo a ser acessada, essa pesquisa
feita anteriormente na Aker por uma equipe altamente qualificada, que classifica milhares
de sites novos por dia distribudos em 24 (vinte quatro) categorias. Ao administrador resta
apenas escolher os usurios e grupos de usurios autorizados ou no a ter acesso a
determinados sites.
Com interface amigvel e de fcil utilizao, o Web Content Analyzer permite ao usurio,
acessar sites confiveis e, sempre utilizando para navegar um PC ou notebook, utilizando
uma conexo segura por meio de um firewall/Proxy. Em outras palavras o uso do Web
Content Analyzer inibe o uso do computador de trabalho para acessos a informaes
irrelevantes no trabalho.
Figura 710 - Esquema de funcionamento do Web Content Analyzer.

A cada conexo requerida, o sistema identifica a classificao do site na base de dados do
Analisador de URL e determina se o usurio est apto a acess-lo, ou no, com base em seu
perfil. Como o Analisador trabalha em conjunto com o identificador de Perfis de Acesso do
Aker Firewall, podem-se estabelecer perfis individuais especificando a que tipo de contedo
cada usurio ter acesso. O sistema passa a funcionar, ento, da seguinte forma: o usurio
entra no sistema utilizando seu nome e senha de login e seu Perfil de Acesso identifica quais
contedos ele est autorizado.
A ferramenta trabalha tambm em conjunto com o Aker Web Control que possui plugins de
configurao para Microsoft ISA Server, SQUID Server e para o Firewall Checkpoint.
1026
O Aker Web Control para Squid um produto parte que possibilita ao Squid aceitar ou
rejeitar acessos de acordo com o nvel de acesso de cada usurio e a categoria da pgina
desejada, de acordo com o arquivo de configurao do Squid.
O Aker Web Control para ISA Server um produto parte que possibilita ao ISA Server
aceitar ou rejeitar acessos de acordo com o nvel de acesso de cada usurio e a categoria da
pgina desejada.
Todas estas caractersticas fazem do Web Content Analyzer uma poderosa ferramenta de
controle ao acesso internet, quando trabalhando em conjunto com um Firewall ou um
servidor Proxy compatvel.
Pr-requisitos
42.2.
Software
O Analisador de URL Aker executa sobre os sistemas operacionais Windows Server e Linux
GNU em plataformas Intel 32 ou compatveis.
Ele compatvel com o Firewall Aker, MS Proxy Server e MS ISA Server, Checkpoint Firewall
1 e Squid Internet Object Cache. Com exceo do Firewall Aker, os demais produtos
necessitam de um plugin para se comunicarem com o Analisador de URLs.
Hardware
A indicao do hardware mnimo varia de acordo com o nmero de clientes simultneos e
seus respectivos links. O mnimo absoluto :
Computador Pentium 1 Ghz ou superior;

256 MB de memria RAM;
2GB de espao livre em disco;
Monitor;
Placa de rede.
Antes da utilizao do produto deve-se verificar se todos os perifricos do computador so

suportados pelo sistema operacional utilizado.
42.3.
Instalando o Aker Web Content Analyzer
O Aker Web Content Analyzer funciona nas seguintes verses de Sistemas Operacionais:
1027
Windows Server: 2000, 2003 e 2008;

Linux GNU;
As telas a seguir mostraro como realizada a instalao do produto nos sistema

operacionais:
42.4.
Instalao em Ambiente Windows
Baixar os pacotes no site da Aker: http://www.aker.com.br.

Escolha o idioma (ingls ou portugus) para realizar a instalao e clicar em OK.
Figura 711 - Escolha do idioma no qual deseja realizar a instalao.
1028
Contrato de licena de Programa

Ler o contrato, em caso de acordo selecionar a opo Aceito o contrato de licena. Clicar
no boto Avanar.
Figura 712 Contrato de licena do programa.
1029
Informaes do usurio
Nesta fase ser realizada a insero de informaes necessrias para que a instalao seja
personalizada:
Digitar o Nome Completo do usurio;
Digitar o nome da Empresa;
Optar se as configuraes para o aplicativo ser instalada para o usurio atual Somente
para mim ou para todos que compartilham o computador Qualquer pessoa que usa este
computador;
Clicar em Avanar.
Figura 713 - Preenchimento de informaes do usurio.
1030
Seleo dos recursos

Escolher
o
recurso
que
ser
instalado
AkerWebContentAnalyzerPlugin e clicar em Avanar.
no
disco
rgido
local
Esta tela permite selecionar os recursos que sero instalados. Atualmente, o Plugin de
instalao do Aker Web Content Analyzer vem acompanhado pelo Plugin do Aker Web
Control. Isto , ao instalar o AWCA, automaticamente ser instalado o AWC. Se caso desejar
instalar apenas o plugin do Aker Web Content Analyzer, deve-se clicar no cone
AkerWebControlPlugin, selecionar a opo Todo o recurso no estar disponvel e, em
seguida clicar no boto Avanar.
Figura 714 - Seleo dos recursos que deseja instalar.
1031
Em seguida aparece a mensagem Pronto para instalar o aplicativo. Clicar em Avanar

para iniciar a instalao.
Figura 715 - Mensagem de aplicativo pronto para ser instalado.
1032
Atualizando o sistema
Mostra a barra de progresso da instalao do sistema.
Figura 716 - Barra de progresso de instalao.
Aps o trmino da instalao, automaticamente ir aparecer uma tela dizendo que o

produto foi instalado com xito. Para terminar, basta clicar em Concluir.
1033
Figura 717 - Concluindo a Instalao.
1034
42.5.
Instalao em Ambiente Linux
A instalao realizada em Linux bastante simples e requer apenas alguns passos que sero
demonstrados a seguir. Crie um diretrio e copie o arquivo AkerWebContentAnalyzerserver-br-3.0-3.fc8.tar.bz2 para dentro dele.
Descompacte o arquivo usando o seguinte comando:
tar -vzxf akerwebcontentanalyzer-3.4-pt-linux-server-012.bin.tar.gz
Figura 718 - Instalao Linux: Descompactao.
1035
Acesse o diretrio criado anteriormente e digite o seguinte comando:

./akerwebcontentanalyzer-3.4-pt-linux-server-012.bin
Figura 719 - Instalao Linux: Execuo Script de Instalao.
1036
O sistema ir apresentar a termo de licena do produto e ao final perguntar se voc aceita

os termos da licena. Caso seja selecionado N (No), a instalao ser abortada. Selecione S
(Sim) para continuar a instalao.
Figura 720 - Termo de Licena.
Aps verificar as dependncias necessrias, o script de instalao ir verificar a existncia do

mdulo de log do produto e caso no esteja instalado ir instal-lo automaticamente.
1037
Figura 721 Instalao do Mdulo de Log.
1038
O prximo passo a criao do usurio que ter acesso administrao via Interface
Remota. Ao apertar ENTER sem escolher um nome, o usurio ser criado conforme o
nome informado entre colchetes (admin). Em seguida, digite a respectiva senha e confirmea.
Figura 722 Confirmao de usurio e senha.
1039
Pressione o boto Enter para que a instalao seja completada.
Figura 723 - Instalao Linux: Criao de Usurio Administrador.
42.6.
Configurao do AWCA
1040
A configurao do Aker Web Content Analyzer simples, mas requer ateno em algumas
explicaes que sero dadas a seguir. Cada assunto foi agrupado em menus distintos.
Para acessar o AWCA no firewall, deve-se ir em Dispositivo Remoto e selecionar o item
Web Content Analyzer, conforme mostrado na figura a seguir:
Figura 724 - Opes de Configurao do Aker Web Content Analyzer.
Em seguida, ser apresentado cada um dos menus de acesso e configurao no Aker

Firewall: Categorias, Gerenciamento da base de URLs e Teste de URL.
42.7.
Gerenciamento da base de URLs
O menu Gerenciamento da base de URLs trata das atualizaes de assinaturas de

malwares. nesse menu que sero configuradas as opes de como as atualizaes sero
automatizadas.
Figura 725 - Gerenciamento de base de URLs.
1041
O Menu composto de trs abas: Geral, Frequncia de atualizao e Atualiza os

sites.
Figura 726 Menu: Gerenciamento da base de URLs.
1042
Aba Geral
A atualizao das assinaturas feita por meio da Internet. As informaes necessrias para
permitir esse acesso sero configuradas nessa aba, por isso para acessar Internet, o Aker
Web Content Analyzer precisa utilizar ou se autenticar em algum proxy.
Figura 727 - Gerenciamento da base de URLs: geral.

Para realizar a configurao necessrio preencher os campos:
Habilitar a opo: Usar Servidor Proxy;

Endereo IP e porta do servidor Proxy em questo;
Usar autenticao no proxy;
Usurio e senha para aplicao do Proxy.
1043
Aba Frequncia de Atualizao

A opo Ativar Atualizao ir habilitar ou desabilitar a atualizao automtica.
possvel escolher a opo de Atualizao Semanal ou Atualizao Mensal de acordo
com a necessidade do cliente.
A atualizao das assinaturas de URLs podem ser configuradas para serem realizadas de
maneira automtica. nessa aba que o administrador ir selecionar os dias da semana/ms
que as atualizaes sero efetuadas, assim como o horrio da atualizao.
O boto Atualiza Agora ir efetuar a atualizao no momento do clique.
Figura 728 Menu: Gerenciamento da base de URLs frequncia de atualizao.

Realizadas as configuraes, deve-se clicar no boto Aplicar.
1044
Aba Atualiza os sites

Nessa aba, sero apresentados os sites que possuem a base de assinaturas de URLs de onde
os administradores podero atualizar suas assinaturas. Clicando no boto Atualiza a lista
de sites o sistema ir buscar por configuraes de novos sites disponveis atualizando
assim a lista.
Figura 729 Menu: Gerenciamento da base de URLs atualiza os sites.
Realizadas as configuraes, deve-se clicar no boto Aplicar.

Observao: possvel realizar a atualizao da base de URLs manualmente, para isso siga os
passos a seguir:
1.
2.
3.
4.
5.
Realizar o download do arquivo no site da Aker (www.aker.com.br);

Transferir o arquivo para uma pen drive;
Conectar a pen drive ao Firewall box;
Accesse o appliance via ssh
Executar o comando: Aker> awcabase
1045
Uso: awcabase </base_file>

Exemplo: awcabase base_awca.zip
Categorias
42.8.
O menu de categorias de sites permite ao administrador do Aker Web Content Analyzer

modificar a categoria de determinados sites/URLs e criar novas categorias dinamicamente.
Figura 730 - Categorias.

O administrador pode criar sua prpria base de categorizao nas seguintes situaes:
Quando se deseja incluir alguma URL que no esteja categorizada;

Quando se quer fazer uma nova configurao, caso no esteja de acordo com
alguma URL/Categoria cadastrada na base de assinaturas do produto;
Quando se deseja criar novas categorias que ainda no esto cadastradas no AWCA.
A criao das categorias pode ser feita em dois nveis: o nvel pai e o nvel filho. Para criar
uma nova categoria pai, o administrador do produto deve clicar com o boto direito do
mouse no menu Categorias e escolha a opo "Nova Categoria". Para se criar uma
categoria filho deve-se clicar com o boto direito do mouse na categoria escolhida e escolha
a opo "Nova Categoria".
1046
Exemplo 1: criando uma categoria Pai:
Figura 731 Menu: Categorias cria categoria pai.
1047
Exemplo 2: criando uma categoria Filho:
Figura 732 - Menu: Categorias cria categoria filho.

Devem-se preencher os campos referentes criao da categoria, na janela "Nova
Categoria" e clicar no cone a seguir para selecionar um cone que estar associado
categoria a ser criada.
Figura 733 - Boto: cone.
1048
Surgir a seguinte tela:
Figura 734 Escolha dos cones da categoria.

Deve-se escolher o cone da categoria, clicar com o mouse neste item e apertar o boto
OK.
Figura 735 Janela: Nova Categoria.

Preencher os dados solicitados:
Nome: Nome pelo qual a categoria ser referenciada;

Descrio: Um breve resumo do contedo do Site;
Clicar no boto OK.
1049
Para visualizar melhor segue um exemplo:
Categoria: Educao;
Descrio: Sites de organizao educacional ou que de alguma maneira contribua
para a divulgao da educao.
Poder ser utilizado um dos cones oferecidos pelo AWCA ou algum outro, desde que seja 32 por
32 pixels e que esteja em formato png.
Aps a criao da categoria necessrio criar uma lista de expresses. As categorias com
expresses cadastradas aparecem em negrito. Para criar essa lista, o administrador do
produto deve selecionar a categoria e clicar com o boto direito na parte branca do menu
Categorias e configurar as opes necessrias. As opes so duas:
Figura 736 Criao das listas de expresses.
Expresso: Define qual ser a string ou os parmetros que sero pesquisados na URL
acessada e qual operao a ser efetuada. A operao pode ser de vrios tipos
diferentes, alguns deles seriam *Aker* (contm), Aker (), *Aker (termina
com), Aker* (comea com).
Cada entrada na lista de expresses da janela de categorias deve seguir a semntica (A

string digitada no faz distino entre maisculo e minsculo):
1050
* significa qualquer quantidade de caracteres, inclusive nenhum

? significa exatamente um carcter
\ * o carcter *
\? o carcter ?
\\ o carcter \
Figura 737 Menu: categorias cria lista de expresses.
Local de Busca: Define o local especfico da busca nos sites. Nessa opo, ao clicar
com o boto direito podero ser definido quatro formas de busca. Abaixo segue um
exemplo de preenchimento desses campos, tomando como base o endereo:
http://www.aker.com.br/index.php?pag_cod=1&ling=pt_br
Domnio: Faz a busca no domnio: www.aker.com.br

Parmetros: Faz a busca nos parmetros do site: pag_cod=1&ling=pt_br
Tudo: Faz a busca em toda a URL:
www.aker.com.br/index.php?pag_cod=1&ling=pt_br
URL: Faz a busca somente na URL: www.aker.com.br/index.php
1051
Figura 738 Menu: Categorias define local de busca.

Para confirmar se as expresses que foram definidas esto realmente funcionando, digite
no campo "URL" um texto. Logo em seguida clique no boto de pesquisa para que seja
verificado se o texto que voc digitou est sendo ou no enquadrado nas expresses.
Figura 739 - Boto: de pesquisa.
1052
Figura 740 Menu: Categorias.

Para criar estas expresses podemos contar com os recursos de exportar e importar,
facilitando a migrao de outras bases de URLs para a base da Aker.
Exportar expresses: se houver expresses em uma categoria o usurio pode

export-las para um arquivo. Para exportar as expresses de uma categoria clique
com o boto direito do mouse na lista de expresses e selecione Exportar, escolha
um local e um nome para o arquivo exportado e clique em Salvar. O Aker Control
Center ir salvar as expresses no arquivo selecionado com a extenso .exps. As
expresses exportadas podem ser carregadas em uma categoria por meio de o boto
importar do mesmo menu;
Importar expresses: para importar expresses de um arquivo para uma categoria
clique com o boto direito do mouse na lista de expresses e selecione Importar.
Uma janela para importao ser aberta. Existem duas formas de importao:
importar a partir de um arquivo exportado de uma categoria ou importar a partir de
um arquivo contendo uma lista de URLs (com uma URL por linha).
1053
Figura 741 Importar arquivo.

A janela apresenta as seguintes informaes:
Nome do arquivo: caminho e nome do arquivo (com extenso) a ser importado;
Tipo de importao: indica de qual arquivo ser feita a importao. Possui duas opes:
Arquivo Aker: importar a partir de um arquivo exportado de uma categoria. O

arquivo deve possuir a extenso.exps";
Lista de URLs: importar a partir de uma arquivo texto contendo uma URL por linha. A
importao por lista de URLs possui duas opes:
Importao padro: importa as URLs do arquivo criando expresses fazendo a busca
no domnio da URL e o formato da expresso em "Texto completo";
Importao avanada: permite ao usurio selecionar o tipo do local de busca e o
formato da expresso que sero aplicados para todas as URLs do arquivo. As opes
avanadas sero mostradas somente aps o usurio selecionar "Importao
avanada". Abaixo segue a descrio das opes:
Tipo de localizao da busca:
Domnio: seleciona todas as expresses para fazer a busca no domnio da URL;

Parmetros: seleciona todas as expresses para fazer a busca nos parmetros da
URL;
URL: seleciona todas as expresses para fazer a busca na URL;
Tudo: seleciona todas as expresses para fazer a busca em todos os campos da URL.
Formato da expresso:
1054
Texto completo: todas as URLs sero inseridas conforme esto no arquivo (para
fazer a busca em tudo que for igual a URL). Ex. <url>
Termina com: ser inserido um * (asterisco) no incio de todas as URLs importadas
do arquivo (para fazer a busca em tudo que terminar com a URL). Ex. *<url>;
Comea com: ser inserido um * (asterisco) no final de todas as URLs importadas do
arquivo (para fazer a busca em tudo que comear com a URL). Ex. <url>*;
Contm: ser inserido um * (asterisco) no incio e no final de todas as URLs
importadas do arquivo (para fazer a busca em tudo que contiver a URL). Ex. *<url>*.
Aps selecionar o arquivo e o tipo de importao clique no boto Importar e o Aker

Control Center ir importar todas as expresses do arquivo. Ao final ser apresentado um
resumo da importao contendo as informaes como:
Nmero total de expresses no arquivo;

Nmero total de expresses que estavam no arquivo;
Categorias j existentes;
Nmero total de expresses importadas e nmero total de expresses que no
puderam ser importadas por possurem erros.
Se houver alguma expresso com erros, tambm ser apresentada uma lista com
todas as expresses que possuem erros, as quais podem ser copiadas para outro
arquivo, corrigidas e importadas novamente.
Tambm se pode exportar e importar a lista completa de categorias e suas expresses:
Boto exportar: Salva as customizaes das categorias, funcionando como uma

forma de backup para uma recuperao futura ou para utilizao em outro Aker
Web Content Analyzer;
Boto importar: Recuperar as customizaes das categorias exportadas.
1055
42.9.
Teste de URL
Esse menu constitudo de uma lista de cones com os nomes das categorias em que a URL
do teste se enquadra.
Figura 742 - Teste de URLs.

A tela a seguir ser exibida:
Figura 743 Teste de URL.

Ao escrever o nome da URL (no campo em branco http://) e clicar em Categorizar, o
produto ir informar qual a categoria da URL e mostrar os cones correspondentes. Se a URL
no est associada a nenhuma categoria definida ser mostrado a mensagem No
encontrado.
1056
Figura 744 Teste de URL j categorizado.
Aps a consulta, clicar no boto Sair.
1057
1058
Este captulo mostra como instalar e utilizar o ASM no Aker Firewall.
43.1.
Introduo
O e-mail corporativo uma ferramenta indispensvel para fechar novos negcios, parcerias
e trocar informaes. No entanto, ainda uma porta de entrada para ameaas virtuais, que
podem roubar informaes estratgicas e prejudicar o ambiente de rede da empresa.
Alm de vrus, Cavalos de Tria e outras ameaas, as mensagens indesejadas, chamadas de
Spams, tambm so uma realidade incontestvel. Quando menos esperamos, oferecem
uma infinidade de produtos e servios, despejam lixos nas caixas de correio, esgotam seus
recursos e impossibilitam a chegada de correspondncias realmente necessrias. O
desperdcio de tempo enorme e pode gerar consequncias desagradveis.
Uma pesquisa realizada pelo */Nucleus Research/*, importante empresa de consultoria de
TI dos EUA, alerta que, entre 2003 e 2004, a quantidade de Spams subiu de 13 para 29,
fazendo com que a perda de produtividade dos funcionrios aumentasse de 1,4% para 3,1%.
O prejuzo anual chegou a computar US$ 1.934,00 por funcionrio, sem considerar o custo
com tcnicos, desperdcio de banda e de hardware, o que aumentaria ainda mais o valor. De
acordo com o estudo, as empresas que utilizam algum mecanismo para filtrar as mensagens
conseguem bloquear efetivamente apenas 20% do lixo eletrnico que chega diariamente.
Sob esta perspectiva, proteger a informao tornou-se uma necessidade incontestvel.
Assim, a Aker Security Solutions desenvolveu o Aker Spam Meter - ASM, uma ferramenta
capaz de afastar essas mensagens indesejadas de maneira rpida e eficiente a partir de um
filtro de anlise bayesiana que pontua os e-mails por algoritmos matemticos de estatstica.
A soluo se ajusta as mais diversas necessidades, possui Menu intuitivo e com fcil
administrao. O Aker Spam Meter agora integra o *Aker Security Suite*, fortalecendo
ainda mais essa j conhecida linha de produtos.
Ao abrir sua caixa postal para ler seus e-mails, qualquer usurio se depara diariamente com
uma grande quantidade de mensagens indesejadas, tais como propagandas, correntes,
pornografia e at mesmo programas invasores disfarados de mensagens legtimas. Uma
pesquisa realizada por empresas de Segurana da Informao constatou que o Brasil
aparece em quinto lugar na lista dos maiores emissores de lixo eletrnico na rede mundial.
Outros estudos recentes estimam que dois teros de todas as mensagens de correio
eletrnico que circulam diariamente na Internet so consideradas SPAM e este percentual
aumenta todos os meses. Como a maior parte das mensagens de SPAM so enviadas para
conjuntos aleatrios de endereos de e-mail, no h como prever se uma mensagem com
contedo imprprio ser recebida por uma determinada pessoa.
Uma das grandes dificuldades ao tentar lidar com este problema, no entanto, definir o que
so mensagens indesejadas, j que a internet possui um grande nmero de usurios
1059
distintos e que possuem vises diferentes sobre o tema. Um e-mail recebido e lido por uma
pessoa sobre um determinado assunto pode no interessar a outra, e assim
sucessivamente.
Em virtude desta dificuldade, a nica maneira vivel de conseguir resolver de forma
definitiva o mal causado pelo SPAM possibilitar que cada usurio, ou grupo de usurios
com caractersticas semelhantes, possa treinar o sistema Antispam para que este aprenda
seus gostos e preferncias e consiga filtrar de forma eficiente suas mensagens. O Aker
SPAM Meter foi criado tendo este princpio como ponto de partida.
43.2.
Apresentando o produto ASM
O Aker SPAM Meter permite que cada pessoa, ou grupo de pessoas, classifique seus e-mails
de acordo com seu perfil, fazendo com que o produto aprenda o que esta pessoa deseja
receber. A soluo possui tambm atualizao diria de uma base de dados, gerada pela
Aker, com informaes sobre SPAM, possibilitando identificar novas ameaas
automaticamente.
Outro ponto importante sobre o produto que ele atribui um percentual de 0 a 100% para
classificar as mensagens. Nessa escala de probabilidade, o '0%' significa que definitivamente
no spam, e '100%' a certeza absoluta de que spam. Desta forma, alm de cada
usurio ou grupo poder treinar individualmente o que o no SPAM dentro de sua tica,
possvel tambm que ele defina o que fazer com as mensagens em vrias faixas de certeza.
possvel, por exemplo, descartar as mensagens que o sistema classifica com mais de 95%
de certeza de serem SPAM, mudar o assunto das mensagens que ficarem entre 85% e 95% e
aceitar as demais.
43.3.
Como funciona a classificao
O produto faz uma anlise do contedo do e-mail, baseada em dados estatsticos, ou seja,
atribui uma nota para cada mensagem com base em dados estatsticos gerados a partir de
milhares de mensagens em diferentes lnguas, pr-classificadas em spam e no spam.
Quanto maior a base de mensagens utilizadas para gerar os dados estatsticos e quanto
mais especficos forem os dados, melhor o resultado do programa, que em boas condies
pode inclusive superar o resultado de um ser humano desempenhando uma classificao
manual.
Para conseguir um melhor ndice de classificao de mensagens, o produto conta com duas
bases de dados distintas: uma gerada pela Aker e atualizada diariamente, que representa
de forma genrica os conceitos de spam e no spam, e outra que produzida a partir do
treinamento realizado por cada usurio ou grupo. Com a combinao de ambas as bases, o
sistema imediatamente consegue atingir um nvel bom de classificao, utilizando para isso
os dados estatsticos da Aker, ao mesmo tempo em que permite tambm que seja refinado
pelos usurios at o ponto da quase perfeio.
1060
O Aker SPAM Meter extremamente rpido e consegue atingir at 99% de acerto na

