Você está na página 1de 821

Verso 20/12/2011

ndice
ndice ........................................................................................................................ 2
ndice de Figuras ..................................................................................................... 9
1.

Introduo ..................................................................................................... 23

2.

Instalando o Aker Firewall............................................................................ 27

2.1.

Requisitos de hardware e software .................................................................... 27

2.2.

Instalando o Aker Firewall .................................................................................. 28

2.3.

Instalando a interface remota ............................................................................. 32

3.

Utilizando o Aker Control Center ................................................................. 35

3.1.

Iniciando a interface remota ............................................................................... 36

3.2.

Finalizando a administrao remota................................................................... 44

3.3.

Mudando sua senha de usurio ......................................................................... 45

3.4.

Visualizando informao de sesso ................................................................... 46

3.5.

Utilizando a ajuda on-line e a Ajuda-Rpida ...................................................... 48

3.6.

Utilizando as ferramentas da Interface Grfica .................................................. 49

3.7.

Chaves de Ativao ........................................................................................... 49

3.8.

Salvar configuraes (backup) ........................................................................... 51

3.9.

Restaurar configuraes .................................................................................... 53

3.10.

Reinicializar Firewall ....................................................................................... 57

3.11.

Atualizaes.................................................................................................... 57

3.12.

Mdulo de atualizao automtica Aker Update System (AUS) .................. 62

3.13.

DNS Reverso .................................................................................................. 69

3.14.

Simulao de Regras de Filtragem ................................................................. 71

3.15.

Relatrios ........................................................................................................ 75

3.16.

Busca de Entidades ........................................................................................ 75

3.17.

Janela de Alarmes .......................................................................................... 80

3.18.

Visualizando a rede graficamente ................................................................... 81

3.19.

Visualizando estatsticas do sistema .............................................................. 84

3.20.

Utilizando a janela de Sniffer de Pacotes........................................................ 86

3.21.

Visualizando o Estado dos Agentes Externos................................................. 89

3.22.

Utilizando o verificador de configurao ......................................................... 91

3.23.

Ferramentas de Diagnstico ........................................................................... 94


Aker Security Solutions

4.

Administrando usurios do Firewall ........................................................... 96

4.1.

Utilizando a interface grfica .............................................................................. 96

4.2.

Utilizando a interface texto ................................................................................106

5.

Configurando os parmetros do sistema ..................................................116

5.1.

Utilizando a interface grfica .............................................................................116

5.2.

Utilizando a interface texto ................................................................................129

6.

Cadastrando Entidades ...............................................................................133

6.1.

Planejando a instalao ....................................................................................133

6.2.

Cadastrando entidades utilizando a interface grfica ........................................136

6.3.

Utilizando a interface texto ................................................................................172

6.4.

Utilizando o Assistente de Entidades ................................................................176

7.

O Filtro de Estado ........................................................................................184

7.1.

Planejando a instalao ....................................................................................184

7.2.

Editando uma lista de regras usando a interface grfica...................................189

7.3.

Trabalhando com Polticas de Filtragem ...........................................................197

7.4.

Utilizando a interface texto ................................................................................201

7.5.

Utilizando o assistente de regras ......................................................................204

7.6.

Utilizando Regras de Pipes ...............................................................................217

8.

Configurando a converso de endereos..................................................220

8.1.

Planejando a instalao ....................................................................................220

8.2.

Utilizando a interface texto ................................................................................243

8.3.

Redundncia de Link Via Modem......................................................................247

8.4.

Utilizando o Assistente de Configurao NAT ...................................................248

9.

Criando canais de criptografia ...................................................................258

9.1.

Planejando a instalao. ...................................................................................258

9.2.

Utilizando a interface texto ................................................................................280

10.

Configurando criptografia Cliente-Firewall ...............................................288

10.1.

Planejando a instalao. ................................................................................288

10.2.

Aker Secure Roaming ....................................................................................289

10.3.

L2TP ..............................................................................................................295

10.4.

PPTP .............................................................................................................304

10.5.

IPSEC Client ..................................................................................................327

10.6.

VPN SSL .....................................................................................................342


Aker Security Solutions

11.

Configurando criptografia Cliente-Firewall ...............................................349

11.1.

Editando os parmetros de um contexto SSL ................................................350

11.2.

Configurando regras de Proxy SSL ...............................................................354

12.

Integrao dos Mdulos do Firewall ..........................................................356

12.1.

O fluxo de pacotes no Aker Firewall ..............................................................356

12.2.

Integrao do filtro com a converso de endereos ......................................358

12.3.

Integrao do filtro com a converso e a criptografia ....................................359

13.

Configurando a Segurana .........................................................................361

13.1.

Proteo contra SYN Flood ...........................................................................361

13.2.

Utilizando a interface grfica para Proteo contra SYN Flood .....................363

13.3.

Proteo de Flood..........................................................................................365

13.4.

Utilizando a interface grfica para Proteo de Flood ...................................366

13.5.

Proteo Anti Spoofing ..................................................................................368

13.6.

Utilizando a interface grfica para Anti Spoofing ...........................................369

13.7.

Utilizando a interface texto - Syn Flood .........................................................371

13.8.

Utilizando a interface texto - Proteo de Flood ............................................372

13.9.

Utilizando a interface texto - Anti Spoofing ....................................................373

13.10.

Bloqueio por excesso de tentativas de login invlidas ................................374

14.

Configurando Aes de Sistema ................................................................376

14.1.

Utilizando a interface grfica ..........................................................................376

14.2.

Utilizando a interface texto .............................................................................382

15.

Visualizando o log do Sistema ...................................................................388

15.1.

Utilizando a interface grfica ..........................................................................389

15.2.

Formato e significado dos campos dos registros do log ................................398

15.3.

Utilizando a interface texto .............................................................................402

16.

Visualizando Eventos do Sistema ..............................................................405

16.1.

Utilizando a interface grfica ..........................................................................405

16.2.

Formato e significado dos campos das mensagens de eventos ....................412

16.3.

Utilizando a interface texto .............................................................................412

17.

Visualizando Estatsticas ............................................................................416

17.1.

Utilizando a interface grfica ..........................................................................417

17.2.

Utilizando a interface texto .............................................................................422

18.

Visualizando e Removendo conexes .......................................................426


Aker Security Solutions

18.1.

Utilizando a interface grfica ..........................................................................426

18.2.

Utilizando a interface texto .............................................................................432

19.

Utilizando o Gerador de Relatrios ............................................................435

19.1.

Acessando Relatrios ....................................................................................435

19.2.

Configurando os Relatrios............................................................................436

19.3.

Lista dos Relatrios disponveis.....................................................................441

20.

Exportao Agendada de Logs e Eventos .................................................444

20.1.

Acessando a Exportao Agendada de Logs e Eventos ...............................444

20.2.

Configurando a Exportao Agendada de Logs e Eventos............................445

21.

Trabalhando com Proxies ...........................................................................450

21.1.

Planejando a instalao .................................................................................450

21.2.

Instalando o agente de autenticao em plataformas Unix ...........................455

21.3.

Instalando o agente de autenticao em Windows Server tm ..........................457

21.4.

Configurao do agente de autenticao para Windows Server tm .................458

22.

Configurando parmetros de autenticao ...............................................464

22.1.

Utilizando a interface grfica ..........................................................................464

22.2.

Utilizando a interface texto .............................................................................480

23.

Perfis de acesso de Usurios .....................................................................483

23.1.

Planejando a instalao .................................................................................483

23.2.

Cadastrando perfis de acesso .......................................................................483

23.3.

Regras ...........................................................................................................487

23.4.

Regras SOCKS ..............................................................................................488

23.5.

Geral ..............................................................................................................489

23.6.

FTP e GOPHER.............................................................................................490

23.7.

HTTP/HTTPS .................................................................................................493

23.8.

Secure Roaming ............................................................................................502

23.9.

VPN SSL (Proxy SSL) ...................................................................................505

23.10.

MSN Messenger .........................................................................................508

23.11.

Filtros de Aplicao ....................................................................................511

23.12.

Associando Usurios com Perfis de Acesso ..............................................513

24.

Autenticao de Usurios ...........................................................................519

24.1.

Visualizando e Removendo Usurios Conectados no Firewall ......................519

24.2.

Utilizando a Interface Texto ...........................................................................522


Aker Security Solutions

25.
25.1.
26.
26.1.
27.
27.1.
28.
28.1.
29.
29.1.
30.

Configurando o Proxy SMTP ......................................................................525


Editando os parmetros de um contexto SMTP .............................................527
Configurando o Proxy Telnet ......................................................................551
Editando os parmetros de um contexto Telnet.............................................551
Configurando o Proxy FTP..........................................................................557
Editando os parmetros de um contexto FTP ................................................557
Configurando o Proxy POP3 .......................................................................562
Editando os parmetros de um contexto POP3 .............................................563
Utilizando as Quotas....................................................................................570
Editando os parmetros do Uso de Quota .....................................................571
Configurando o Filtro Web ..........................................................................576

30.1.

Planejando a instalao .................................................................................576

30.2.

Editando os parmetros de Filtro Web ...........................................................578

30.3.

Editando os parmetros de Sesses Web .....................................................618

31.

Configurando o Proxy Socks ......................................................................621

31.1.

Planejando a instalao .................................................................................621

31.2.

Editando os parmetros do Proxy SOCKS ....................................................622

32.
32.1.

Configurando o Proxy RPC e o proxy DCE-RPC .......................................626


Editando os parmetros de um contexto RPC ...............................................627

Editando os parmetros de um contexto DCE-RPC ...................................................629


33.

Configurando o Proxy MSN ........................................................................633

33.1.

Planejando a instalao .................................................................................633

33.2.

Editando os parmetros do Proxy MSN .........................................................634

34.

Configurando a Filtragem de Aplicaes ..................................................640

34.1.

Planejando a instalao .................................................................................640

34.2.

Criando Regras de Filtragem de Aplicaes ..................................................640

34.3.

Criando Filtros de Aplicaes ........................................................................644

35.

Configurando IDS/IPS ..................................................................................650

35.1.

Acessando IPS/IDS .......................................................................................650

35.2.

Visualizando os IPs bloqueados ....................................................................660

35.3.

Configurando a atualizao de assinaturas ...................................................662

35.4.

Instalando o Plugin para IDS Externo no Windows ........................................664

35.5.

Utilizando a interface texto - Portscan ...........................................................669


Aker Security Solutions

35.6.
36.

Utilizando a interface texto - IDS Externo ......................................................671


Configuraes TCP/IP .................................................................................674

36.1.

Configurao TCP/IP .....................................................................................674

36.2.

DHCP .............................................................................................................675

36.3.

DNS ...............................................................................................................678

36.3.1.
36.4.

Interfaces de Rede .....................................................................................679


Roteamento ...................................................................................................683

36.4.1.

Geral ...........................................................................................................684

36.4.2.

Dinmico.....................................................................................................686

36.4.3.

Avanado....................................................................................................693

36.5.

Utilizando a interface texto nas Chaves de Ativao .....................................697

36.6.

Utilizando a interface texto na Configurao TCP/IP .....................................698

36.7.

Utilizando a interface texto na Configurao de Wireless ..............................705

36.8.

Utilizando a interface texto na Configurao de DDNS .................................708

36.9.

Configurao do Link 3G ...............................................................................710

37.

Configurando o firewall em Cluster ...........................................................715

37.1.

Planejando a Instalao .................................................................................715

37.2.

Configurao do Cluster ................................................................................717

37.3.

Estatstica do Cluster .....................................................................................722

37.4.

Utilizando a interface texto .............................................................................724

38.
38.1.

Arquivos do Sistema ...................................................................................728


Arquivos do Sistema ......................................................................................728

39.

Aker Firewall Box .........................................................................................733

40.

Apndice A Mensagens do sistema ........................................................737

40.1.

Mensagens do log do Firewall .......................................................................737

40.2.

Mensagens dos eventos do Firewall ..............................................................743

40.3.

Formato de exportao de logs e eventos .....................................................784

40.4.

Eventos gerados pelo Aker Firewall ...............................................................784

40.4.1.

Eventos gerados pelo Filtro Web ................................................................784

40.4.2.

Eventos gerados pelo Proxy MSN ..............................................................787

40.4.3.

Eventos gerados pelo Proxy POP3 ............................................................792

40.4.4.

Eventos gerados pelo Proxy SMTP ............................................................793

40.4.5.

Eventos gerados pelo Mdulo de IDS/IPS e filtro de aplicativos ................795


Aker Security Solutions

40.4.6.

Eventos gerados pelo Aker Antivirus Module .............................................797

40.4.7.

Eventos gerados pelo Aker Web Content Analizer .....................................801

40.4.8.

Eventos gerados pelo Aker Spam Meter ....................................................805

41.

Apndice B - Copyrights e Disclaimers .....................................................816

Aker Security Solutions

ndice de Figuras

Figura 1. Termo de Licena. .................................................................................... 30


Figura 2. Interface do Aker Control Center. ............................................................. 37
Figura 3. Caixa de descrio de entidade. ............................................................... 38
Figura 4. Caixa de edio do dispositivo remoto. .................................................... 39
Figura 5. Informaes requeridas para editar o Dispositivo Remoto. ...................... 41
Figura 6. Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo
Remoto. ................................................................................................................... 42
Figura 7. Interface conectada ao Firewall escolhido. ............................................... 43
Figura 8. Finalizador de administrao remota do Aker Firewall (Desconectar do
dispositivo remoto). .................................................................................................. 44
Figura 9. Dispositivos remotos (realizar mudana de senha). ................................. 45
Figura 10. Mudar Senha (inserir senha antiga, a nova senha e confirmao da
mesma). ................................................................................................................... 46
Figura 11. Dispositivos remotos (visualizar informaes da sesso). ...................... 47
Figura 12. Informao da sesso (mostra dados do Firewall, Licena e Usurio). .. 48
Figura 13. Apresentao da janela de ajuda. .......................................................... 49
Figura 14. Informaes sobre ativao de licenas. ................................................ 50
Figura 15. Salvar um backup do item selecionado. ................................................. 51
Figura 16. Download das configuraes personalizadas e bases de treinamento... 51
Figura 17. Backup Informaes de log. ................................................................... 52
Figura 18. Tela de escolha de arquivo para salvar configuraes. .......................... 52
Figura 19. Salvar o backup automaticamente. ......................................................... 53
Figura 20. Botes para restaurao de backup. ...................................................... 53
Figura 21. Escolha de arquivo para carregar dados de configurao. ..................... 54
Figura 22. Restaurao do backup do Antivirus Module. ......................................... 55
Figura 23. Restaurao do backup do Aker Firewall. .............................................. 55
Figura 24. Restaurao do backup do Spam Meter................................................. 56
Figura 25. Restaurao do backup do Web Content Analyzer. ............................... 56
Figura 26. Reiniciar o Firewall.................................................................................. 57
Figura 27. Sistema de atualizao de dados do Firewall. ........................................ 58
Figura 28. Escolha do arquivo para atualizao ou correo. ................................. 60
Figura 29. Visualizao de histricos de aplicao de patches e hotfixes. .............. 61
Figura 30. Acessando o Aker Firewall. .................................................................... 62
Figura 31. Notificao sobre atualizaes disponveis no Aker Update System. ..... 64
Figura 32. Visualizando atualizaes disponveis atravs do Aker Update System. 65
Figura 33. Acessando o Aker Firewall. .................................................................... 66
Figura 34. Acessando as janelas do Aker Update System. ..................................... 67
Figura 35. Acessando o Aker Firewall. .................................................................... 68
Figura 36. Acessando as janelas do Aker Update System. ..................................... 69
Aker Security Solutions

Figura 37. Janela de DNS reverso. .......................................................................... 70


Figura 38. DNS reverso. .......................................................................................... 71
Figura 39. Janela de acesso a Simulao de Regras de Filtragem. ........................ 72
Figura 40. Simulao de Regras de Filtragem (origem do pacote, destino, data, hora
e mscaras). ............................................................................................................ 73
Figura 41. Simulao de Regras de Filtragem (origem do pacote, destino, data, hora
e entidade). .............................................................................................................. 74
Figura 42. Relatrio de configurao do firewall. ..................................................... 75
Figura 43. Janela de acesso a Busca de Entidades. ............................................... 76
Figura 44. Busca de Entidades (procura de entidade com IP ou nome e ltimos
resultados). .............................................................................................................. 77
Figura 45. Busca de Entidades - servios................................................................ 78
Figura 46. Busca de Entidades - regras................................................................... 79
Figura 47. Janela de acesso: Janela de Alarmes. ................................................... 80
Figura 48. Janela de Alarmes - descrio................................................................ 81
Figura 49. Janela de acesso - Mapa da Rede. ........................................................ 82
Figura 50. Mapa da Rede. ....................................................................................... 83
Figura 51. Janela de acesso - Estatsticas do Sistema. ........................................... 84
Figura 52. Estatsticas do Sistema. .......................................................................... 85
Figura 53. Acesso a janela: Sniffer de Pacotes. ...................................................... 86
Figura 54. Sniffer de Pacotes Sniffer 1. ................................................................ 87
Figura 55. Janela de acesso: Agentes Externos. ..................................................... 89
Figura 56. Agentes Externos (nome, tipo e status). ................................................. 90
Figura 57. Janela de acesso: Verificador de Configurao. ..................................... 92
Figura 58. Verificador de Configurao (Regras de Filtragem, Converso de
endereo de rede (NAT), Autenticao, Filtro web e Rede privada virtual (VPN). ... 93
Figura 59. Janela de Diagnsticos. .......................................................................... 94
Figura 60. Janela de acesso - Usurios Administrativos. ........................................ 96
Figura 61. Janela de Usurios administrativos (Usurios internos). ........................ 97
Figura 62. Usurios Administrativos (configurao dos agentes externos). ...........101
Figura 63. Usurios Administrativos (mtodo de autenticao com certificao digital
X509). .....................................................................................................................103
Figura 64. Execuo do programa utilizando a interface texto. ..............................107
Figura 65. Execuo do programa para incluso de usurios como administradores
do Aker Firewall. .....................................................................................................108
Figura 66. Execuo do programa para a excluso de usurios. ...........................109
Figura 67. Execuo do programa para a alterao de senha do usurio. .............110
Figura 68. Execuo do programa para exibir a listagem de usurios e permisses.
................................................................................................................................111
Figura 69. Execuo do programa para exibir a compactao do arquivo de
usurios. .................................................................................................................112
Figura 70. Edio das configuraes do Aker Configuration Manager. ..................113
Aker Security Solutions

10

Figura 71. Edio das configuraes do Aker Configuration Manager (Firewall


habilitado). ..............................................................................................................113
Figura 72. Edio das configuraes do Aker Configuration Manager (desabilita,
modifica ou retorna). ...............................................................................................114
Figura 73. Janela de acesso - dispositivos remotos (parametros de configurao).
................................................................................................................................116
Figura 74. Parametros de configurao do Aker Firewall (servidor, interface remota e
endereos fixos de configurao remota). ..............................................................117
Figura 75. Parametros de configurao de Log (local, remoto e opes gerais). ...119
Figura 76. Parametros de configurao de segurana. ..........................................121
Figura 77. Parametros de configurao via SNMP. ................................................124
Figura 78. Parametros de configurao - Monitoramento. ......................................126
Figura 79. Parametros de configurao Data e hora. ..........................................128
Figura 80. Janela de entidades (Aker Firewall). ......................................................137
Figura 81. Entidades (Instncia Aker Firewall)........................................................137
Figura 82. Cadastro de entidade Tipo Mquina. .....................................................139
Figura 83. Cadastro de entidade Tipo Mquina IPv6. .............................................140
Figura 84. Incluso e edio de redes. ...................................................................141
Figura 85. Incluso e edio de redes IPv6. ...........................................................142
Figura 86. Incluso e edio de conjuntos. .............................................................144
Figura 87. Adio de entidades. .............................................................................145
Figura 88. Edio de conjuntos IPv6. .....................................................................146
Figura 89. Edio de conjuntos IPv6 (entidades a ser adicionada). .......................147
Figura 90. Incluso e edio das listas de categorias. ............................................148
Figura 91. Incluso e edio dos padres de buscas. ............................................149
Figura 92. Incluso e edio de quotas. .................................................................150
Figura 93. Incluso e edio de agentes externos. .................................................151
Figura 94. Cadastro de um agente externo tipo autenticador ou autenticador Token.
................................................................................................................................153
Figura 95. Cadastro de um agente externo tipo Autoridade Certificadora. .............154
Figura 96. Definio de Pseudo-Grupos para usurios que se autenticarem por meio
de autoridade certificadora. ....................................................................................156
Figura 97. Cadastro de agente externo tipo Agente IDS. .......................................157
Figura 98. Cadastro de agente externo tipo Analisador de texto. ...........................157
Figura 99. Cadastro de agente externo tipo Mdulo de Antivrus. ..........................158
Figura 100. Cadastro de agente externo tipo Spam Meter. ....................................158
Figura 101. Cadastro de agente externo Servidor Remoto. ....................................159
Figura 102. Cadastro de agente externo Autenticador LDAP. ................................160
Figura 103. Cadastro de agente externo Autenticador Radius. ..............................162
Figura 104. Incluso e edio de servios. .............................................................163
Figura 105. Incluso e edio de interfaces. ..........................................................165
Figura 106. Incluso e edio de listas de e-mails. ................................................167
Figura 107. Opo para realizar uma operao sobre um e-mail ou domnio. .......168
Aker Security Solutions

11

Figura 108. Lista dos tipos de arquivos. .................................................................168


Figura 109. Opo para realizar uma operao (Entrada da lista). ........................169
Figura 110. Acumuladores. .....................................................................................170
Figura 111. Cadastro de entidade tipo Canal. ........................................................171
Figura 112. Mensagem de entrada no Assistente de criao de entidades. ...........177
Figura 113. Escolha do tipo de entidade. ................................................................178
Figura 114. Insero do endereo de IP da mquina. ............................................179
Figura 115. Atribuio do nome da entidade. .........................................................180
Figura 116. Escolha do cone da entidade. .............................................................181
Figura 117. Mensagem de finalizao do cadastramento. ......................................182
Figura 118. Dispositivos remotos (Acesso a janela de configurao das regras). ..190
Figura 119. Janelas de regras de filtragem. ............................................................190
Figura 120. Menu com opes de entidades referente ao campo. .........................191
Figura 121. Menu cone de verificao de regras. ..................................................195
Figura 122. Verificador de regras............................................................................196
Figura 123. Regras de filtragem (Exemplo de canal de 50KBits)............................196
Figura 124. Ajustes de prioridade de canal. ............................................................197
Figura 125. Exemplo de como trabalhar com polticas de filtragem. .......................198
Figura 126. Exemplo de regras de filtragem. ..........................................................199
Figura 127. Interface regras de filtragem. ...............................................................200
Figura 128. Barra de cones (Politca). ...................................................................200
Figura 129. Exibio das regras de filtragem. .........................................................201
Figura 130. Assistente de regras filtragem (janela exibida quando um nmero
pequeno de regras for detectado). ..........................................................................204
Figura 131. Mensagem de boas vindas ao Assitente de regras filtragem. ..............205
Figura 132. Escolha da rede interna e configurao inicial. ....................................206
Figura 133. Tela de acesso para escolha de acesso restrito ou no internet. .....207
Figura 134. Escolha se possui ou no DMZ. ..........................................................208
Figura 135. Escolha da entidade DMZ....................................................................209
Figura 136. Mquinas DMZ (acesso restrito ou no a internet). .............................210
Figura 137. Escolha dos servios da internet e estaes de trabalho que o DMZ ter
acesso. ...................................................................................................................211
Figura 138. Configurao do Firewall. ....................................................................212
Figura 139. Registro de configurao do servidor. .................................................213
Figura 140. Escolha da entidade do servidor. .........................................................214
Figura 141. Selecionar o locar onde o servidor DMZ ficar disponvel. ..................215
Figura 142. Escolha para configurar outro servidor ou no. ...................................216
Figura 143. Aviso de finalizao de configurao das regras de filtragem. ............217
Figura 144. Janela com as regras de Pipes. ...........................................................218
Figura 145. Exemplo 1 - configurao do Aker Firewall (interligando departamentos).
................................................................................................................................224
Figura 146. Exemplo 2 - configurao do Aker Firewall (mltiplas ligaes com a
internet). ..................................................................................................................226
Aker Security Solutions

12

Figura 147. Exemplo 3 - configurao do Aker Firewall (montando regras de


converso de endereos). ......................................................................................227
Figura 148. Janela de acesso - configurao da converso de endereos. ...........229
Figura 149. Janela de configurao da converso de endereos (NAT). ...............229
Figura 150. Janela de configurao de balanceamento de link. .............................231
Figura 151. Janela de configurao para adicionar entidades. ...............................233
Figura 152. Janela de incluso de regras de NAT. .................................................234
Figura 153. Janela de configurao para aes que deseja ser realizada. ............236
Figura 154. Comparativo: mscaras de rede da entidade de origem e virtual. .......237
Figura 155. Configurao dos parmetros de monitoramento. ...............................237
Figura 156. Exemplo 1 - converso de endereos..................................................240
Figura 157. Exemplo 2 - converso de servios. ....................................................241
Figura 158. Balanceamento de link (primeira fase). ................................................242
Figura 159. Montangem das regras do NAT (segunda fase). .................................243
Figura 160. Mensagem de boas vindas ao Assistnte de configurao de NAT. ...249
Figura 161. Seleo das redes que tem a necessidade de acessar a internet
compartilhando um endereo IP. ............................................................................250
Figura 162. Seleo do IP da mquina virtual para realizar a converso de N-1. ..251
Figura 163. Mensagem se deseja configurar os servidores acessveis
externamentes. .......................................................................................................252
Figura 164. Escolha da entidade que deseja tornar acessvel na internet. .............253
Figura 165. Escolha do endereo IP utilizados por mquinas externas a ser utilizado
no servidor. .............................................................................................................254
Figura 166. Escolha para configurar mais servidores. ............................................255
Figura 167. Finalizao do assistentes de regras. ..................................................256
Figura 168. Exemplo de configurao de um canal seguro firewall-firewall para uma
sub-rede..................................................................................................................267
Figura 169. Canal seguro entre redes. ...................................................................269
Figura 170. Janela de acesso - Certificados IPSEC). .............................................270
Figura 171. Janela de Certificados IPSEC. .............................................................271
Figura 172. Barra de ferramentas (Certificados IPSEC). ........................................271
Figura 173. Janela de ao para Certificados IPSEC. ............................................272
Figura 174. Janela de acesso - Firewall/Firewall. ...................................................274
Figura 175. Janela de Criptografia Firewall/Firewall. ..............................................274
Figura 176. Menu de insero, copia ou excluso para definio dos fluxos de
criptografia. .............................................................................................................275
Figura 177. Menu de incluso ou alterao de fluxos. ............................................276
Figura 178. Configurao de canais IPSEC. ..........................................................277
Figura 179. Definio dos algoritmos de criptografia e autenticao permitidos pelo
firewall durante negociao das chaves IKE. .........................................................278
Figura 180. Visualizao do trfego IPSEC. ...........................................................279
Figura 181. Grfico de acompanhamento (Bytes de logs transferidos). .................280
Figura 182. Janela de acesso Clientes VPN. .......................................................289
Aker Security Solutions

13

Figura 183. Configurao geral do Security Roaming. ...........................................290


Figura 184. Configurao do Security Roaming. ....................................................291
Figura 185. Lista de controle de acesso do Security Roaming. ..............................292
Figura 186. Menu com escolha das entidades a ser adicionadas. .........................293
Figura 187. Conjuto de endereos do Security Roming. .........................................294
Figura 188. Configurao da VPN L2TP. ................................................................296
Figura 189. Lista de endereos que podem ser fornecidos a clientes conectados
remotamente ao firewall. .........................................................................................296
Figura 190. Menu com escolhas da entidade para adicionar. .................................297
Figura 191. Configurando o cliente L2TP (Windows Vista/XP). ..............................299
Figura 192. Configurando o cliente L2TP (utilizando VPN). ....................................299
Figura 193. Configurando o cliente L2TP (escolha do IP e nome da conexo). .....300
Figura 194. Configurando o cliente L2TP (nome do usurio e senha utilizados para
autenticar o cliente de VPN no Aker Firewall). ........................................................300
Figura 195. Configurao da VPN L2TP concluda. ...............................................301
Figura 196. Network conections (edio das propriedades de conexo)................302
Figura 197. Network conections (janela de configuraes avanadas). .................303
Figura 198. Dilogo de propriedades (configurao). .............................................304
Figura 199. Configurando a VPN PP TP. ................................................................305
Figura 200. Menu com escolhas da entidades para adicionar. ...............................306
Figura 201. Configurando o Cliente PPTP para autenticao com PAP (Windows
Vista/XP). ................................................................................................................308
Figura 202. Janela de configurao da VPN no Microsoft Windows. ...................309
Figura 203. Janela de configurao de rede da VPN no Microsoft Windows. ......310
Figura 204. Janela de configurao de usurio e senha da VPN no Microsoft
Windows...............................................................................................................311
Figura 205. Configurao da VPN no Microsoft Windows concluda. ..................312
Figura 206. Janela de configuraes avanadas da VPN no Microsoft Windows.
................................................................................................................................313
Figura 207. Janela de configuraes dos parmentros de autenticao da VPN no
Microsoft Windows. ..............................................................................................314
Figura 208. Janela de configuraes dos parmentros de rede da VPN no Microsoft
Windows...............................................................................................................315
Figura 209. Configuraes do Servidor de autenticao Radius do Microosft
Windows Server. ..................................................................................................316
Figura 210. Configuraes do Shared secret do servidor de autenticao Radius do
Microosft Windows Server. ...................................................................................317
Figura 211. Definio das regras de acesso remoto do servidor de autenticao
Radius do Microosft Windows Server...................................................................318
Figura 212. Especificao das condies de conexo do servidor de autenticao
Radius do Microosft Windows Server...................................................................319
Figura 213. Especificao das condis de conexo - Edio. ..............................320
Figura 214. Especificao das condis de conexo IP. .....................................321
Aker Security Solutions

14

Figura 215. Especificao das condis de conexo Multilink.............................322


Figura 216. Especificao das condis de conexo Authentication. ..................323
Figura 217. Especificao das condis de conexo Encryption.........................324
Figura 218. Especificao das condis de conexo Advanced..........................325
Figura 219. Informaes dos usurios que podem efetuar autenticaes. .............326
Figura 220. Propriedades dos usurios podem efetuar autenticaes. ..................327
Figura 221. Clientes VPN - IPSEC..........................................................................329
Figura 222. Lista de endereos que podem ser atribudos aos clientes. ................330
Figura 223. Lista de endereos que so redes protegidas. ....................................331
Figura 224. Configuraes recomendadas para clientes de criptografia Shared
Secret. ....................................................................................................................334
Figura 225. Configuraes recomendadas para clientes de criptografia X.509. ..334
Figura 226. Configurao da VPN General. ........................................................335
Figura 227. Configurao da VPN Authentication................................................335
Figura 228. Configurao da VPN Phase 1. ........................................................336
Figura 229. Configurao da VPN Phase 2. ........................................................336
Figura 230. Configurao da VPN Connect. ........................................................337
Figura 231. Configurao I-Phone certificado. .....................................................338
Figura 232. Configurao I-Phone estabelecendo VPN. .....................................339
Figura 233. Configurao VPN com certificado. .....................................................340
Figura 234. Configurao VPN - Authentication Local Identity. ..........................340
Figura 235. Configurao VPN - Authentication Remote Identily........................341
Figura 236. Configurao VPN - Authentication Authentication Method. ............341
Figura 237. Janela de acesso VPN SSL. .............................................................342
Figura 238. VPN SSL - Portais. ..............................................................................343
Figura 239. VPN SSL - Applet. ...............................................................................345
Figura 240. Perfil de acesso Permisso VPN. .....................................................346
Figura 241. VPN SSL Instrues gerais. .............................................................347
Figura 242. Utilizao do Proxy SSL. .....................................................................350
Figura 243. Edio dos paramentros de um contexto SSL. ....................................351
Figura 244. Exibio do certificado do proprietrio X.509....................................353
Figura 245. Fluxo do pacote da rede interna ao atingir o firewall............................356
Figura 246. Fluxo do pacote da rede externa em direo a rede interna. ...............357
Figura 247. Janela de acesso - SYN Flood. ...........................................................363
Figura 248. SYN Flood Ativao de proteo SYN Flood. ...................................364
Figura 249. Janela de acesso - Proteo de Flood.................................................366
Figura 250. Proteo de Flood - Configurao. ......................................................367
Figura 251. Janela de acesso - Anti Spoofing. .......................................................369
Figura 252. Anti Spoofing Ativao do controle. ..................................................370
Figura 253. Bloqueio de excesso de tentativas de login invlidas - Eventos. .........374
Figura 254. Janela de acesso - Aes. ...................................................................377
Figura 255. Aes Mensagens de logs. ...............................................................378
Figura 256. Aes a serem executadas para mensagens exibidas. .......................378
Aker Security Solutions

15

Figura 257. Aes: Parametros. .............................................................................380


Figura 258. Janela de acesso - Log. .......................................................................389
Figura 259. Barra de ferramentas de log. ...............................................................389
Figura 260. Filtro de log. .........................................................................................391
Figura 261. Filtro de log. .........................................................................................393
Figura 262. Lista com vrias entradas de log. ........................................................396
Figura 263. Exportador de log.................................................................................397
Figura 264. Barra de exportao de log porcentagem realizada. ........................397
Figura 265. Janela de acesso - Eventos. ................................................................406
Figura 266. Barra de ferramentas: Eventos. ...........................................................406
Figura 267. Filtro de eventos. .................................................................................407
Figura 268. Descrio dos Eventos. .......................................................................410
Figura 269. Exportar log de eventos. ......................................................................411
Figura 270. Janelas de eventos - Estatstica. .........................................................417
Figura 271. Regras de estatstica. ..........................................................................418
Figura 272. Barra de ferramentas - Regras de estatstica. .....................................419
Figura 273. Visualizar estatsticas. .........................................................................420
Figura 274. Visualizar estatsticas Grfico. ..........................................................421
Figura 275. Exportar estatstica. .............................................................................422
Figura 276. Barra de ferramentas: visualizao das estatsticas. ...........................422
Figura 277. Janela de acesso - Conexes TCP......................................................427
Figura 278. Conexes TCP Conexes IPv4. .......................................................428
Figura 279. Conexes TCP Conexes IPv6. .......................................................429
Figura 280. Barra de ferramentas: conexes TCP..................................................430
Figura 281. Conexes TCP Grfico de conexes IPv4. .......................................431
Figura 282. Janela de acesso - Relatrio. ..............................................................435
Figura 283. Configurando relatrio - Dirio. ............................................................436
Figura 284. Configurao do relatrio - geral. ........................................................437
Figura 285. Configurao do relatrio sub-relatrio. ............................................438
Figura 286. Configurao do relatrio mtodo de publicao. .............................439
Figura 287. Configurao do relatrio mtodo de SMTP. ....................................440
Figura 288. Janela de acesso - Exportao Agendada de Logs e Eventos.. ..........444
Figura 289. Exportao Agendada de Logs e Eventos - dirio. ..............................445
Figura 290. Configurao da Exportao Agendada de Logs e Eventos - geral. ...446
Figura 291. Configurao da Exportao Agendada de Logs e Eventos mtodo de
publicao. ..............................................................................................................447
Figura 292. Configurao da Exportao Agendada de Logs e Eventos tipo de
publicao. ..............................................................................................................448
Figura 293. Funcionamento bsico de um Proxy tradicional. .................................451
Figura 294. Funcionamento bsico de um Proxy trasparnte. ................................452
Figura 295. Proxie transparentes e contextos. .......................................................453
Figura 296. Instalao do agente de autenticao do Windows Server pasta de
destino. ...................................................................................................................457
Aker Security Solutions

16

Figura 297. Agente de autenticao - Aker.............................................................459


Figura 298. Agente de autenticao Firewall Aker...............................................460
Figura 299. Agente de autenticao - Log. .............................................................461
Figura 300. Agente de autenticao - Sobre. .........................................................462
Figura 301. Janela de acesso - Autenticao. ........................................................464
Figura 302. Autenticao de acesso: Controle de acesso. .....................................465
Figura 303. Autenticao de acesso: Listagem de grupos ou usurios. .................467
Figura 304. Autenticao de acesso: Escolha do perfil desejado. ..........................467
Figura 305. Autenticao de acesso: Mtodos. ......................................................468
Figura 306. Autenticao de acesso: Adicionar entidades. ....................................470
Figura 307. Autenticao de acesso: Remover entidades. .....................................470
Figura 308. Autenticao de acesso: Mtodos. ......................................................471
Figura 309. Autenticao de acesso: Mtodos (habilitar autenticao do Token). .472
Figura 310. Autenticao de acesso: Autenticao para proxies............................473
Figura 311. Autenticao de acesso: Autenticao local. .......................................474
Figura 312. Aba para incluso de usurio. .............................................................474
Figura 313. Autenticao Autenticao local. ......................................................475
Figura 314. Autenticao alterao de senha ou grupo.......................................475
Figura 315. Autenticao local criar ou remover grupos. .....................................476
Figura 316. Controle de acesso por IP. ..................................................................477
Figura 317. Configurao NTLM. ............................................................................478
Figura 318. Segurana do Window solicitao de usurio e senha. ....................479
Figura 319. Janela de acesso - Perfis.....................................................................484
Figura 320. Perfis Aker Firewall. ..........................................................................485
Figura 321. Janela de configurao de perfil (inserir e excluir). ..............................485
Figura 322. Regras: regras de filtragem para o perfil de acesso. ...........................487
Figura 323. Perfis: Socks. .......................................................................................488
Figura 324. Perfis: Geral. ........................................................................................489
Figura 325. Perfis: FTP e Gopher. ..........................................................................490
Figura 326. Janela de acesso - perfis (inseir e desabilitar). ....................................491
Figura 327. Geral: HTTP e HTTPS. ........................................................................493
Figura 328. Janela de acesso - Bloqueio de Banners.............................................494
Figura 329. Bloqueio de Banners (URL de banners). .............................................495
Figura 330. Perfis: bloqueio de URL. ......................................................................496
Figura 331. Barra de ferramentas (inserir ou desabilitar). .......................................496
Figura 332. Perfis: Arquivos bloqueados. ...............................................................498
Figura 333. Escolhas de operadores. .....................................................................499
Figura 334. Perfis: Security Roaming. ....................................................................502
Figura 335. Perfis: Security Roaming (conjunto de endereos). .............................504
Figura 336. Perfis: VPN-SSL (Proxy SSL). .............................................................505
Figura 337. Conexo Direta: Proxy Reverso SSL. ..................................................506
Figura 338. Conexo Via Apllet. .............................................................................506
Figura 339. Conexo Cliente Applet / SSL / Normal. ..............................................506
Aker Security Solutions