classificao dos e-mails. A soluo sendo uma das formas mais eficientes de classificao
de mensagens indesejadas disponveis e evolui junto com as prprias mensagens de spam. A
partir do momento em que novas caractersticas so adicionadas a mensagens indesejadas de modo a burlar detectores de spam tradicionais - o produto passa a identificar estas novas
caractersticas como um forte indicador de spam e a classificar como tal estas mensagens.
Figura 745 - Aker Spam Meter: Esquema de Funcionamento.
43.4.
Aker Control Center
O Aker Spam Meter controlado remotamente por meio do Aker Control Center, que um
framework integrado de gerncia multiplataforma e que controla, a partir de um ponto
central, todas as solues Aker.
A utilizao do Aker Control Center bastante til na configurao e manuteno do Aker
Spam Meter, tendo em vista sua interface amigvel e facilidade de manuseio. O produto
pode ser totalmente configurado e administrado remotamente.
Dispositivos Remotos
1061
Para comear a utilizar o programa, clique em Iniciar, Programas, Aker Control Center,
Dispositivos remotos, Aker Firewall, Spam Meter;
Figura 746 - Spam Meter.
A configurao de o Aker Spam Meter simples, mas requer ateno em algumas

explicaes que sero dadas a seguir. O spam Meter utilizado no Aker Firewall possui 4
itens: Banco de Dados, Classificao de e-mail, Configurao do Filtro e Grfico de Notas.
Cada assunto foi agrupado em menus distintos.
Figura 747 - Menu de o Spam Meter.
1062
43.5.
Banco de Dados
O Menu Bancos de dados trabalha as opes de configurao da(s) base(s) de dados de emails e suas classificaes.
Figura 748 - Bancos de dados.
Aps aberto o Bancos de Dados, surgir a seguinte tela com as abas: Estado, Lista das
bases de dados e Parmetros.
Figura 749 - Bancos de dados.
1063
Aba Estado
A aba Estado apresenta as informaes com relao ao estado atual dos downloads e
uploads das bases de dados.
Os uploads so e-mails classificados manualmente pelos usurios que podem ou no ser
enviados para a Aker de forma a melhorar a classificao dos e-mails e das bases de
assinaturas.
O boto Atualizar Agora realiza o download da base de assinaturas de e-mail mais atual
A aba parmetros permite configurar os downloads e uploads para serem realizados
automaticamente. Porm, os botes Enviar Agora e Atualizar Agora permitem que seja
feito sobre demanda.
Aba Lista das bases de dados
A aba Lista das bases de dados apresenta todas as bases de Dados existentes atualmente
no sistema, assim como seus respectivos status e tamanho da base.
Figura 750 Menu Base de Dados: Lista das bases de Dados.
1064
Esse menu possui as opes de Salvar Backup e/ou Restaura Backup de modo que o
Administrador do produto possa realizar cpias das bases de dados de e-mails/classificaes
e sua posterior restaurao caso seja necessrio. A cpia ou restaurao so feitas clicando
nos botes:
Figura 751 - Botes: Salva Backup e Restaura Backup.
Tambm pode ser feita a atualizao da base de dados, o seu reclculo (informaes
referentes pontuao dos e-mails) ou sua excluso, selecionando a base de dados
desejada e clicando em um dos botes apresentados:
Figura 752 - Botes: Atualizar, Recalcular e Excluir.
Aba Parmetros
A aba Parmetros apresenta as configuraes necessrias para a gerao e atualizao
automtica da base de dados.
1065
Figura 753 - Parmetros.
As opes existentes nessa aba so as seguintes:
Gerao de base: A gerao das bases de dados podem ser efetuadas sobre
demanda (on-demand) conforme mostrado na sub-opo, Estado e Lista das
bases de Dados. Porm, podemos configurar a gerao para ser realizada
automaticamente marcando essa opo e selecionando o intervalo para a
atualizao da base.
Fazer download das atualizaes da base de dados: Essa opo permite a
configurao do servidor que fornece a base de dados para download assim como o
horrio para que o Aker Spam Meter possa efetuar o download. O download ser
feito diariamente, no horrio estipulado.
Permitir upload da Base de Dados: Caso o administrador do produto queira enviar
para a Aker a base de e-mails classificada manualmente, ele poder fazer isso
conforme visto na opo Estado ou configurando o envio automtico por meio da
marcao dessa opo e configurao do intervalo de upload (em semanas).
A atualizao das bases de e-mail/classificao feita por meio da Internet. Se para acessar
a Internet, o Aker Spam Meter precisar utilizar ou se autenticar em algum Proxy, as
informaes necessrias para permitir esse acesso sero configuradas nessa aba.
1066
Figura 754 Parmetros: usando Proxy.
Usar Proxy
Endereo IP e porta do Servidor Proxy em questo;

Autenticao do Proxy;
Usurio e Senha para autenticao no Proxy.
Aps o preenchimento de todos os campos, clicar no boto Aplicar se tiver realizado a

primeira configurao ou feito alguma alterao. Caso tenha somente realizado consulta
dos itens, clicar no boto OK.
43.6.
Classificao de e-mail
O Menu Classificao de e-mail permite ao Administrador do produto realizar verificaes

a respeito de determinadas mensagens. Essa opo permite que seja colado o cdigo fonte
de uma determinada mensagem de e-mail para que o produto a classifique.
1067
Figura 755 - Classificao de e-mail.

Dessa forma, o administrador do produto poder ver qual a pontuao que o Aker Spam
Meter dar mensagem.
Figura 756 Menu Filtro: Classificao de e-mail.
Limpar: Deixa em branco a caixa de texto onde fica o cdigo-fonte do e-mail;

Abrir arquivo: Abre uma janela para que voc selecione um arquivo de e-mail
(*.eml), que contm o cdigo-fonte do e-mail que voc ir classificar e preenche a
caixa de texto com o cdigo-fonte deste e-mail, conforme imagem a seguir:
1068
Figura 757 - Abrir um arquivo de e-mail.
Opes de classificao:
Deteco de SPAM aprimorada: Utiliza menos tokens, fazendo com que a classificao
seja mais rpida, mas aumenta o nmero de falsos positivos;
Reduo de Falso-positivo: Utiliza um nmero maior de tokens, fazendo com que a
classificao seja mais precisa, mas deixando o processo mais lento;
Base: Seleciona qual a base de tokens que ser utilizada na classificao do e-mail.
1069
Configuraes do Filtro
43.7.
A sub-opo, Configuraes do Filtro tratam opes gerais de armazenamento e acesso

do produto Aker Spam Meter. As opes configurveis nesse menu so:
Figura 758 - Configuraes do filtro.
Ao clicar no item Configuraes do filtro", a janela a seguir ser exibida:
Figura 759 - Mensagens salvas para treinamento.
Mensagens salvas para treinamento
Tamanho Mximo do Diretrio: Tamanho mximo (em Megabytes) do diretrio

onde sero armazenadas as informaes de classificao dos e-mails. Em relao a
esse campo, percebe-se uma diferena entre o tamanho configurado na Interface
Remota e o tamanho do diretrio do sistema Linux listado como, por exemplo, "du sh".
Em Linux, o comando "du -sh" no faz a soma do tamanho de cada arquivo, ele s faz a
soma do tamanho dos blocos do HD que cada arquivo usa, variando de acordo com o HD
que foi formatado. Em um HD que foi formatado para que assim cada bloco possusse 4
KB, ou seja 4096 bytes, pode ser observado o seguinte comportamento:
1070
Configurao para limitar o tamanho mximo das mensagens em 1 MB (1024KB);

No diretrio, 1024 arquivos de 1024 bytes cada;
O tamanho total do diretrio ser 4 MB e no 1 MB como o esperado.
Isso se deve ao fato de que cada arquivo de 1024 bytes est consumindo fisicamente 4 KB
do disco que o tamanho de cada bloco. Assim, cada arquivo de 1024 bytes
"contabilizado" no "du -sh" como 4096 bytes.
Lembrando que este comportamento s acontece em sistemas Unix, no sendo possvel no
Windows, que o tamanho contabilizado como o esperado.
Nmero Mximo das Mensagens: Nmero mximo de mensagens que sero

armazenadas.
Portas
Portas do Servidor: Esse campo indica a porta de escuta do Servidor do Aker Spam
Meter que recebe e classifica os e-mails;
Porta da Interface: a porta que ficar em escuta para aceitar que as conexes para
o Aker Control Center vo poder se conectar ao Aker Spam Meter.
Clicando no boto Avanado as seguintes opes ficaro disponveis, conforme imagem a

seguir:
Figura 760 Configuraes do filtro.
1071
Cache
Quantidade: Tamanho a quantidade de bases de dados que podero ficar

armazenadas em memria para efeitos de otimizao na performance do produto;
Timeout: Tempo no qual uma mensagem ficar em cache caso no esteja mais
sendo utilizada pelo produto. Caso a base fique o tempo determinado pelo timeout e
no seja consultada, ela ser removida da memria voltil da mquina
permanecendo apenas no disco.
Token Cache
Quantidade mxima: Este campo permite a configurao do tamanho mximo do

cache de tokens do servidor;
Tamanho estimado: Este campo informa o tamanho mximo estimado que o cache
de tokens ir ocupar na memria RAM do servidor.
Quantidade atual: Esse campo indica a quantidade atual de tokens no cache do
servidor.
Tamanho atual: Esse campo indica o tamanho atual ocupado pelo cache de tokens
na memria RAM do servidor.
Taxa de acerto: Esse campo indica a porcentagem de tokens que foram encontrados
no cache durante as classificaes dos e-mails. Este valor tende a 100% com o passar
do tempo.
O cone Padro permite retornar a quantidade mxima de tokens para 500000 Tokens,
que a configurao padro.
Figura 761 - Boto: Padro.
A clicar no cone Atualizao de Servidor permite a atualizao das informaes do

servidor que se referem quantidade atual de tokens, calculando o tamanho atual e
indicando a taxa de acerto das classificaes dos e-mails.
Figura 762 - Boto: Atualizao do Servidor.
Observao: possvel realizar a atualizao da base de URLs manualmente, para isso siga os
passos a seguir:
1. Realizar o download do arquivo no site da Aker (www.aker.com.br);
2. Transferir o arquivo para o appliance via SFTP para o servidor;
1072
3. Abra o appliance na via SSH;

4. Executar o comando: Aker> asmbase
Uso: asmbase <base_file>
Pressione <enter> para continuar...
43.8.
Grfico de notas
O grfico de notas apresenta um histograma relacionando a quantidade de e-mails

recebidos/analisados pelo Aker Spam Meter com a classificao recebida por eles. um
menu simples, e apenas informativo para permitir ao administrador do produto uma melhor
noo dos padres de e-mails/classificao que a sua rede vem recebendo.
Figura 763 - Grfico de notas.
Ao clicar na janela Grfico de Notas, a tela a seguir ser exibida:
Figura 764 Grfico de notas.

1073
Anexo plugins
43.9.
O Aker Spam Meter possui plugins para alguns clientes de e-mail. Esses plugins servem para que
o cliente possa classificar manualmente seus e-mails como spam ou no spam, de maneira
integrada ao cliente de e-mail, utilizado hoje em dia por ela sem que seja necessrio que o Aker
Spam Meter insira nenhum anexo ao e-mail para realizar essa classificao. O objetivo desse
anexo apenas mostrar rapidamente como funciona o plugin e como utiliz-lo.
O Aker Spam Meter possui plugins para os seguintes clientes de e-mail:
Microsoft Outlook;
Mozilla Thunderbird.
Dessa forma, ao receber um e-mail, o usurio poder ver a classificao do e-mail recebido de
acordo com a base de anlise bayesiana do Aker Spam Meter e poder ter botes para
classificar manualmente a mensagem como sendo um Spam ou No spam.
Figura 765 Plugin de o Aker Spam Meter para Mozilla Thunderbird.
1074
1075
44.
Aker Antivrus - AKAV

Este captulo mostra como instalar e utilizar o AKAV no Aker Firewall.
Introduo
44.1.
Os vrus de computador constituem uma das maiores ameaas s grandes redes. Os vrus
podem atacar quase todos os computadores, independente de sua funo ou localizao.
Os dispositivos podem ser atacados a partir da Internet, por e-mail ou por meio de mdia
infectada. Em outras palavras, os vrus podem ganhar acesso a PCs por meio de qualquer
entrada para o dispositivo. Os danos causados por vrus pode variar desde aquele que so
apenas perceptveis at os absolutamente desastrosos. Por essa razo, as solues antivrus
devem constituir uma parte essencial de todos os projetos de segurana da informao.
Existem literalmente milhares de vrus diferentes e de programas de softwares maliciosos
que podem danificar seu computador ou deix-lo mais lento. Os tipos de programas de
software maliciosos variam bastante, mas, em geral, so os seguintes:
Vrus - Um programa que se copia em outro programa, em setores de uma unidade

ou em itens que suportem scripts. A maioria dos vrus s faz uma cpia deles
prprios, enquanto uma minoria desencadeia um "payload", que a ao gerada
pelo vrus. Os payloads podem danificar arquivos, corromper unidades de disco
rgido, exibir mensagens ou abrir outros arquivos. Em geral, o payload acontece
quando determinadas condies so propcias, assim como quando, uma
determinada data atingida no computador.
Uma variante de vrus um vrus que foi alterado para tirar proveito de um cdigo de vrus
j criado. Fazendo isso, o vrus no imediatamente detectado pelo software antivrus, que
procura o vrus original.
Worm - Uma forma de vrus mais eficaz que localiza sistemas vulnerveis e, em
seguida, se copia para esses sistemas. Os mtodos mais frequentes de propagao
so as listas de distribuio de e-mails, os scripts de assinatura de e-mails e as pastas
compartilhadas na rede. Os worms podem ou no ter um efeito (payload)
prejudicial. Atualmente, o efeito tpico de um worm deixar o computador mais
suscetvel a outros vrus maliciosos.
Hoax - Um e-mail que normalmente declara que est prejudicando o computador,
mas na verdade no tem o efeito mencionado. Alguns hoaxes pedem ao leitor do email para tomar algum tipo de medida prejudicial, como excluir um arquivo
importante. A maioria dos hoaxes espalhada por indivduos bem intencionados
que desejam alertar outros indivduos em relao a um possvel vrus que, na
realidade, apenas um hoax.
1076
44.2.
Tria ou Cavalo de Tria - Um Tria ou Cavalo de Tria um programa geralmente

desenvolvido para provocar impacto na segurana de um sistema. Normalmente, o
programa confundido com outra coisa (um programa benigno) ou mascarado
como um arquivo legtimo que o usurio gostaria de ver ou carregar no sistema. O
efeito (payload) de um Tria, em geral, desencadeado assim que ele aberto e
normalmente tem resultados devastadores. Os Troias so usados muitas vezes para
criar back-doors (programas que permitem o acesso externo a uma rede segura) em
computadores pertencentes a uma rede segura, para que um hacker possa ter
acesso a ela. Na maioria das vezes, eles so enviados como anexo de um e-mail
aparentemente inofensivo, como uma corrente.
Vulnerabilidade de segurana - Uma vulnerabilidade de segurana uma deficincia
no software que permite atividade indesejvel ou m intencionada no sistema
operacional de um computador.
Apresentao do produto
De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no

Brasil (CERT.br), as tentativas de fraudes pela internet cresceram 579% em 2005. Dentre as
maiores ameaas, os ataques causados por vrus esto em terceiro lugar, com 25% do total
de incidentes. Alm disso, estudos recentes mostram que cerca de 80% dos ataques de vrus
so realizados por meio de e-mails e 99% pela Internet, o que demonstra a necessidade de
que todas as empresas que estejam conectadas Internet possuam um sistema antivrus
que atue no permetro, eliminando os vrus antes que eles atinjam os servidores internos.
Mesmo que uma empresa j possua um sistema de antivrus corporativo instalado nos
servidores internos e nas mquinas dos usurios, estes podem falhar ou no localizar um
vrus, reforando a necessidade de se possuir mquinas dedicadas para a desinfeco de
mensagens e arquivos baixados da Internet.
O Aker Antivrus Module uma ferramenta indispensvel para tornar instalaes que
utilizam o Aker Firewall, Aker Web Gateway ou Aker Secure Mail Gateway ainda mais
seguras. Uma nica mquina pode ser instalada na rede e ser utilizada por diversos firewalls
e gateways ao mesmo tempo. Alm disso, por estar disponvel para plataformas Windows,
Linux ou poder ser instalada nos prprios boxes dos produtos com os quais se integram, o
produto consegue atender os requisitos de preo/performance de organizaes de todos os
tamanhos.
O produto pode ser configurado para atualizar automaticamente os arquivos de assinaturas
de vrus, diariamente ou at mesmo de hora em hora, de forma a manter-se sempre
atualizado. At mesmo as epidemias de mais rpida propagao tero pouca chance de
chegar ao antivrus antes que ele j esteja atualizado.
1077
possvel tambm que o administrador atualize o produto no momento em que desejar

com um simples clique. Isso bastante til no caso de suspeitas de epidemias ou caso a
mquina no tenha conseguido atualizar-se por qualquer razo.
Caractersticas Principais
44.3.
O Aker Antivrus Module um antivrus para gateways, que se integra nativamente ao Aker
Firewall, ao Aker Web Gateway e ao Aker Secure Mail Gateway, possibilitando que
mensagens de correio eletrnico e arquivos baixados via Web sejam desinfectados antes de
serem enviados s mquinas ou servidores internos.
Dentre as principais funcionalidades do produto esto:
Atualizao automtica e diria da base de assinaturas e do engine do antivrus;

Capacidade de agendamento das atualizaes;
Capacidade de filtragem (habilitada de forma independente) de spywares, cavalosde-tria, vrus e ferramentas de hackers;
Deteco heurstica de vrus desconhecidos;
Integrao automtica com o Aker Firewall, Aker Web Gateway e Aker Secure Mail
Gateway;
Gerenciamento pelo Aker Control Center;
Logs detalhados dos vrus e programas maliciosos encontrados;
Figura 766 - Aker Antivrus Module: Esquema de Funcionamento 1.
1078
44.4.
O Aker Antivrus Module
O Aker Antivrus Module instalado juntamente com outros produtos, como por exemplo, o
Aker Firewall ou outro produto Aker, herdando funcionalidades comuns
como:
administrao de usurios, visualizao de logs, Atualizaes, etc. A figura abaixo ilustra o
funcionamento dessa instalao:
Figura 767 - Esquema de Funcionamento 3.
Ao tentar fazer downloads pela internet por meio de uma rede local, o Aker Firewall ir
estabelecer uma conexo com o Aker Antivrus Module, enviando os arquivos para que ele
faa uma anlise, verificando se estes esto infectados ou no. Depois de analisados, o Aker
Antivrus Module comunicar ao Firewall que ir bloquear ou liberar, dependendo da
resposta que lhe foi dada, reportando ao usurio que est conectado na rede local na qual
se deseja fazer o download (nesse exemplo est sendo utilizado o Firewall, mas poderia ser
outro produto Aker, como o Aker Web Gateway).
44.5.
Configurando o Aker Antivrus Mdulo
O Aker Antivrus Module gerenciado remotamente por meio do Aker Control Center, que
um Framework integrado de gerncia multiplataforma e que controla, a partir de um ponto
central, todas as solues Aker.
Para facilitar a identificao visual de diferentes dispositivos, possvel personalizar os
cones e cores de apresentao dos componentes do Aker Control Center. Desta maneira, o
Administrador pode realizar diferentes arranjos dentro da tela, escolhendo uma
1079
determinada cor para o mesmo grupo de aplicativos, ou alterando os cones conforme a

regio em que o objeto administrado se encontra.
Para realizar a customizao deve-se ter um dispositivo do Aker Antivrus Module
cadastrado no Aker Control Center. Para cadastrar um dispositivo:
Se a janela Dispositivos Remotos no estiver visvel, clique no menu Janelas do Control
Center e escolha a opo que possui o nome Janelas. Marque a opo Dispositivos
Remotos.
A utilizao do Aker Control Center bastante til na configurao e manuteno do Aker
Antivrus Module, tendo em vista sua interface amigvel e facilidade de manuseio. O
produto pode ser totalmente configurado e administrado remotamente.
Figura 768 Antivrus.

Selecionar o Aker Firewall e escolher o item Antivrus.
O Aker Antivrus Module fornece uma interface para configurao e controle dos partners
engines (parceiros). Esses parceiros so fornecidos por terceiros. Atualmente utilizado o
KASPERSKY e Clam AV.
A identificao de arquivos corrompidos realizada pelos engines parceiros do Aker
Antivirus (ClamAV, Kaspersky) e cada um destes engines trabalha de forma distinta. O
bloqueio realizado com o ClamAV de executveis quebrados (broken executables), e o
bloqueio realizado pelo Kaspersky baseado em arquivos corrompidos.
O Aker Antivirus verifica os pacotes HTTP de upload e download.
1080
O usurio ter acesso ao parceiro quando adquirir a licena de uso do produto, isto , ele ir
optar em usar o software de sua preferncia.
Configuraes
44.6.
Para ter acesso a janela de Configuraes do Aker Antivirus module, deve-se:
Figura 769 - Opes de Configurao do Aker Antivrus Module.
Clicar no menu Antivirus na janela do firewall que queira administrar.
Escolha o item Configuraes.
A janela Configuraes
Esta janela possui as opes de configuraes especificas do Partner Engine, atualmente em
uso. Como cada Partner Engine possui recursos e opes especficas do produto, as opes
de varredura de vrus variam de parceiro para parceiro.
1081
Aba Configuraes Avanadas
Figura 770 Configuraes avanadas.

Na aba de Configuraes Avanadas podemos configurar as seguintes opes:
44.7.
Caminho do Diretrio Temporrio: o local onde o Aker Antivrus Module ir

armazenar os arquivos para realizar a checagem.
Idioma do Servidor: Permite configurar qual o idioma o servidor gera logs. As opes
so "pt-br" e "en-us";
Opes de anlise: Permite configurar as opes de anlise utilizadas pelo parceiro;
Informaes do Engine
Menu para apresentar as informaes a respeito da verso atual do produto: As seguintes

informaes so apresentadas:
1082
Figura 771 - Menu Informaes do Engine
Dados do Aker Engine:
Verso: Verso do produto Aker Antivrus Module;

Data de Compilao: Data da compilao do Aker Antivrus Module.
Essas informaes so muito importantes para o administrador verificar se o seu produto

est atualizado com a ltima verso existente na pgina da Aker www.aker.com.br.
Informaes do Engine:
Fornecedor: Nome do Fornecedor do Engine de Antivrus do produto Aker Antivrus

Module;
Verso: Verso do Engine do parceiro (KASPERSKY);
Nmero de malwares conhecidos: Quantidade de malwares conhecidos (ir variar
de acordo com a data da ltima atualizao de assinaturas);
Data da base de assinaturas: Data da ltima base de assinaturas instalada no
produto;
Marca Registrada: Informaes de marca registrada do produto.
No caso do parceiro KASPERSKY, essa janela mudar apenas as informaes do engine

como: Fornecedor, verso, quantidade de malwares conhecidos, data da base de
assinaturas e marca registrada. Observa-se tambm que o logo do produto e a marca
localizada na parte inferior da janela ser a do parceiro aplicado. Conforme demonstrado a
seguir:
1083
44.8.
Gerenciamento de atualizaes
Ao contrrio da janela Atualizao do Servidor, o menu Gerenciamento de Atualizaes

trata das atualizaes de assinaturas de malwares. nesse menu que sero configuradas as
opes de como as atualizaes sero automatizadas.
Figura 772 Gerenciamento de atualizaes.

A opo composta de duas abas:
1084
Aba Configurao de Proxy
Figura 773 - Menu Gerenciamento de atualizaes Configurao de Proxy
A atualizao das assinaturas feita por meio da Internet. Para isso, o sistema precisa ter
acesso a Rede Mundial de Computadores para realizar o download das assinaturas. Se para
acessar a Internet, o Aker Antivrus Module precisar utilizar ou se autenticar em algum
proxy, as informaes necessrias para permitir esse acesso sero configuradas nessa aba.
Habilitar o Servidor Proxy: Ao selecionar esta opo ir habilitar os campos Proxy e

Porta.
o Proxy: Permite entrar com o endereo IP do servidor.
o Porta: Permite selecionar a porta utilizada na operao.
o Habilitar a Autenticao de Proxy: Ao clicar nesta opo ser permitido autenticarse no Proxy, cadastrando um usurio e uma senha.
1085
o Usurio: Neste campo deve se inserir o nome do usurio que ir se

autenticar no Proxy.
o Senha: Permite definir uma senha para poder se autenticar.
o Confirmao: necessrio confirmar a senha, digitando-a novamente.
Aba Atualizao da Base de Vrus
Figura 774 - Menu Gerenciamento de Atualizaes -> Atualizao da base de vrus
Aba com as configuraes referentes s opes de atualizao da base de vrus:

o Intervalo de atualizao: Pode ser escolhido a atualizao automtica entre as
opes:
Dias especficos: Permite escolher a hora e o dia da semana que a atualizao
automtica ser realizada;
Toda hora: A cada hora a atualizao automtica ser realizada;
1086
o Hora da Atualizao: Caso a opo de "Dias especficos" seja selecionada,

informamos qual ser o horrio para essa atualizao.
o Dias da semana: Caso a opo de "Dias especficos" seja selecionada, informamos
quais os dias ser realizada essa atualizao.
o Atualizar agora: Caso esse boto seja selecionado, o produto ir efetuar uma
atualizao da base de assinaturas de vrus imediatamente.
1087
1088
Neste apndice esto listadas as mensagens do sistema.
Mensagens do log do Firewall
45.1.
Todas as mensagens abaixo podem aparecer no log do firewall. Sempre que ocorrerem, elas
estaro precedendo um registro que contm as informaes sobre o pacote que as
produziu. As mensagens de log so separadas em trs categorias:
Autenticap/Criptografia
025 - Algoritmo de criptografia de chave SKIP invlido - Esta mensagem indica que o
algoritmo de criptografia especificado no cabealho SKIP no suportado (o Aker Firewall
somente suporta os algoritmos de criptografia DES, Triplo DES e Blowfish, com 128 e 256
bits de chaves).
Criptografia IPSEC
040 - Erro finalizando autenticao com o algoritmo escolhido Esta mensagem indica que
o Firewall no conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o
algoritmo de autenticao est com defeito.
039 - Erro iniciando autenticao para o algoritmo especificado Esta mensagem indica
que o Firewall no conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o
algoritmo de autenticao est com defeito.
034 - Header AH com formato incorreto (campo: length) Esta mensagem indica que o
Firewall recebeu um pacote cifrado com criptografia IPSEC que tem informaes de
autenticao no protocolo AH com tamanho incorreto. Veja a RFC 2402.
012 - Pacote no passou pela autenticao Esta mensagem indica que o pacote em
questo no foi validado com sucesso pelo mdulo de autenticao do Firewall. Isto pode
ser causado por uma configurao de chaves de autenticao invlida, por uma alterao
indevida no contedo do pacote durante o seu trnsito ou por uma tentativa de ataque de
falsificao de endereos IP (IP spoofing). Para maiores informaes veja as RFCs 1825 e
1827.
011 - Pacote sem informao de autenticao Esta mensagem indica que o pacote em
questo veio sem header de autenticao e a configurao do fluxo seguro correspondente
indica que ele s deveria ser aceito autenticado (ver o captulo intitulado Criando Canais de
Criptografia). Isto pode ser causado por uma configurao errada nos fluxos de
1089
autenticao (possivelmente s configurando em um dos lados da comunicao) ou por

uma tentativa de ataque de falsificao de endereos IP (IP spoofing). Para maiores
informaes consultar s RFC's 1825 e 1827.
013 - Pacote sem informao de criptografia Esta mensagem indica que pacote em
questo no veio criptografado e a configurao do fluxo seguro correspondente indica que
ele deveria vir (ver o captulo intitulado Criando Canais de Criptografia). Isto pode ser
causado por uma configurao errada nos fluxos de criptografia (possivelmente s
configurando em um dos lados da comunicao) ou por uma tentativa de ataque de
falsificao de endereos IP (IP spoofing). Para maiores informaes consultar s RFC's 1825
e 1827.
037 - Padding exigido muito grande Esta mensagem indica que o Firewall calculou um
tamanho de preenchimento para o protocolo ESP maior que o permitido. Provavelmente o
tamanho de bloco do algoritmo de criptografia demasiado grande.
036 - SA para este pacote no foi negociada Esta mensagem indica que o Firewall
recebeu um pacote cifrado com criptografia IPSEC para um canal no negociado.
038 - Tamanho de padding decifrado incorreto Esta mensagem indica que o firewall
decifrou um pacote que dizia ser maior do que efetivamente , via criptografia IPSEC.
Provavelmente o pacote est corrompido ou houve erros na troca de chaves.
016 - Tipo de encapsulamento do pacote invlido Esta mensagem indica que o mdulo de
criptografia no reconheceu o tipo de encapsulamento usado neste pacote. Isto pode ser
causado por uma falha na decriptao do pacote (devido a senhas erradas) ou por ter sido
usado um tipo de encapsulamento no suportado. O Aker Firewall trabalha exclusivamente
com encapsulamento em modo de tnel, no aceitando outros modos, por exemplo, modo
de transporte.
035 - Tunelamento AH e ESP simultneos no permitido Esta mensagem indica que o
Firewall recebeu um pacote cifrado com criptografia IPSEC duplamente tunelado (via ESP e
AH). Isto no permitido
Outros
023 - Algoritmo de autenticao do SKIP invlido Esta mensagem indica que o algoritmo
de autenticao especificado no cabealho SKIP no suportado (o Aker Firewall somente
suporta os algoritmos de autenticao MD5 e SHA-1).
026 - Algoritmo de compresso de dados no suportado Esta mensagem indica que o
algoritmo de compresso de dados especificado no cabealho SKIP no suportado (o Aker
Firewall no suporta nenhum algoritmo de compresso de dados, uma vez que estes ainda
no esto padronizados).
1090
024 - Algoritmo de criptografia do SKIP invlido Esta mensagem indica que o algoritmo
de criptografia especificado no cabealho SKIP no suportado (o Aker Firewall somente
suporta os algoritmos de criptografia DES, Triplo DES e Blowfish, com 128 e 256 bits de
chaves).
003 - Ataque de land Um ataque de land consiste em simular uma conexo de uma porta
com ela mesma. Isto provoca o travamento da mquina atacada em boa parte das
implementaes TCP/IP.
Esta mensagem indica que o filtro de pacotes recebeu um pacote cujo endereo de origem
igual ao endereo destino e cuja porta de origem igual porta destino, caracterizando um
ataque deste tipo.
031 - Autenticao de pacote de controle Aker-CDP invlida Esta mensagem indica que o
Firewall recebeu um pacote de controle do protocolo Aker-CDP com autenticao invlida.
A causa provvel uma modificao do pacote durante o trnsito ou uma possvel tentativa
de ataque.
007 - Conexo de controle no est aberta Esta mensagem indica que o firewall recebeu
um pacote de uma conexo de dados (de algum protocolo que utilize mais de uma conexo,
como por exemplo, o FTP e o Real udio/Real Vdeo) e a conexo de controle
correspondente no estava aberta.
004 - Conexo no consta na tabela dinmica Esta mensagem indica que o firewall
recebeu um pacote TCP que no era de abertura de conexo e estava endereado para uma
conexo no aberta. Isto pode ser causado por um ataque ou simplesmente por uma
conexo que ficou inativa por um tempo superior ao tempo limite para conexes TCP.
015 - Decriptao do pacote apresentou erro Esta mensagem indica que o mdulo de
criptografia, aps desencriptar o pacote e realizar os testes de consistncia no mesmo,
detectou que o mesmo invlido. Isto provavelmente causado por uma configurao
errada da tabela de criptografia ou por um possvel ataque de falsificao de endereos IP
(IP spoofing).
041 - Final de Conexo Esta mensagem apenas um registro de final de conexo e no
deve aparecer normalmente no log do firewall
008 - Flags TCP do pacote so invlidos Esta mensagem indica que o Firewall recebeu um
pacote TCP cujos flags estavam invlidos ou contraditrios (por exemplo, SYN e FIN no
mesmo pacote). Isto pode caracterizar um ataque ou uma implementao de TCP/IP
defeituosa.
028 - Identificador de espao de nome de destino invlido O protocolo SKIP permite que
sejam utilizados outros espaos de nomes, que no endereos IP, para selecionar a
associao de segurana correspondente (SA). O espao de nome pode ser especificado
1091
para a origem e/ou para o destino. Esta mensagem indica que o espao de nome de destino
no suportado (o Aker Firewall somente suporta endereos IP como espao de nome).
027 - Identificador de espao de nome de origem invlido O protocolo SKIP permite que
sejam utilizados outros espaos de nomes, que no endereos IP, para selecionar a
associao de segurana correspondente (SA). O espao de nome pode ser especificado
para a origem e/ou para o destino. Esta mensagem indica que o espao de nome de origem
no suportado (o Aker Firewall somente suporta endereos IP como espao de nome).
042 - Limite configurado de conexes a partir do endereo IP excedido Esta mensagem
ocorre quando o limite mximo de conexes configurado pelo mdulo de proteo contra
flood tiver sido atingido. Para verificar a configurao deste mdulo consulte a Proteo de
Flood.
032 - Nmero de licenas do firewall atingido O Aker Firewall vendido em diferentes
faixas de licenas, de acordo com o nmero de mquinas da(s) rede(s) interna(s) a serem
protegidas. Esta mensagem indica que o firewall detectou um nmero de mquinas internas
maior que o nmero de licenas adquiridas e devido a isso impediu que as mquinas
excedentes abrissem conexes por meio dele.
Soluo: Contate a Aker Security Solutions ou seu representante autorizado e solicite a
aquisio de um maior nmero de licenas.
009 - Nmero de sequncia do pacote TCP invlido Esta mensagem indica que o Firewall
recebeu um pacote TCP cujo nmero de sequncia estava fora dos valores esperados. Isto
pode caracterizar um ataque.
002 - Pacote IP direcionado Esta mensagem indica que filtro de pacotes recebeu um
pacote IP com uma das seguintes opes: Record Route, Loose Routing ou Strict Routing e
ele foi configurado de modo a no aceitar pacotes IP direcionados. Para maiores
informaes veja RFC 791.
033 - Pacote descartado por uma regra de bloqueio IDS Esta mensagem indica que o
Firewall recebeu um pacote que se enquadrou em uma regra temporria acrescentada pelo
agente de deteco de intruso e devido a isso, foi descartado (para maiores informaes
veja o captulo intitulado Configurando o IPS/IDS).
000 - Pacote fora das regras No possui mensagem associada
005 - Pacote proveniente de interface invlida Esta mensagem indica que o filtro de
pacotes recebeu um pacote IP proveniente de uma interface diferente da especificada na
regra de filtragem na qual ele se encaixou. Isto pode ser causado por um ataque de
falsificao de endereos IP (IP spoofing) ou por uma configurao errada de uma regra de
filtragem.
006 - Pacote proveniente de interface no determinada Esta mensagem indica que o
filtro de pacotes recebeu um pacote, mas no conseguiu determinar a interface de origem
1092
do mesmo. Como na regra de filtragem correspondente, est especificada uma interface, o

pacote foi rejeitado. Esta mensagem provavelmente nunca ser mostrada.
017 - Pacote sem informaes de SKIP Esta mensagem indica que o pacote em questo
no veio com um header SKIP e a configurao do fluxo seguro correspondente indica que
ele deveria vir. Isto provavelmente causado por uma configurao errada na tabela de
criptografia onde um dos lados est configurado para usar SKIP ou Aker-CDP e o outro no
(ver o captulo intitulado Criando Canais de Criptografia).
010 - Possvel ataque de SYN Flood Esta mensagem gerada pelo Firewall todas as vezes
que uma conexo iniciada para um dos endereos protegidos contra SYN flood e a
conexo no foi realizada dentro do prazo mximo estabelecido pelo administrador. Se esta
mensagem ocorrer isoladamente, ou com pouca incidncia, ento provavelmente o
intervalo de tempo configurado na proteo contra SYN flood (ver o captulo de Proteo
contra SYN Flood) est muito pequeno. Caso ela aparea vrias vezes seguidamente,
provavelmente um ataque de SYN flood foi repelido pelo Firewall.
001 - Possvel ataque de fragmentao Esta mensagem indica que o filtro de pacotes
recebeu um pacote TCP fragmentado no header TCP, possivelmente originado de uma
tentativa de um ataque de fragmentao como Teardrop ou Ping da Morte (PoD). Para
maiores informaes veja RFC 1858.
022 - Prximo protocolo do cabealho SKIP invlido Esta mensagem indica que o
protocolo seguinte ao cabealho SKIP do pacote em questo no suportado (o Aker
Firewall exige que aps o cabealho SKIP venha o cabealho de autenticao).
018 - SA para o pacote no contm informaes SKIP Esta mensagem indica que o
mdulo de criptografia recebeu um pacote com um header SKIP e a associao de
segurana (SA) correspondente no possui informaes sobre SKIP (ver o captulo intitulado
Criando Canais de Criptografia). Isto provavelmente causado por uma configurao
errada na tabela de criptografia onde possivelmente um dos lados est configurado para
usar SKIP ou Aker-CDP e o outro no.
021 - SPI invlido para autenticao com SKIP Esta mensagem indica que foi recebido um
pacote SKIP cujo nmero de SPI especificado no cabealho de autenticao era invlido (o
protocolo SKIP exige que o nmero do SPI utilizado seja 1).
030 - Tamanho do pacote para protocolo Aker-CDP invlido Esta mensagem indica que o
Firewall recebeu um pacote do protocolo Aker-CDP com tamanho invlido.
043 - Tempo limite de conexo atingido Esta mensagem ocorre durante a filtragem dos
pacotes, informa que uma conexo foi retirada da tabela de conexes, pois o seu tempo
limite de ociosidade foi atingido.
020 - Valor do contador do protocolo SKIP invlido O protocolo SKIP envia em cada
pacote um contador, que incrementado de hora em hora, com o objetivo de evitar
ataques de repetio de sequncia. Esta mensagem indica que o contador recebido no
1093
pacote em questo invlido. Isto pode ter duas causas distintas: ou relgio interno dos
dois firewalls se comunicando est defasado em mais de uma hora ou ocorreu uma
tentativa de ataque de repetio de sequncia.
029 - Verso do protocolo Aker-CDP invlida Esta mensagem indica que o Firewall
recebeu um pacote do protocolo Aker-CDP com verso invlida.
019 - Verso do protocolo SKIP invlida Esta mensagem indica que a verso do protocolo
SKIP indicada no pacote em questo diferente da verso suportada. O Aker Firewall
implementa a verso 1 do protocolo SKIP.
Mensagens dos eventos do Firewall
45.2.
Acesso no console
220 - Erro executando shell Esta mensagem informa que um erro grave de configurao
foi encontrado que impede o login no console do Firewall Box. Contate o suporte tcnico de
seu revendedor.
221 - Erro lendo licena Esta mensagem indica que as informaes de licena do Firewall
esto com algum problema srio que impedem sua leitura. Reinsira a chave de ativao no
Firewall.
224 - Login no console efetuado Esta mensagem registra o fato de algum operador ter
efetuado login no console do Firewall Box.
223 - Sistema com defeito irremedivel. Contate o revendedor Esta mensagem informa
que um erro grave de configurao foi encontrado que impede o login no console do
Firewall Box. Contate o suporte tcnico de seu revendedor.
222 - Tentativa de login invlida: senha incorreta Esta mensagem indica que algum
tentou efetuar login no console do Firewall Box, mas no tinha a senha correta.
Analisador de URLs integrado
313 - Aviso importante do Web Content Analyzer Esta uma mensagem com prioridade
de aviso gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informaes
312 - Informao do Web Content Analyzer Esta uma mensagem com prioridade de
informao gerada pelo Aker Web Content Analyzer. Verifique os complementos para
maiores informaes.
1094
314 - Mensagem de alerta do Web Content Analyzer Esta uma mensagem com
prioridade de alerta gerada pelo Aker Web Content Analyzer. Verifique os complementos
para maiores informaes.
311 - Mensagem de debug do Web Content Analyzer Esta uma mensagem com
prioridade de depurao gerada pelo Aker Web Content Analyzer. Verifique os
complementos para maiores informaes.
315 - O Web Content Analyzer encontrou um erro Esta uma mensagem com prioridade
de erro gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informaes.
AntiVirus integrado
303 - Aviso importante do Antivrus Esta uma mensagem com prioridade de aviso
gerada pelo antivrus. Verifique os complementos para maiores informaes.
302 - Informao do Antivrus Esta uma mensagem com prioridade de informao
304 - Mensagem de alerta do Antivrus Esta uma mensagem com prioridade de alerta
301 - Mensagem de debug do Antivrus Esta uma mensagem com prioridade de
depurao gerada pelo antivrus. Verifique os complementos para maiores informaes
305 - O Antivrus encontrou um erro - Esta uma mensagem com prioridade de erro gerada
pelo antivrus. Verifique os complementos para maiores informaes.
Autenticao/Criptografia
060 - Algoritmo de autenticao invlido O mdulo de criptografia detectou um algoritmo

de autenticao invlido na associao de segurana quando realizava a criptografia de um
pacote.
Soluo: Contate o suporte tcnico
061 - Algoritmo de criptografia invlido O mdulo de criptografia detectou um algoritmo
de criptografia invlido na associao de segurana quando realizava a criptografia de um
pacote.
1095
142 - Erro ao carregar algoritmo de criptografia O Aker Firewall pode trabalhar com
algoritmos de criptografia desenvolvidos por terceiros, chamados de algoritmos externos.
Esta mensagem indica que o servidor de criptografia para clientes no conseguiu carregar
um destes algoritmos de criptografia externos. Isto causado por uma falha de
implementao do algoritmo.
As mensagens complementares mostram o nome da biblioteca a partir da qual o firewall
tentou carregar o algoritmo e o erro que causou o problema.
Soluo: Contate o desenvolvedor do algoritmo e repasse a mensagem completa para ele.
056 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Firewall
tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando pelos
proxies do firewall.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
141 - Erro de comunicao com cliente de criptografia Esta mensagem, que pode ter
vrias causas, indica que o servidor de criptografia para clientes recebeu um pacote
criptografado invlido de um Cliente de Criptografia Aker.
As mensagens complementares indicam qual a causa do problema e os endereos da
mquina de origem e destino (o destino o endereo da mquina atrs do firewall com a
qual o cliente tentou se comunicar).
151 - Nmero de processos excessivos no sistema Esta mensagem indica que algum dos
mdulos externos do firewall, ao tentar criar uma nova instncia de si prprio para tratar
uma conexo, detectou que o nmero de processos executando no sistema est prximo do
limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a
conexo que deveria ser tratada pelo novo processo foi abortada.
Soluo: Aumente o nmero mximo de processos no sistema.
140 - Sesso de criptografia com cliente finalizada Esta mensagem indica que um cliente
finalizou uma sesso criptografada. A mensagem complementar indica a mquina de origem
da conexo.
Carregar
1096
062 - Dados invlidos recebidos pela carga do Firewall Esta mensagem indica que foram
enviados dados invlidos para os mdulos do Firewall que rodam dentro do kernel do
FreeBSD ou Linux. Os dados invlidos devem necessariamente ter sido produzidos por um
programa rodando na mquina do firewall.
Soluo: Procure verificar qual programa produz esta mensagem ao ser executado e no
execute-o mais.
187 - Usurio sem direito de acesso Esta mensagem indica que o usurio tentou realizar
uma operao que no lhe era permitida.
Soluo: Esta mensagem no deve ser mostrada em condies normais de funcionamento
do Aker Firewall. Se ela aparecer, contate o suporte tcnico.
Certificado do servidor
134 - Certificado invlido recebido Esta mensagem indica que o servidor de certificados
do firewall recebeu um certificado invlido. Isso pode ter uma das seguintes causas:
Assinatura do certificado invlida

Entidade certificadora desconhecida
Certificado expirado
As mensagens complementares indicam qual destes possveis erros ocorreu e qual firewall
emitiu o certificado invlido
135 - Certificado recebido e validado corretamente Esta mensagem indica que o servidor
de certificados do firewall recebeu um certificado de negociao ou revogao vlido. As
mensagens complementares indicam que tipo de certificado foi recebido e qual firewall o
emitiu.
133 - Erro ao carregar certificados Esta mensagem indica que o firewall no conseguiu
carregar alguma lista de certificados de criptografia.
1097
070 - Erro ao carregar tabela de criptografia Esta mensagem indica que um dos servidores
do firewall no conseguiu carregar a tabela de criptografia.
Soluo: Contate o suporte tcnico.
109 - Erro ao comunicar com servidor de autenticao Esta mensagem indica que um dos
proxies no conseguiu se comunicar com o servidor de autenticao quando tentou realizar
a autenticao de um usurio. Devido a isso, o usurio no foi autorizado a continuar e a
sua conexo foi recusada.
Soluo: Verifique se o processo do servidor de autenticao est ativo no firewall. Para
fazer isso, execute o comando
#ps -ax | grep fwauthd | grep -v grep. Caso o processo no aparea, execute-o com o
comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este problema voltar a
ocorrer, contate o suporte tcnico.
067 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos
externos tentou criar um socket e no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o
nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
131 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos
mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro
do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta
indicar quais informaes estavam sendo enviadas.
Soluo: Verifique se o mdulo do Aker Firewall est carregado no kernel. No FreeBSD
utilize o comando kldstat e no Linux o comando lsmod. Em ambos os casos dever aparecer
um mdulo com o nome aker_firewall_mod.
132 - Erro ao salvar certificados Esta mensagem indica que o firewall no conseguiu salvar
alguma lista de certificados de criptografia no disco.
Soluo: Verifique se o existe espao disponvel no diretrio '/' do firewall. Isto pode ser
feito por meio do comando "$df -k". Se este comando mostrar o diretrio '/' com 100% de
espao utilizado, ento isto a causa do problema. Caso exista espao disponvel e ainda
assim este erro aparea, consulte o suporte tcnico.
1098