17

Figura 340. Perfis MSN Messenger. ....................................................................508


Figura 341. Menu (inserir/desabilitar) para executar qualquer operao sobre a
regra. ......................................................................................................................509
Figura 342. Perfis: Filtragem de aplicao. .............................................................511
Figura 343. Menu (inserir/desabilitar) para executar qualquer operao sobre a
regra. ......................................................................................................................511
Figura 344. Janela de acesso - Autenticao. ........................................................513
Figura 345. Autenticao: Controle de acesso. ......................................................514
Figura 346. Menu de escolha do usurio. ...............................................................515
Figura 347. Menu de escolha do perfil. ...................................................................515
Figura 348. Controle de acesso por IP. ..................................................................516
Figura 349. Janela de acesso - usurios conectados. ............................................519
Figura 350. Usurios conectados (mquina, nome, domnio, perfil, inicio, TPC e n
de usurios conectados.) ........................................................................................520
Figura 351. Barra de ferramentas: usurios conectados. .......................................520
Figura 352. Servio: relay. ......................................................................................527
Figura 353. Servio: geral. ......................................................................................528
Figura 354. Servio: relay. ......................................................................................529
Figura 355. Servio: regras. ....................................................................................530
Figura 356. Menu (inserir, copiar, editar, excluir ou renomear). .............................530
Figura 357. Edio de regra: SMTP........................................................................532
Figura 358. Servio: DNS. ......................................................................................535
Figura 359. Menu (inserir, copiar, editar, excluir ou renomear).. ............................536
Figura 360. Servio: DNS. ......................................................................................537
Figura 361. Servio: anexos. ..................................................................................538
Figura 362. Menu (inserir, copiar, editar, excluir ou renomear).. ............................539
Figura 363. Regra: edio de regras e anexos. ......................................................540
Figura 364. Servio: RBL. .......................................................................................542
Figura 365. Servio: Spam Meter. ..........................................................................544
Figura 366. Servio: Avanado. ..............................................................................548
Figura 367. Servio: propriedade de um contexto Telnet. ......................................552
Figura 368. Menu (inserir). ......................................................................................553
Figura 369. Janela de incluso de usurios ou grupos. ..........................................554
Figura 370. Servios: propriedades de um contexto SMTP. ...................................558
Figura 371. Janela de lista de regras (aceitas ou no).. .........................................559
Figura 372. Propriedades de um contexto POP3....................................................563
Figura 373. Operaes sobre determinada regra. ..................................................564
Figura 374. Edio de regras de arquivos. .............................................................566
Figura 375. Janela de acesso - Uso de quotas. ......................................................571
Figura 376. Uso de quotas: viasualizao do usurio. ............................................572
Figura 377. Uso de quotas: viasualizao da quota. ..............................................573
Figura 378. Conexo (internet, rede interna, firewall e DMZ). ................................577
Figura 379. Janela de acesso - filtro web. ..............................................................579
Aker Security Solutions

18

Figura 380. Configurao dos parmetros do filtro web (geral). .............................580


Figura 381. Filtro Web: cliente de autenticao. .....................................................584
Figura 382. Filtro Web: controle de contedo. ........................................................586
Figura 383. Filtro Web: tipo de arquivo. ..................................................................588
Figura 384. Escolhas dos operadores. ...................................................................591
Figura 385. Filtro Web: antivrus. ............................................................................592
Figura 386. Diagrama de certificados envolvidos no acesso. .................................596
Figura 387. Filtro web: configurao. ......................................................................598
Figura 388. Certificado de errro do Firefox. ............................................................600
Figura 389. Certificado assinado pela CA de erro. ................................................601
Figura 390. Erro de acesso. ....................................................................................601
Figura 391. Certificado de informao. ...................................................................604
Figura 392. Certificado de informao como utilizar autoridade certificadora j
cadastrada. .............................................................................................................605
Figura 393. Certificado CA tela de acesso. ..........................................................606
Figura 394. Certificado CA properties. .................................................................606
Figura 395. Certificado CA General. ....................................................................607
Figura 396. Certificado CA Details.. .....................................................................608
Figura 397. Certificado CA All tasks / Back up Ca. ..............................................609
Figura 398. Certificado Authority Backup Wizard....................................................609
Figura 399. Certificado Authority Backup Wizard senha e confirmao. .............610
Figura 400. Microsoft Management Console. .........................................................611
Figura 401. Adicionar ou remover Snap-is..............................................................612
Figura 402. Microsoft Management Console certificates, all taks, import). ..........613
Figura 403. Escolha do diretrio onde deseja importar o relatrio. .........................614
Figura 404. Mozila Firefox (importar certificado). ....................................................614
Figura 405. Mozila Firefox (criptografia). ................................................................615
Figura 406. Gerenciador de certificados autoridades. .........................................616
Figura 407. Filtro Web: avanado. ..........................................................................617
Figura 408. Sesses Web. ......................................................................................618
Figura 409. Janela de acesso - Proxy Socks ..........................................................622
Figura 410. Autenticao dos usurios Socks. .......................................................623
Figura 411. Propriedades de um contexto RCP......................................................628
Figura 412. Menu de execuo da janela RPC.......................................................629
Figura 413. Menu de execuo da janela RPC (inseir, apagar, rejeitar ou aceitar).
................................................................................................................................629
Figura 414. Propriedades de um contexto DCE-RPC. ............................................630
Figura 415. Menu de execuo da janela DCE-RPC. .............................................631
Figura 416. Menu de execuo da janela DCE-RPC (inseir, apagar, rejeitar ou
aceitar). ...................................................................................................................631
Figura 417. Janela de acesso - Proxy Messenger. .................................................634
Figura 418. Proxy Messenger Aba Tipo Servio. .................................................635
Figura 419. Proxy Messenger Aba Mensagens. ..................................................636
Aker Security Solutions

19

Figura 420. Proxy Messenger Controle de acesso. .............................................637


Figura 421. Proxy Messenger Configuraes. .....................................................638
Figura 422. Janela de acesso - Filtragem de aplicaes. .......................................641
Figura 423. Filtragem de aplicaes Regras de filtragem de aplicaes. ............642
Figura 424. Menu de operao sobre uma regra. ...................................................643
Figura 425. Janela de acesso - Filtragem de aplicaes. .......................................645
Figura 426. Filtragem de aplicaes Filtros de Aplicaes. .................................646
Figura 427. Menu de operao sobre um filtro. ......................................................646
Figura 428. Menu de operao para acessar o nome do filtro ou forma de
concatenao..........................................................................................................647
Figura 429. Operaes de filtragem. .......................................................................647
Figura 430. Janela de acesso - IPS/IDS. ................................................................650
Figura 431. IPS/IDS Regras IDS..........................................................................651
Figura 432. Menu para execuo de operao de regras.. ....................................652
Figura 433. IPD/IDS Filtros IDS. ..........................................................................654
Figura 434. Filtros IDS Configurao do filtro. .....................................................655
Figura 435. IPD/IDS - Portscan...............................................................................657
Figura 436. IPD/IDS IDS Externo.........................................................................659
Figura 437. Janela de acesso - IPs bloquados. .....................................................661
Figura 438. IPs bloquados. .....................................................................................662
Figura 439. Janela de Acesso atualizao de assinaturas. .................................663
Figura 440. Atualizao de assinaturas. .................................................................664
Figura 441. Configurao IDS configurao. .......................................................665
Figura 442. Firewalls usados. .................................................................................667
Figura 443. Configurao de IDS log. ..................................................................668
Figura 444. Configurao de IDS eventos. ..........................................................669
Figura 445. Janela de acesso - TCP/IP. .................................................................674
Figura 446. Servidor DHCP. ...................................................................................675
Figura 447. Relay DHCP entre redes. ....................................................................676
Figura 448. Servidor DHCP interno. .......................................................................677
Figura 449. TCP/IP - DNS ......................................................................................678
Figura 450. Janela de acesso: Interfaces de redes. ...............................................679
Figura 451. Menu: configurao ou modificao de endereo IP. ..........................680
Figura 452. Menu de criao: VLAN. ......................................................................680
Figura 453. Configurao PPPoE. ..........................................................................681
Figura 454. Janela de Roteamento. ........................................................................683
Figura 455. Roteamento - Geral. ............................................................................684
Figura 456. Roteamento dinmico. .........................................................................686
Figura 457. Roteamentoavanado (RIP). ...............................................................689
Figura 458. Roteamento avanado (OSPF). ...........................................................691
Figura 459. Roteamento avanado. ........................................................................693
Figura 460. Exemplo de laboratrio de teste balaceamento de rotas. .................694
Figura 461. Teste e configuraes NAT exemplo A..........................................694
Aker Security Solutions

20

Figura 462. Teste e configuraes Balanceamento de link exemplo B.............695


Figura 463. Teste e configuraes NAT exemplo B.............................................695
Figura 464. Teste e configuraes Balanceamento de link exemplo B.............695
Figura 465. Roteamento. ........................................................................................696
Figura 466. Modo de configurao para interfaces de rede. ...................................698
Figura 467. Configurao de Interfaces. .................................................................699
Figura 468. Lista da interfaces de rede...................................................................700
Figura 469. Mdulo de configurao para interfaces de rede. ................................701
Figura 470. Cadastro de Vlan. ................................................................................701
Figura 471. Configurao de interfaces. .................................................................702
Figura 472. Configurao de rotas estticas. .........................................................703
Figura 473. Configurao de rotas estticas entrada de dados. ..........................703
Figura 474. Configurao de DNS. .........................................................................704
Figura 475. Mdulo de configurao para interfaces de rede. ................................705
Figura 476. Interface de texto na configurao Wireless. .......................................705
Figura 477. Exemplo de interface de texto na configurao DNS. .........................709
Figura 478. Configurao de link 3G. .....................................................................711
Figura 479. Configurao 3G no Aker Firewall. ......................................................712
Figura 480. Janela de acesso configurao do cluster. .......................................717
Figura 481. Criar cluster. ........................................................................................718
Figura 482. Configurao do cluster configuraes gerais. .................................719
Figura 483. Configurao do cluster adicionar membro. .....................................721
Figura 484. Janela de acesso Estatsticas do cluster. .........................................722
Figura 485. Estatsticas do cluster Firewall 1. ......................................................723
Figura 486. Estatsticas do cluster Grfico. .........................................................724
Figura 487. Interface texto exemplo 1: mostrando a configurao da interface. ..725

Aker Security Solutions

21

Introduo

Aker Security Solutions

22

1.

Introduo
Este o manual do usurio do Aker Firewall 6.5. Nos prximos captulos voc
aprender como configurar esta poderosa ferramenta de proteo s redes. Esta
introduo tem como objetivo descrever a organizao deste manual e tentar tornar
sua leitura o mais simples e agradvel possvel.

Como est disposto este manual.


Este manual est organizado em vrios captulos. Cada captulo mostrar um
aspecto da configurao do produto e todas as informaes relevantes ao aspecto
tratado.
Todos os captulos comeam com uma introduo terica sobre o tema a ser
tratado seguido dos aspectos especficos de configurao do Aker Firewall.
Juntamente com esta introduo terica, alguns mdulos possuem exemplos
prticos do uso do servio a ser configurado, em situaes hipotticas, porm
bastante prximas da realidade. Buscamos com isso tornar o entendimento das
diversas variveis de configurao o mais simples possvel.
Recomendamos que este manual seja lido pelo menos uma vez por inteiro, na
ordem apresentada. Posteriormente, se for necessrio, pode-se us-lo como fonte
de referncia (para facilitar seu uso como referncia, os captulos esto divididos em
tpicos, com acesso imediato pelo ndice principal. Desta forma, pode-se achar
facilmente a informao desejada).
Em vrios locais deste manual, aparecer o smbolo
seguido de uma frase
escrita em letras vermelhas. Isto significa que a frase em questo uma observao
muito importante e deve ser totalmente entendida antes de prosseguir com a leitura
do captulo.
Interface texto vs. Interface Grfica
O Aker Firewall possui duas interfaces distintas para sua configurao: uma
interface grfica remota e uma interface texto local.
A interface grfica
A interface grfica chamada de remota porque atravs dela possvel
administrar remotamente, via Internet, um Aker Firewall localizado em qualquer
parte do mundo. Esta administrao feita atravs de um canal seguro entre a
interface e o firewall, com um forte esquema de autenticao e criptografia, de
modo a torn-la totalmente segura.

Aker Security Solutions

23

A interface grfica de uso bastante intuitivo e est disponvel para plataformas


Windows e Linux.
A interface texto
A interface texto uma interface totalmente orientada linha de comando que
roda na mquina onde o firewall est instalado. O seu objetivo bsico
possibilitar a automao de tarefas da administrao do Aker Firewall (atravs da
criao de scripts) e possibilitar uma interao de qualquer script escrito pelo
administrador com o Firewall.
Praticamente todas as variveis que podem ser configuradas pela interface
grfica podero ser configuradas tambm pela interface texto.
Como as duas interfaces tratam das mesmas variveis, a funcionalidade, os
valores e os comentrios destas tm validade tanto para interface grfica quanto
para a interface texto. Devido a isso, os tpicos referentes interface texto
normalmente sero curtos e se limitaro a mostrar seu funcionamento. Caso
tenha dvida sobre algum parmetro, deve-se recorrer explicao do mesmo
no tpico relativo interface grfica.
No possvel o uso simultneo de vrias interfaces grficas para um mesmo
Firewall, nem o uso da interface texto enquanto existir uma interface grfica aberta.
O Firewall
Com a evoluo da Internet, o ambiente das aplicaes em nvel de routers, tornouse um ambiente dinmico que constantemente oferece novos protocolos, servios e
aplicaes. Os routers e proxies no so suficientes e no conseguem garantir a
segurana s diversas aplicaes da Internet ou cumprir as novas necessidades
empresariais, alto bandwidth e a exigncias de segurana de redes. Diante da
necessidade das organizaes em proteger suas redes, a Aker desenvolveu o Aker
Firewall.
A segurana que envolve a rede construda por um conjunto de programas e
tcnicas que tem por finalidade liberar ou bloquear servios dentro de uma rede
interligada Internet de forma controlada. Sendo o Firewall a parte mais importante
em um programa de segurana, no se deve esquecer a importncia de utilizar
ferramentas que auxiliam na deteco de brechas e vulnerabilidades dos sistemas
operacionais que esto em uso na rede, bem como, o uso de programas que
detectam intrusos ou ataques. importante tambm, saber qual ao a ser tomada
quando uma violao ou um servio importante parar.
Copyrights do Sistema
Copyright (c) 1997-2003 Aker Security Solutions;
Utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright
1995 Eric Young;
Aker Security Solutions

24

Utiliza o algoritmo AES implementao do Dr. B. R. Gladman


(brg@gladman.uk.net);
Utiliza o algoritmo MD5 retirado da RFC 1321. Copyright 1991-2 RSA Data
Security, Inc;
Utiliza a biblioteca CMU SNMP. Copyright 1997 Carnegie Mellon University;
Utiliza a biblioteca de compresso Zlib. Copyright 1995-1998 Jean-loup Gailly and
Mark Adler;
Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright 1997;
Inclui software desenvolvido pela Universidade da California, Berkeley e seus
colaboradores;
Inclui software desenvolvido por Luigi Rizzo, Universita` di Pisa Portions Copyright
2000 Akamba Corp;
Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan
Olsson;
Inclui software desenvolvido por Ericsson Radio Systems.

Aker Security Solutions

25

Instalando o Aker Firewall

Aker Security Solutions

26

2.

Instalando o Aker Firewall


Este captulo mostrar como se realiza a instalao do Aker Firewall, os requisitos
de hardware, software e instalao do Firewall e interface remota.

2.1. Requisitos de hardware e software

Para o firewall
O Aker Firewall 6.5 roda sobre o sistema operacional proprietrio, em plataformas
Intel ou compatveis.
Para que o Aker Firewall execute de maneira satisfatria todos os componentes de
hardware necessrio possuir as seguintes configuraes:
Computador Intel ou compatvel 1.0 Ghz ou superior;
Para utilizar um link com alta taxa de transferncia ou utilizar criptografia em um
link com velocidade relativamente alta, recomenda-se o uso de um computador
mais potente.
512 Mbytes de memria RAM;
Para fazer um grande uso dos servios de proxy e de criptografia, provavelmente
ser necessrio utilizar memria maior ou igual a 512 Mbytes.
20 Gbytes de espao em disco;
Para armazenar os logs do sistema por um grande espao de tempo recomendase o uso de um disco maior.
Leitor de CD-ROMou pen-driver USB, monitor, mouse e teclado;
Isso s necessrio durante a instalao ou caso se pretenda utilizar a interface
texto a partir do console, entretanto altamente recomendado em todos os
casos.
Placa(s) de rede.
No existe um nmero mximo de placas de rede que podem ser colocadas no
Firewall. A nica limitao existente a limitao do prprio hardware. Caso
necessite de um grande nmero de interfaces de rede, pode-se optar por placas
com mais de uma sada na mesma interface.
Para a interface grfica
Aker Security Solutions

27

A interface grfica de administrao do Aker Firewall roda em plataformas Windows,


Linux, em plataformas Intel ou compatveis.
Para que a interface grfica execute de maneira satisfatria os componentes de
hardware devem-se possuir as seguintes configuraes:
Computador Intel ou compatvel 1.3Mhz ou superior;
256 Mbytes de memria RAM;
2 Gbytes de espao livre em disco;
Monitor;
Mouse;
Teclado;
Placa de rede.
Todos os componentes do hardware devem ser suportados pelo sistema operacional
na qual a interface ser instalada, em alguma das verses aceitas pelo produto.
2.2. Instalando o Aker Firewall
O Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box. Sendo
comprado desta forma, o produto j vem instalado e pr-configurado. Caso tenha
optado por comprar apenas o software (verso IS), a instalao dever ser feita na
mquina escolhida, o que ser explicado neste tpico.
Para instal-lo deve-se iniciar a mquina com o CD-ROM de instalao ou com o
PEN-DRIVER que podem ser efetuado o download no site da Aker.
Para gravar o PEN-DRIVER, siga os passos abaixo:
1. Efetue o download do arquivo no site da Aker;
2. Verifique se o pen drive no Linux est com sdb, digite o comando como root.
#dmesg | grep sd ou #fdisk l sero mostradas as informaes de disco da
mquina e encontre o pen-drive.
3. Aps identificar em qual device o Linux montou o pen-drive, digite o comando
dd if=<nome do arquivo que fez o download> | gunzip | dd of=/dev/<device
que se encontra o pen-driver>.
Exemplo:
dd if=<aker-box-2.0-pt-installer.img.gz | gunzip | dd of=/dev/sdb
4. Pronto. Seu pen-driver um instalado dos produtos da Aker.