137 - Falha de autenticao para criptografia Esta mensagem s mostrada quando a
autenticao de usurios para clientes de criptografia est ativa e indica que um usurio
cadastrado em algum autenticador tentou estabelecer uma sesso de criptografia com o
firewall, porm sua senha estava incorreta. As mensagens complementares mostram o
nome do usurio em questo e os endereos da mquina de origem e destino (o destino o
endereo da mquina atrs do firewall com a qual o cliente tentou se comunicar).
136 - Requisio de cliente de criptografia invlida Esta mensagem indica que o servidor
de certificados recebeu uma requisio de um cliente de criptografia e esta requisio foi
considerada invlida. Isso pode ter uma das seguintes causas:
O certificado do firewall foi atualizado e o cliente continua utilizando o certificado

antigo.
A requisio partiu de uma mquina no autorizada a estabelecer sesso de
criptografia com o firewall.
As mensagens complementares indicam qual a causa do problema e os endereos da

mquina de origem e destino (o destino o endereo da mquina atrs do firewall com a
qual o cliente tentou se comunicar).
139 - Sesso de criptografia com cliente estabelecida Esta mensagem gerada pelo
servidor de certificados quando um usurio consegue se autenticar corretamente em um
cliente de criptografia e iniciar uma sesso. Nas mensagens complementares mostrado o
login do usurio que estabeleceu a sesso e os endereos da mquina de origem e destino
(o destino o endereo da mquina atrs do firewall com a qual o cliente se comunicou
inicialmente).
138 - Usurio no cadastrado para criptografia Esta mensagem s mostrada quando a
autenticao de usurios para clientes de criptografia est ativa e indica que um usurio no
cadastrado em nenhum autenticador tentou estabelecer uma sesso de criptografia com o
firewall. A mensagem complementar mostra os endereos da mquina de origem e destino
(o destino o endereo da mquina atrs do firewall com a qual o cliente tentou se
comunicar).
Cluster cooperativo
1099
Controle de QoS
217 - Pedido de fluxo inexistente Esta mensagem indica que uma inconsistncia interna
ocorreu, de forma que um fluxo de dados para controle de banda (QoS), no foi encontrado
218 -Pedido de pipe inexistente Esta mensagem indica que uma inconsistncia interna
ocorreu, de forma que um pipe para controle de banda (QoS), no foi encontrado.
Converso de Endereo (NAT)
152 - Mquina de converso 1-N fora do ar Essa mensagem indica que uma das mquinas
participantes de uma converso 1-N (balanceamento de canal) se encontra fora do ar. A
mensagem complementar mostra o endereo IP da mquina em questo.
1100
153 - Mquina de converso 1-N operacional Essa mensagem indica que uma das
mquinas participantes de uma converso 1-N (balanceamento de canal) que se encontrava
fora do ar voltou a funcionar normalmente. A mensagem complementar mostra o endereo
IP da mquina em questo.
057 - Tabela de converso TCP cheia A tabela de converso de endereos TCP encheu. A
nica soluo para esse problema diminuir o Tempo limite TCP nos parmetros de
configurao. Para maiores informaes veja o captulo Configurando os parmetros do
sistema.
058 - Tabela de converso UDP cheia A tabela de converso de endereos UDP encheu. A
nica soluo para esse problema diminuir o Tempo limite UDP nos parmetros de
configurao. Para maiores informaes veja o captulo Configurando os parmetros do
sistema.
Criptografia IPSEC
191 - Algoritmo de criptografia especificado no implementado Esta mensagem indica

que foi negociado um canal de criptografia com um algoritmo no implementado. Escolha
outros algoritmos (veja seo Configurando canais Firewall-Firewall).
192 - Falhou a expanso de chave criptogrfica Esta mensagem indica que o mdulo
IPSEC teve dificuldades em tratar a chave negociada para um canal criptogrfico. Esta
situao anmala e no deve acontecer. Por favor contate o suporte tcnico se o Firewall
gerar esta mensagem.
194 - Falhou ao inserir SA no kernel Esta mensagem indica que foi negociado um canal
que j no existe mais. Para solucionar o problema, recrie o canal, ou aguarde at que todos
os mdulos do Firewall saibam da no existncia deste canal.
193 - Kernel repassou pacote invlido Esta mensagem indica que o sistema operacional
passou um pacote incorreto para o Firewall. Ela ocorre apenas no sistema operacional Linux.
189 - Muitas negociaes pendentes Esta mensagem indica que o kernel no est
conseguindo pedir que o daemon de negociaes de chave estabelea um canal. Esta
1101
situao anmala e no deve acontecer. Contate o suporte tcnico se o Firewall gerar esta
mensagem.
190 - SA no tem tipo IPSEC Esta mensagem indica que foi tentada a configurao de um
canal no IPSEC pelo mdulo IPSEC. Esta situao anmala e no deve acontecer. Por
favor contate o suporte tcnico se o Firewall gerar esta mensagem.
Daemon CLR
150 - Erro ao baixar CRL Essa mensagem indica que o firewall no conseguiu baixar a lista
de certificados revogados (CRL) de uma autoridade certificadora. As mensagens
complementares mostram a razo pela qual no foi possvel baixar a lista e a URL da qual se
tentou baix-la.
Soluo: Verifique que a URL informada na definio da entidade do tipo autoridade
certificadora est correta e que o servio est no ar. possvel fazer isso digitando-se a URL
em um browser e verificando se possvel se receber o arquivo
065 - Erro ao carregar entidades Esta mensagem indica que algum processo servidor do
firewall no conseguiu carregar a lista de entidades cadastradas no sistema.
Daemon de conexo PPTP
360 - Autenticao para conexo PPTP aceita Evento gerado quando uma conexo PPTP
foi realizada com sucesso.
361 - Autenticao para conexo PPTP rejeitada Evento gerado quando uma conexo
PPTP foi rejeitada por falha no logon.
1102
363 - Conexo PPTP encerrada Evento gerado quando uma conexo PPTP foi finalizada.
362 - Conexo PPTP estabelecida Evento gerado quando uma conexo PPTP foi realizada
com sucesso.
Daemon de IPS/IDS e Anlise de aplicativos
265 - Conexo encerrada pela filtragem de aplicativos Esta mensagem indica que uma
conexo foi encerrada devido aplicao de uma regra de filtragem de aplicativos.
264 - Conexo teve canal alterado Esta mensagem indica que uma conexo teve sua
definio de canal alterada devido a aplicao de uma regra de filtragem de aplicativos.
296 - Download das atualizaes dos filtros completo Esta mensagem indica que o
firewall conseguiu baixar uma nova atualizao das assinaturas de IDS ou da Filtragem de
Aplicativos.
064 - Erro ao carregar perfis de acesso Esta mensagem indica que o servidor de
autenticao ou o servidor de login de usurios no conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
244 - Erro ao enviar arquivo ao cluster Esta mensagem indica que o firewall servidor do
cluster no esta conseguindo enviar arquivo ao cluster. Verifique o segmento de rede de
troca informao dos firewalls cooperativos.
243 - Erro ao replicar estado do cluster Esta mensagem indica que o firewall servidor do
cluster no esta conseguindo replicar o estado do cluster para os outros firewalls. Verifique
o segmento de rede de troca informao dos firewalls cooperativos.
272 - Erro carregando regras de IDS/IPS Esta mensagem indica que o firewall detectou um
erro ao carregar as regras de IDS/IPS. Ela no deve ocorrer nunca em condies normais.
Caso ocorra, deve-se contatar o suporte tcnico.
1103
270 - Erro carregando regras globais de filtragem de aplicativos Esta mensagem indica
que o firewall detectou um erro ao carregar as regras globais de filtragem de aplicativos. Ela
no deve ocorrer nunca em condies normais. Caso ocorra, deve-se contatar o suporte
tcnico.
271 - Erro expandindo regras de IDS/IPS Esta mensagem indica que o firewall detectou
um erro ao expandir as regras de IDS/IPS. Ela no deve ocorrer nunca em condies
normais. Caso ocorra, deve-se contatar o suporte tcnico.
269 - Erro expandindo regras de filtragem de aplicativos Esta mensagem indica que o
firewall detectou um erro ao expandir as regras de filtragem de aplicativos. Ela no deve
ocorrer nunca em condies normais. Caso ocorra, deve-se contatar o suporte tcnico.
295 - Erro fazendo download das atualizaes dos filtros Esta mensagem indica que
ocorreu um erro quando o firewall tentou fazer o download das novas assinaturas de IDS
e/ou da Filtragem de aplicativos.Verifique o complemento para maiores informaes.
294 - Erro obtendo data de expirao do IDS No foi possvel ler a data de expirao de
uma base IDS em disco. Provvel base corrompida.
266 - Erro recebendo pacote do Kernel Esta mensagem gerada quando o mdulo de
filtragem de aplicativos no conseguir ler os pacotes enviados pelo kernel do firewall. Ela
no deve ocorrer nunca em condies normais. Caso ocorra, deve-se contatar o suporte
tcnico.
268 - Pacote truncado recebido do kernel Esta mensagem gerada quando o mdulo de
filtragem de aplicativos leu um pacote de tamanho invlido enviado pelo kernel do firewall.
Ela no deve ocorrer nunca em condies normais. Caso ocorra, deve-se contatar o suporte
tcnico.
267 - Pacotes perdidos na anlise - sistema possivelmente lento Esta mensagem indica
que o mdulo de anlise de aplicativos no conseguiu tratar em tempo hbil todos os
pacotes que deveria a fim de verificar todas as regras de filtragem de aplicativos
configuradas no firewall. Possveis aes que podem ser realizadas pelo administrador so:
Verificar se algum dos filtros est com profundidade de pesquisa muito grande. Se
tiver, tentar diminuir ao mximo este valor;
1104
No usar regras do tipo: procurar MP3 em todos os servios. Utilizar somente nos
servios nos quais este tipo de arquivo possa trafegar nos protoclos: FTP, HTTP,
SMTP, etc.
No colocar regras Internet - Internet. Sempre que possvel utilizar regras do tipo
origem Rede Interna, destino Internet ou vice-versa.
No verificar arquivos e protocolos da Rede Interna para a DMZ.
114 - Regra de bloqueio temporria acrescentada Esta mensagem indica que uma regra
de bloqueio temporria foi inserida no firewall. Como dados complementares so
mostrados o mdulo que inseriu a regra temporria (IDS, Portscan, etc) e no caso do IDS
interno, a razo pela qual a mquina foi bloqueada.
Daemon de log
219 - Apagando registros do sistema de log Esta mensagem indica que os registros do
sistema de log foram apagados. A mensagem complementar entre parnteses informa se
foram apagados logs, estatsticas ou eventos.
210 - Erro lendo arquivo de configurao de estatsticas Esta mensagem indica que houve
um problema ao ler o arquivo de configurao de estatsticas. A soluo restaur-lo ou
remov-lo e criar as configuraes novamente. Veja a seo Arquivos do Sistema.
211 - Erro lendo tabela de entidades Esta mensagem indica que o mdulo gerador de
estatsticas do Firewall no conseguiu ler a tabela de entidades do sistema.
214 - Erro recebendo estatsticas do kernel Esta mensagem indica que o mdulo gerador
de estatsticas do Firewall teve problemas ao ler os dados necessrios ao seu clculo dos
mdulos que executam dentro do kernel do sistema operacional
215 - Erro salvando estatsticas do kernel Esta mensagem indica que o mdulo gerador de
estatsticas do Firewall teve problemas ao armazenar os dados coletados (ou envi-los ao
servidor de log remoto). Se o log for local, verifique a possibilidade de o disco estar cheio. Se
for remoto, verifique a correta conexo com o servidor de log remoto
1105
260 - Mensagem do sistema operacional Esta mensagem utilizada para reportar

mensagens produzidas pelo kernel do sistema operacional, que normalmente seriam
mostradas no console.
212 - No encontrou entidade acumulador Esta mensagem indica que o mdulo gerador
de estatsticas do Firewall encontrou uma inconsistncia em sua configurao, isto , uma
estatstica que referencia um acumulador inexistente. A mensagem complementar entre
parnteses indica qual a entidade em questo.
Daemon de monitoramento de links
251 - Host no respondeu e foi marcado como inativo Esta mensagem indica que a
mquina de teste do balanceamento de link est fora ar ou no foi possvel a sua
verificao. Para maiores informaes consulte o captulo intitulado Configurando a
Converso de Endereos.
250 - Host respondeu e foi marcado como ativo Esta mensagem indica que a mquina de
teste do balanceamento de link est no ar. Para maiores informaes consulte o capitulo
intitulado Configurando a Converso de Endereos.
252 - Link foi marcado como ativo Esta mensagem indica que o balanceamento de link
esta no ar. Para maiores informaes consulte o capitulo intitulado Configurando a
253 - Link foi marcado como inativo Esta mensagem indica que o balanceamento de link
esta fora do ar. Para maiores informaes consulte o capitulo intitulado Configurando a
Daemon de Quotas
Consumo de quota Quota consumida por um usurio. O primeiro complemento o

usurio que consumiu, o segundo o tempo ou bytes consumidos. Esse evento gerado de
acordo com o tipo de quota. Por exemplo, se a quota for diria, o evento gerado todos os
dias s 23:59:59. Se a quota for semanal, o evento s gerado uma semana aps a ativao
da quota e se for mensal, um ms aps a ativao da quota.
Enquanto o evento de "Consumo de quota" no gerado, todo relatrio de quota
por bytes ou tempo consumidos so impressos sem informaes.
1106
Daemon gerador de relatrios
261 - Erro ao criar processo Esta mensagem indica que o firewall tentou criar um novo
processo para cuidar de uma determinada tarefa e no conseguiu. Possveis causas de erro
so memria insuficiente no firewall ou nmero de processos ativos excessivamente alto.
263 - Processo foi interrompido Esta mensagem indica que o processo de monitoramento
do firewall detectou que um processo crtico do sistema no estava mais rodando. Se esta
mensagem aparecer frequentemente, necessrio contatar o suporte tcnico para
determinar a causa do problema.
317 - Relatrio gerado e publicado com sucesso Esta mensagem indica que um relatrio
que estava agendado foi gerado e publicado com sucesso pelo firewall.
Daemon IPSEC-IKE
201 - Algoritmo criptogrfico no suportado Esta mensagem indica que um outro Firewall
(ou qualquer equipamento que suporte IPSEC) tentou estabelecer um canal criptogrfico
com um algoritmo de cifrao no suportado pelo Aker Firewall. Escolha outros algoritmos
(veja seo Configurando canais Firewall-Firewall).
208 - Aviso do fwiked (olhar mensagens complementares) Esta mensagem uma
mensagem genrica de aviso do daemon de negociao de chaves IPSEC. Verifique as
mensagens complementares para obter mais detalhes.
198 - Erro comunicando com o kernel Esta mensagem indica que o daemon de negociao
de chaves IPSEC (fwiked) no est conseguindo se comunicar com os mdulos do Firewall
que executam dentro do kernel do sistema operacional.
1107

206 - Erro enviando mudana de estado ao cluster Esta mensagem indica que houve um
erro quando enviando mudana do estado do cluster dentro do trabalho cooperativo.
Verifique o segmento de rede onde esto instalados os firewalls.
202 - Erro enviando regra de IKE ao filtro de pacotes Esta mensagem indica que o
daemon de negociao de chaves IPSEC (fwiked) no est conseguindo se comunicar com os
mdulos do Firewall que executam dentro do kernel do sistema operacional para inserir
uma regra de liberao da comunicao com seus pares.
205 - Erro lendo mudana de estado do cluster Esta mensagem indica que houve um erro
quando da leitura do estado do cluster dentro do trabalho cooperativo. Verifique o
segmento de rede onde esto instalados os firewalls.
197 - Erro processando configurao Esta mensagem indica que ocorreu um erro interno
grave no daemon de negociao de chaves IPSEC (fwiked). Esta situao anmala e no
deve acontecer. Por favor contate o suporte tcnico se o Firewall gerar esta mensagem.
195 - Estabelecendo VPN IPSEC para o trfego Esta mensagem indica que o daemon de
negociao de chaves IPSEC (fwiked) iniciou o estabelecimento de um canal, por
necessidade imediata de seu uso.
204 - Negociao de IKE falhou (olhar mensagens complementares) Esta mensagem
indica que houve um problema durante a negociao de chaves IPSEC. Verifique as
mensagens complementares para obter mais detalhes.
Geralmente uma pequena mudana de configurao resolve rapidamente o problema
207 - Notificao do fwiked (olhar mensagens complementares) Esta mensagem
genrica de notificao do daemon de negociao de chaves IPSEC. Verifique as mensagens
complementares para obter mais detalhes.
203 - Sucesso ativando a SA negociada Esta mensagem indica que o daemon de
negociao de chaves IPSEC (fwiked) estabeleceu e instalou nos demais mdulos do Firewall
um canal de criptografia IPSEC corretamente.
200 - Tentou instalar uma SA no negociada Esta mensagem indica que o daemon de
negociao de chaves IPSEC (fwiked) encontrou um erro grave de consistncia interna. Esta
situao anmala e no deve acontecer. Por favor contate o suporte tcnico se o Firewall
gerar esta mensagem.
196 - Fwiked falhou ao iniciar Esta mensagem indica que o daemon de negociao de
chaves IPSEC (fwiked) no conseguiu ler suas configuraes. Recrie as configuraes de
criptografia para solucionar o problema (veja seo Configurando canais Firewall-Firewall).
1108
Daemons do firewall
166 - Alterao da configurao de SNMP Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta alterou os parmetros de configurao do
agente SNMP
181 - Alterao da configurao de TCP/IP Esta mensagem indica que o administrador
que estava com a sesso de administrao aberta alterou a configurao de TCP/IP do
firewall (hostname, configurao de DNS, configurao de interfaces ou rotas).
172 - Alterao da configurao do proxy SOCKS Esta mensagem indica que o
administrador que estava com a sesso de administrao aberta alterou algum dos
parmetros de configurao do proxy SOCKS.
162 - Alterao de converso Esta mensagem indica que o administrador que estava com
a sesso de administrao aberta alterou algum parmetro da converso de endereos ou a
tabela de converso de servidores. A mensagem complementar indica exatamente o que foi
alterado.
168 - Alterao da lista de controle de acesso Esta mensagem indica que o administrador
que estava com a sesso de administrao aberta alterou a lista de controles de acesso.
163 - Alterao da tabela de criptografia Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta alterou a tabela de criptografia do firewall.
161 - Alterao das regras de filtragem Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta alterou a tabela de regras de filtragem do
firewall.
165 - Alterao de contextos Esta mensagem indica que o administrador que estava com
a sesso de administrao aberta alterou contextos de um dos proxies transparentes do
Firewall. A mensagem complementar indica qual o proxy que teve seus contextos
modificados.
170 - Alterao de entidades Esta mensagem indica que o administrador que estava com
a sesso de administrao aberta alterou a lista de entidades do sistema.
160 - Alterao de parmetro Esta mensagem indica que o administrador que estava com
a sesso de administrao aberta alterou algum parmetro de configurao do sistema. A
mensagem complementar indica o nome do parmetro que foi alterado.
171 - Alterao de parmetros WWW Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta alterou os parmetros WWW.
1109
169 - Alterao de parmetros de autenticao Esta mensagem indica que o

administrador que estava com a sesso de administrao aberta alterou os parmetros
globais de autenticao.
167 - Alterao dos perfis de acesso Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta alterou a lista de perfis de acesso
164 - Alterao na configurao de SYN Flood Esta mensagem indica que o administrador
que estava com a sesso de administrao aberta alterou algum parmetro da proteo
contra SYN Flood. A mensagem complementar indica exatamente o que foi alterado.
178 - Alterao na data/hora do firewall Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta alterou a data e/ou hora do firewall.
180 - Alterao nos certificados Esta mensagem indica que o administrador que estava
com a sesso de administrao aberta alterou a lista de certificados das entidades
certificadoras ou de revogao do firewall.
179 - Carga do certificado de negociao local Esta mensagem indica que o administrador
que estava com a sesso de administrao aberta carregou ou alterou o certificado de
negociao local do firewall.
261 - Erro ao criar processo Esta mensagem indica que o firewall tentou criar um novo
processo para cuidar de uma determinada tarefa e no conseguiu. Possveis causas de erro
so memria insuficiente no firewall ou nmero de processos ativos excessivamente alto.
1110
158 - Erro de confirmao de sesso de administrao Esta mensagem indica que um
usurio cadastrado no sistema tentou estabelecer uma sesso de administrao remota,
porm sua senha estava incorreta. A mensagem complementar mostra o nome do usurio
em questo.
186 - Erro na operao anterior Esta mensagem indica que a ltima operao executada
pelo servidor de comunicao remota no foi executada com sucesso.
Soluo: Verifique se o existe espao disponvel no diretrio '/' do firewall. Isto pode ser
feito por meio do comando "$df -k". Se este comando mostrar o diretrio '/' com 100% de
espao utilizado, ento isto a causa do problema. Caso exista espao disponvel e ainda
assim este erro aparea, consulte o suporte tcnico.
351 - Excesso de tentativas invlidas. IP bloqueado Por padro, o firewall bloqueia
durante cinco minutos todas tentativas de conexo de um determinado IP caso ele possua
trs tentativas consecutivas invlidas. O complemento dessa mensagem o IP que foi
bloqueado.
159 - Firewall sendo administrado por outro usurio Esta mensagem indica que um
usurio conseguiu se autenticar corretamente para estabelecer uma sesso de
administrao remota, porm j existia um outro usurio com uma sesso aberta para a
mesma mquina e por isso a conexo foi recusada. A mensagem complementar indica qual
o usurio que teve sua sesso recusada.
176 - Operao sobre o arquivo de eventos Esta mensagem indica que o administrador
que estava com a sesso de administrao aberta realizou uma operao sobre o arquivo de
eventos. As operaes possveis so Compactar e Apagar. A mensagem complementar
indica qual destas operaes foi executada.
175 - Operao sobre o arquivo de log Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta realizou uma operao sobre o arquivo de log.
As operaes possveis so Compactar e Apagar. A mensagem complementar indica qual
destas operaes foi executada.
177 - Operao sobre o arquivo de usurio Esta mensagem indica que o administrador
que estava com a sesso de administrao aberta realizou uma operao sobre o arquivo de
usurios. As operaes possveis so Incluir, Excluir e Alterar. A mensagem complementar
indica qual destas operaes foi executada e sobre qual usurio
1111
188 - Pacote no reconhecido Esta mensagem indica que o servidor de comunicao do