Os procedimentos a seguir devem ser realizados na mesma mquina que o


Firewall ser instalado:
1. Insira o dispositivo no seu hardware, em seguida reinicie o sistema;
Aker Security Solutions

28

2. Selecione qual produto deseja instalar: Aker Firewall, Aker Secure Mail
Gateway ou Aker Web Gateway;
3. Podem-se instalar os Produtos em HD ou flash, ou ainda, instalar em HD e
deixar a flash zerado. Para o caso de falha utiliz-la. Estas opes iro variar
de acordo com o modelo de BOX. OBS: Todos os dados do HD ou flash
sero requisitados ao efetuar este processo;
4. Ao iniciar o instalador ser exibido um Menu, onde podem ser instalado em
uma flash, ou em um HD;
5. Instalando em flash. Esse modo deve ser utilizado em caso de problemas no
HD. Caso voc possua um Agente (Antivrus, AWCA, Spam Meter), ele ser
desativado
6. Instalando o Firewall em um HD. Modo recomendado. Os funcionaram com
todas as suas funcionalidades.
Aps reiniciar a mquina o programa fwinst o responsvel por efetuar a instalao
e a configurao do sistema para a execuo do Aker Firewall. Ao ser executado,
ele mostrar a seguinte tela:

Firewall Aker v6.5 - Programa de Instalao


Este programa realiza a Instalao do Firewall Aker 6.5 e da interface texto de
configuracao local.
Deseja prosseguir com a Instalao do firewall (S/N) ?

Aps responder Sim, o programa de instalao mostrar a licena de uso do Aker


Firewall . Para prosseguir, necessrio aceitar todos os termos e condies
contidas na licena. Caso sejam aceitos, o programa prosseguir com a instalao
mostrando seu progresso atravs de uma srie de mensagens auto-explicativas.
Aps terminar de copiar os arquivos, o programa de instalao far algumas
perguntas de modo a realizar a configurao especfica para cada sistema.
Ser mostrada a seguinte tela:

Aker Security Solutions

29

Figura 1. Termo de Licena.

Aps responder Sim, ser instalado todas as dependncias necessrias para que o
Aker Firewall funcione.
A prxima janela

Firewall Aker v6.5 - Programa de Instalao


Configurao do sistema completada. E necessrio agora ativar a cpia instalada
atravs da digitao da chave de ativao que foi entregue ao se adquirir o produto.
A chave de ativacao, o nome da empresa e o endereco IP da interface externa
deverao ser digitados exatamente como constam no documento entregue pela Aker
Consultoria e Informatica ou seu representante.
Pressione enter para continuar
Aps digitar enter, o programa mostrar uma tela solicitando o caminho onde o
arquivo da chave de ativao est salvo.
Caso a chave seja vlida, o programa prosseguir com a instalao.

Firewall Aker v6.5 - Programa de Instalao


necessario se definir o nome da interface de rede externa do firewall Os
enderecos IP que se originarem desta interface nao serao contabilizados no numero
maximo de licencas do produto.
A interface externa deve assumir um dos seguintes valores:
Aker Security Solutions

30

eth0
eth1
eth2
Entre a interface externa:
A configurao da interface externa usada apenas para o controle de licenas do
firewall. Deve-se informar o nome da interface que estar conectada Internet.
A especificao da interface externa no possui nenhuma implicao de segurana.
Nenhum controle de acesso feito levando-se em conta esta interface.

Firewall Aker v6.5 - Programa de Instalao


Ativacao do sistema completada. Vamos agora para a configuracao de alguns
parametros do Firewall Aker:
Voc pode cadastrar agora um endereo IP para possibilitar que o firewall seja
administrado remotamente a parit de uma outra mquina.
Deseja cadastrar este IP (S/N).
Aps responder Sim, digite o endereo IP da mquina onde est instalado o Aker
Control center.

Firewall Aker v6.5 - Programa de Instalao


Eu posso cadastrar automaticamente um administrador capaz de gerenciar
remotamente o firewall. Este administrador tera plenos poderes em relacao firewall e
a partir dele novos usuarios poderao ser cadastrados.
Obs: Se voce nao cadastrar um administrador nao podera administrar o firewall a
partir da interface grafica, apenas atraves da interface texto local.
Voce deseja criar este administrador (S/N)?
Para que seja possvel administrar o firewall a partir da interface grfica
necessrio cadastrar um administrador, devendo-se responder S a esta pergunta.
De qualquer forma possvel cadastrar posteriormente outros administradores
atravs das interfaces locais de administrao. A explicao de como fazer isso, se
encontra no captulo intitulado Administrando usurios do firewall.

Aker Security Solutions

31

Caso tenha optado por incluir um novo administrador, ser mostrada a tela pedindo
os dados do administrador a ser cadastrado. Um exemplo desta tela se encontra
abaixo (cabe mencionar que a senha do administrador a ser cadastrado no ser
mostrada na tela).

Firewall Aker verso 6.5


Mdulo de administracao de usurios remotos Incluso de usurio
Entre o login: administrador
Entre o nome completo: Administrador do Firewall Aker
Entre a senha (6-14):
Confirme a senha:
Confirma inclusao do usuario? (S/N)
Aps se ter ou no includo o administrador, ser mostrada uma mensagem
perguntando sobre o cadastro de um segredo compartilhado para administrao do
Firewall atravs do Aker Configuration Manager. Se voc no tem este produto,
responda no, caso contrrio consulte o manual do mesmo.
Finalmente, ser mostrada uma mensagem indicando o trmino da instalao e
solicitando que a mquina seja reinicializada para ativar o Aker Firewall. Ao se
reinicializar a mquina, o firewall j entrar em funcionamento automaticamente e
poder ser configurado remotamente.
A senha digitada deve conter de 6 a 14 caracteres.

2.3. Instalando a interface remota

Em plataformas Windows
Para instalar as interface remota nas plataformas Windows XP ou superio, deve-se
colocar o CD-ROM do Aker Security Suite no drive e seguir as instrues que
aparecero na tela.
Caso a opo de auto-execuo esteja desabilitada, deve-se executar os seguintes
passos:
1. Clicar no menu Iniciar;
Aker Security Solutions

32

2. Selecionar a opo Executar;


3. Ao
ser
perguntado
sobre
qual
programa
executar,
digitar
D:\br\control_center\AkerRemoteDesktop-br-win-6.5 (Caso o leitor de CDROM seja acessado por uma letra diferente de D, substitu-la pela letra
equivalente, no comando anterior).
Ao trmino da instalao, ser criado um grupo chamado Aker, no menu Iniciar.
Para executar a interface remota, basta selecionar a opo Firewall 6.5 GUI dentro
deste grupo.
Em plataformas Linux
Para instalar a interface remota em plataformas Linux necessrio que os pacotes
da biblioteca QT estejam previamente instalados.
A interface grfica para plataformas Linux distribuda em pacotes BIN. Para
instal-la, proceda da seguinte forma:
1. Coloque o CD-ROM no drive e monte-o, atravs do comando mount
/mnt/cdrom;
2. Execute o comando: sh /mnt/cdrom/br/control_center/<nome das interfaces>;
3. Siga as instrues do instalador.
O nome do pacote a ser instalado pode mudar conforme a verso do Linux no
qual a interface ser instalada. Verifique o contedo do diretrio
/mnt/cdrom/br/control_center/ para ver os nomes de todos os pacotes e
selecionar o mais adequado.

Aker Security Solutions

33

Utilizando o Aker Control Center

Aker Security Solutions

34

3.

Utilizando o Aker Control Center


Neste captulo ser mostrado o funcionamento da interface grfica remota de
administrao do Aker Firewall.

O que a administrao remota do Aker Firewall?


O Aker Firewall pode ser totalmente configurado e administrado remotamente a
partir de qualquer mquina que possua um sistema operacional compatvel com
uma das verses da interface remota, que tenha TCP/IP e que consiga acessar a
mquina na qual o firewall se encontra. Isto permite um alto grau de flexibilidade e
facilidade de administrao, possibilitando que um administrador monitore e
configure vrios firewalls a partir de sua estao de trabalho.
Alm dessa facilidade, a administrao remota permite uma economia de recursos
na medida em que possibilita que a mquina que rode o firewall no possua monitor
e outros perifricos.
Esta comunicao entre a interface remota e os produtos Aker criptografada com
uma chave de 256 bits.
Como funciona a administrao remota do Aker Firewall?
Para possibilitar a administrao remota existe um processo rodando na mquina do
firewall responsvel por receber as conexes, validar os usurios e executar as
tarefas solicitadas por estes usurios. Quando um usurio inicia uma sesso de
administrao remota, a interface grfica estabelece uma conexo com o mdulo de
administrao remota do firewall e mantm esta conexo aberta at que o usurio
finalize a sesso.
Toda a comunicao entre a interface remota e o firewall feita de maneira segura,
para cada sesso so geradas novas chaves de criptografia e autenticao. Alm
disso, so empregadas tcnicas de segurana para impedir outros tipos de ataques,
como por exemplo: ataques de repetio de pacotes.
Seguem comentrios sobre algumas observaes importantes da administrao
remota:
Para que a interface remota consiga se conectar ao firewall precisa da adio de
uma regra liberando o acesso TCP para a porta 1020 a partir da mquina que
deseja se conectar. Informaes de como fazer isso se encontram no captulo
intitulado: O Filtro de Estados.
1. S possvel a abertura de uma conexo de administrao remota em um
determinado instante. Se j existir uma interface conectada, pedidos
Aker Security Solutions

35

subseqentes de conexo sero recusados e a interface remota informar que j


existe uma sesso ativa.
2. Cada um dos usurios que for utilizar a interface remota deve estar cadastrado
no sistema. O programa de instalao pode criar automaticamente um
administrador com poderes para cadastrar os demais administradores. Caso
tenha eliminado este administrador ou perdido sua senha necessrio o uso do
mdulo local da interface grfica ou da interface texto para criar um novo
administrador. Detalhes de como fazer isso se encontram no captulo intitulado:
Administrando Usurios do Firewall.
Como utilizar a interface
A interface bastante simples de ser utilizada, entretanto, existe uma observao
que deve ser comentada:
O boto esquerdo e direito do mouse, tem funes diferentes na interface. O boto
esquerdo usado para selecionar entradas em uma lista e para clicar em botes. O
boto direito tem como funo mostrar um menu de opes para uma determinada
lista.
3.1. Iniciando a interface remota
Para iniciar a execuo da interface grfica remota deve-se executar um dos
seguintes passos:
Em mquinas Windows, clicar no menu Iniciar, selecionar o grupo Aker, dentro
deste grupo selecionar o sub-grupo Aker Control Center e clicar no cone Aker
Control Center 2.
Em Linux deve-se acessar o diretrio de instalao do Control Center e executar o
seguinte script 'aker_control_center2_init.sh'.
Ser mostrada a seguinte janela:

Aker Security Solutions

36

Figura 2. Interface do Aker Control Center.

A janela mostrada acima a janela principal do Aker Firewall e a partir dela que se
tem acesso a todas as opes de configurao, inclusive da ativao da licena do
Firewall. Sem ativao da licena no ser possvel realizar as configuraes
subseqentes.
No primeiro acesso os dados referentes licena aparecem todos em branco e
habilitados para que o Administrador possa carreg-lo. A licena de uso consta em
um arquivo, que aps clicar no boto "Carregar", ser indicado e assim que
confirmado o carregamento dos dados, a janela ser aberta com todos os dados da
licena atual, logo surgir uma janela confirmando e reiniciar o firewall.
Portanto clique no boto "Carregar", no canto superior direito da interface:
A interface grfica remota composta de 4 menus descritos brevemente abaixo
(quando existe um firewall selecionado, um quinto menu mostrado com opes
especficas para o mesmo):
Opes
O menu Opes contm as configuraes relacionadas ao layout da interface
grfica. Ao clicar neste menu, aparecero as seguintes opes:
Aker Security Solutions

37

Textos nos botes: marcando esta opo ser mostrada juntamente com
cada cone a ao correspondente do boto. Desmarcando esta opo, ser
mostrado apenas o cone.
Dicas para Entidades: quando esta opo estiver ativada, uma pequena
caixa com a descrio de cada entidade ir aparecer quando o mouse for
passado sobre seu cone.

Figura 3. Caixa de descrio de entidade.

Ajuda Rpida: esta opo ativa o help contextual automtico para cada
janela.
Mostrar cones nos botes: esta opo, se ativada, faz com que sejam
mostrados cones nos botes Ok, Cancelar e Aplicar das janelas.
Tempo de sesso ociosa: Permite definir o tempo mximo, em minutos, que
a interface permanecer conectada ao firewall sem receber nenhum
comando do administrador. Assim que este tempo limite for atingido, a
interface automaticamente ser desconectada do firewall, permitindo que
uma nova sesso seja estabelecida. Seu valor pode variar entre 1 e 60. A
caixa "Sem limite" quando estiver marcada no desconectar a interface do
firewall.
Valor padro: 1 minuto.
Sair: fecha a janela da interface grfica.
Firewalls
Este menu serve para cadastrar mais firewalls na interface grfica de modo que
possibilite simultaneamente a administrao de diversos Aker Firewalls. Com a
interface conectada a mais de um firewall simultaneamente, possvel usar a
facilidade de arrastar e soltar as entidades e regras entre firewalls, de modo a
facilitar a replicao de determinadas configuraes entre eles. Este menu ser
descrito em detalhes mais abaixo.
Janelas
Este menu possui as funes de configurao das janelas abertas e da barra de
menu.
Barra de ferramentas: esta opo permite definir se a barra de ferramentas na
parte superior da janela principal ser mostrada ou no.
Janelas: esta opo permite mostrar ou no as janelas padro do sistema: ajuda,
firewalls e entidades.
Aker Security Solutions

38

Lado a Lado: selecionando esta opo, as janelas abertas do lado direito da


interface grfica se ajustam de forma que todas aparecem visveis.
Cascata: esta opo faz com que as janelas abertas no lado direito da interface
grfica fiquem posicionadas em forma de cascata, uma na frente da outra.
Inicialmente nem todas as opes dos menus se encontram habilitadas, por
funcionarem apenas quando houver uma conexo estabelecida. Para ter acesso s
demais opes deve estabelecer uma sesso de administrao remota com o
firewall que deseja administrar. Para tanto se devem seguir os seguintes passos:
Cadastrar o firewall selecionando o menu Firewalls e a opo Novo Firewall (veja
o item Cadastrando Firewalls logo a seguir)
Selecionar o firewall com o qual deseja-se conectar
Clicar na opo Conectar
Cadastrando Firewalls
Nesta seo demonstraremos como podemos cadastrar um (ou mais) firewalls.
Quando selecionamos a opo Novo Firewall dentro do menu Firewalls ou no cone
"Criar novo Firewall"
aparecer a seguinte janela. Nessa janela, poder
escolher o tipo de autenticao desejada. De acordo com cada opo a janela ser
alterada, mostrando os campos correspondentes.
Tipo de Autenticao: Usurio/Senha

Figura 4. Caixa de edio do dispositivo remoto.


Aker Security Solutions

39

Modo de demonstrao: Ao selecionar essa opo, ser criado um firewall de


demonstrao com uma configurao padronizada. Nenhuma conexo real ser
feita ao tentar se conectar neste firewall, podendo-se criar quantos firewalls de
demonstrao for desejado, cada um com a configurao distinta um do outro;
Nome: cadastrar o nome pelo qual o firewall ser referenciado na interface grfica;
Nome da mquina: Caso o servidor do Firewall no qual se deseja conectar possua
um nome associado ao IP da mquina, basta colocar este nome nesta opo para
que o Control Center resolva o DNS automaticamente e se conecte no servidor;
Endereo IPv4 e IPv6: cadastrar o endereo IP para conectar no firewall;
Usurio: esse campo identifica o usurio que acessar o firewall. Este campo grava
o usurio, onde aparecer todas as vezes que o firewall for acessado.
Senha: a senha do usurio. Caso deixe a caixa Salvar senha marcada, no ser
necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como
vrios asteriscos "*"). Caso ela esteja desmarcada, este campo estar desabilitado.
A cada 3 tentativas invlidas, o cliente bloqueado de acessar a Control Center
por 3 minutos. A cada tentativa invlida gera-se um evento "Excesso detentativas
invalidas. IP bloqueado", do mdulo "Daemons do Firewall".
No final basta clicar em Ok e o firewall estar cadastrado, como o tipo de
autenticao selecionado. No caso de cancelar o cadastro do firewall, basta clicar
em Cancelar.

Aker Security Solutions

40

Tipo de Autenticao: X.509

Figura 5. Informaes requeridas para editar o Dispositivo Remoto.

Essa opo permite autenticao com certificao digital X509.


Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra
o Domnio (C.N) desse certificado.
Ao clicar no cone
o certificado. O cone

carrega-se um arquivo com extenso *.cer/*.crt que contm


mostra um resumo das informaes do certificado.

Certificado do Usurio: essa opo permite carregar um pacote de certificado no


formato PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado
e outro com a chave. Carrega um certificado com uma senha e a outra senha para
salvar o arquivo da chave, salvando assim, de forma encriptada.
Senha: Senha com a qual a chave primria foi salva. Se informar (cadastro), decifra
a chave e manda para o firewall fazer a autenticao. Caso deixe a caixa Salvar
senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a
senha aparecer na tela como vrios asteriscos "*"). Caso ela esteja desmarcada,
este campo estar desabilitado.
Alterar Senha: Altera a senha cadastrada no campo senha.
Aker Security Solutions

41

Tipo de Autenticao: Agente externo usurio/senha

Figura 6. Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo Remoto.

Essa opo permite autenticao por meio de Agentes Externos.


Usurio: O usurio que acessar o firewall. Este campo grava o usurio, onde
aparecer todas as vezes que o firewall for acessado.
Domnio: Nome do domnio no qual o agente externo est rodando
Senha: A senha do usurio. Caso deixe a caixa Salvar Senha marcada, no ser
necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como
vrios asteriscos "*"). Caso ela esteja desmarcada, este campo estar desabilitado.
Fingerprint: um resumo da identificao do certificado digital do Firewall. Essa
opo possibilita ao usurio identificar quando tem uma mudana do firewall que se
costuma conectar.
Observao: Na primeira vez que h a tentativa da conexo no haver a
identificao do firewall. A partir da segunda vez todas s vezes que conectado
vai comparar com o fingerprint.

Aker Security Solutions

42

Eraser Fingerprint: Zera e comea do estado inicial. Se h uma troca do Firewall a


identificao ser diferente, ento no ser possvel a conexo, somente se clicar
no erase fingerprint.
Depois de cadastrarmos o firewall, pode-se clicar duas vezes no cone do firewall
criado, no lado esquerdo da janela, ou clicar uma vez para selecion-lo e, em
seguida, no boto Conectar
que far com que a interface se conecte ao
firewall escolhido, como mostrado na figura abaixo:

Figura 7. Interface conectada ao Firewall escolhido.