firewall recebeu uma requisio de servio desconhecida.
154 - Pedido de conexo de administrao Esta mensagem gerada pelo mdulo de
administrao remota do Aker Firewall todas as vezes que este recebe um pedido de
abertura de conexo. Na mensagem complementar mostrado o endereo IP da mquina
que solicitou a abertura de conexo.
263 - Processo foi interrompido Esta mensagem indica que o processo de monitoramento
do firewall detectou que um processo crtico do sistema no estava mais rodando. Se esta
262 - Processo recriado Esta mensagem indica que o processo de monitoramento do
firewall recriou um processo crtico do sistema que no estava mais rodando. Se esta
184 - Queda de sesso de administrao por erro Esta mensagem indica que a sesso de
administrao que estava ativa foi interrompida devido a um erro de protocolo de
comunicao.
Soluo: Experimente estabelecer a conexo novamente. Se o problema voltar a ocorrer,
consulte o suporte tcnico.
185 - Queda de sesso de administrao por inatividade Quando uma interface remota
estabelece uma conexo de administrao, ela passa a enviar periodicamente pacotes para
o firewall indicando que ela continua ativa. Estes pacotes so enviados mesmo que usurio
no execute nenhuma operao.
Esta mensagem indica que a sesso de administrao que estava ativa foi interrompida
devido a um tempo limite ter sido atingido, sem o servidor ter recebido nenhum pacote da
interface remota. A sua causa mais provvel uma queda na mquina que rodava a
Interface Remota ou uma queda na rede.
173 - Remoo de conexo ativa Esta mensagem indica que o administrador que estava
com a sesso de administrao aberta removeu uma das conexes ativas. A mensagem
complementar indica se a conexo removida era TCP ou UDP
174 - Remoo de sesso de usurio ativa Esta mensagem indica que o administrador que
estava com a sesso de administrao aberta removeu uma das sesses de usurios que
estavam logados no firewall por meio do Cliente de Autenticao Aker.
155 - Sesso de administrao estabelecida Esta mensagem gerada pelo mdulo de
administrao remota do Aker Firewall quando um usurio consegue se autenticar
1112
corretamente e iniciar uma sesso de administrao. Na mensagem complementar

mostrado o login do usurio que estabeleceu a sesso e os seus direitos.
Os direitos do usurio so representados por meio de trs siglas independentes. Caso o
usurio possua um determinado direito ser mostrada a sigla correspondente a ele, caso
contrrio ser mostrado o valor "--". As siglas e seus significados so os seguintes:
CF - Configura Firewall
CL - Configura Log
GU - Gerencia usurios
156 - Sesso de administrao finalizada Esta mensagem indica que a sesso de

administrao estabelecida anteriormente foi terminada a pedido do cliente.
157 - Usurio no cadastrado para administrao Esta mensagem indica que um usurio
no cadastrado no sistema tentou estabelecer uma sesso de administrao.
259 - Usurio responsveis do Configuration Manager Esta mensagem gerada quando o
Configuration Manager efetua uma modificao da configurao de um determinado
firewall e serve para informar qual o usurio responsvel por tais modificaes (o usurio
que estava utilizando o Configuration Manager)
344 - Verso no suportada do Web Content Analyzer No mais utilizado.
Filtro de pacote
055 - Aker Firewall 6.5 Inicializao completa Esta mensagem tem carter puramente
informativo, servindo para determinar os horrios que o Firewall entrou em funcionamento.
Ela ser produzida a cada reinicializao da mquina.
1113
357 - Limite configurado de conexes a partir do endereo IP excedido Por padro, o

firewall bloqueia durante cinco minutos todas tentativas de conexo de um determinado IP
caso ele possua trs tentativas consecutivas invlidas. O complemento dessa mensagem o
IP que foi bloqueado.
IDS
112 - Erro ao conectar com agente IDS Esta mensagem indica que o firewall no
conseguiu se conectar ao agente IDS que estaria rodando em uma determinada mquina. A
mensagem complementar indica o nome do agente IDS que no pode ser conectado e o
endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est correto
na definio da entidade (para maiores informaes, veja o captulo intitulado Cadastrando
Entidades) e que o agente est realmente sendo executado na mquina em questo.
063 - Erro ao ler o arquivo de parmetros Esta mensagem produzida por qualquer um
dos mdulos externos ao tentar ler o arquivo de parmetros do sistema e constatar que
este no existe ou no pode ser lido.
Soluo: Reinicialize a mquina, que o programa de inicializao ir recriar o arquivo de
parmetros. Se isso no funcionar, contate o suporte tcnico.
1114
113 - Erro de comunicao com agente IDS Esta mensagem indica que o firewall
conseguiu se conectar ao agente IDS, porm no conseguiu estabelecer uma comunicao.
A mensagem complementar indica o nome do agente IDS que provocou o problema e o
endereo IP da mquina onde ele est rodando.
Soluo: Verifique se a senha de acesso na definio da entidade est igual senha colocada
na configurao do agente IDS. Para maiores informaes, veja o captulo intitulado
Leitura e exportao de logs
356 - Erro criando arquivo local para ser exportado No foi possvel criar arquivos para
export-los. Verifique a permisso do diretrio temporrio e o espao em disco. O ttulo do
relatrio est no complemento.
353 - Exportao de evento finalizada com sucesso Gerado ao final da exportao de
eventos e nenhum erro foi detectado. O ttulo do relatrio e o ip da mquina/diretrio
esto no complemento.
352 - Exportao de log finalizada com sucesso Gerado ao final da exportao de log e
nenhum erro foi detectado. O ttulo do relatrio e o ip da mquina/diretrio esto no
complemento
354 - Falha ao conectar no servidor FTP para exportar logs ou eventos No foi possvel
conectar-se no servidor FTP para exportar logs ou ventos. O ttulo e o motivo da falha esto
no complemento.
355 - Falha ao copiar log ou eventos para pasta local No foi possvel copiar os relatrios
na mquina local. Verifique a permisso do diretrio de destino e espao em disco. O ttulo
do relatrio est no complemento.
Mdulo de configurao do cluster
242 - Erro alterando a configurao do firewall Esta mensagem indica que o firewall
servidor do cluster no esta conseguindo alterar as configuraes dos outros firewalls.
Verifique o segmento de rede de troca informao dos firewalls cooperativos.
1115
241 - Erro de processamento no firewall servidor Esta mensagem indica que o firewall
servidor do cluster no esta processando os dados corretamente. Verifique o firewall
servidor quanto a espao em disco e processador.
240 - Erro enviando dados do firewall servidor Esta mensagem indica que o firewall
servidor do cluster no est enviando os dados corretamente. Verifique o segmento de rede
de troca informao dos firewalls cooperativos.
239 - Erro recebendo dados do firewall servidor Esta mensagem indica que o firewall
servidor do cluster no esta recebendo os dados corretamente. Verifique o segmento de
rede de troca informao dos firewalls cooperativos
Mdulo de controle do cluster
125 - Chave de ativao do firewall repetida Esta mensagem indica que dois firewalls
possuem a mesma licena instalada. Para o trabalho dos firewalls cooperativos e necessrio
que cada um dos firewalls possua a sua prpria licena.
124 - Convergncia do cluster completada com sucesso Esta mensagem indica que todos
os firewalls do cluster esto funcionando corretamente.
1116
330 - Interface de rede conectada Interface do heart beat ficou ativa. O complemento a
interface.
329 - Interface de rede desconectada Interface do heart beat ficou inativa. O
complemento a interface.
122 - Mquina participante do cluster fora do ar Esta mensagem indica que uma das
mquinas participantes do cluster esta fora do ar. Verifique a situao da mquina de modo
a solucionar o problema da mesma.
121 - Nova mquina detectada no cluster Esta mensagem indica que uma nova mquina
foi anexada ao sistema de cluster do firewall.
123 - Pacote de heartbeat invlido Esta mensagem indica que um pacote de verificao
do cluster foi recebido incorretamente. Verifique se o segmento de comunicao dos
firewall esta funcionando corretamente.
Mdulo de estado do cluster
245 - Erro ao agrupar dados do cluster Esta mensagem indica que o firewall servidor do
cluster no est conseguindo agrupar os dados do cluster. Verifique o segmento de rede de
244 - Erro ao enviar arquivo ao cluster Esta mensagem indica que o firewall servidor do
cluster no esta conseguindo enviar arquivo ao cluster. Verifique o segmento de rede de
131 - Erro ao enviar dados para o kernel do firewall Esta mensagem indica que algum dos
Protocolos de roteamento
1117
333 - Erro de comunicao com o servio de rotas Ocorreu um erro de comunicao do
firewall com o processo Zebrad. Verifique o status do processo e tente novamente.
331 - Rota adicionada O Zebrad adicionou uma rota no firewall.
332 - Rota removida O Zebrad removeu uma rota no firewall.
Proxies Transparentes
Proxy DCE-RPC
1118

337 - Erro conectando ao servidor O Proxy transparente DCE-RPC no conseguiu se
conectar ao servidor. O complemento mostra o erro ocorrido.
334 - Erro na conexo DCE-RPC Ocorreu uma falha irrecupervel durante a conexo do
proxy DCE-RPC. Os complementos da mensagem mostram detalhes do erro de conexo.
335 - Servio DCE-RPC aceito Conexo do proxy DCE-RPC foi aceita pelas regras do proxy,
o complemento mostra os IPs conectados e o a UUID aceita.
336 - Servio DCE-RPC bloqueado Conexo do proxy DCE-RPC foi rejeitada pelas
configuraes. O complemento mostra os IPs conectados e as UUID rejeitada.
Proxy FTP
342 - Contabilidade de trfego FTP (downloads) Dados de download foram enviados por
meio do proxy FTP.
343 - Contabilidade de trfego FTP (uploads) Dados de uploads foram enviados por meio
do proxy FTP.
072 - DNS direto e reverso conflitantes Quando um proxy do Firewall configurado para
somente aceitar conexes a partir de mquinas com DNS reverso vlido, ele utiliza uma
tcnica que consiste em tentar resolver o nome para o endereo IP de origem da conexo.
Caso ele no consiga, ele indica erro mostrando a mensagem anterior e no permite a
realizao da conexo. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir do
nome retornado, buscando seu endereo IP. Se ele no conseguir realizar esta segunda
pesquisa ou se o endereo IP retornado for diferente do endereo de origem, a conexo
abortada e esta mensagem produzida.
071 - DNS reverso no configurado Esta mensagem produzida por algum dos proxies se
ele tiver sido configurado para somente receber conexes a partir de mquinas com DNS
1119
reverso vlido e no tiver conseguido resolver o nome para o endereo IP de origem de uma
conexo. A mensagem complementar indica o endereo IP de origem da conexo.
069 - Erro ao carregar contexto Esta mensagem indica que um dos proxies transparentes
no conseguiu carregar o contexto especificado.
151 - Nmero de processos excessivo no sistema Esta mensagem indica que algum dos
073 - Possvel ataque de simulao de protocolo Esta mensagem indica que o firewall
durante o monitoramento de uma sesso de algum protocolo com vrias conexes (por
exemplo, FTP e Real udio / Real Vdeo) detectou uma tentativa de abertura de conexo
para uma porta menor que 1024 ou para um endereo diferente do esperado. Isso
provavelmente causado por um ataque ou por uma implementao defeituosa do
protocolo.
A mensagem complementar indica os endereos de origem e destino da conexo.
068 - Tamanho de linha excessivo Esta mensagem indica que algum proxy do Aker
Firewall recebeu uma linha com um nmero excessivo de caracteres e devido a isso,
derrubou a conexo. A informao complementar entre parnteses indica o endereo IP da
mquina que causou o problema.
Soluo: Esta mensagem causada por um servidor ou cliente fora dos padres das RFCs. A
nica soluo possvel para o problema contatar o administrador da mquina causadora
da mensagem.
Proxy H323 (H225.0)
1120
Proxy H323 (H245)
151 - Nmero de processos excessivos no sistema Esta mensagem indica que algum dos
Proxy HTTP
101 - ActiveX removido O Proxy HTTP encontrou um objeto ActiveX que foi removido.
247 - Arquivo com vrus bloqueado Esta mensagem indica que um arquivo estava com
vrus e no pode ser removido, por isso o arquivo foi bloqueado.
246 - Arquivo com vrus desinfectado Esta mensagem indica que um arquivo analisado
pelo firewall estava com vrus mas foi desinfectado.
249 - Arquivo no pode ser analisado pois estava cifrado Esta mensagem indica que o
antivrus do firewall no pode analisar o arquivo pois o mesmo estava cifrado.
248 - Arquivo no pode ser analisado estava corrompido Esta mensagem indica que o
antivrus do firewall no pode analisar o arquivo pois o mesmo estava corrompido.
098 - Banner removido Esta mensagem indica que o Filtro Web substitui uma requisio
por uma imagem em branco, visto que a URL se encaixou nas regras de filtragem de
banners. A mensagem complementar entre parnteses indica o nome do usurio que fez a
requisio. A linha de mensagem seguinte indica o endereo IP da mquina da qual a
requisio se originou e a terceira linha indica qual URL que o usurio tentou acessar.
340 - Contabilidade de trfego HTTP (WWW) Evento de contabilizao HTTP, utilizado
normalmente para a gerao de relatrios, por padro vem desabilitado.
341 - Contabilidade de trfego HTTP (downloads) Evento de contabilizao de downloads
HTTP, utilizado normalmente para a gerao de relatrios, por padro vem desabilitado.
096 - Download de arquivo local aceito Esta mensagem indica que o Filtro Web aceitou
um pedido de uma URL feito por um usurio. A mensagem complementar entre parnteses
indica o nome do usurio que fez a requisio. A linha de mensagem seguinte indica o
1121
endereo IP da mquina da qual a requisio se originou e a terceira linha indica qual URL
foi acessada.
Esta mensagem se refere a um arquivo armazenado localmente no firewall, que foi
requisitado utilizando-se o Filtro Web como um servidor WEB.
119 - Erro ao conectar com Web Content Analyzer Esta mensagem indica que o firewall
no conseguiu se conectar ao Web Content Analyzer que estaria rodando em uma
determinada mquina. A mensagem complementar indica o nome do analisador que no
pode ser conectado e o endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o analisador estaria rodando est
correto na definio da entidade (para maiores informaes, veja o captulo intitulado
Cadastrando Entidades) e que ele est realmente sendo executado na mquina em
questo.
318 - Erro conectando ao servio de quotas Algum proxy no conseguiu comunicar-se
com o processo responsvel pelas quotas. Verifique se o fwquotad est executando e/ou
reinicie o seu equipamento.
1122
120 - Erro de comunicao com Web Content Analyzer Esta mensagem indica que o
firewall conseguiu se conectar ao Web Content Analyzer, porm no conseguiu estabelecer
uma comunicao. A mensagem complementar indica o nome do analisador que provocou
o problema e o endereo IP da mquina onde ele est rodando.
na configurao do Web Content Analyzer. Para maiores informaes, veja o captulo
intitulado Cadastrando Entidades.
324 - Erro de comunicao com o servio de quotas Erro ao se comunicar com o servidor
de quotas. O complemento da mensagem mostra detalhes sobre o erro.
126 - Falha de autenticao para proxy Esta mensagem indica que um usurio informou
uma senha invlida ao tentar autenticar-se em um determinado proxy. As mensagens
complementares indicam o nome do usurio e as mquinas de origem e destino (no caso de
proxy transparente) da conexo.
099 - Java removido O Proxy HTTP encontrou uma linha de cdigo Java e foi removida.
100 - Javascript removido O Proxy HTTP encontrou uma linha de cdigo Javascript e foi
removida.
325 - Quota de bytes expirada Quota de bytes foi consumida pelo usurio
326 - Quota de bytes insuficiente para a operao No existem bytes suficientes para
finalizar uma requisio ainda no iniciada. O incio da transferncia no foi permitido.
327 - Quota de tempo expirada Informao sobre uma quota de tempo que foi expirada.
095 - URL aceita Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL
feito por um usurio. A mensagem complementar entre parnteses indica o nome do
usurio que fez a requisio. A linha de mensagem seguinte indica o endereo IP da
mquina da qual a requisio se originou e a terceira linha indica qual URL foi acessada.
Esta mensagem somente ser produzida para URLs do protocolo HTTP quando elas
resultarem em cdigo HTML. Para os protocolos FTP e Gopher, ela ser gerada para cada
requisio aceita, independente do seu tipo.
Formato do evento para exportao:
1123
DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> URL Aceita <usuario>

<perfil> <ip_origem> <url>
097 - URL rejeitada Esta mensagem indica que o Filtro Web rejeitou um pedido de uma
URL feito por um usurio. A mensagem complementar entre parnteses indica o nome do
mquina da qual a requisio se originou e a terceira linha indica qual URL que o usurio
tentou acessar.
127 - Usurio no cadastrado para proxy Esta mensagem indica que um usurio no
cadastrado tentou se autenticar em um determinado proxy. A mensagem complementar
indica as mquinas de origem e destino (no caso de proxy transparente) da conexo.
Proxy HTTPS
101 - ActiveX removido O Proxy HTTP encontrou um objeto ActiveX que foi removido.
098 - Banner removido Esta mensagem indica que o Filtro Web substitui uma requisio
por uma imagem em branco, visto que a URL se encaixou nas regras de filtragem de
banners. A mensagem complementar entre parnteses indica o nome do usurio que fez a
requisio. A linha de mensagem seguinte indica o endereo IP da mquina da qual a
requisio se originou e a terceira linha indica qual URL que o usurio tentou acessar.
340 - Contabilidade de trfego HTTP (WWW) Evento de contabilizao HTTP, utilizado
normalmente para a gerao de relatrios, por padro vem desabilitado.
341 - Contabilidade de trfego HTTP (downloads) Evento de contabilizao de downloads
HTTP, utilizado normalmente para a gerao de relatrios, por padro vem desabilitado.
096 - Download de arquivo local aceito Esta mensagem indica que o Filtro Web aceitou
um pedido de uma URL feito por um usurio. A mensagem complementar entre parnteses
indica o nome do usurio que fez a requisio. A linha de mensagem seguinte indica o
1124
endereo IP da mquina da qual a requisio se originou e a terceira linha indica qual URL
foi acessada.
Esta mensagem se refere a um arquivo armazenado localmente no firewall, que foi
requisitado utilizando-se o Filtro Web como um servidor WEB.
119 - Erro ao conectar com Web Content Analyzer Esta mensagem indica que o firewall
no conseguiu se conectar ao Web Content Analyzer que estaria rodando em uma
determinada mquina. A mensagem complementar indica o nome do analisador que no
Soluo: Verifique se o endereo IP da mquina onde o analisador estaria rodando est
correto na definio da entidade (para maiores informaes, veja o captulo intitulado
Cadastrando Entidades) e que ele est realmente sendo executado na mquina em
questo.
1125
120 - Erro de comunicao com Web Content Analyzer Esta mensagem indica que o
firewall conseguiu se conectar ao Web Content Analyzer, porm no conseguiu estabelecer
uma comunicao. A mensagem complementar indica o nome do analisador que provocou
na configurao do Web Content Analyzer. Para maiores informaes, veja o captulo
intitulado Cadastrando Entidades.
324 - Erro de comunicao com o servio de quotas Erro ao se comunicar com o servidor
de quotas. O complemento da mensagem mostra detalhes sobre o erro.
099 - Java removido O Proxy HTTP encontrou uma linha de cdigo Java e foi removida.
100 - Javascript removido O Proxy HTTP encontrou uma linha de cdigo Javascript e foi
removida.
325 - Quota de bytes expirada Quota de bytes foi consumida pelo usurio
326 - Quota de bytes insuficiente para a operao No existem bytes suficientes para
finalizar uma requisio ainda no iniciada. O incio da transferncia no foi permitido.
327 - Quota de tempo expirada Informao sobre uma quota de tempo que foi expirada.
095 - URL aceita Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL
feito por um usurio. A mensagem complementar entre parnteses indica o nome do
mquina da qual a requisio se originou e a terceira linha indica qual URL foi acessada.
Esta mensagem somente ser produzida para URLs do protocolo HTTP quando elas
resultarem em cdigo HTML. Para os protocolos FTP e Gopher, ela ser gerada para cada
requisio aceita, independente do seu tipo.
1126

097 - URL rejeitada Esta mensagem indica que o Filtro Web rejeitou um pedido de uma
URL feito por um usurio. A mensagem complementar entre parnteses indica o nome do
mquina da qual a requisio se originou e a terceira linha indica qual URL que o usurio
tentou acessar.
Proxy MSN Messenger
348 - Arquivo infectado foi bloqueado Arquivo transferido por meio do proxy MSN foi
analisado e possui vrus. Arquivo bloqueado. O complemento dessa mensagem o nome do
arquivo.
349 - Arquivo no tem vrus Arquivo transferido por meio do proxy MSN foi analisado,
no possui vrus e o arquivo aceito. O complemento dessa mensagem descreve o nome do
arquivo.
286 - Conexo do MSN Messenger encerrada por timeout Esta mensagem indica que uma
conexo com um servidor do servio MSN Messenger foi encerrada por timeout. Verifique
se o acesso Internet est funcionando corretamente.
278 - Conversao do MSN Messenger bloqueada Conversa entre dois usurios foi
bloqueada pelas configuraes no proxy MSN.
279 - Conversao do MSN Messenger finalizada Esta mensagem gerada quando um
usurio fecha a janela de conversao no MSN Messenger, passando por meio do firewall.
1127
277 - Conversao do MSN Messenger iniciada Esta mensagem gerada quando um

usurio abre a janela de conversao no MSN Messenger, passando por meio do firewall.
282 - Convite para transferncia de arquivo via MSN Messenger permitido Esta
mensagem gerada quando um pedido de transferncia de arquivo por meio do Messenger
foi recebido e aceito pelo firewall.
284 - Convite para uso de aplicativo via MSN Messenger permitido Esta mensagem
gerada quando um pedido de uso de aplicativo (jogos, vdeo, etc) por meio do Messenger
foi recebido e aceito pelo firewall.
287 - Erro analisando a mensagem Esta mensagem indica que o firewall detectou um erro
de parser em uma mensagem do MSN Messenger. Caso esta mensagem aparea, favor
contatar o suporte tcnico.
o segmento de rede de troca informao dos firewalls cooperativos
346 - Erro interno no proxy Messenger Erro grave envolvendo o proxy MSN ocorreu, por
favor contate o suporte Aker.
350 - Erro no antivrus O mdulo de integrao antivrus e proxy MSN apresentou um erro
durante a comunicao com o servidor de antivrus. Verifique as configuraes do servidor,
regras de filtragem do firewall e tente novamente. O complemento da mensagem descreve
a etapa de comunicao que falhou.
359 - Logando a conversao do MSN Messenger Evento loga dados do chat entre os
usurios do Proxy MSN.
1128
281 - Notificao do Hotmail bloqueada Proxy MSN no permitiu a notificao do