Caso no seja possvel estabelecer a sesso de administrao, ser mostrada uma


janela com o erro que impossibilitou sua abertura. Neste caso, existem vrias
mensagens possveis. Abaixo esto listadas as mensagens de erro mais comuns:
Aker j sendo utilizado por outra interface

Aker Security Solutions

43

O Aker Firewall s permite a existncia de uma sesso de administrao em um


determinado instante. Se esta mensagem for mostrada, significa que j existe uma
outra interface remota conectada ou um mdulo de administrao local sendo
utilizado.
Erro de rede ou conexo encerrada pelo servidor
Este um erro genrico e pode ter uma srie de causas. A sua causa mais comum
um erro na digitao do login ou da senha. Se o login do usurio no estiver
cadastrado ou sua senha estiver errada, o servidor encerrar a conexo. Verifique
primeiramente se o seu login e sua senha foram digitados corretamente. Caso o
erro continue, siga a seguinte seqncia de passos:
1. Verifique se o usurio que est tentando se conectar est cadastrado no sistema
e se a sua senha est correta (para fazer isso, utilize o mdulo local de
administrao de usurios. Veja o captulo intitulado Administrando usurios do
firewall).
2. Verifique se a rede est funcionando corretamente. possvel fazer isso de
vrias formas, uma delas utilizando o comando ping. (No se esquea de
acrescentar uma regra liberando os servios ICMP echo request e echo reply
para a mquina que se est testando em direo ao firewall, caso v utilizar o
ping. Para aprender como fazer isso, veja o captulo intitulado O Filtro de
Estados). Se isso no funcionar, ento a rede est com problemas de
conectividade e isto deve ser corrigido antes de tentar a administrao remota.
Caso funcione, veja o passo 3.
3. Verifique se existe uma regra cadastrada liberando o acesso a partir da mquina
que queira conectar ao firewall, utilizando o servio Aker (TCP, porta 1020).
Caso no exista, insira esta regra (para aprender como fazer isso, veja o captulo
intitulado O Filtro de Estados).
3.2. Finalizando a administrao remota
Existem trs formas de finalizar a administrao remota do Aker Firewall:
Finalizando a sesso clicando com o boto direito do mouse no firewall conectado e
selecionando Desconectar do dispositivo remoto;

Figura 8. Finalizador de administrao remota do Aker Firewall (Desconectar do dispositivo remoto).


Aker Security Solutions

44

Clicando em Desconectar do firewall na barra de ferramentas ou


Fechando a interface grfica remota. Neste caso voc perder a conexo com todos
os firewalls que estiverem conectados.
Caso queira sair do programa, deve-se clicar no boto Sair
na barra de
ferramentas da janela principal ou clicar no "x" no canto superior direito da janela.
3.3. Mudando sua senha de usurio
possvel para qualquer usurio do Aker Firewall alterar a sua senha sempre que
desejado. Para tanto deve-se primeiro estabelecer uma sesso de administrao
(como mostrado no tpico Iniciando a interface remota) e aps isso executar os
seguintes passos:

Figura 9. Dispositivos remotos (realizar mudana de senha).

Selecionar o firewall a ser configurado.


Clicar em Ferramentas.
Clicar duas vezes em Mudar senha.
Ser mostrada ento a seguinte janela:

Aker Security Solutions

45

Figura 10. Mudar Senha (inserir senha antiga, a nova senha e confirmao da mesma).

Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos
campos Nova senha e Confirmar a nova senha (as senhas aparecero na tela
como vrios asteriscos "*").
Aps preencher os campos, deve-se pressionar o boto OK, para alterar a senha ou
o boto Cancelar, caso no queira mud-la.
Os campos Senha antiga, Nova Senha e Confirmar senha, devem conter de 6
a 14 caracteres.
3.4. Visualizando informao de sesso
possvel a qualquer momento visualizar algumas informaes sobre a sesso de
administrao ativa. Para isso existe uma janela especfica que mostra informaes
teis como: login, nome e direitos do usurio que est administrando o firewall e a
verso e o release do Aker Firewall que estiver sendo administrado. So mostradas
tambm a hora de incio da conexo e h quanto tempo ela est ativa. Para abrir
esta janela, execute os seguintes passos:

Aker Security Solutions

46

Figura 11. Dispositivos remotos (visualizar informaes da sesso).

Selecionar o firewall a ser configurado.


Clicar em Informao.
Clicar duas vezes em Informao de sesso.
Ser mostrada ento a seguinte janela:

Aker Security Solutions

47

Figura 12. Informao da sesso (mostra dados do Firewall, Licena e Usurio).

3.5. Utilizando a ajuda on-line e a Ajuda-Rpida


O Aker Firewall possui uma ajuda on-line bastante completa. Ela mostrada em
uma janela ao final da interface grfica. Esta janela pode ser escondida ou
mostrada, sendo possvel escolher qual das duas formas atravs do menu Janelas,
Sub-menu Janelas, opo Ajuda.
A ajuda on-line consiste no contedo deste manual mostrado de forma sensvel ao
contexto em relao janela de configurao do firewall ativa, ou seja, ser
mostrada a parte do manual que seja relevante para a janela que esteja
configurando.
A Ajuda - Rpida consiste em uma breve explicao sobre cada um dos itens dos
menus de configurao. Esta explicao mostrada em uma pequena janela,
abaixo dos menus, como destacado abaixo:

Aker Security Solutions

48

Figura 13. Apresentao da janela de ajuda.

possvel mostrar ou esconder a Ajuda-Rpida, bastando clicar na opo Ajuda


Rpida do menu Opes.

3.6. Utilizando as ferramentas da Interface Grfica

O que so as ferramentas da interface grfica do Aker Firewall?


As ferramentas so um conjunto de utilitrios presentes apenas na interface grfica
do Aker Firewall. Elas servem para facilitar a administrao do firewall, provendo
uma srie de funes bastante teis no dia-a-dia.

3.7. Chaves de Ativao


Esta opo permite atualizar a chave de ativao do Aker Firewall e dos demais
produtos que possam estar instalados juntos: Antivrus, Spam Meter, Secure
Roaming e Web Content Analyzer.
Para visualizar ou atualizar a licena, deve-se:
Clicar no boto Licena na barra de tarefas do firewall que estiver conectado.

Aker Security Solutions

49

A janela de ativao de licena

Figura 14. Informaes sobre ativao de licenas.

Esta janela apenas informativa. Nela so mostrados todos os produtos que esto
instalados junto com o firewall e os dados referentes licena de cada um deles.
Entre estes dados pode-se verificar a data de expirao, nmero de licenas, ID e a
data de expirao do IDS e etc, para cada produto.
Caso se deseje inserir uma nova licena, deve-se clicar no boto Carregar,
localizado na barra de tarefas. Esta opo abrir um dilogo onde se pode
especificar o arquivo de onde a nova chave ser carregada. No caso do Firewall
Box, caso exista mais de um produto instalado junto com o firewall, as chaves dos
produtos adicionais tambm sero atualizadas.
Da verso 6.0 do Aker Firewall em diante no mais possvel atualizar as
chaves de ativao do firewall digitando-as, apenas carregando-as a partir do
arquivo enviado pela Aker Security Solutions ou um de seus representantes
autorizados.

Aker Security Solutions

50

3.8. Salvar configuraes (backup)

Esta opo permite salvar a configurao completa do firewall na mquina onde


est administrando. No caso de algum desastre, pode-se facilmente restaurar esta
configurao posteriormente.
Para salvar as configuraes conecte em um dispositivo remoto e clique no cone
(Salvar um backup do item selecionado):

Figura 15. Salvar um backup do item selecionado.

Realizar o download das configuraes personalizadas e bases de treinamento dos


produtos:

Figura 16. Download das configuraes personalizadas e bases de treinamento.

Aker Security Solutions

51

Figura 17. Backup Informaes de log.

A janela para salvar configuraes:

Figura 18. Tela de escolha de arquivo para salvar configuraes.

Aps digitar o nome do arquivo salvo, deve-se clicar no boto Salvar. Caso no
queira mais gravar a cpia de segurana, deve-se clicar no boto Cancelar.
Esta opo permite restaurar a cpia de segurana da configurao completa do
firewall realizada atravs da opo anterior.
Aker Security Solutions

52

Salvar o backup automaticamente


Atravs da configurao a seguir salvo um backup completo do dispositivo remoto
todas as vezes que se conectar ao mesmo automaticamente, para ativa-la selecione
a opo Salvar o backup automaticamente conforme figura a seguir:

Figura 19. Salvar o backup automaticamente.

O local onde os backups ficaram salvos na pasta de instalao do Aker Control


Center.
3.9. Restaurar configuraes
Para restaurar uma cpia de segurana, deve-se:

Figura 20. Botes para restaurao de backup.

Clicar no firewall para o qual ser carregada a cpia de segurana.


Selecionar o item Carregar configuraes na barra de ferramentas ou no menu
com o nome do firewall selecionado.
Aker Security Solutions

53

A janela para carregar configuraes:

Figura 21. Escolha de arquivo para carregar dados de configurao.

Esta janela permite escolher o nome do arquivo de onde a configurao ser


restaurada. Aps seu nome ser especificado, o firewall ler todo seu contedo, far
vrios testes de consistncia e se o seu contedo estiver vlido ser carregado.
O boto Abrir far com que a cpia seja carregada e a configurao do firewall
imediatamente atualizada.
O Boto Cancelar far com que a janela seja fechada, porm a cpia de
segurana no seja carregada.
possvel escolher, no momento da restaurao do backup escolher quais
configuraes sero aplicadas no produto, agrupadas por similaridade.
Exemplo:
Regras;
Licena;
Certificados;
Base de dados temporrias;
TCP/IP;
Perfis de acesso.
Aker Security Solutions

54

Sendo possvel seleciona-las nas janelas a seguir:

Figura 22. Restaurao do backup do Antivirus Module.

Figura 23. Restaurao do backup do Aker Firewall.

Aker Security Solutions

55

Figura 24. Restaurao do backup do Spam Meter.

Figura 25. Restaurao do backup do Web Content Analyzer.

Ser exibida a verso do sistema quando da gerao do backup e alertas podem


ser exibidos em caso de incompatibilidade.

Aker Security Solutions

56

3.10.

Reinicializar Firewall

Esta opo serve para reinicializar o firewall, porm no deve ser utilizada em
condies normais de operao. A nica operao que exige a reinicializao do
firewall a carga de um algoritmo de criptografia externo.
Para reinicializar o firewall basta:

Figura 26. Reiniciar o Firewall.

Selecionar o firewall a ser reinicializado


Selecionar o item Reiniciar Firewall no menu com a opo Aes do firewall.

3.11.

Atualizaes

O que so atualizaes e onde consegui-las?


Como todo software, o Aker Firewall pode eventualmente apresentar bugs em seu
funcionamento. medida em que estes problemas so resolvidos, a Aker produz
um arquivo que permite a atualizao de seu Aker Firewall e a eliminao destes
erros. Algumas vezes tambm so adicionadas determinadas caractersticas novas
em uma verso j existente, de modo a aumentar sua performance ou aumentar sua
flexibilidade.
Em ambos os casos, os arquivos de atualizao ou correo so disponibilizados de
forma gratuita no site da Aker: basta procurar o menu Download e selecionar a
opo Correes e Atualizaes. Estes arquivos so sempre cumulativos, ou seja,
necessrio apenas baixar a ltima verso disponvel e esta incluir as correes
presentes nos arquivos de correo/atualizao anteriores.
A janela de atualizaes
Esta opo permite aplicar uma atualizao ou correo do Aker Firewall
remotamente, atravs da interface grfica. possvel tambm atualizar
completamente a verso do produto.
Para ter acesso janela de atualizaes deve-se clicar no cone
localizado na
barra de ferramentas, automaticamente a janela ser aberta, para que sejam
escolhidas as atualizaes a serem aplicadas.
Aker Security Solutions

57

Essa janela se divide em duas abas: Atualizao e Histrico, conforme explicadas


a baixo:
Aba Patch

Figura 27. Sistema de atualizao de dados do Firewall.

Por meio dessa janela possvel visualizar o status atual das


atualizaes/correes aplicadas no Web Gateway. Caso se trate de cluster a janela
apresentar as informaes das mquinas que o compem. Possui os seguintes
campos:
Id: Refere-se identificao das mquinas que compe o cluster.
Nome: Refere-se ao apelido atribudo s mquinas.
Restaurao: Este campo informa se a ltima atualizao aplicada pode ser
desfeita.

Aker Security Solutions

58

As atualizaes aplicadas por meio dos Patches e dos Hotfixes so alteraes que
podem ser desfeitas. Essa opo permite desfazer a ltima atualizao aplicada na
mquina, seja hotfix ou patch. Deve-se observar que as alteraes so desfeitas
uma por uma, ou seja, se a verso j estiver no Patch 3, e deseja-se voltar a verso
inicial, deve ser desfeito o patch 3, depois o patch 2, e assim por diante.
ltima atualizao: Identificao do ltimo patch aplicado no membro do cluster.
Hotfixes: Lista de hotfixes aplicados dentro do patch. Nessa lista, mostra a ordem
direta de aplicao dos hotfixes.
O hotfix uma pequena atualizao ou correo feita para um patch especfico.
Pode ser aplicado independente da ordem, o que no acontece com o patch, que
deve ser aplicado na ordem seqencial de atualizao.
Caso a atualizao ou correo sejam destinadas a uma verso diferente de
sistema operacional ou de verso do Aker Web Gateway, ento o boto Aplicar
ficar desabilitado, no permitindo sua aplicao.
Para carregar um arquivo de atualizao ou correo deve-se clicar no cone
que se encontra na barra de ferramentas. Com isso aberta uma janela, que
permite carregar um arquivo de atualizao do patch ou do hotfix, conforme mostra
a figura abaixo.

Aker Security Solutions

59

Figura 28. Escolha do arquivo para atualizao ou correo.

Para aplicar o arquivo de atualizao/correo, deve-se primeiramente selecionar


uma mquina na aba Patch, e logo em seguida clicar no cone
ou o hotfix seja aplicado.

para que o patch

Caso queira aplicar o rollback, pelo menos uma mquina deve ser selecionada na
aba Patch, e logo em seguida deve-se clicar no cone
, sendo que essas
alteraes sero desfeitas uma a uma, na sequncia que foram atualizadas.
Para aplicar rollback em mais de uma mquina ao mesmo tempo, as mesmas
devem estar com a mesma atualizao, por exemplo: todas esto com a verso
patch 3, e quer voltar para o patch 1.
Aba Histrico

Aker Security Solutions

60

Figura 29. Visualizao de histricos de aplicao de patches e hotfixes.

Essa aba permite, visualizar todo o histrico das aplicaes dos patches e hotfixes.
A aba composta dos seguintes campos:
ID: Mostra a identificao da mquina de onde foi feita a atualizao.
Usurio: Indica o usurio que aplicou a atualizao.
Restaurao: Indica se pode ser ou no desfeito a atualizao.
Data: Indica a data que foi feita alguma aplicao de patch ou hotfix.
A expresso "Verso Corrente" significa que no foi aplicado nenhuma patch.
Observao: Ao clicar no boto OK, o Patch ou o Hotfix no so aplicados,
somente fechada a janela.

Aker Security Solutions

61

3.12.

Mdulo de atualizao automtica Aker Update System (AUS)

O Aker Update System tem como funo disponibilizar os pacotes de atualizao de


todos os produtos da Aker no diretrio do Control Center. O sistema funciona de
forma inteligente, onde ele trar somente a ltima verso para pacotes integrados
com o Control Center, os ltimos patchs e hotfix.
Acesso as janelas de configurao
Existem 3 formas de configurar o Mdulo de Atualizao:
Primeira opo:
Selecionar o produto Aker desejado;

Figura 30. Acessando o Aker Firewall.

Aker Security Solutions

62

Caso tenha atualizao disponvel, aparecer a seguinte notificao no canto direito


inferior da tela do Control Center: Atualizaes prontas.

Aker Security Solutions

63

Figura 31. Notificao sobre atualizaes disponveis no Aker Update System.

Clicar com o boto esquerdo do mouse sobre a mensagem e aparecer a tela


Notificador de Instalao de Atualizaes. Deve-se escolher individualmente
as atualizaes a serem instaladas e clicar no boto OK.

Aker Security Solutions

64

Figura 32. Visualizando atualizaes disponveis atravs do Aker Update System.

Em seguida aparecer a seguinte tela: Sistema de Atualizao. Onde na parte


de Patch e possvel assinalar os itens ao qual deseja se aplicar as mudanas (na
parte descrio possvel saber o que cada uma corresponde) e informaes sobre
o pacth . Basta escolher a opo desejada e clicar em OK. A atualizao ser
realizada automaticamente, caso queria realizar mais de uma, deve-se repetir o
procedimento acima.

Segunda opo:
Selecionar o produto Aker desejado;

Aker Security Solutions

65

Figura 33. Acessando o Aker Firewall.

Clicar com o mouse no boto de Atualizaes localizados do canto inferior direito


da tela da Control Center e escolher uma das duas opes: Atualizaes para
instalar ou Atualizaes para baixar.

Aker Security Solutions

66

Figura 34. Acessando as janelas do Aker Update System.

Terceira opo
Selecionar o produto Aker desejado;

Aker Security Solutions

67

Figura 35. Acessando o Aker Firewall.

Clicar no cone Ajuda e escolher uma das trs opes:


Configurao de Atualizao Automtica: as atualizaes sero realizadas
constantemente conforme tempo estipulado;
Janelas de Atualizaes: tem a opo de abrir as Janelas de Download ou
Janelas de Instalao.
Realizar a busca por atualizaes:

Aker Security Solutions

68

Figura 36. Acessando as janelas do Aker Update System.

3.13.

DNS Reverso

DNS reverso utilizado para resolver nomes de mquinas a partir de endereos IP.
A janela de resoluo de DNS reverso do Aker Firewall serve para prover resoluo
de endereos sem a necessidade de utilizao de programas adicionais.
Para ter acesso a janela de resoluo de DNS reverso, deve-se:

Aker Security Solutions

69

Figura 37. Janela de DNS reverso.

Clicar no menu Ferramentas da janela de administrao do firewall.


Selecionar o item DNS Reverso.

Aker Security Solutions

70

A janela de resoluo de DNS reverso

Figura 38. DNS reverso.

Esta janela consiste de um campo para digitar o endereo IP que deseja resolver e
uma lista com os endereos IP j resolvidos anteriormente.
O boto OK far com que a janela seja fechada.
A opo Mostrar todos se estiver marcada, far com que sejam mostrados
todos os endereos j resolvidos na lista na parte inferior da janela.
Para resolver um endereo, deve-se digit-lo no campo e pressionar o boto DNS
Reverso. Neste momento o endereo ser mostrado na lista na parte inferior da
janela, junto com o status da resoluo. Aps algum tempo, ser mostrado o nome
da mquina correspondente ao endereo ou uma indicao de que o endereo
informado no possui DNS reverso configurado.

3.14.

Simulao de Regras de Filtragem

As varreduras de regras permitem ao administrador testar a configurao das regras


de filtragem do firewall atravs de uma simulao de tentativas de conexes. Ao
analisar o resultado desta simulao, possvel verificar se o firewall est realmente
bloqueando as conexes que no devem ser aceitas e permitindo a passagem das
que devem.
Aker Security Solutions

71

Para ter acesso a janela de varreduras, deve-se:

Figura 39. Janela de acesso a Simulao de Regras de Filtragem.

Clicar no menu Ferramentas da janela de administrao do firewall.


Selecionar o item Simulao de regras de filtragem.
A janela de varredura de regras
possvel alternar entre a varredura por endereos IP ou por entidades. A
varredura por entidades til quando j tem cadastradas no sistema todas as
mquinas, redes e servios que sero utilizados. A varredura por IP mais indicada
quando deseja utilizar mquinas, redes ou servios que no esto cadastrados e
que no deseja cadastrar (por exemplo, mquinas externas que no sero utilizadas
em nenhuma regra de filtragem).

possvel selecionar para origem, destino e servios, independentemente, se


devem ser utilizadas entidades ou no. Para alternar entre os dois modos de
operao basta clicar nos cones correspondentes esquerda de cada um destes
campos.
Aker Security Solutions

72

Varredura por IP
Quando a opo Varrer por IP estiver selecionada, a janela de varreduras ter o
seguinte formato:

Figura 40. Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e mscaras).

Os campos IP e Mscara, dentro de Origem do Pacote, permitem especificar a faixa


de mquinas a serem utilizadas como origem das conexes simuladas. Os campos
IP e Mscara, dentro de Destino do Pacote especificam a faixa de mquinas a
serem utilizadas como destino.
O campo Servio permite especificar o protocolo e a faixa de portas a serem
simuladas.
No caso dos protocolos TCP e UDP, os valores dos servios so as portas
destino; no caso do ICMP so o tipo de servio e no caso de outros protocolos o
valor do protocolo.
O campo Dia/Hora permite que o administrador teste as regras para uma
determinada hora e dia da semana.

Aker Security Solutions

73

Varredura por Entidades


Quando a opo Varrer por Entidades estiver selecionada, a janela de varreduras
ter o seguinte formato:

Figura 41. Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e entidade).

O campo Origem do pacote permite especificar a entidade que ser usada na


origem das conexes simuladas.
O campo Destino do pacote especifica para qual entidade as conexes simuladas
devem se dirigir.
O campo Servio permite especificar o protocolo e a faixa de portas a serem
simuladas, atravs de uma entidade.
O campo Dia/Hora permite que o administrador teste as regras para uma
determinada hora e dia da semana.
S possvel selecionar uma entidade como origem, uma como destino e um
servio.

Aker Security Solutions

74

3.15.

Relatrios

Esta opo possibilita que o administrador imprima um relatrio de toda (ou de


parte) da configurao do firewall de forma fcil e rpida. Este relatrio bastante
til para fins de documentao ou de anlise da configurao.
Para ter acesso a janela de relatrios basta:
Clicar no firewall para o qual se deseja gerar o relatrio.
Selecionar a opo Aes na barra de ferramentas do firewall.
A janela Relatrio

Figura 42. Relatrio de configurao do firewall.

Esta janela consiste de vrias opes distintas, uma para cada parte da
configurao do firewall, que podem ser selecionadas independentemente. Para
gerar um relatrio, deve-se proceder da seguinte forma:
1. Marcar os itens que se deseja imprimir.
2. Clicar no boto Procurar e escolha o diretrio onde iro ser armazenadas as
pginas html.
3. Abrir o diretrio e selecionar o arquivo html para imprimir seu relatrio.
Caso queira cancelar a emisso do relatrio, basta clicar no boto Cancelar.

3.16.

Busca de Entidades

Esta opo permite que localize entidades que contenham um determinado


endereo IP, interface ou servio, bem como regras que contenham uma
determinada entidade.
Aker Security Solutions

75

Para ter acesso janela de localizao de entidades deve-se:

Figura 43. Janela de acesso a Busca de Entidades.

Clicar no menu Ferramentas da janela de administrao do firewall.


Selecionar o item Busca de entidade.
A janela de localizao de entidades
Esta janela consiste de trs abas onde cada uma responsvel por um tipo de
pesquisa diferente:

Aker Security Solutions

76

Aba Entidade

Figura 44. Busca de Entidades (procura de entidade com IP ou nome e ltimos resultados).

Esta aba permite localizar entidades pelo endereo IP informado ou pelo seu nome.
Procurar: inicia a busca a partir dos dados informados.
Fechar: fecha a janela de localizao de entidades.

Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como
resultado da pesquisa, a janela de edio correspondente ser aberta,
possibilitando que se edite seus valores rapidamente.

Aker Security Solutions

77

Aba Servio

Figura 45. Busca de Entidades - servios.

Esta aba permite localizar entidades do tipo servio que contenham o protocolo e o
servio especificados.
Procurar: inicia a busca a partir dos dados informados.
Fechar: fecha a janela de localizao de entidades.
Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como
resultado da pesquisa, a janela de edio correspondente ser aberta,
possibilitando que se edite seus valores rapidamente.

Aker Security Solutions

78

Aba Regras

Figura 46. Busca de Entidades - regras.

Esta aba permite localizar a regra que a entidade pertence.


Procurar: Este campo permite inicializar a busca a partir dos dados informados.
Fechar: Este campo permite fechar a janela de localizao de entidades.
Nesta aba sero carregadas apenas as entidades do tipo Mquina, Rede, Conjunto
e Servio.
Entidade: Ao selecionar uma entidade, uma busca ser realizada retornando o
nmero da regra a qual a entidade pertence. As regras podem ser: Regras VPN,
Regras de NAT, Regras de filtragem ou Regras de Filtragem dentro dos Perfis,
se a entidade procurada for do tipo Rede ou Mquina iniciada uma busca para
saber se ela est presente em alguma entidade do tipo Conjunto. Caso esteja, as
regras que contm essa entidade Conjunto e os tipos relacionados a ela, sero
mostradas e impressas no resultado da busca, e conseqentemente, as regras
que contiverem estes conjuntos tambm sero mostradas.
Ao clicar duas vezes sobre uma entidade ou regra, mostrada como resultado da
pesquisa (Entidades de Conjunto, Regras de Filtragem, Regras de NAT, Regra VPN
e Perfil) a janela de edio correspondente ser aberta, possibilitando editar os seus
valores rapidamente.

Aker Security Solutions

79

3.17.

Janela de Alarmes

Esta opo permite visualizar os alarmes gerados pelo firewall, quando esta opo
estiver marcada nas regras de filtragem ou na janela de aes.
Para ter acesso janela de alarmes deve-se:

Figura 47. Janela de acesso: Janela de Alarmes.

Clicar no menu Ferramentas da janela de administrao do firewall.


Selecionar o item Janela de alarmes.

Aker Security Solutions

80

A janela de alarmes

Figura 48. Janela de Alarmes - descrio.

Esta janela consiste de um campo de descrio com as entradas correspondentes a


ao executada pela regra de filtragem.
O boto Fechar far com que a janela seja fechada.
A opo No mostrar essa janela automaticamente, se estiver marcada, far
com que a janela no seja mostrada automaticamente quando ocorrer um
evento.
O boto Salvar grava as entradas em um arquivo de log do tipo texto.
O boto Apagar limpa todas as entradas contidas na janela.

3.18.

Visualizando a rede graficamente

O firewall dispe de um prtico sistema para visualizar a rede onde ele se insere de
forma grfica. Para ter acesso janela de visualizao grfica da rede, deve-se:

Aker Security Solutions

81

Figura 49. Janela de acesso - Mapa da Rede.

Clicar no menu Informao da janela de administrao do firewall.


Selecionar o item Mapa de Rede.
A janela a seguir aparecer:

Aker Security Solutions

82

Figura 50. Mapa da Rede.

O primeiro item representa o firewall, conectado as suas interfaces de rede. A cada


interface, conectam-se uma ou mais redes e roteadores, que se conectam a mais
redes distantes. Clicando em uma rede com o boto direito do mouse, aparecer um
menu listando as entidades que fazem parte da mesma, possibilitando ao usurio
edit-las.

Aker Security Solutions

83

3.19.

Visualizando estatsticas do sistema

A janela de estatsticas do sistema possui informaes sobre uso do processador e


uso de memria do sistema. Para ter acesso essa janela, deve-se:

Figura 51. Janela de acesso - Estatsticas do Sistema.

Clicar no menu Informao da janela de administrao do firewall.


Selecionar o item Estatsticas do Sistema.
A janela a seguir aparecer:

Aker Security Solutions

84

Figura 52. Estatsticas do Sistema.

Na parte superior da janela so mostradas as informaes de uso do CPU. Essas


informaes esto dividas em trs partes: porcentagem ociosa, porcentagem
dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo
usurio. A parte inferior da janela mostra a situao da memria do sistema em
Megabytes. Tambm est divida em trs partes: quantidade de memria livre,
quantidade de memria sendo usada e quantidade de memria armazenando
informaes em forma de cache.
A quantidade de memria no afeta de forma significativa a performance do
firewall. Entretanto, pode ocorrer queda de desempenho se o sistema possuir rea
de memria swap e estiver fazendo muito uso dessa, o que ir afetar apenas os
proxies.
Aker Security Solutions

85

importante observar que a memria cache no considerada memria usada. Ela


acessada apenas quando o sistema precisa reabrir um programa. Caso esse
programa ainda esteja em cache, a reabertura ser mais rpida. Porm, se o sistema
precisar de uma quantidade maior de memria livre, a rea usada para cache
liberada.

3.20.

Utilizando a janela de Sniffer de Pacotes

A janela de Sniffer do Aker Firewall permite ao administrador capturar pacotes de


uma ou mais conexes que estiverem trafegando pelo firewall. A grande vantagem
deste sniffer em relao utilizao de um tradicional que possvel capturar
pacotes em vrios pontos distintos dentro de uma interface: possvel ver os
pacotes como eles so recebidos (i.e., cifrados e com endereos convertidos) ou
exatamente antes ou depois da filtragem, o que faz com que sejam mostrados em
claro e com os endereos reais.
Para ter acesso janela de sniffer deve-se:

Figura 53. Acesso a janela: Sniffer de Pacotes.


Aker Security Solutions

86

Clicar no menu Ferramentas da janela de administrao do firewall.


Selecionar o item Sniffer de Pacotes.

A janela de Sniffer de Pacotes

Figura 54. Sniffer de Pacotes Sniffer 1.

Esta janela consiste de vrias abas. Cada uma das abas permite a captura de
trfego em uma interface distinta ou em pontos diferentes de uma mesma interface.
Para criar novas abas com sniffer deve-se clicar na ltima aba onde aparece o texto
Novo sniffer.
Para iniciar a captura, deve-se preencher os seguintes campos:
Onde capturar: Definir o ponto onde a captura deve ser realizada. As seguintes
opes esto disponveis:
Interface fsica: Definir que a captura deve ser feita exatamente como os pacotes
so recebidos pelo firewall
Antes da filtragem: Definir que os pacotes devem ser capturados imediatamente
antes de serem filtrados, i.e., aps serem decriptados e terem seus endereos
convertidos, se for o caso.
Aps filtragem: Definir que a captura ser feita apenas dos pacotes que passarem
pela filtragem e eles sero vistos decriptados e com seus endereos convertidos, se
for o caso.
Interface fsica: Definir qual a interface que ser utilizada para capturar os pacotes
Aker Security Solutions

87

Filtro: Este campo serve para definir o filtro que ser utilizado na captura dos
pacotes. O objetivo deste filtro limitar os pacotes recebidos somente ao que
interessa. Caso ele esteja em branco todos os pacotes sero capturados. A sintaxe
do filtro a mesma usada no popular programa tcpdump e todas suas opes so
suportadas. Um resumo das principais opes que podem ser utilizadas no filtro :
dir
Indica a direo em que a transferncia ocorrer, para e/ou do identificador. As
direes possveis so src, dst, src or dst e src and dst.
Exemplos:
``src foo''
``dst net 128.3''
''src or dst port ftp-data''
proto
Qualificador restrito a estipular um tipo particular de protocolo. As opes existentes
de protocolo so:
ether, ip, arp, rarp, tcp e udp.
Exemplos:
``ether src foo''
``arp net 128.3''
``tcp port 21''
Se no estipulado, todos os protocolos existentes em opo sero assumidos.
port port
Captura pacotes com a porta de origem ou de destino do pacote igual a port. Todas
as expresses de porta podem ser precedidas de tcp ou udp, assim:
tcp src port port
Capturar apenas pacotes tcp com porta de origem port.
O boto Travar seleo se estiver selecionado faz com que o pacote selecionado
fique sempre visvel na janela de captura.
O boto Iniciar captura inicia a captura de pacotes, porm envia o resultado
apenas para a janela.
O boto Capturar em arquivo inicia a captura de pacotes e grava os dados no
arquivo especificado. Este arquivo pode posteriormente ser aberto pela maioria dos
Sniffers tradicionais disponveis no mercado.
O boto OK encerra a captura e fecha a janela. Caso tenha capturado para um
arquivo, ele estar disponvel.

Aker Security Solutions

88

3.21.

Visualizando o Estado dos Agentes Externos

A janela de estado dos agentes externos puramente informativa e serve para


indicar ao administrador o estado dos Agentes Externos. Isso muito til quando se
quer configurar um novo agente externo ou para detectar a ocorrncia de possveis
problemas.
Para ter acesso janela de estado dos agentes externos deve-se:

Figura 55. Janela de acesso: Agentes Externos.

Clicar no menu Informao da janela de administrao do firewall.


Selecionar o item Agentes Externos.

Aker Security Solutions

89

A janela de agentes externos

Figura 56. Agentes Externos (nome, tipo e status).

Esta janela consiste de uma lista com o nome de todos os agentes extenos ativos
que sejam um dos seguintes tipos: Agentes de Antivrus, Agentes IDS,
Analisadores de URL, Autenticadores (Usurio/Senha, Token, RADIUS e LDAP),
Servidores de Log e SpamMeter.
Para cada agente listado sero mostradas as seguintes informaes:
Nome: Nome da entidade do nome do agente externo.
Tipo: Tipo do agente externo.
Status: Informa o estado atual da conexo com o agente externo. Os seguintes
estados podem ser mostrados nesta coluna:
Estado indefinido: Ainda no existem informaes disponveis sobre o estado
deste agente.
Conectado ao principal: O firewall conectou-se com sucesso ao IP principal do
agente externo.
Conectado ao primeiro backup: O firewall conectou-se com sucesso ao IP do
1 backup do agente externo. Por alguma razo ele no conseguiu inicialmente
conectar-se ao principal
Conectado ao segundo backup: O firewall conectou-se com sucesso ao IP do
2 backup do agente externo. Por alguma razo ele no conseguiu inicialmente
conectar-se ao principal nem ao 1 backup.
Erro de conexo: Existe um problema de comunicao com o agente externo.
Verifique os eventos para maiores informaes.
Aker Security Solutions

90

Erro interno: No foi possvel conectar-se ao agente externo por um problema


interno. Verifique os eventos para maiores informaes.
Vrus no detectado: Este estado s aparece nos agentes de antivrus e indica
que embora o firewall tenha conseguido se conectar corretamente ao agente, ele
no foi capaz de detectar o vrus de teste que o firewall enviou. Verifique a
configurao do antivrus.
IP do servidor: Endereo(s) IP(s) do agente externo no qual(is) o firewall est
conectado.
Para os servidores de log, alm dos estados Conectado ou Erro, haver mais um
estado: parcialmente conectado, que ocorrer quando mais de um servidor estiver
disponvel (primeiro e segundo backup) porm o agente no est conectado a todos
eles.

3.22.

Utilizando o verificador de configurao

O Verificador de Configurao uma janela que ser mostrada sempre que o


firewall for iniciado e suas configuraes iniciais ainda no estiverem completas. Ele
serve para chamar de forma simples os assistentes que realizam cada uma das
etapas principais de configurao do produto.
possvel tambm a qualquer momento chamar o Verificador de Configurao.
Para isso deve-se executar a seguinte seqncia de passos:

Aker Security Solutions

91

Figura 57. Janela de acesso: Verificador de Configurao.

Clicar no menu Ferramentas da janela de administrao do firewall.


Selecionar o item Verificador de Configurao.

A janela do verificador de configurao

Aker Security Solutions

92

Figura 58. Verificador de Configurao (Regras de Filtragem, Converso de endereo de rede (NAT),
Autenticao, Filtro web e Rede privada virtual (VPN).

Esta janela consiste de 5 grupos de configuraes distintas. Cada um dos grupos


mostrado em azul, caso sua configurao j tenha sido realizada ou em laranja caso
no tenha sido realizada. Em cada um dos grupos possvel clicar no link
assistente para invocar a execuo do assistente responsvel pela configurao do
grupo. No caso em que alguma configurao no venha a ser realizada nunca (por
exemplo, no caso de um firewall que no realizar VPN) possvel desabilitar a
checagem desta configurao marcando a caixa Parar a checagem automtica
das configuraes do grupo desejado.
O boto Aplicar salvar as opes de checagem e manter a janela aberta.
O boto OK far com que a janela seja fechada e as alteraes salvas.
Aker Security Solutions

93

O boto Cancelar fechar a janela e descartar as modificaes efetuadas.


Recomenda-se que a configurao seja feita na ordem em que os grupos se
encontram de cima para baixo.
3.23.

Ferramentas de Diagnstico

O Aker Firewall realizar testes bsicos de conectividade:


Ping na rota padro;
Ping em lugares conhecidos (Ex. DNS da Google);
Testes de DNS;
Teste de HTTP;
Comando traceroute;
Comando Netstat;
Comando Nslookup.
Ser retornado ao usurio o status do acesso Internet.

Figura 59. Janela de Diagnsticos.

Aker Security Solutions

94

Administrando usurios do
Firewall

Aker Security Solutions

95

4.

Administrando usurios do Firewall


Este captulo mostra-r como criar os usurios que iro administrar remotamente o
Aker Firewall.

O que so usurios do Aker Firewall?


Para que alguma pessoa consiga administrar remotamente o Aker Firewall preciso
ser reconhecida e validada pelo sistema. Esta validao feita na forma de senhas,
assim, para que ela seja possvel, cada um dos administradores dever ser
previamente cadastrado com um login e uma senha.
Alm disso, o Aker Firewall permite a existncia de vrios administradores distintos,
cada um responsvel por uma determinada tarefa da administrao. Isso, alm de
facilitar a administrao, permite um maior controle e uma maior segurana. no
cadastro de usurios que define as atribuies de cada um dos administradores.
4.1. Utilizando a interface grfica
Para ter acesso janela de administrao de usurios, na interface remota deve-se:

Figura 60. Janela de acesso - Usurios Administrativos.


Aker Security Solutions

96

Clicar em Configuraes do Sistema da janela do firewall que quer administrar.


Selecionar o item Usurios Administrativos.
Esta opo s estar habilitada se o usurio que estiver com a sesso aberta na
interface remota, tiver autoridade para gerenciar usurios. Isso ser comentado em
detalhes no prximo tpico.
A janela de Usurios Administrativos
Aba usurios internos

Figura 61. Janela de Usurios administrativos (Usurios internos).