Hotmail.
345 - Pacote de transferncia de arquivos no consta na lista de transferncias ativas Um
cliente tentou transferir um arquivo, mas os dados relativos informao de transferncia
de arquivos no foram enviados. Por favor, utilize um cliente Messenger vlido.
347 - Proxy Messenger no pode salvar o arquivo em disco No foi possvel salvar o
arquivo temporariamente em disco. Verifique se o firewall possui espao em disco
suficiente para operar e tente novamente.
288 - Servidor MSN Messenger no responde Esta mensagem indica que os servidores do
servio MSN Messenger no esto respondendo. Verifique se a conexo com a Internet est
funcionando corretamente.
280 - Tempo dirio de uso de MSN Messenger no permitido Esta mensagem indica que
o tempo dirio de conversa por meio do MSN Messenger para o usurio em questo foi
exercido. Este usurio no mais poder acessar o Messenger no dia corrente.
283 - Transferncia de arquivo via MSN Messenger bloqueada Esta mensagem gerada
quando um pedido de transferncia de arquivo por meio do Messenger foi recebido e
rejeitado pelo firewall.
285 - Uso de aplicativo via MSN Messenger no permitido Esta mensagem gerada
quando um pedido de uso de aplicativo (jogos, video, etc) por meio do Messenger foi
recebido e rejeitado pelo firewall.
289 - Usurio entrou no MSN Messenger Esta mensagem gerada todas as vezes que um
usurio se autentica no servio MSN Messenger por meio do Firewall
290 - Usurio saiu do MSN Messenger Esta mensagem gerada todas as vezes que um
usurio sai do servio MSN Messenger, passando por meio do Firewall
291 - Usurio sem permisso tentou entrar no MSN Messenger Esta mensagem gerada
todas as vezes que um usurio sem permisso tenta acessar o servio MSN Messenger
passando por meio do Firewall.
358 - Verso do MSN bloqueada para a utilizao Evento informa que uma verso no
permitida do cliente MSN foi bloqueada.
Proxy POP3
090 - Anexo com vrus removido Esta mensagem indica que um anexo da mensagem
continha vrus e foi removido. O complemento da mensagem indica quem o remetente e o
destinatrio da mensagem, assim como o nome do vrus encontrado.
1129
093 - Anexo continha vrus e foi desinfectado Esta mensagem indica que um anexo da
mensagem continha vrus e foi desinfectado. O complemento da mensagem indica quem
so o remetente e o destinatrio da mensagem, assim como o nome do vrus encontrado.
094 - Anexo incorretamente codificado (mensagem defeituosa) Esta mensagem indica
que um anexo de mensagem est incorretamente codificado, ou seja, apresenta erro na
codificao do tipo MIME. Normalmente este arquivo pode ser descartado pelo firewall
caso o administrador configure a opo desejada. Para mais informaes leia o captulo
intitulado Configurando o proxy SMTP.
091 - Anexo removido Esta mensagem indica que um anexo da mensagem foi removido. O
complemento da mensagem indica quem so o remetente e o destinatrio da mensagem.
233 - Comando POP3 invlido ou erro de sintaxe Esta mensagem indica que o proxy POP3
transparente leu um comando incorreto do cliente e fechou a conexo sem repass-lo ao
servidor. O comando em questo encontra-se nas mensagens complementares.
238 - Entrando em modo STLS - nenhuma anlise possvel Esta mensagem indica que o
firewall entrou em modo STLS. Entre em contato com o suporte tcnico para a soluo.
234 - Erro abrindo arquivo para spool Esta mensagem indica que o proxy POP3
transparente no conseguiu abrir o arquivo temporrio para salvar a mensagem.
117 - Erro ao conectar com servidor de antivrus Esta mensagem indica que o firewall no
conseguiu se conectar ao servidor de antivrus que estaria rodando em uma determinada
mquina. A mensagem complementar indica o nome do servidor que no pode ser
conectado e o endereo IP que ele supostamente estaria rodando.
231 - Erro conectando-se ao servidor POP3 Esta mensagem indica que o proxy POP3
transparente no consegui estabelecer a conexo com o servidor. Provavelmente o
endereo est errado ou o servidor est fora do ar.
118 - Erro de comunicao com servidor de antivrus Esta mensagem indica que o firewall
conseguiu se conectar ao servidor de antivrus, porm no conseguiu estabelecer uma
1130
comunicao. A mensagem complementar indica o nome do agente antivrus que provocou

na configurao do agente antivrus. Para maiores informaes, veja o captulo intitulado
Cadastrando Entidades
228 - Erro enviando dados ao cliente POP3
Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexo ao enviar dados para o cliente. As mensagens
complementares informam qual a conexo em questo.
229 - Erro enviando dados ao servidor POP3 Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexo ao enviar dados ao servidor. As mensagens
235 - Erro gravando dados no arquivo Esta mensagem indica que o proxy POP3
transparente encontrou um erro ao gravar a mensagem em espao de armazenamento
temporrio.
227 - Erro recebendo dados do cliente POP3 Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexo ao receber dados do cliente. As mensagens
226 - Erro recebendo dados do servidor POP3 Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexo ao receber dados do servidor. As mensagens
236 - Falta de espao gravando arquivo Esta mensagem indica que faltou espao em disco
para o proxy POP3 transparente gravar as mensagens recebidas.
092 - Mensagem descartada por causa de seu anexo Esta mensagem indica que uma
mensagem tinha um anexo inaceitvel (veja suas regras) e foi bloqueada pelo proxy SMTP
do Firewall. O complemento da mensagem indica quem so o remetente e o destinatrio da
mensagem.
230 - Resposta invlida do servidor POP3 Esta mensagem indica que o proxy POP3
transparente recebeu uma resposta incorreta do servidor. As mensagens complementares
informam que resposta foi esta
1131
232 - Servidor POP3 recusou a conexo Esta mensagem indica que o proxy POP3
transparente conectou-se ao servidor e este informou estar fora do ar.
Proxy Real Audio
protocolo.
Proxy RTSP
protocolo.
Proxy SIP
1132

Soluo: Adquira mais memria RAM ou aumente as parties de swap
319 - Erro de parse do corpo SDP Mensagem invlida no proxy SIP, os complementos
dessa mensagem informam o erro especfico
273 - Erro de rede Esta uma mensagem genrica para erros de rede. Favor verificar os
complementos para maiores informaes sobre sua causa.
338 - Erro na conexo SIP sobre TCP Proxy SIP encontrou um erro durante a conexo. O
primeiro complemento detalha os erros que ocorreram.
293 - Ligao finalizada Proxy SIP detectou o fim de uma ligao.
292 - Ligao iniciada Proxy SIP detectou o inicio de uma ligao.
328 - Resposta para request nunca visto ou j expirado O proxy SIP encontrou uma
resposta inesperada.
Proxy SMTP
090 - Anexo com vrus removido Esta mensagem indica que um anexo da mensagem
continha vrus e foi removido. O complemento da mensagem indica quem o remetente e o
destinatrio da mensagem, assim como o nome do vrus encontrado.
1133
093 - Anexo continha vrus e foi desinfectado Esta mensagem indica que um anexo da
mensagem continha vrus e foi desinfectado. O complemento da mensagem indica quem
so o remetente e o destinatrio da mensagem, assim como o nome do vrus encontrado.
094 - Anexo incorretamente codificado (mensagem defeituosa) Esta mensagem indica
que um anexo de mensagem est incorretamente codificado, ou seja, apresenta erro na
codificao do tipo MIME. Normalmente este arquivo pode ser descartado pelo firewall
caso o administrador configure a opo desejada. Para mais informaes leia o captulo
intitulado Configurando o proxy SMTP.
091 - Anexo removido Esta mensagem indica que um anexo da mensagem foi removido. O
complemento da mensagem indica quem so o remetente e o destinatrio da mensagem.
080 - Cliente SMTP enviou linha de tamanho excessivo O cliente SMTP enviou uma linha
de tamanho muito grande que no pode ser tratada pelo proxy SMTP. Verifique se o cliente
segue a padronizao da RFC ou ajuste o mesmo para tal.
081 - Cliente SMTP fechou conexo O cliente SMTP fechou inesperadamente a conexo.
Isto pode ter acontecido por interveno do prprio usurio ou por problemas do cliente.
Normalmente as conexes so restabelecidas automaticamente.
074 - Comando invlido Esta mensagem indica que um dos proxies recebeu um comando
considerado invlido da mquina cliente e devido a isso no o repassou para o servidor. As
mensagens complementares indicam qual o comando que tentou ser executado e quais as
mquinas de origem e destino (no caso de proxy transparente) da conexo.
078 - Conexo SMTP bloqueada por RBL Esta mensagem indica que o proxy SMTP
bloqueou uma conexo devido ao servidor SMTP de origem estar inscrito em uma lista
negra de spammers.
077 - Conexo SMTP bloqueada por regra de DNS Esta mensagem indica que o proxy
SMTP bloqueou uma conexo devido a uma regra do DNS. Para mais informaes leia o
capitulo intitulado Configurando o proxy SMTP.
079 - Conexo SMTP recusada pelo servidor ou servidor fora do ar Esta mensagem indica
que o proxy SMTP tentou uma conexo com o servidor SMTP de destino, porm o mesmo
pode ter recusado ou esta fora do ar. Verifique se o servidor destino esta no ar realizando
um telnet na porta 25 do mesmo.
1134
085 - Endereo de e-mail invlido enviado pelo cliente SMTP Esta mensagem indica que o
cliente SMTP no forneceu um endereo de e-mail em formato vlido.
117 - Erro ao conectar com servidor de antivrus Esta mensagem indica que o firewall no
conseguiu se conectar ao servidor de antivrus que estaria rodando em uma determinada
mquina. A mensagem complementar indica o nome do servidor que no pode ser
conectado e o endereo IP que ele supostamente estaria rodando.
115 - Erro de comunicao com servidor Spam Meter Esta mensagem indica que o
firewall no conseguiu se conectar ao Spam Meter que estaria rodando em uma
determinada mquina. A mensagem complementar indica o nome do servidor que no
Entidades) e que o Spam Meter est realmente sendo executado na mquina em questo.
118 - Erro de comunicao com servidor de antivrus Esta mensagem indica que o firewall
conseguiu se conectar ao servidor de antivrus, porm no conseguiu estabelecer uma
comunicao. A mensagem complementar indica o nome do agente antivrus que provocou
na configurao do agente antivrus. Para maiores informaes, veja o captulo intitulado
1135
087 - Falta de espao (disco cheio) para analisar mensagem Esta mensagem indica que o
disco rgido do firewall est cheio. Tente esvaziar os arquivos de logs ou aumentar a
capacidade do disco para o firewall poder analisar a mensagem
075 - Mensagem SMTP aceita Esta mensagem indica que o proxy SMTP transparente
aceitou uma mensagem e a enviou para o servidor. A mensagem complementar indica quais
as mquinas de origem e destino da conexo e quem so o remetente e o destinatrio, da
mensagem.
DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> Mensagem SMTP aceita
<email_origem> <email_destino> <ip_origem> <ip_destino> <tamanho_da_mensagem>
<nome_regra>
076 - Mensagem SMTP rejeitada Esta mensagem indica que o proxy SMTP transparente
rejeitou uma mensagem recebida. Isto foi causado por ter a mensagem, se encaixado em
algum filtro que indicava que ela deveria ser rejeitada ou por ter um tamanho maior que o
tamanho mximo permitido.
DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> Mensagem SMTP rejeitada

<email_origem> <email_destino> <ip_origem> <ip_destino> <tamanho_da_mensagem>
<nome_regra>
299 - Mensagem aceita pela configurao do Spam Meter Esta mensagem gerada
quando uma mensagem de e-mail aceita pelo proxy SMTP devido ter recebido uma nota
do Spam Meter cuja configurao do proxy indicou ao firewall para aceit-la.
089 - Mensagem com erro de sintaxe Esta mensagem indica que a mensagem SMTP
estava com erro de sintaxe dos comandos SMTP. Geralmente programas de spammers
fazem com que este erro acontea.
092 - Mensagem descartada por causa de seu anexo Esta mensagem indica que uma
mensagem tinha um anexo inaceitvel (veja suas regras) e foi bloqueada pelo proxy SMTP
do Firewall. O complemento da mensagem indica quem so o remetente e o destinatrio da
mensagem.
297 - Mensagem descartada por configurao do Spam Meter Esta mensagem gerada
quando uma mensagem de e-mail descartada pelo proxy SMTP devido a ter recebido uma
nota do Spam Meter cuja configurao do proxy indicou ao firewall para descart-la.
088 - Mensagem estourou tamanho mximo permitido Esta mensagem indica que a
mensagem SMTP ultrapassou o tamanho mximo permitido. Verifique o captulo Editando
os parmetros de um contexto SMTP para aumentar o tamanho de recebimento da
mensagem.
1136
300 - Mensagem modificada para treinamento pelo Spam Meter Esta mensagem
gerada quando uma mensagem de e-mail modificada pelo proxy SMTP para possibilitar
seu treinamento pelo destinatrio a fim de melhorar a classificao de futuras mensagens
do Spam Meter.
298 - Mensagem rejeitada por configurao do Spam Meter Esta mensagem gerada
quando uma mensagem de e-mail rejeitada pelo proxy SMTP devido a ter recebido uma
nota do Spam Meter cuja configurao do proxy indicou ao firewall para rejeit-la.
082 - Servidor SMTP enviou linha de tamanho excessivo O servidor SMTP enviou uma
linha de tamanho muito grande que no pode ser tratada pelo proxy SMTP. Verifique se o
servidor segue a padronizao da RFC ou ajuste o mesmo para tal.
083 - Servidor SMTP fechou conexo O servidor SMTP fechou inesperadamente a
conexo. Isto pode ter acontecido por problemas de trafego excessivo ou erro no prprio
servidor. Normalmente as conexes so restabelecidas automaticamente. Se o problema
esta ocorrendo com frequncia tente aumentar os tempos de negociao do protocolo
SMTP no proxy.
086 - Tentativa de relay no permitido bloqueada Esta mensagem indica que uma
tentativa de relay foi bloqueada pelo firewall. Verifique o captulo Editando os parmetros
de um contexto SMTP para liberar domnios permitidos para relay
Proxy SOCKS
074 - Comando invlido Esta mensagem indica que um dos proxies recebeu um comando
considerado invlido da mquina cliente e devido a isso no o repassou para o servidor. As
mensagens complementares indicam qual o comando que tentou ser executado e quais as
mquinas de origem e destino (no caso de proxy transparente) da conexo.
105 - Conexo TCP estabelecida por meio do proxy SOCKS Essa mensagem indica que o
proxy SOCKS recebeu uma solicitao de estabelecimento de uma conexo TCP e a mesmo
foi estabelecida, devido a existncia de uma regra no perfil de acesso correspondente
indicando que o proxy poderia faz-lo.
1137
As mensagens complementares indicam o nome do usurio que estabeleceu a conexo (se a

autenticao de usurios estiver habilitada), o endereo do cliente e o endereo para o qual
a conexo foi estabelecida.
106 - Conexo TCP finalizada por meio do proxy SOCKS Essa mensagem gerada todas as
vezes que uma conexo TCP finalizada por meio do proxy SOCKS.
As mensagens complementares indicam o nome do usurio que havia estabelecido a
conexo (se a autenticao de usurios estiver habilitada), o endereo do cliente e o
endereo para o qual a conexo foi estabelecida.
107 - Conexo TCP recusada pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS
recebeu uma solicitao de estabelecimento de uma conexo TCP e a mesmo foi recusada,
devido a existncia de uma regra no perfil de acesso correspondente indicando que o proxy
no deveria aceitar tal conexo.
As mensagens complementares indicam o nome do usurio que solicitou a conexo (se a
autenticao de usurios estiver habilitada), o endereo do cliente e o endereo de destino.
108 - Dados incorretos recebidos pelo proxy SOCKS Essa mensagem gerada quando o
proxy SOCKS recebe dados do cliente em desacordo com a especificao do protocolo
SOCKS. Exemplos de dados invlidos podem ser uma verso do protocolo diferente de 4 ou
5, um endereo destino em branco, entre outros.
1138
066 - Nome de perfil de acesso invlido Esta mensagem indica que o servidor de
autenticao ao procurar o perfil de acesso de um usurio constatou que o mesmo no se
encontra cadastrado no sistema.
103 - Pacote UDP aceito pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS
recebeu uma solicitao de envio de um pacote UDP e o mesmo foi enviado, devido a
existncia de uma regra no perfil de acesso correspondente indicando que o proxy poderia
faz-lo.
As mensagens complementares indicam o nome do usurio que enviou o pacote (se a
autenticao de usurios estiver habilitada), o endereo do cliente e o endereo destino.
104 - Pacote UDP recusado pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS
recebeu uma solicitao de envio de um pacote UDP e o mesmo foi recusado, devido a
existncia de uma regra no perfil de acesso correspondente indicando que o proxy no
deveria aceitar tal requisio.
As mensagens complementares indicam o nome do usurio que tentou enviar o pacote (se a
autenticao de usurios estiver habilitada), o endereo do cliente e o endereo destino.
102 - Pacote fora das regras do proxy SOCKS Essa mensagem indica que o proxy SOCKS
recebeu uma solicitao de abertura de conexo TCP ou de envio de pacote UDP e a mesma
no se encaixou em nenhuma regra de filtragem do perfil de acesso correspondente. Devido
a isso a solicitao foi recusada.
1139
As mensagens complementares indicam o nome do usurio que enviou a requisio (se a

autenticao de usurios estiver habilitada), o endereo do cliente, o endereo destino da
requisio e seu protocolo.
protocolo.
209 - Recebendo nmero do pipe do kernel Esta mensagem indica que um proxy no
conseguiu descobrir quais eram o pipe e o acumulador para uma conexo, visto que tiveram
problemas de comunicao com o Kernel.
Proxy SSL
275 - Conexo TCP aceita pelo proxy SSL Esta mensagem indica que o firewall recebeu
uma conexo de Proxy SSL e a aceitou.
316 - Conexo TCP em segundo endereo IP recusada pelo proxy SSL Esta mensagem
indica que um mesmo usurio tentou se conectar ao mesmo tempo na Proxy SSL a partir de
duas mquinas distintas e o firewall estava configurado para no permitir tal acesso.
276 - Conexo TCP recusada pelo proxy SSL Essa mensagem indica que o proxy SOCKS
recebeu uma solicitao de estabelecimento de uma conexo TCP e a mesmo foi recusada,
devido a existncia de uma regra no perfil de acesso correspondente indicando que o proxy
no deveria aceitar tal conexo.
As mensagens complementares indicam o nome do usurio que solicitou a conexo (se a
autenticao de usurios estiver habilitada), o endereo do cliente e o endereo de destino.
274 - Conexo fora das regras de perfil do proxy SSL Esta mensagem indica que um
usurio tentou acessar o proxy SSL mas no havia nenhuma regra autorizando seu acesso.
1140
149 -Erro ao carregar pseudo-grupos Esta mensagem indica que o firewall no conseguiu
carregar a lista de pseudo-grupos das autoridades certificadoras.
273 - Erro de rede Esta uma mensagem genrica para erros de rede. Favor verificar os
complementos para maiores informaes sobre sua causa.
066 - Nome de perfil de acesso invlido Esta mensagem indica que o servidor de
autenticao ao procurar o perfil de acesso de um usurio constatou que o mesmo no se
encontra cadastrado no sistema.
1141
Proxy TELNET
informaes de como fazer isso, contate o suporte tcnico
1142
129 - Sesso telnet estabelecida Esta mensagem indica que um usurio se autenticou
corretamente no proxy telnet e tinha permisso para efetuar a conexo desejada. Devido a
isso, a conexo foi estabelecida. As mensagens complementares indicam o nome do usurio
e as mquinas de origem e destino da conexo.
130 - Sesso telnet finalizada Esta mensagem indica que um usurio se desconectou de
uma sesso telnet. As mensagens complementares indicam o nome do usurio e as
mquinas de origem e destino da conexo.
128 - Usurio sem permisso para telnet Esta mensagem indica que um usurio se
autenticou corretamente no proxy telnet porm no tinha permisso de efetuar a conexo
desejada. As mensagens complementares indicam o nome do usurio e as mquinas de
origem e destino da conexo.
Retreinamento para Spam Meter
321 - Erro ao conectar no servidor Spam Meter Erro ao se comunicar com o processo
responsvel por treinar mensagens SMTP. Verifique suas configuraes de Spam Meter e
tente novamente.
1143
320 - Finalizao de treinamento de mensagem Treinamento de mensagem SMTP
finalizada com sucesso. O complemento da mensagem mostra o tipo classificado e a nota
obtida.
Secure Roaming
256 - Aviso importante do Secure Roaming Esta uma mensagem com prioridade aviso
gerada pelo Secure Roaming. Verifique os complementos para maiores informaes.
255 - Informao do Secure Roaming Esta uma mensagem com prioridade informao
254 - Mensagem de debug do Secure Roaming Esta uma mensagem com prioridade
depurao gerada pelo Secure Roaming. Verifique os complementos para maiores
informaes.
257 - O Secure Roaming encontrou um erro Esta uma mensagem com prioridade erro
258 - O Secure Roaming encontrou um erro fatal Esta uma mensagem com prioridade
erro fatal gerada pelo Secure Roaming. Verifique os complementos para maiores
informaes.
Servidor de Acesso
148 - Conflito de verso de cliente de autenticao Durante a autenticao, foi

encontrada uma verso de um cliente de autenticao que no permite que outros usurios
sejam autenticados.
1144
149 - Erro ao carregar pseudo-grupos Esta mensagem indica que o firewall no conseguiu
1145

364 - Excesso de tentativas de logon incorreto Evento gerado quando um usurio por
meio do Aker Client ou Cliente Java erra o usurio ou a senha 5 vezes. Seu Ip bloqueado
por 49 minutos.
143 - Falha de autenticao para perfil de acesso Esta mensagem indica que um usurio
informou uma senha invlida ao tentar se logar no firewall utilizando o Cliente de
Autenticao Aker. As mensagens complementares indicam o nome do usurio e a mquina
de origem da requisio
147 - Requisio de perfil de acesso invlida Esta mensagem, que pode ter vrias causas,
indica que o servidor de login de usurios recebeu uma requisio invlida de um Cliente de
Autenticao Aker.
As mensagens complementares indicam qual a causa do problema e o endereo da mquina
de origem da requisio.
145 - Sesso de perfil de acesso estabelecida Esta mensagem indica que um usurio se
logou corretamente no firewall utilizando o Cliente de Autenticao Aker. As mensagens
complementares indicam o nome do usurio que estabeleceu a sesso e a mquina a partir
da qual a sesso foi estabelecida
146 - Sesso de perfil de acesso finalizada Esta mensagem indica que um usurio finalizou
uma sesso no firewall estabelecida por meio do Cliente de Autenticao Aker. As
mensagens complementares indicam o nome do usurio que finalizou a sesso e a mquina
a partir da qual a sesso foi finalizada.
144 - Usurio no cadastrado para perfil de acesso Esta mensagem indica que um usurio
no cadastrado tentou se logar no firewall utilizando o Cliente de Autenticao Aker. A
mensagem complementar indica a mquina de origem da requisio.
Servidor de autenticao
149 - Erro ao carregar pseudo-grupos Esta mensagem indica que o firewall no conseguiu
1146

Erro ao conectar com agente de autenticao
111 - Erro de comunicao com agente de autenticao Esta mensagem indica que o
servidor de autenticao conseguiu se conectar ao agente de autenticao, porm no
conseguiu estabelecer uma comunicao. A mensagem complementar indica o nome do
agente de autenticao que provocou o problema.
Soluo: Verifique se a senha de acesso na definio do autenticador est igual senha
colocada na configurao do agente de autenticao. Para maiores informaes, veja o
captulo intitulado Cadastrando Entidades.
1147
SpamMeter integrado
308 - Aviso importante do Spam Meter Esta uma mensagem com prioridade de aviso
gerada pelo Spam Meter. Verifique os complementos para maiores informaes.
307 - Informao do Spam Meter Esta uma mensagem com prioridade de informao
309 - Mensagem de alerta do Spam Meter Esta uma mensagem com prioridade de
alerta gerada pelo Spam Meter. Verifique os complementos para maiores informaes.
311 - Mensagem de debug do Spam Meter Esta uma mensagem com prioridade de
depurao gerada pelo Aker Web Content Analyzer. Verifique os complementos para
maiores informaes.
310 - O Spam Meter encontrou um erro Esta uma mensagem com prioridade de erro
45.3.
Formato de exportao de logs e eventos
O formato dos dados exportados segue esta sequncia:
<TAG> <MSG1> <MSG2> <DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA
MENSAGEM, MSG1, MSG2>
Exemplo de um evento gerado pelo Filtro Web:
URL_ACEITA Usurio/Autenticado, Perfil ip Origem, host

19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD ,Suporte
Tcnico,10.2.0.243,http://189.22.237.40/
45.4.
Eventos gerados pelo Filtro Web
1148
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MDULO, TEXTO DA
MENSAGEM, MSG1, MSG2
ERRO_AUTH_PROXY Usurio/Autenticado ip Origem
16/01/2010,15:28:51,Info,340,
Proxy HTTP, Falha de autenticao para proxy ,rodrigo.aranha/AD,source: 10.4.0.186
NO_CADASTRADO_PROXY NULL ORIGEM

16/01/2010,15:28:51,Info,340, Proxy
HTTP, Usurio no cadastrado para proxy, source: 10.4.0.186
HTTP_VIRUS_CLEANED
NOME DO VIRUS
URL do vrus
20/01/2010,10:43:17,Warning,246,Proxy HTTP, Arquivo com vrus
desinfectado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_BLOCKED
NOME DO VIRUS
URL do vrus
20/01/2010,10:43:17,Warning,247,Proxy HTTP,Arquivo com vrus
bloqueado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_NS_CORRUPT NULL URL do Virus 20/01/2010,10:43:17,Warning,248,Proxy

HTTP, Arquivo no pode ser analisado pois estava corrompido,
http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_NS_CRYPT
NULL URL do Virus 20/01/2010,10:43:17,Warning,249,Proxy
HTTP, Arquivo no pode ser analisado pois estava cifrado,
http://www.eicar.org/download/eicarcom2.zip
HTTP_DOWNLOAD_ACCOUNTING Usurio/Autenticado - Perfil Origem IP - Destino IP e

URL 19/01/2010,08:41:05,Info,341, Proxy HTTP,Contabilidade de trfego HTTP
(downloads), recepo/AD - 0.102 s,Up 175 B - Dw 285 B URL: http://www.google.com/
HTTP_WWW_ACCOUNTING Usurio/Autenticado - Perfil Origem IP - Destino IP e URL

16/01/2010,15:28:51,Info,340, Proxy HTTP, Contabilidade de trafego HTTP (WWW),
rodrigo.aranha/AD - 0.933 s,Up 424 B - Dw 562 B URL: http://www.google.com/
1149
QUOTA_EXPIRED_BYTES
Usurio/Autenticado - Perfil Origem IP - Destino IP e URL
19/01/2010,13:45:31, Notice,326,Proxy HTTP,Quota de bytes expirado,lidia.silva/AD
- Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
QUOTA_EXPIRED_TIME
Usurio/Autenticado - Perfil Origem IP - Destino IP e URL
19/01/2010,13:45:31,Notice,326, Proxy HTTP,Quota de tempo expirada,lidia.silva/AD
- Adminsitrativo, Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
QUOTA_INSUFFICIENT_BYTES
Usurio/Autenticado - Perfil Origem IP - Destino IP e
URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes insuficiente para a
operao,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 URL:
http://www.google.com
URL_ACEITA Usurio/Autenticado, Perfil ip Origem,host

19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD ,Suporte
Tcnico,10.2.0.243,http://189.22.237.40/
URL_REJEITADA
Usurio/Autenticado, Perfil ip Origem,host
19/01/2010,13:43:34,Notice,097 Proxy HTTP,URL rejeitada,lidia.silva/AD
,Adminsitrativo,10.0.0.229,http://www.google.com
URL_BANNER Usurio/Autenticao - Perfil Origem: IP Destino: IP URL: URL

19/01/2010,08:49:19,Notice,098, Proxy HTTP,Banner
removido,apoio.administrativo/AD - Adminsitrativo,Origem: 10.0.0.234 Destino:
64.233.163.149 URL:
http://ad.doubleclick.net/adi/gna.br/homepage;tile=4;sz=234x100;ord=196681?area
ERRO_CON_ANALISADOR IP do analizador
NULL 27/01/2010,19:38:24,Error,119,
Proxy HTTP,Erro ao conectar com Web Content Analyzer,127.0.0.1,
QUOTA_COMM_ERR quota read: retorno e erro NULL

19/01/2010,18:42:01,Warning,324,Proxy HTTP,Erro de comunicao com o servico
de quotas,quota read: -3 25,
1150
NO_LEU_ACL
NULL
carregar perfis de acesso,
19/01/2010,18:42:01,Error,64,Proxy HTTP,Erro ao
NO_LEU_CATLIST Retorno da funo e errno NULL

19/01/2010,18:16:01,Error,323,Erro carregando lista de categorias, -2 34
QUOTA_INIT_ERR
socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN
Messenger,Erro conectando ao servico de quotas, 7 13,
ERRO_SERV_AUTH connect (errno)

NULL 20/01/2010,11:28:56,Error,109,Proxy
MSN Messenger,Erro ao comunicar com servidor de autenticao, connect (10),
v_auth NULL 20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao
comunicar com servidor de autenticao,v_auth,
45.5.
Eventos gerados pelo Proxy MSN
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM,
MSG1, MSG2
IP Profisso Passaportes Usurio->com quem [Tempo de conversa] \nNome do

Usurio\Autenticao
27/01/2010,19:03:34,Info,279, Proxy MSN Messenger,
Conversao do MSN Messenger finalizada,IP: 192.168.222.254 - Prof: Suporte
Tcnico,Passports: diogo.falcomer@gmail.com -> pablo_viana@hotmail.com [00:01:15]
Username: diogo.falcomer/AD
IP Profisso Passaporte [Tempo de conversa] \nNome do Usurio\Autenticao

27/01/2010,19:23:24,Info,290, Proxy MSN Messenger, Usurio saiu do MSN
Messenger, IP: 10.3.0.6 - Prof: Suporte Tcnico, Passport: edilson.moura@aker.com.br
[00:07:53] Username: edilson.moura/AD
Cannot connect
Server : IP
27/01/2010,19:23:30,Warning,350,Proxy
Messenger, Erro no antivrus, Cant Connect, Server:xxx.xxx.xxx.xxx
MSN
1151
av_auth
Unable to auth
27/01/2010,19:23:30,Warning,350,Proxy
Messenger,Erro no antivrus,av_auth,Unable to auth
MSN
av_greeting_hCan't receive server greeting header 27/01/2010,19:23:30,Warning,350,Proxy

MSN Messenger,Erro no antivrus,av_greeting_h,Can't receive server greeting headert
av_greeting_bCan't receive server greeting body 27/01/2010,19:23:30,Warning,350,Proxy
MSN Messenger,Erro no antivrus,av_greeting_b,Can't receive server greeting body
av_send_file Can't send file to AV 27/01/2010,19:23:30,Warning,350,Proxy
Messenger,Erro no antivrus,av_send_file,Can't send file to AV
MSN
av_get_answer
Can't get answer from AV 27/01/2010,19:23:30,Warning,350,Proxy
MSN Messenger,Erro no antivrus,av_get_answer, Can't get answer from AV
av_get_answer
Error on answer received
27/01/2010,19:23:30,Warning,350,Proxy
MSN Messenger,Erro no antivrus, Error on answer received
IP: - TimeOut: Passaporte:
\nNome
do
Usurio\Autenticao
27/01/2010,18:18:30,Notice,286, Proxy MSN Messenger, Conexo encerrada por
timeout,IP: 10.2.0.217 - Timeout: 600 s,Passport: edilson.moura@aker.com.br Username:
edilson.moura/AD
sendto Error: inteiro Errno: inteiro 20/01/2010,12:38:49,Warning,109,

Proxy
MSN
Messenger,Erro ao comunicar com servidor de autenticao,sendto,error: -3 errno: 11
find Prof: nome da profisso
20/01/2010,12:38:49,Warning,109,
Proxy
Messenger,Erro ao comunicar com servidor de autenticao,find,Suporte Tcnico
MSN
IP Profisso Passaporte:
\nNome
do
Usurio\Autenticao
20/01/2010,12:36:44,Info,289,Proxy MSN Messenger, Usurio entrou no MSN
Messenger, IP: 10.0.0.232 - Prof: Adminsitrativo, Passport: diego.fernandes@aker.com.br
Username: recepo/AD
From Cliente ou Servidor , Ret: erro Mensagem 15/01/2010,17:39:57,Error,287,Proxy

MSN Messenger,Erro analisando a mensagem,from server, ret = -43,MSG
madanovavida2009@hotmail.com
[i]
[b]
Mada..."HOJE%20tudo%20SER<83><81>%20para%20SEMPRE... */b] [/i] 248^M
1152
File infected FILENAME

20/01/2010,12:36:44,Warning,348,Proxy
Messenger,Arquivo infectado foi bloqueado, File Infected,trojan.exe
MSN
File clean
FILENAME
20/01/2010,16:16:58,Info,349,Proxy MSN Messenger,Arquivo
no tem virus,File clean,chines.TXT
session id:
SESSION ID 25/01/2010,19:34:35,Warning,345,Proxy MSN Messenger,
Pacote de transferncia de arquivo no consta na lista de transferncias ativas, session
id:,2628610983
nome da funo
Empty File! Sess_d: ID
20/01/2010,16:16:59,Error,346,Proxy
MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Empty file!
Sess_id: 26192345
nome da funo
Out
of
order
packet!
Current:
pkg,
Expected:
pkg
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Out of order packet! Current:current_pkg Expected:
Expected_
nome da funo
"Error
on
fork!
Numero
da
Linha
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Error on fork! Line: 2736
unable to write on disk!

errno: INTEIRO
20/01/2010,16:16:59,Error,347,Proxy
MSN Messenger,Proxy messenger no pode salvar o arquivo em disco,unable to write on
disk, errno: 34
Nome do arquivo (tamanho) Prof: profisso.

Passaportes
Usurio->com
quem
\nNome do Usurio\Autenticao 20/01/2010,11:43:39,Info,282,Proxy MSN Messenger,
Convite
para
transferncia
de
arquivo
via
MSN
Messenger
permitido,'messages_20jan10.RAR' (87976 bytes) - Prof: Suporte T,Passports:
victor.aker@hotmail.com -> thiago.divino@gmail.com Username: victor.rossi/AD
Nome do arquivo (tamanho) Prof: profisso.

Passaportes
Usurio->com
\nNome do Usurio\Autenticao 20/01/2010,15:45:42,Notice,283,Proxy
quem
MSN
1153
Messenger, Transferncia de arquivo via MSN Messenger bloqueada,'VPNs.DOC' (569856

bytes)
Prof:
Suporte
Tcnico,Passports:
edilson.moura@aker.com.br
->
lucas.pereira@aker.com.br Username: edilson.moura/AD
id de um servio do msn Prof: Profisso Passaportes Usurio->com quem \nNome do

Usurio\Autenticao
20/01/2010,15:45:42,Info,283,Convite para uso de aplicativo
via MSN Messenger permitido, transferncia de arquivo - Prof: Suporte Tcnico,Passports:
edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username: edilson.moura/AD
id de um servio do msn Prof: Profisso Passaportes Usurio->com quem \nNome do

Usurio\Autenticao
20/01/2010,15:45:42,Notice,284,Uso de aplicativo via MSN
Messenger
no
permitido,
jogo
Prof:
Suporte
Tcnico,Passports:
edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username: edilson.moura/ADse
IP Profisso Passaportes Usurio->com quem \nNome do Usurio\Autenticao

20/01/2010,11:28:56,Notice,278,Proxy MSN Messenger, Conversao do MSN
Messenger
bloqueada,IP:
10.0.0.234
Prof:
Adminsitrativo,Passports:
josimar_hip@yahoo.com -> recepcao@aker.com.br Username: apoio.administrativo/AD
IP Profisso Passaportes Usurio->com quem \nNome do Usurio\Autenticao

20/01/2010,11:27:44,Info,277,Proxy MSN Messenger, Conversao do MSN
Messenger
iniciada,
IP:
10.2.0.204
Prof:
Suporte
Tcnico,Passports:
victor.aker@hotmail.com -> vlandemir@msn.com Username: victor.rossi/AD
IP Profisso Passaporte
do
Usurio
\nNome
do
Usurio\Autenticao
20/01/2010,11:27:44,Notice,291,Proxy MSN Messenger, Usurio sem permisso
tentou entrar no MSN Messenger,10.4.0.19 Prof: Estagirio, bruno.lobo@aker.com.br
bruno.lobo/AD
IP Profisso Passaporte
do
Usurio
\nNome
do
Usurio\Autenticao
20/01/2010,11:27:44,Notice,281,Proxy MSN Messenger, Notificao do Hotmail
bloqueada,10.4.0.19 Prof: Estagirio, bruno.lobo@aker.com.br bruno.lobo/AD
1154
NULL IP do servidor : porta do servidor 19/01/2010,18:42:01,Warning,288,Proxy

Messenger, Servidor MSN Messenger no responde,65.54.52.254:1863
MSN
clfwquota_test_and_consume(): retorno e erro NULL

19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro de comunicao com
o servico de quotas,clfwquota_test_and_consume(): -3 25,
clfwquota_read():
NULL 19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro
de comunicao com o servico de quotas,clfwquota_read(): -3 25,
NULL NULL 20/01/2010,11:28:56,Notice,314,Proxy MSN Messenger,Quota de bytes

expirada,
NULL NULL 20/01/2010,11:28:56,Notice,316,Proxy MSN Messenger,Quota de tempo

expirada,
socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy

conectando ao servico de quotas, 7 13,
45.6.
MSN
Messenger,Erro
Eventos gerados pelo Proxy POP3
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA
MENSAGEM, MSG1, MSG2
POP3_SRV_RCV
Source (IP) -> Destino(IP:Porta)
CMD:
recv
27/01/2010,19:23:30,Warning,226,Proxy POP3,Erro recebendo dados do servidor
POP3,10.4.0.19 -> 10.4.0.186:1080,CMD: recv
CMD: fcntl
POP3_LINE_TOO_LONG
de POP3
Sourec (IP) -> Destino(IP:Porta)
Texto digitado pelo cliente
1155
POP3_CLI_RCV
CMD: fcntl
CMD: recv
POP3_CLI_SND
NULL
POP3_SRV_SND
POP3
Texto digitado pelo cliente de
POP3_SRV_INVALID_ANSWER
cliente de POP3
POP3_SRV_CONNECT Sourec (IP) -> Destino(IP:Porta)
POP3_SRV_NOT_AVAIL
de POP3
Texto digitado pelo
NULL
Texto digitado pelo cliente
POP3_INVALID_CMD Sourec (IP) -> Destino(IP:Porta)

POP3
Texto digitado pelo cliente de
POP3_OPEN_FILE
(erro) nome do arquivo
POP3_WRITE_FILE
nome do arquivo
POP3_OUT_OF_SPACE
POP3_MIME_ERROR Sourec (IP) -> Destino(IP:Porta)
nome do arquivo
errno
1156
POP3_STLS_MODE
45.7.
NULL
Eventos gerados pelo Proxy SMTP
MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM, MSG1,
MSG2
Source:
IP
Destination:IP
\nFrom:
EMAIL
To:
EMAIL
27/01/2010,19:23:30,Warning,226,Proxy SMTP,Mensagem SMTP aceita,Mensagem
enviada,Source
10.4.0.19
Destination:
10.4.0.18\nFrom
bruno.l
bruno.lobo2@aker.com.brobo@aker.com.br - To:
Source: IP Destination:IP \nFrom: EMAIL To: EMAIL

Source: IP Destination:IP
Source: IP Destination:IP \nFrom: EMAIL To: EMAIL
Source: IP Destination:IP
Source: IP - Destination:IP
1157
Regra: Nome da regra
Regra: Nome da regra
,3Source: IP Destination:IP \nFrom: EMAIL To: EMAIL
Source: IP Destination:IP- Size: Tamanho\nFrom: EMAIL To: EMAIL
Source: IP Destination:IP- Size: Tamanho\nFrom: EMAIL To: EMAIL
45.8.
Eventos gerados pelo Mdulo de IDS/IPS e filtro de aplicativos
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM,
MSG1, MSG2
1158
op = INT, errno = INT NULL 27/01/2010,19:23:30,Warning,Analise

profunda
interno,Erro ao enviar dados para o kernel do Firewall, op = 1, errno = 34,
IDS rule
NULL
Commit
st: INT num: INT errno: INT
origem: IP ORIGEM, temp: EM HORA
Modulo de IDS/IPS\nRaso(STRING)
origem: IP ORIGEM, temp: EM HORA

aplicativos\nRaso(STRING)
Modulo
de
filtragem
IDS
de
Pipe Name(STRING), PESO(STRING) (IP:PORTA) -> (IP:PORTA)
(IP:PORTA) -> (IP:PORTA)
NULL
Retorno da funo(INT), ERRNO(INT)
NULL
NULL (INT) Pacotes perdidos em (INT) segundos
NULL (INT)TAMANHO DO PACOTE < (INT) TAMANHO DO PACOTE IP
NULL NULL
Err: Retorno(INT) Errno(INT) NULL
Aonde ocorreu o erro(STRING)
Motivo (STRING)
Aonde ocorreu o erro(STRING)
Motivo (STRING)
1159
Filters applied successfully NULL

"avisando"
NULL
not start slave
NULL
Download started (master)
NULL
"Filters applied successfully (slave)" NULL
Nome do arquivo (STRING) updates"
updates"
sk: (INT), st: (INT), err: (INT), errno: (INT)"
errno: (INT) NULL
"expiration" sk: (INT), st: (INT), err: (INT), errno: (INT)"
Err: Retorno(INT) Errno(INT)
Regras do perfil: Nome(STRING)
Err: Retorno(INT)
NULL Motivo (STRING)
Err: Retorno(INT) Errno(INT)
45.9.
Eventos gerados pelo Aker Antivrus Module
Tipo de mensagem Complemento 1
Complemento 2
1160
Information
License expiration date updated successfully
NULL
02/04/2010,17:24:03,Informao do Antivrus, License expiration date updated
successfully,
Engine successfully loaded Engine(Kaspersky)
02/04/2010,17:24:03,Informao do Antivrus, Engine successfully loaded.
Update installed successfully Nome do arquivo
02/04/2010,17:24:03,Informao
do
Antivrus,
successfully,update.tar
License applied successfully NULL
Antivrus, License applied successfully,
Configuration applied NULL
Antivrus,Configuration,applied
Update
installed
02/04/2010,17:24:03,Informao
02/04/2010,17:24:03,Informao
do
do
Patch/hotfix applied successfully

Hora de aplicao
02/04/2010,17:24:03,Informao do Antivrus,Patch/hotfix applied successfully,Wed
Feb 3 14:24:04 2010
Patch/hotfix rollback applied successfully Hora de aplicao
02/04/2010,17:24:03,Informao do Antivrus,Patch/hotfix
successfully,Wed Feb 3 14:24:04 2010
rollback
applied
User authenticated PID do processo que esta logando

02/04/2010,17:24:03,Informao do Antivrus,User authenticated,1964
Signatures database backup loaded NULL
do Antivrus, Signatures database backup loaded,
02/04/2010,17:24:03,Informao
Manual update started

Hora de aplicao
02/04/2010,17:24:03,Informao do Antivrus, Manual update started,Wed Feb 3
14:24:04 2010
Signatures database already updated
02/04/2010,17:24:03,Informao do
updated,Wed Feb 3 14:24:04 2010
Hora de aplicao
Antivrus, Signatures
database
already
Automatic update started Hora de aplicao

02/04/2010,17:24:03,Informao do Antivrus, Automatic update started,Wed Feb 3
14:24:04 2010
1161
Update file downloaded successfully

02/04/2010,17:24:03,Informao do
successfully,Download.tar.bz2
Download file Name(STRING)

Antivrus, Update file downloaded
Notice
License not found
NULL
Antivrus, License not found,
02/03/2010,15:34:19,Aviso
importante
do
File is corrupted
PID do processo que esta logando
02/03/2010,15:34:19,Aviso importante do Antivrus,File is corrupted,123456
File is encrypted
02/03/2010,15:34:19,Aviso importante do Antivrus,File is encrypted,123456
Virus found Nome do vrus(STRING) PID do processo que esta logando
02/03/2010,15:34:19,Aviso importante do Antivrus, Virus found,virus.txt 123465
Configuration file not found, default loaded NULL
02/03/2010,15:34:19,Aviso importante do Antivrus, Configuration file not found,
default loaded,
Update already in progress NULL
do Antivrus, Update already in progress,
Update canceled
NULL
Antivrus, Update canceled,
02/03/2010,15:34:19,Aviso
02/03/2010,15:34:19,Aviso
importante
importante
do
Error
Scan error
Antivrus encontrou um erro,Scan error,123465
02/03/2010,15:34:19,O
Error changing license expiration date

NULL
02/03/2010,15:34:19,O
Antivrus encontrou um erro,Error changing license expiration date,
No engine loaded
erro,No engine loaded,
NULL
02/03/2010,15:34:19,O Antivrus encontrou um
Error applying license NULL

erro,Error applying license,
02/03/2010,15:34:19,O Antivrus encontrou um
1162
Connection lost with daemon

Engined
02/03/2010,15:34:19,O
Antivrus encontrou um erro,Connection lost with daemon,Engined
Connection lost with daemon
Service
02/03/2010,15:34:19,O
Antivrus encontrou um erro,Connection lost with daemon, Service
Warning
Error loading engine Engine(Kaspersky)
de alerta do Antivrus, Error loading engine, Kaspersky
Error installing update
Nome do arquivo
02/02/2010,09:24:04,Mensagem de alerta
update,update.db
Error applying configuration NULL
alerta do Antivrus, Error applying configuration,
02/02/2010,09:24:04,Mensagem
do
Antivrus,Error
installing
02/02/2010,09:24:04,Mensagem
de
Error applying patch/hotfix Hora de aplicao

02/02/2010,09:24:04,Mensagem de alerta do Antivrus, Error applying patch/hotfix,
Wed Feb 3 14:24:04 2010
Error trying patch/hotfix rollback Hora de aplicao
02/02/2010,09:24:04,Mensagem de alerta do Antivrus, Error trying patch/hotfix
rollback, Wed Feb 3 14:24:04 2010
Error getting system information NULL
02/02/2010,09:24:04,Mensagem
de alerta do Antivrus, Error getting system information,
Error getting patch/hotfix history NULL
02/02/2010,09:24:04,Mensagem
de alerta do Antivrus, Error getting patch/hotfix history,
Error authenticating user
02/02/2010,09:24:04,Mensagem de alerta do Antivrus,Error
user,123456
Signatures database corrupted
NULL
de alerta do Antivrus, Signatures database corrupted,
authenticating
02/02/2010,09:24:04,Mensagem
Error loading signatures database backup NULL

02/02/2010,09:24:04,Mensagem de alerta do Antivrus,Error loading signatures
database backup,
Error communicating with client
IP
02/02/2010,09:24:04,Mensagem
de alerta do Antivrus,Error communicating with client,10.4.0.19
1163
Error loading signatures database backup NULL

02/02/2010,09:24:04,Mensagem de alerta do Antivrus,Error loading signatures
database backup,
Update not allowed: Invalid license NULL
02/02/2010,09:24:04,Mensagem
de alerta do Antivrus, Update not allowed: Invalid license,
Update error: error writing to disk NULL
02/02/2010,09:24:04,Mensagem
de alerta do Antivrus, Update error: error writing to disk,
Update error: memory allocation error
NULL
02/02/2010,09:24:04,Mensagem de alerta do Antivrus, Update error: memory
allocation error,
Update file download failed Host does download
02/02/2010,09:24:04,Mensagem de alerta do Antivrus, Update file
Update
error: no file downloaded NULL
02/02/2010,09:24:04,Mensagem de alerta do
Antivrus, Update error: no file downloaded,
Update error: corrupted file Download file Name(STRING)
02/02/2010,09:24:04,Mensagem de alerta do Antivrus, Update error: corrupted
file,FileCorrupt.tar
45.10.
Eventos gerados pelo Aker Web Content Analizer
Mensagem
ComplementoDate, Time, Tipo do evento, Message, Complement
nome da categoria URLs database replacement failed 02/05/2010,20:03:49,Informao

do
Web
Content
Analyzer,
Informtica
URL
Category
found,
http://www1.aker.com.br/sites/icones/sis-pixel1.gif
upload: errno Error when mapping the compressed file containing the urls to be sent
upload: errno Error when mapping the undefined urls files
upload: errno Error when opening the undefined urls files
upload: errno Error when opening the compressed file containing the urls to be sent
NULL Error when opening the undefined urls files
1164
NULL Error when saving the file containing the urls to be uploaded
NULL Error when compressing file to upload
NULL There is no urls to be sent
Urls: NUMERO DE URLS
Upload : errno
URLs successfully uploaded to Aker
Socket creation error
NULL Server returned error message after uploading

Communication error: Error when sending message to daemon
(INT) Socket creation error
erro(INT)
Error when reopening the undefined urls files
CF: erro
Upload: (URL do servidor de download)

URL do servidor de Proxy
IP
NULL
NULL
NULL

URL do servidor de download
FileName
Invalid URL
Invalid URL
File not available for download
AKER header: Size
no 'Content-length' nor 'chunked' nor 'close'

cat_list.xml - no 'Last-Modified'
Header do arquivo(STRING) File not available for download

FileName
Error while opening update file
makeindex
recv==0 header
FileName
Error while downloading URLs update file
1165
AKER header chuncked: ChunckedData
comp_regs_len chuncked ChunckedData
uncompress buffer
Md5 buffer
regs num: numero de regras Error while downloading URLs update file
No modified file of categories signature found!
NULL
Error code retuned from web server is not 200(OK)!