Aker Security Solutions

97

Esta janela consiste de uma lista de todos os usurios atualmente definidos para
acesso administrao do firewall, alm de um segredo compartilhado (ou senha),
para administrao centralizada pelo Aker Configuration Manager. No havendo o
segredo compartilhado, a configurao ser apenas efetuada pelos usurios
cadastrados.
Para cada usurio mostrado seu login, seu nome completo e suas permisses.
O boto OK far com que a janela de administrao de usurios seja fechada e
as modificaes salvas.
O boto Aplicar far com que as alteraes realizadas sobre um determinado
usurio sejam aplicadas, isto , realizadas permanentemente, sem fechar a
janela.
O boto Cancelar fechar a janela de administrao de usurios e descartar
todas as alteraes efetuadas.
Quando um usurio for selecionado, os seus atributos completos sero
mostrados nos campos Permisses.
Para alterar os atributos de um usurio, deve-se proceder da seguinte forma:
1. Selecionar o usurio a ser alterado clicando sobre seu nome com o boto
esquerdo do mouse. Neste momento sero mostrados os seus atributos nos
campos aps a listagem de usurios.
2. Alterar o valor dos atributos desejados e clicar no boto Aplicar ou no boto OK.
A partir deste momento as alteraes sero efetivadas.
Para incluir um usurio na lista, deve-se proceder da seguinte forma:
1. Clicar com o boto direito do mouse em qualquer lugar da rea reservada para
mostrar a lista (aparecer o boto Inserir) e selecionar a opo Incluir no menu
pop-up ou clicar no cone
que representa a incluso na barra de
ferramentas.
2. Preenche os campos do usurio a ser includo e clicar no boto Aplicar ou no
boto OK.
Para remover um usurio da lista, deve-se proceder da seguinte forma:
1. Selecionar o usurio a ser removido, clicando sobre seu nome com o boto
esquerdo do mouse e clicar no cone
que representa a remoo na barra de
ferramentas, ou clicar com o boto direito do mouse sobre o nome do usurio a
ser removido e selecionar a opo Excluir no menu pop-up.
Significado dos atributos de um usurio
Login

Aker Security Solutions

98

a identificao do usurio para o firewall. No podem existir dois usurios com o


mesmo login. Este login ser pedido ao administrador do firewall quando este for
estabelecer uma sesso de administrao remota.
O login deve ter entre 1 e 14 caracteres. No h diferenas entre letras maisculas
e minsculas neste campo.
Nome
Este campo contm o nome completo do usurio associado ao login. Os seus
objetivos so de informao, no sendo usado para qualquer validao.
Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.
Senha
Este campo ser usado em conjunto com o campo login para identificar um usurio
perante o Aker Firewall. Ao digitar a senha, sero mostrados na tela asteriscos "*"
ao invs das letras.
O campo senha deve ter no mximo 14 caracteres. Seu tamanho mnimo
configurvel por meio da janela de parmetros da interface (para maiores
informaes veja o tpico Utilizando a interface remota). Neste campo, letras
maisculas e minsculas so consideradas diferentes.
extremamente importante que as senhas usadas tenham um comprimento
grande, o mais prximo possvel do limite de 14 caracteres. Alm disso, deve-se
sempre utilizar uma combinao de letras minsculas, maisculas, nmeros e
caracteres especiais nas senhas (caracteres especiais so aqueles encontrados no
teclado dos computadores e que no so nmeros nem letras: "$","&",]", etc).
Nunca use como senhas palavras em qualquer idioma ou apenas nmeros.
Confirmao
Este campo serve para confirmar a senha digitada no campo anterior, uma vez que
esta aparece como asteriscos.
Permisses
Este campo define o que um usurio pode fazer dentro do Aker Firewall. Ele
consiste de trs opes que podem ser marcadas independentemente.
O objetivo destas permisses possibilitar a criao de uma administrao
descentralizada para o firewall. possvel, por exemplo, numa empresa que possua
vrios departamentos e vrios firewalls, deixar um administrador responsvel pela
configurao de cada um dos firewalls e um responsvel central com a tarefa de
supervisionar a administrao. Este supervisor seria a nica pessoa capaz de
apagar e alterar a configurao de log e eventos dos firewalls. Desta forma, apesar
de cada departamento ter autonomia de administrao possvel ter um controle
Aker Security Solutions

99

central do que cada administrador alterou na configurao e quando ele realizou


cada alterao. Isto um recurso muito importante para realizar auditorias internas,
alm de aumentar a segurana da administrao.
Caso um usurio no possua nenhum atributo de autoridade, ento, esse ter
permisso apenas para visualizar a configurao do firewall e compactar os
arquivos de log e de eventos.
Configurao do Firewall
Se esta permisso estiver marcada, o usurio em questo poder administrar o
firewall, isto , alterar a configurao das entidades, regras de filtragem, converso
de endereos, criptografia, proxies e parmetros de configurao que no estejam
relacionados ao log.
Configurar Log
Se esta opo estiver marcada, o usurio em questo ter poderes para alterar os
parmetros relacionados ao log (como por exemplo, tempo de permanncia do log),
alterar a configurao da janela de aes (tanto as mensagens quanto os
parmetros) e apagar permanentemente o log e os eventos.
Administrar Usurios
Se esta opo estiver marcada, o usurio em questo ter acesso janela de
administrao de usurios, podendo incluir, editar e excluir outros usurios.
Um usurio que possuir esta autoridade somente poder criar, editar ou excluir
usurios com autoridades iguais ou menores s que ele possuir (por exemplo, se
um usurio tiver poderes de gerenciar usurios e configurar log, ento ele poder
criar usurios que no possuam nenhuma autoridade, que somente possam
configurar o log, que somente possam criar novos usurios ou que possam
gerenciar usurios e configurar log. Ele no poder nunca criar, nem editar ou
excluir, um usurio que possa configurar o firewall).
Permite conexo do Configuration Manager
Essa opo permite habilitar/desabilitar acessos ao Aker Firewall pelo Configuration
Manager. Ao habilitar conexes deve-se informar a senha que ser comum ao
firewall e o gerenciador (shared secret).

Aker Security Solutions

100

Aba Agentes Externos

Figura 62. Usurios Administrativos (configurao dos agentes externos).

Esta aba consiste na configurao dos agentes externos que sero utilizados para a
autenticao dos usurios que administram o firewall, definindo assim regras de
autenticao para o acesso destes.
Habilitar autenticao via agentes externos
Ao selecionar essa opo permite a autenticao dos usurios, por meio dos
agentes externos que esto cadastrados no firewall. Permite definir o autenticador
externo, qual o usurio/grupo que ele pertence, quais as suas permisses de
acesso e a definio das entidades que o usurio utilizar para conectar ao firewall.
Autenticador
Ao clicar com o boto direito em cima da opo autenticador, poder selecionar um
autenticador (agente externo) habilitados na Janela autenticao aba Mtodos. Esse
Aker Security Solutions

101

autenticador ser responsvel por intermediar o processo de autenticao da


interface com o firewall.
Usurio/Grupo
Os usurios e os grupos estaro relacionados ao autenticador escolhido. Pode-se
associar um usurio somente ou um grupo deles.
Permisses
Este campo define o que um usurio pode fazer dentro do Aker Firewall. Ele
consiste de trs opes que podem ser marcadas independentemente.
O objetivo destas permisses possibilitar a criao de uma administrao
descentralizada para o firewall. possvel, por exemplo, numa empresa que possua
vrios departamentos e vrios firewalls, deixar um administrador responsvel pela
configurao de cada um dos firewalls e um responsvel central com a tarefa de
supervisionar a administrao. Este supervisor seria a nica pessoa capaz de
apagar e alterar a configurao de log e eventos dos firewalls. Desta forma, apesar
de cada departamento ter autonomia de administrao possvel ter um controle
central do que cada administrador alterou na configurao e quando ele realizou
cada alterao. Isto um recurso muito importante para realizar auditorias internas,
alm de aumentar a segurana da administrao.
Entidades
As Entidades so representaes de objetos do mundo real para o Aker Firewall.
Atravs delas, podem-se representar mquinas, redes, servios a serem
disponibilizados, entre outros. Nessa opo permite definir de qual entidade o
usurio se conectar ao firewall.
Servidor Fingerprint
um resumo da identificao do certificado digital do Firewall. Essa opo
possibilita ao usurio identificar quando tem uma mudana do firewall que se
costuma conectar.

Aker Security Solutions

102

Aba Autenticao X509

Figura 63. Usurios Administrativos (mtodo de autenticao com certificao digital X509).

Essa aba consiste no mtodo de autenticao com certificao digital X509. O


Certificado Digital pode ser considerado como a verso eletrnica (digital) de uma
cdula de identidade, associa uma chave pblica com a identidade real de um
indivduo, de um sistema servidor, ou de alguma outra entidade. Um certificado
digital normalmente usado para ligar uma entidade a uma chave pblica. Para
garantir a integridade das informaes contidas neste arquivo ele assinado
digitalmente, no caso de uma Infra-estrutura de Chaves Pblicas (ICP), o certificado
assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo
de Teia de Confiana (Web of trust) como o PGP o certificado assinado pela
prpria entidade e assinado por outros que dizem confiar naquela entidade. Em
ambos os casos as assinaturas contidas em um certificado so atestamentos feitos
por uma entidade que diz confiar nos dados contidos naquele certificado.
Um certificado normalmente inclui:
Aker Security Solutions

103

Informaes referentes a entidade para o qual o certificado foi emitido (nome,


email, CPF/CNPJ, PIS etc.);
A chave pblica referente a chave privada de posse da entidade especificada
no
certificado;
O perodo de validade;
A localizao do "centro de revogao" (uma URL para download da CRL, ou
local para uma consulta OCSP;
A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pblica
contida naquele certificado confere com as informaes contidas no mesmo
Um certificado padro X.509 outro formato de certificado muito comum. Todos os
certificados X.509 obedecem ao padro internacional ITU-T X.509; assim
(teoricamente) certificados X.509 criados para uma aplicao podem ser usados por
qualquer aplicao que obedece X.509.
Um certificado exige algum para validar que uma chave pblica e o nome do dono
da chave vo juntos. Com certificados de PGP, qualquer um pode representar o
papel de validador. Com certificados X.509, o validador sempre uma Autoridade
de Certificao ou algum designado por uma CA.
Um certificado X.509 uma coleo de um conjunto padro de campos contendo
informaes sobre um usurio ou dispositivo e sua correspondente chave pblica. O
padro X.509 define qual informao vai no certificado, e descreve como codificar
isto (o formato dos dados). Todos os certificados X.509 tm os seguintes dados:
O nmero da verso do X.509 que identifica qual o padro aplicado na verso do
X.509 para este certificado, o que afeta e qual informao pode ser especificada
neste.
A chave pblica do possuidor do certificado junto com um algoritmo de identificao,
especifica qual sistema de criptografia pertence a chave e quaisquer parmetros
associados.
Abaixo, seguem os campos que contm na aba:
Habilitar autenticao X.509:
Ao selecionar essa opo permite habilitar a autenticao do usurio via certificado
digital x.509.

CN do certificado do firewall:
Nessa opo mostra qual certificado o Firewall est utilizando na sua autenticao.

Aker Security Solutions

104

Importa Certificado:
Ao clicar nesse cone, permite a incluso de um novo certificado, ou seja carrega-se
o certificado cadastrado no arquivo e incluindo-o no firewall.

Exporta Certificado: Gravam os dados do certificado, para transport-lo para uma


futura aplicao desse certificado. Tira uma cpia do certificado.

Remove Certificado: Ao clicar nesse cone, permite a remoo do certificado que


foi includo. Com isso o Aker Firewall fica sem nenhum certificado.

Mostra detalhes dos certificados: Mostra todas as informaes contidas no


certificado habilitado.

Autoridade Certificadora:
A autoridade certificadora (CA - certificate authority) deve garantir ao usurio,
atravs da assinatura de seus certificados, que tais entidades so realmente quem
dizem ser. Ento, a CA tem um papel bsico de garantir a correspondncia entre a
identidade e a chave pblica de uma determinada entidade, sabendo que tal chave
pblica corresponde a uma chave privada que permanece sob guarda exclusiva
dessa entidade.
Para tanto, a CA deve ser capaz de realizar todos os processos de emisso de
certificados, verificao de validade, armazenamento, publicao ou acesso on-line,
revogao e arquivamento para verificao futura.
Em conseqncia, uma autoridade certificadora constitui-se de um sistema
computacional completo, com capacidade de comunicao processamento e
armazenamento. Alm disso, tanto as comunicaes envolvendo esse sistema,
assim como o prprio sistema, devem ser tambm protegidos e a prpria identidade
do sistema deve ser garantida, necessidades esta que so atendidas por intermdio
da publicao de uma chave pblica pertencente prpria autoridade certificadora.
Como tal chave deve tambm ser garantida com um certificado digital, ento, em
geral, uma autoridade certificadora deposita sua chave pblica junto a
outra autoridade certificadora, formando uma estrutura de certificao onde algumas
CA funcionam como autoridades certificadoras para outras CAs.
Essa opo permite selecionar uma autoridade a qual o usurio est vinculado.

Aker Security Solutions

105

Pseudo Group
Corresponde aos grupos de certificados, relacionados a autoridade certificadora
selecionada na opo acima. Este campo no editvel.
Permisses
Esse campo das permisses editvel, podendo, para cada CA selecionada
relacionar as permisses para cada grupo.
Nessa opo, uma vez escolhida uma Autoridade Certificadora e definidos os
nveis/permisses de acesso para cada grupo, ao trocar de CA todas as permisses
relacionadas a outra CA sero perdidos.
4.2. Utilizando a interface texto
Alm da interface grfica de administrao de usurios, existe uma interface local
orientada caracteres que possui praticamente as mesmas capacidades da
interface grfica. A nica funo no disponvel a de alterao das permisses
dos usurios. Essa interface texto, ao contrrio da maioria das demais interfaces
orientadas a caracteres do Firewall Aker, interativa e no recebe parmetros da
linha de comando.
Localizao do programa: /etc/firewall/fwadmin
Ao ser executado, o programa mostrar a seguinte tela:

Aker Security Solutions

106

Figura 64. Execuo do programa utilizando a interface texto.

Para executar qualquer uma das opes mostradas, basta digitar a letra mostrada
em negrito. Cada uma das opes ser mostrada abaixo, em detalhes:
Inclui um novo usurio
Esta opo permite a incluso de um novo usurio que poder administrar o Aker
Firewall remotamente. Ao ser selecionada, ser mostrada uma tela pedindo as
diversas informaes do usurio. Aps todas as informaes serem preenchidas
ser pedida uma confirmao para a incluso do usurio.

Aker Security Solutions

107

Figura 65. Execuo do programa para incluso de usurios como administradores do Aker Firewall.

Observaes importantes:
1. Nos campos onde aparecem as opes (S/N), deve-se digitar apenas S, para sim e
N para no.
2. A senha e a confirmao das senhas no sero mostradas na tela.
Remove um usurio existente
Esta opo, remove um usurio existente que esteja cadastrado no sistema. Ser
pedido o login do usurio a ser removido caso o usurio esteja cadastrado, ser
pedida a seguir uma confirmao para realizar a operao.

Aker Security Solutions

108

Figura 66. Execuo do programa para a excluso de usurios.

Para prosseguir com a remoo, deve-se digitar S, caso contrrio digita-se N.


Altera senha de um usurio
Esta opo permite alterar a senha de um usurio j cadastrado no sistema. Ser
pedido o login do usurio e caso este exista, sero pedidas a nova senha e a
confirmao desta nova senha (conforme j comentado anteriormente, a senha e a
confirmao no sero mostradas na tela).

Aker Security Solutions

109

Figura 67. Execuo do programa para a alterao de senha do usurio.

Lista usurios cadastrados


Esta opo mostra uma lista com o nome e as permisses de todos os usurios
autorizados a administrar remotamente o firewall. Um exemplo de uma possvel
listagem de usurios a seguinte:

Aker Security Solutions

110

Figura 68. Execuo do programa para exibir a listagem de usurios e permisses.

O campo permisses consiste de 3 possveis valores: CF, CL, e GU, que


correspondem respectivamente s permisses de: Configura Firewall, Configura Log
e Gerencia Usurios. Se um usurio possuir uma permisso, ela ser mostrada com
o cdigo acima, caso contrrio ser mostrado o valor --, indicando que o usurio no
a possui.
Compacta arquivo de usurios

Aker Security Solutions

111

Figura 69. Execuo do programa para exibir a compactao do arquivo de usurios.

Esta opo no est presente na interface grfica e no possui uso freqente. Ela
serve para compactar o arquivo de usurios, removendo entradas no mais usadas.
Ele somente deve ser usado quando for removido um grande nmero de usurios
do sistema.
Ao ser selecionada, o arquivo ser compactado e ao final ser mostrada uma
mensagem indicando que a operao foi completada (a compactao do arquivo
costuma ser uma operao bastante rpida, durando poucos segundos).
Edita as opes do Configuration Manager
Esta opo permite alterar as configuraes do Aker Configuration Manager.
possvel habilitar/desabilitar acessos ao Aker Firewall pelo Configuration Manager e
modificar a shared secret. Se o acesso ao firewall no estiver habilitado, ser
mostrada uma tela pedindo a criao da shared secret. necessrio preencher a
senha e sua confirmao, onde as mesmas no sero exibidas na tela.

Aker Security Solutions

112

Figura 70. Edio das configuraes do Aker Configuration Manager.

Se o acesso ao firewall j estiver habilitado, sero mostradas novas opes de


configurao:

Figura 71. Edio das configuraes do Aker Configuration Manager (Firewall habilitado).

Aker Security Solutions

113

Desabilita acesso pelo Configuration Manager


Ao selecionar essa opo no ser mais possvel acessar o Aker Firewall pelo
Configuration Manager at que o usurio habilite o acesso novamente.
Modifica shared secret do Configuration Manager
Permite alterar a shared secret. necessrio entrar com a nova senha e com a sua
confirmao, onde as mesmas no sero exibidas na tela.

Figura 72. Edio das configuraes do Aker Configuration Manager (desabilita, modifica ou retorna).

Sai do fwadmin
Esta opo encerra o programa fwadmin e retorna para a linha de comando.

Aker Security Solutions

114

Configurando Parmetros do
Sistema

Aker Security Solutions

115

5.

Configurando os parmetros do sistema


Este captulo mostrar como configurar as variveis que iro influenciar nos
resultados de todo o sistema. Estes parmetros de configurao atuam em aspectos
como a segurana, log do sistema e tempos de inatividade das conexes.

5.1. Utilizando a interface grfica


Para ter acesso a janela de configurao de parmetros deve-se:

Figura 73. Janela de acesso - dispositivos remotos (parametros de configurao).

Clicar no menu Configuraes do Sistema da janela do firewall que quer administrar;


Selecionar o item Parmetros de Configurao.
A janela de Parmetros de configurao
Aker Security Solutions

116

O boto OK far com que a janela de configurao de parmetros seja fechada e as


alteraes que foram efetuadas sejam aplicadas.
O boto Cancelar far com que a janela seja fechada, porm as alteraes
efetuadas no sejam aplicadas;
O boto Aplicar enviar para o firewall todas as alteraes feitas, porm manter a
janela aberta.
Significado dos parmetros
Aba Global

Figura 74. Parametros de configurao do Aker Firewall (servidor, interface remota e endereos fixos
de configurao remota).