Nome do arquivo
Error while writing URLs update file"
Erro de comunicao com processo pai

decompress_file: erro
Data send error
URLs database replacement failed

mmap: erro
NULL
decompress_buffer: NULL URLs database replacement failed

DATA CORRENTE
Updating daily URLs databasepdating daily URLs database
CreateFile: erro

FileName
NULL
Invalid URL update file
Replication of undefined URL failed erro = errno NULL

/usr/local/akerurl/db/base.udx
URLs database corrupt
"cluster_read_st = AKERURL_REPL_URL_BASE"
Erro ao replicar URL indefinida
NULL
NULL
cluster_read_st = AKERURL_REPL_UNDEFS_URLS NULL

URLs file replication failed
URLs file replication failed (time index snd=erro)
NULL
URLs file replication failed (commit_st index = erro)
NULL
URLs file replication failed (send_file index = erro) NULL

1166
NULL URLs database replacement failed

Fazendo o merge ou replace da base
nome do arquivo
NULL
Error while creating URLs update file
Error while writing URLs update file
NULL URls database replacement successfull

x URLs Inseridas, x URLs, removidas, x URLs modificadas URls
successfull
FileName
database
replacement
Error while reading URLs update file
Erro de parser no arquivo xml de configurao
/usr/local/akerurl/aker_users.cfg
nome do arquivo
file = Nome do arquivo - lang = Idioma
empacota_user_cat_list fail NULL

xmlNewDoc fail
NULL
Categories list was successfully updated!
NULL
Erro ao replicar o time index da base
NULL
NULL
(URL do servidor de Proxy) connect: errno NULL

(URL do servidor de Proxy) send: errno
NULL
NULL
(URL do servidor de Proxy) connect: errno NULL

(URL do servidor de Proxy) send: errno
NULL
1167
Upload
NULL
NULL NULL
Header len:
Ip
NULL
NULL
Upload
Data receive error
Header len:
Data receive error
select: erro
Data receive error
pkt: errno
Data receive error
Ip
Firewall closed the connection
NULL Error while opening categories list

envia_pacote: errno Data send error
sendto client: erro
Data send error
NULL NULL
FileMapping: erro(INT)
NULL
MappingView: erro(INT)
NULL
decompress_buffer: NULL
NULL
Ip
NULL
NULL URL
NULL Activation key not found

1168
NULL Activation key expired. It will be no longer possible to update database.

NULL Update license expired. It will be no longer possible to update database.
lic_resp.erro = errno NULL
Activation key will expire in few days
X remaining days
Update key will expire in few days X remaining days

Ip
NULL
NULL NULL
45.11.
Eventos gerados pelo Aker Spam Meter
Mensagem Texto da Mensagem Complemento DATA, HORA, TIPO, COMPLEMENTO,

TEXTO DA MENSAGEM
LOG_BAYES_RECALC_START Iniciando recalculo de base NOME

DA
BASE
02/06/2010,02:12:12 AM, Informao do Spam Mete, Base do sistema, Iniciando
reclculo da base (Inactive Node)
LOG_BAYES_AUTH_ERR
Erro de autenticao
Header
Data
LOG_BAYES_SEND_ERR
Erro ao enviar dados NULL
LOG_BAYES_RECV_ERR
Erro ao receber dados
LOG_BAYES_NEW_CONNECTION
NULL
Nova cornea recebida
NULL
1169
LOG_BAYES_TIMEOUT
Timeout na conexo NULL
LOG_BAYES_INVALID_DATA Dados invlidos recebidos

Packet Size
Invalid Greeting Operation OP
Greeting Size
Context Number
New classification data length
New classification base name
Message end length
New training data length
New training base name
ID training data length
ID training base name
Database recalculation data length
Database recalculation base name
Database deletion base name
LOG_BAYES_CONNECTION_OK
Conexo autenticada OK
Connection at port PORTA

Connection protocl PROTOCOLO
LOG_BAYES_MEM_ERR
Erro de alocao de memoria
New context
NULL
Message list
1170
Adding recalculation - Base NOME_DA_BASE
LOG_BAYES_ENGINE_ERR
Erro retornado pelo engine
Erasing system database ERRO

Changing database cache timeout ERRO
Erasing database DATABASE NAME ERRO
New context - ERRO
Classification new training into the system database is not allowed
Classification new - ERRO: NOME DA BASE"
Op: OPERAO ERRO
Classification end ERRO
Training new ERRO
Training end ERRO
ID training ERRO
Base delete ERRO
Getting system update time ERRO
Database merging ERRO
Getting system update time ERRO
LOG_BAYES_CONN_REFUSED
ESTADO
Conexus recusada ao cliente Op OPERATION - State
LOG_BAYES_INVALID_STATE Estado invalido
Op OPERATION - State ESTADO
1171
LOG_BAYES_INVALID_OP
Operao invalida
LOG_BAYES_CREATE_FILE_ERR
Operation code OP_CODE unrecognized
HAM and SPAM info file - Error ERRNO
HAM index file Error ERRNO

SPAM index file - Error ERRNO
Users trainings file Error ERRNO
Temporary download file - Error ERRNO
LOG_BAYES_DOWNLOAD_ERR
data to base64
Erro ao baixar nova base
Error
converting
proxy
Erro ao autenticar no proxy Error
converting
proxy
Error receiving header

Bad header error
Write file error
Invalid data size error
Uncompress error ERRNO
Bad hash error
ERRNO
Server replied HTTP status code ERRNO
LOG_BAYES_PROXY_AUTH_ERR
data to base64
NOME DO PROXY
LOG_BAYES_DOWNLOAD_START
Iniciando download da base Base of DATA
Complete base
1172
LOG_BAYES_DOWNLOAD_SUCCESSFULL
LOG_BAYES_RECALC_OK
Download completado OK NULL
Recalculo completo OK
NOME DA BASE
Base: NOME DA BASE - %ERRNO
LOG_BAYES_RECALC_ERR
Erro ao recalcular base
LOG_BAYES_UPLOAD_START iniciando upload da base
Base: NOME DA BASE - %ERRNO
NULL
LOG_BAYES_UPLOAD_SUCCESSFULL upload completado OK
LOG_BAYES_UPLOAD_ERR
NULL
Erro ao enviar base Error resolving host END_PROXY
Error creating connection socket

Error ERRNO when opening update file FILENAME
Erro converting string containing an Ipv4 into a proper address
Error converting proxy data to base64
Error %1 while connecting to proxy
Error while sending HTTP request to proxy
Error while sending HTTP request to server
Error when reading header from file FILENAME
Error while sending header to proxy
Error while sending header to server
Disk error when reading training file FILENAME
1173
Compress error ERRNO

Error sending compressed registers to proxy
Error sending compressed registers to server
Error sending trailer to proxy
Error sending trailer to server
Error receiving response header
Transference was cancelled
Proxy authentication required
Server replied an error message
Error opening Index Database
Error opening Index Database
Users trainings file - Error ERRNO
Empty Index Database
Corrupted Index Database
LOG_BAYES_LICENSE_EXPIRED
Licena expirou
License expired DATA
LOG_BAYES_ACCUMULATE_ERR
erro ao acumular base
LOG_BAYES_PATCH_ERR
Error validating the patch: ERRNO
NULL
Error getting id in patch:- ERRNO

Error getting history dir:- ERRNO
Error applying the patch:- ERRNO
Error getting history dir for get patch history:- ERRNO
Error getting patch history:- ERRNO
Error getting id for System info:- ERRNO
1174
Error getting history dir for System info:- ERRNO

Error packing Cluster info:- ERRNO
LOG_BAYES_PATCH_SUCCESSFULL aplicao do patch ok
NULL
LOG_BAYES_BASE_BACKUP_ERR
erro ao tentar fazer backup de bases de treinamentos
de usurios receiving database list
generating backup file
Opening File
Reading File
error mapping file
LOG_BAYES_BASE_BACKUP_SUCCESSFULL backup de treinamentos de usurio completado

com sucesso NULL
LOG_BAYES_BASE_RESTORE_ERR erro ao tentar restaurar backup das bases de

treinamentos dos usurios opening file
temporary file is closed
writing restore data
error mapping file
transfer error
local user ID is different from the restore file ID
transfer error
unpacking data
LOG_BAYES_BASE_RESTORE_SUCCESSFULL restaurao do backup

treinamentos dos usurios completado com sucesso
NULL
das
bases
de
1175
LOG_BAYES_MSG_CLASSIFY_SUCCESSFUL sucesso na classificao de uma mensagem da

interface
Score: SCORE Id: ID
Score: SCORE Base: NOME DA BASE
Delta: (DELTA, DELTA_INTERNO)
Cache rate: RATE
LOG_BAYES_LOG_CONFIG_ERROR erro no processo de configurao do servidor de log

Error starting communication with Aker Log Server
Error relesinha log configurai-o
LOG_BAYES_SMALL_CACHE performance degradada por cache ser muito pequeno

Erasing system database
Database listing
Erasing database DATABASE NAME
Classification new
Training new
ID training
Base delete
Erasing system database
Recalc base BASENAME
Getting system update time
Merging system base
Getting system update time
Gerenate probability base BASENAME
1176
LOG_BAYES_MSG_TRAIN_SUCCESSFULL
sucesso na classificao de uma mensagem da
interface
Trained as TIPO - Base: BASENAME
LOG_BAYES_CONNECTION_CLOSED conexo fechada
MOTIVO
LOG_BAYES_HOST_DL_ERR erro no download do arquivo de hosts

ERRO
Error creating file
Error requesting data: ERRO
Host list is empty
Error packing data
download already in progress
LOG_BAYES_WRITE_FILE_ERR
ERRNO
Erro ao escrever em arquivo File FILENAME Error
LOG_BAYES_HOST_DL_START
iniciando download do arquivo de hosts NULL
02/02/2010,11:24:14,Informao de o Spam Meter, Iniciando download da lista de
hosts (Active Node)
LOG_BAYES_HOST_DL_SUCCESSFULL
download do arquivo de hosts finalizado NULL
02/02/2010,11:24:14,Informao de o Spam Meter, Download da lista de hosts
realizado com sucesso (Active Node)
LOG_BAYES_BASE_DELETED base apagada BayesLog System database
LOG_BAYES_DOWNLOAD_INFO
informao sobre download Invalid License
Download already in progress

1177
Database already updated
LOG_BAYES_ROLLBACK_ERR erro ao aplicar o rollback de um patch

rollback info ERRNO
Error
getting
Error getting history dir for rollback ERRNO

Error rollbacking patch ERRNO
LOG_BAYES_ROLLBACK_SUCCESSFULL
aplicao do rollback de um patch ok
NULL
1178
1179
Neste apndice esto listados os disclaimers das bibliotecas e cdigos fontes de terceiro
utilizados no Aker Firewall. Estes disclaimers se aplicam apenas s partes explicitamente
citadas e no ao Aker Firewall como um todo. Eles esto citados aqui devido a exigncias
das entidades desenvolvedoras:
Biblioteca DES
Copyright
All
This
FREE
as
(C)
FOR
long
1995
Eric
rights
Young
(eay@mincom.oz.au)
reserved.
library
and
applications
COMMERCIAL
AND
NON-COMMERCIAL
as
the
following
conditions
are
aheared
Copyright remains Eric Young's, and as such any

the code are not to be removed. If this code is
Eric Young should be given attribution as the author
This can be in the form of a textual message at
in
documentation
(online
or
textual)
provided
are
USE
to.
Copyright notices in
used in a product,
of the parts used.
program startup or
with
the
package.
Redistribution and use in source and binary forms, with or without

modification,
are
permitted
provided
that
the
following
conditions
are
met:
1.
Redistributions
of
source
code
must
retain
the
copyright
notice,
this
list
of
conditions
and
the
following
disclaimer.
2. Redistributions in binary form must reproduce the above copyright
notice, this list of conditions and the following disclaimer in the
documentation
and/or
other
materials
provided
with
the
distribution.
3. All advertising materials mentioning features or use of this software
must
display
the
following
acknowledgement:
This product includes software developed by Eric Young (eay@mincom.oz.au)
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG `ÀS IS'' AND ANY EXPRESS OR
IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
WARRANTIES
OF
MERCHANTABILITY
AND
FITNESS
FOR
A
PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR
CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA,
OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE
OR
OTHERWISE)
ARISING
IN
ANY
WAY
OUT
OF
THE
USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH
DAMAGE.
1180
The licence and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied
and
put
under
another
distribution
licence
[including the GNU Public Licence.]
Biblioteca de criptografia libcrypto
Copyright
All
This
by
The
(C)
1995-1998
Eric
rights
package
is
Eric
implementation was
an
written
SSL
Young
so as to
Young
(eay@cryptsoft.com)
reserved.
implementation
written
(eay@cryptsoft.com).
conform with Netscapes SSL.
This library is free for commercial and non-commercial use as long as

the
following
conditions
are
aheared
to.
The
following
conditions
apply to all code found in this distribution, be it the RC4, RSA,
lhash, DES, etc., code; not just the SSL code. The SSL documentation
included with this distribution is covered by the same copyright terms
except
that
the
holder
is
Tim
Hudson
(tjh@cryptsoft.com).
Copyright remains Eric Young's, and as such any Copyright notices in
the
code
are
not
to
be
removed.
If this package is used in a product, Eric Young should be given attribution
as
the
author
of
the
parts
of
the
library
used.
This can be in the form of a textual message at program startup or
in
documentation
(online
or
textual)
provided
with
the
package.
modification,
are
permitted
provided
that
the
following
conditions
are
met:
1.
Redistributions
of
source
code
must
retain
the
copyright
notice,
this
list
of
conditions
and
the
following
disclaimer.
2. Redistributions in binary form must reproduce the above copyright
notice, this list of conditions and the following disclaimer in the
documentation
and/or
other
materials
provided
with
the
distribution.
3. All advertising materials mentioning features or use of this software
must
display
the
following
acknowledgement:
"This
product
includes
cryptographic
software
written
by
Eric
Young
(eay@cryptsoft.com)"
The word 'cryptographic' can be left out if the rouines from the library
being
used
are
not
cryptographic
related
:-).
4. If you include any Windows specific code (or a derivative thereof) from
the apps directory (application code) you must include an acknowledgement:
"This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
1181
THIS
SOFTWARE
IS
PROVIDED
BY
ERIC
YOUNG
`ÀS
IS''
AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
SUCH
DAMAGE.
The licence and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied
and
put
under
another
distribution
licence
[including the GNU Public Licence.]
Biblioteca SNMP
Copyright
1997
by
Carnegie
Mellon
University
All
Rights
Reserved
Permission to use, copy, modify, and distribute this software and its
documentation for any purpose and without fee is hereby granted,
provided that the above copyright notice appear in all copies and that
both
that
copyright
notice
and
this
permission
notice
appear
in
supporting
documentation,
and
that
the
name
of
CMU
not
be
used
in
advertising
or
publicity
pertaining
to
distribution
of
the
software
without
specific,
written
prior
permission.
CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE,
INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS,
IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR
CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING
FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF
CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN
CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
1182
Cdigos do FreeBSD
Copyright (c) 1982, 1986, 1993
The Regents of the University of California. All rights reserved.
modification, are permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of
conditions
and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of
conditions
and the following disclaimer in the documentation and/or other materials provided with the
distribution.
3. All advertising materials mentioning features or use of this software must display the
following
acknowledgement: This product includes software developed by the University of California,
Berkeley and its contributors.
4. Neither the name of the University nor the names of its contributors may be used to
endorse or
promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS `ÀS IS''
AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR
CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA,
OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE
USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH
DAMAGE.
Algoritmo MD5
Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
License to copy and use this software is granted provided that it is identified as the "RSA
Data
Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing this
software or this function.
License is also granted to make and use derivative works provided that such works are
identified
as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material
1183
mentioning or referencing the derived work.

RSA Data Security, Inc. makes no representations concerning either the merchantability of
this
software or the suitability of this software for any particular purpose. It is provided "as is"
without
express or implied warranty of any kind.
These notices must be retained in any copies of any part of this documentation and/or
software.
Agente SNMP
Copyright (c) 1996,1997 Wes Hardaker and the University of California at Davis
COPYRIGHT
Many portions of the code in this package were distributed by Carnegie Mellon University.
All other code and changes to the original code written by Wes Hardaker at the University of
California at Davis is copyrighted under the following copyright:
Permission is granted to use, copy, modify, and distribute this software and documentation.
This
software is distributed freely and usage of it is not subject to fees of any kind. It may be
included in
a software compact disk set provided that the author is contacted and made aware of its
distribution.
Biblioteca de nmeros extendidos LInteger
LInteger Version 0.2 Source Code and Documentation
Copyright (C) 1996 by Leonard Janke
This source code and documentation may be used without charge for both commercial and
non-commercial use. Modification of the source code or documentation is allowed provided
any derivate work is clearly indentified as such and all copyright notices are retained
unmodified. Redistribution of the source code or documentation is unlimited, except by the
limits already mentioned, provided that the redistribution is not for profit. Those wishing to
redistribute this source code or documentation or any work derived from either for profit
must contact Leonard Janke (janke@unixg.ubc.ca) to work out an acceptable arrangement.
Anyone who wishes to distribute a program statically linked against the functions provided
may do so providing that he or she include a copy of this note with the program.
Distribution of libraries compiled from this source code is unlimited if the distribution is not
for profit and this copyright notice is included. Those wishing to distribute libraries compiled
1184
from this source code or any work derived from it for profit must contact Leonard Janke
(janke@unixg.ubc.ca) to work out an acceptable arrangement.
Anyone using this source code or documentation or any work derived from it, including, but
not limited to, libraries and statically linked executable, must do so at his or her own risk,
and with understanding that Leonard Janke will not be held responsible for any damages or
losses that may result.
1185

Akerfirewall 6.7.3 PT Manual 002

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Akerfirewall 6.7.3 PT Manual 002

Enviado por

Direitos autorais:

Formatos disponíveis

Verso: 10/07/2014

INSTALANDO O AKER FIREWALL ........................................................................................................................35

COMO EST DISPOSTO ESTE MANUAL ............................................................................................................ 31

REQUISITOS DE HARDWARE E SOFTWARE ....................................................................................................... 35

UTILIZANDO O AKER CONTROL CENTER .............................................................................................................88

Aker Security Solutions

O QUE A ADMINISTRAO REMOTA DO AKER FIREWALL? ............................................................................... 88

ADMINISTRANDO USURIOS DO FIREWALL ....................................................................................................166

PLANEJANDO A INSTALAO...................................................................................................................... 376

CONFIGURANDO O PROXY SSL.........................................................................................................................443

NAT TRANSVERSAL .................................................................................................................................. 341

CONFIGURANDO CRIPTOGRAFIA CLIENTE-FIREWALL .......................................................................................376

PLANEJANDO A INSTALAO...................................................................................................................... 302

CRIANDO CANAIS DE CRIPTOGRAFIA ...............................................................................................................341

PLANEJANDO A INSTALAO...................................................................................................................... 265

CONFIGURANDO A CONVERSO DE ENDEREOS .............................................................................................302

PLANEJANDO A INSTALAO...................................................................................................................... 211

O FILTRO DE ESTADO .......................................................................................................................................265

UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 190

CADASTRANDO ENTIDADES .............................................................................................................................211

USURIOS ADMINISTRADORES .................................................................................................................. 166

CONFIGURANDO OS PARMETROS DO SISTEMA .............................................................................................190

VISUALIZANDO O ESTADO DOS AGENTES EXTERNOS ....................................................................................... 155

EDITANDO OS PARMETROS DE UM CONTEXTO SSL ....................................................................................... 444

INTEGRAO DOS MDULOS DO FIREWALL ....................................................................................................450

Aker Security Solutions

CONFIGURANDO A SEGURANA ......................................................................................................................455

UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 513

VISUALIZANDO E REMOVENDO CONEXES .....................................................................................................524

UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 503

VISUALIZANDO ESTATSTICAS ..........................................................................................................................512

UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 483

VISUALIZANDO EVENTOS DO SISTEMA ............................................................................................................502

UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 471

VISUALIZANDO O LOG DO SISTEMA .................................................................................................................482

PROTEO CONTRA SYN FLOOD ................................................................................................................ 455

CONFIGURANDO AES DE SISTEMA ..............................................................................................................471

O FLUXO DE PACOTES NO AKER FIREWALL .................................................................................................... 450

UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 524

UTILIZANDO O GERADOR DE RELATRIOS .......................................................................................................533

ACESSANDO RELATRIOS ......................................................................................................................... 533

ACESSANDO A EXPORTAO AGENDADA DE LOGS E EVENTOS.......................................................................... 543

PLANEJANDO A INSTALAO...................................................................................................................... 549

UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 562

PLANEJANDO A INSTALAO...................................................................................................................... 582

CONFIGURANDO O PROXY SMTP .....................................................................................................................625

PLANEJANDO A INSTALAO...................................................................................................................... 673

CONFIGURANDO O PROXY SOCKS....................................................................................................................738

EDITANDO OS PARMETROS DO USO DE QUOTA ........................................................................................... 668

CONFIGURANDO O FILTRO WEB ......................................................................................................................673

EDITANDO OS PARMETROS DE UM CONTEXTO POP3 .................................................................................... 660

UTILIZANDO AS QUOTAS .................................................................................................................................667

EDITANDO OS PARMETROS DE UM CONTEXTO FTP ....................................................................................... 655

CONFIGURANDO O PROXY POP3 .....................................................................................................................659

EDITANDO OS PARMETROS DE UM CONTEXTO TELNET................................................................................... 649

CONFIGURANDO O PROXY FTP ........................................................................................................................654

EDITANDO OS PARMETROS DE UM CONTEXTO SMTP ................................................................................... 627

CONFIGURANDO O PROXY TELNET ..................................................................................................................649

VISUALIZANDO E REMOVENDO USURIOS CONECTADOS NO FIREWALL.............................................................. 619

PLANEJANDO A INSTALAO...................................................................................................................... 738

CONFIGURANDO O PROXY RPC E O PROXY DCE-RPC .......................................................................................742

Aker Security Solutions

CONFIGURANDO O PROXY MSN ......................................................................................................................750