Nesta janela, estes parmetros so utilizados pelo filtro de estados e pelo conversor
de endereos. Eles consistem dos seguintes campos:
Interface Externa (Por motivo de controle de licena): Define o nome da
interface externa do firewall. Conexes que vierem por esta interface no contaro
na licena.
Valor padro: Configurado durante a instalao do firewall pelo administrador.
Aker Security Solutions

117

Tempo limite TCP: Define o tempo mximo, em segundos, que uma conexo TCP
pode permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor
pode variar de 0 a 259200 (72 horas).
Valor padro: 900 segundos.
Tempo limite UDP: Define o tempo mximo, em segundos, que uma conexo UDP
pode permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor
pode variar de 0 a 259200 (72 horas).
Valor padro: 180 segundos.
Estes campos so de vital importncia para o correto funcionamento do firewall:
valores muito altos podero causar problemas de segurana para servios
baseados no protocolo UDP, faro com que o sistema utilize mais memria e o
tornaro mais lento. Valores muito baixos podero causar constantes quedas de
sesso e o mau funcionamento de alguns servios.
Tamanho mnimo de senha: Define o nmero mnimo de caracteres que as senhas
dos administradores devem ter para serem aceitas pelo sistema. Seu valor pode
variar entre 4 e 14 caracteres.
Valor padro: 6 caracteres.
importante que este valor seja o maior possvel, de modo a evitar a utilizao de
senhas que possam ser facilmente quebradas.
Endereos
fixos
de
configurao
remota:
So
endereos
que,
independentemente de regras e de extrapolao dos limites de licenas, podem
administrar o firewall (isto conectar na porta 1020). Eles servem como medida de
preveno anti-bloqueio do firewall, uma vez que s podem ser configurados via
interface texto.

Aker Security Solutions

118

Aba Log

Figura 75. Parametros de configurao de Log (local, remoto e opes gerais).

Local: Indica que o log/eventos/estatsticas devem ser salvos em um disco local, na


mquina onde o firewall estiver rodando.
Tempo de vida no log / eventos / estatstica: Os registros de log, eventos e
estatsticas do firewall so mantidos em arquivos dirios. Esta configurao define o
nmero mximo de arquivos que sero mantidos pelo sistema, em caso de log local.
Os valores possveis vo de 1 a 365 dias.
Valor padro: 7 dias
No caso de utilizao de log remoto essas opes estaro desabilitadas e
devero ser configuradas no prprio servidor remoto

Aker Security Solutions

119

Remoto: Esta opo indica que o log/eventos/estatsticas devero ser enviados


para um servidor de log remoto ao invs de serem gravados no disco local. Com
isso, o controle de diversos firewalls pode ser centralizado, facilitando a auditoria.
Servidor Remoto: Esta opo indica o servidor de log remoto para o qual o
log/eventos/estatsticas sero enviados.
Logar Converso de Endereo (NAT): Habilita o registro no log do sistema das
converses de endereos feitas pelo firewall.
Valor padro: Converses de endereo no devem ser logadas
Mesmo com esta opo ativa, somente sero logados os pacotes convertidos
atravs das converses 1:N e N:1. As converses por outros tipos de regras no
sero registradas.
A ativao desta opo no traz nenhuma informao importante e deve ser
utilizada apenas para fim de testes ou para tentar resolver problemas.
Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o
daemon de log do Unix, o syslogd.
Valor padro: No envia log para o syslogd
Ao habilitar essa opo, os registros de log sero enviados para a fila local0 e os de
eventos para a fila local1.
Esta opo no altera em nada o registro interno do log e dos eventos realizado
pelo prprio firewall.

Aker Security Solutions

120

Aba Segurana

Figura 76. Parametros de configurao de segurana.

Parmetros de Segurana
Permitir pacotes com rota para origem: Habilita a passagem de pacotes que
tenham a opo de registro de rota ou de roteamento dirigido. Se esta opo estiver
desmarcada, os pacotes com alguma destas opes no podero trafegar.
Valor padro: Pacotes IP direcionados no so permitidos.
Cabe ressaltar que a aceitao de pacotes com rota para a origem pode causar
uma falha sria de segurana. A no ser que se tenha uma razo especfica para
deix-los passar, esta opo deve ser mantida desmarcada.
Suporte FTP: Habilita o suporte especfico para o protocolo FTP.

Aker Security Solutions

121

Valor padro: Suporte FTP est habilitado


Este parmetro faz com que o firewall trate o protocolo FTP de forma especial, de
modo a permitir que ele funcione transparentemente para todas as mquinas
clientes e servidoras, internas ou externas. A menos que no se pretenda usar FTP
atravs do firewall, esta opo deve estar marcada.
Suporte ao Real Audio: Habilita o suporte para os protocolos Real Audio e Real
Video.
Valor padro: Suporte Real Audio est habilitado
Este parmetro faz com que o firewall trate o protocolo Real Audio / Real Video de
forma especial, de modo que permita ele funcionar transparentemente usando
conexes TCP e UDP. A menos que no se pretenda usar o Real Audio ou se
pretenda utiliz-lo apenas com conexes TCP, esta opo deve estar marcada.
Suporte RTSP: Habilita o suporte para o protocolo RTSP.
Valor padro: Suporte RTSP est habilitado
O RTSP (Real Time Streaming Protocol) um protocolo que atua a nvel de
aplicao e ajuda a prover um certo arranjo que permite a entrega controlada de
dados em tempo real, como udio e vdeo. Fontes de dados podem incluir
programas ao vivo (com udio e vdeo) ou algum contedo armazenado (eventos
pr-gravados). Ele projetado para trabalhar com protocolos como o RTP, HTTP
e/ou outro que de suporte a mdia contnuas sobre a Internet. Ele suporta trfego
multicast bem como unicast. E tambm suporta interoperabilidade entre clientes e
servidores de diferentes fabricantes. Este parmetro faz com que o firewall trate o
protocolo de forma especial, de modo a permitir que ele funcione transparentemente
usando conexes TCP e UDP.
Suporte PPTP: Habilita o suporte para o protocolo PPTP da Microsoft.
Valor padro: Suporte PPTP est habilitado
O PPTP um protocolo criado pela Microsoft para possibilitar acesso seguro de
mquinas clientes a redes corporativas, atravs de VPN. Este parmetro faz com
que o firewall trate o PPTP de forma especial possibilitando que ele trafegue
normalmente atravs dele, mesmo com a converso de endereos (NAT) habilitada.
Suporte H323: Habilita o suporte para o protocolo H.323
Valor padro: Suporte H.323 est habilitado
O H.323 um protocolo que permite a implementao de voz sobre IP (VOIP) e
suportado pela maioria dos dispositivos com este fim. Este parmetro faz com que o
Aker Security Solutions

122

firewall trate o H.323 de forma especial possibilitando que ele trafegue normalmente
atravs dele, mesmo com a converso de endereos (NAT) habilitada.
Suporte ao MSN: Habilita o suporte para o MSN Messenger
Valor padro: Suporte ao MSN Messenger est habilitado.
O MSN Messenger um protocolo de mensagens instantneas que permite a
comunicao entre duas ou mais pessoas ao mesmo tempo. Este parmetro faz
com que o firewall trate o Messenger de forma especial possibilitando que seu uso
seja controlado atravs dos perfis de acesso.
Suporte SIP: habilita o suporte para o protocolo SIP.
Valor padro: Suporte SIP est habilitado.
O Protocolo de Iniciao de Sesso (Session Initiation Protocol - SIP) um
protocolo de aplicao, que utiliza o modelo requisio-resposta, similar ao HTTP,
para iniciar chamadas e conferncias atravs de redes via protocolo IP.
Suporte DCE-RPC TCP: habilita o suporte o para protocolo DCE-RPC TCP.
Valor padro: Suporte DCE-RPC TCP est habilitado.
O DCE/RPC TCP um tipo de protocolo RPC, Chamada de Procedimento Remoto
(Remote Procedure Call), que tem como objetivo permitir o desenvolvimento de
aplicaes cliente/servidor. muito utilizado em administrao de domnio e
gerenciamento remoto do servidor.
Manter conexes das regras expiradas: mantm a conexo mesmo aps o prazo
de validade da regra ter expirado.

Valor padro: manter conexes de regras expiradas.


Esta opo permite ao usurio permanecer conectado mesmo aps o trmino do
perodo definido para o fim da conexo.
Ex.: o usurio inicia um download via FTP dentro do horrio definido por regra. Caso
esta opo esteja marcada, a conexo (download) no ser finalizada no horrio
definido e sim aps o trmino de transferncia dos arquivos.

Aker Security Solutions

123

Aba SNMP

Figura 77. Parametros de configurao via SNMP.

Comunidade de leitura: Este parmetro indica o nome da comunidade que est


autorizada a ler dados do firewall via SNMP. Caso este campo esteja em branco,
nenhuma mquina estar autorizada a l-los.
Valor padro: campo em branco
Comunidade de escrita: Este parmetro indica o nome da comunidade que est
autorizada a alterar dados do firewall via SNMP. Caso este campo esteja em
branco, nenhuma mquina estar autorizada a alter-los.
Valor padro: campo em branco
Mesmo com uma comunidade de escrita definida, por razes de segurana,
somente podero ser alterados algumas variveis do grupo system.
Aker Security Solutions

124

Descrio: Tipo de servio que a mquina disponibiliza para o usurio.


Contato: Tipo de contato (e-mail, home page) que o administrador disponibiliza
para o usurio.
Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS
Local: Local fsico onde a mquina est instalada.
O SNMPv3 inclui trs importantes servios: autenticao (authentication),
privacidade (privacy) e controle de acesso (access control).
Habilita SNMPv3: Ao selecionar essa opo permite definir o tipo de permisso de
um usurio e qual o nvel de segurana que ele estar relacionado.
Nome do usurio: Nome do usurio que ter permisso para conferir ou modificar
as informaes.
Tipo de permisso: Permite a escolha do tipo de permisso do usurio. Poder ter
acesso de somente leitura dos dados ou de leitura e escrita.
Nvel de segurana: Permite a escolha do tipo de segurana dos dados. Pode-se
optar por nenhuma autenticao, com autenticao ou autenticao com cifragem.
Caso a escolha seja com autenticao, as opes Mtodo de autenticao e senha
de autenticao sero habilitados. Caso a escolha seja autenticao com cifragem,
as opes Mtodo de cifragem e senha de cifragem sero habilitadas.
Mtodo de autenticao: Possuem dois mtodos de autenticao, um com o
algoritmo MD5 e o outro com o algoritmo SHA.
Senha de autenticao: Deve ser informada uma senha para autenticao, com no
mnimo 8 caracteres.
Mtodo de encriptao: Possuem dois mtodos de cifragem dos dados, um por
meio do algoritmo DES e o outro por meio do algoritmo AES.
Senha de encriptao: Deve ser informada uma senha para cifragem, com no
mnimo 8 caracteres.
Ramo de acesso: Permite restringir, por meio de sub-rvores, quais os grupos de
dados/informaes que o usurio ter acesso.

Aker Security Solutions

125

Aba Monitoramento

Figura 78. Parametros de configurao - Monitoramento.

Quando utiliza converso 1-N, ou seja, balanceamento de canal possvel


configurar o tipo de monitoramento a ser realizado pelo firewall para verificar se as
mquinas participantes do balanceamento esto no ar. Os parmetros de
monitoramento permitem modificar os intervalos de tempo de monitoramento, de
modo a ajust-los melhor a cada ambiente.
Monitoramento via ping
Esses parmetros configuram os tempos utilizados pelo firewall para realizar o
monitoramento via pacotes ICMP Echo Request e Echo Reply. So eles:
Intervalo de ping: Esse campo define de quantos em quantos segundos, ser
enviado um ping para as mquinas sendo monitoradas. Seu valor pode variar entre
1 e 60 segundos.
Aker Security Solutions

126

Valor padro: 2 segundos.


Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que
uma mquina pode permanecer sem responder aos pacotes de ping enviados pelo
firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos.
Valor padro: 8 segundos.
Tempo de ativao: Esse campo define o tempo, em segundos, que o firewall ir
esperar, aps receber um pacote de resposta de uma mquina anteriormente fora
do ar, at consider-la novamente ativa. Esse intervalo de tempo necessrio, pois
normalmente uma mquina responde a pacotes ping antes de estar com todos os
seus servios ativos. Seu valor pode variar entre 1 e 60 segundos.
Valor padro: 10 segundos.
Monitoramento via http
Esses parmetros configuram os tempos utilizados pelo firewall para realizar o
monitoramento via requisies HTTP. So eles:
Tempo limite dos pedidos: Esse campo define de quantos em quantos segundos,
o firewall requisitar a URL especificada pelo administrador para cada mquina
sendo monitorada. Seu valor pode variar entre 1 e 300 segundos.
Valor padro: 5 segundos.
Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que
uma mquina sendo monitorada poder levar para responder requisio do
firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 300 segundos.
Valor padro: 15 segundos.

Aker Security Solutions

127

Aba Data e Hora

Figura 79. Parametros de configurao Data e hora.

Esta opo permite ao administrador verificar e alterar a data e a hora do firewall. A


data e hora configuradas corretamente so essenciais para o funcionamento da
tabela de horrio das regras e dos perfis de acesso WWW, das trocas de chaves
atravs do protocolo SKIP e dos sistemas de log e eventos.
Data e hora
Esta janela consiste de dois campos que mostram o valor da data e hora
configurado no firewall. Para alterar qualquer um destes valores, basta colocar o
valor desejado no campo correspondente. Para escolher o ms pode-se utilizar
as setas de navegao.
Fuso Horrio
Escolha o fuso horrio que mais se aproxima da regio aonde o firewall ser
instalado.
O boto Aplicar alterar a data e hora e manter a janela aberta.
O boto OK far com que a janela seja fechada e as alteraes salvas.
Aker Security Solutions

128

O boto Cancelar fechar a janela e descartar as modificaes


efetuadas.

Servidor NTP (Network Time Protocol)


Define o servidor de tempo que ser utilizado pelo firewall para sincronizar seu
relgio interno. (Este campo s aparece para o Firewall Box)

5.2. Utilizando a interface texto


A interface texto de configurao de parmetros bastante simples de ser utilizada
e possui exatamente as mesmas capacidades da interface grfica. Ela possui,
entretanto, possibilidades no disponveis na interface grfica, de adicionar at trs
mquinas possveis de administrarem o firewall remotamente, mesmo sem a
existncia de uma regra liberando sua conexo. O objetivo desta funcionalidade
permitir que, mesmo que um administrador tenha feito uma configurao
equivocada que impea sua conexo, ainda assim ele poder continuar
administrando remotamente o firewall. Este parmetro chama-se end_remoto.
Localizao do programa: /aker/bin/firewall/fwpar
Sintaxe:
fwpar - mostra/altera parametros de configuracao
Uso:
fwpar [mostra | ajuda]
fwpar interface_externa <nome>
fwpar [tempo_limite_tcp | tempo_limite_udp] <segundos>
fwpar [ip_direcionado] <sim | nao>
fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp] <sim | nao>
fwpar [loga_conversao | loga_syslog] <sim | nao>
fwpar [permanencia_log | permanencia_event | permanencia_stat] <dias>
fwpar [serv_log_remoto <nome>]
fwpar [add_remoto <n> <ip_add>]
Aker Security Solutions

129

fwpar [comunidade_leitura | comunidade_escrita] [nome]


mostra = mostra a configuracao atual
ajuda = mostra esta mensagem
interface_externa = configura o nome da interface externa (conexoes quevierem por
esta interface nao contam na licenca)
tempo_limite_tcp = tempo maximo de inatividade
tempo_limite_udp = tempo maximo de inatividade
ip_direcionado = aceita pacotes IP direcionados

para
para

conexoes
conexoes

TCP
UDP

suporte_ftp = habilita suporte ao protocolo FTP


suporte_real_audio = habilita suporte ao procotolo Real Audio
suporte_rtsp = habilita suporte ao procotolo RTSP
loga_conversao = registra mensagens de conversao de endereos
loga_syslog = envia mensagens de log e eventos para o syslogd
permanencia_log = tempo de permanencia (dias) dos registros de log
permanencia_event = tempo de permanencia (dias) dos registris de eventos;
permanencia_stat = tempo de permanencia (dias) das estatsticas;
serv_log_remoto = servidor de log remoto (nome da entidade);
end_remoto = endereco dos tres controladores remotos;
comunidade_leitura = nome da comunidade de leitura para SNMP
comunidade_escrita = nome da comunidade de escrita para SNMP

Exemplo 1: (visualizando a configurao)


# fwpar mostra Parametros globais:
------------------tempo_limite_tcp : 900 segundos
tempo_limite_udp : 180 segundos
interface_externa : lnc0

Aker Security Solutions

130

Parametros de seguranca:
-----------------------ip_direcionado : no
suporte_ftp

: sim

suporte_real_audio: sim
suporte_rtsp
end_remoto

: sim
: 1) 10.0.0.1

2) 10.0.0.2

3)10.0.0.3

Parametros de configuracao de log:


---------------------------------loga_conversao : no
loga_syslog

: no

permanencia_log : 7 dias
permanencia_event : 7 dias
permanencia_stat : 7 dias
Parametros de configuracao de SNMP:
----------------------------------comunidade_leitura:
comunidade_escrita:
Exemplo 2: (habilitando pacotes IP direcionados)
#/aker/bin/firewall/fwpar ip_direcionado sim
Exemplo 3: (configurando o nome da comunidade de leitura SNMP)
#/aker/bin/firewall/fwpar comunidade_leitura public
Exemplo 4: (apagando o nome da comunidade de escrita SNMP)
#/aker/bin/firewall/fwpar comunidade_escrita

Aker Security Solutions

131

Cadastrando Entidades

Aker Security Solutions

132

6.

Cadastrando Entidades
Este captulo mostrar o que so, para que servem e como cadastrar entidades no
Aker Firewall.

6.1. Planejando a instalao

O que so e para que servem as entidades?


Entidades so representaes de objetos do mundo real para o Aker Firewall.
Atravs delas, pode-se representar mquinas, redes, servios a serem
disponibilizados, entre outros.
A principal vantagem da utilizao de entidades para representar objetos reais que
a partir do momento em que so definidas no Firewall, elas podem ser referenciadas
como se fossem os prprios objetos, propiciando uma maior facilidade de
configurao e operao. Todas as alteraes feitas em uma entidade sero
automaticamente propagadas para todos os locais onde ela referenciada.
Pode-se definir, por exemplo, uma mquina chamada de Servidor WWW, com o
endereo IP de 10.0.0.1. A partir deste momento, no mais necessrio se
preocupar com este endereo IP. Em qualquer ponto onde seja necessrio
referenciar esta mquina, a referncia ser feita pelo nome. Caso futuramente seja
necessrio alterar seu endereo IP, basta alterar a definio da prpria entidade que
o sistema automaticamente propagar esta alterao para todas as suas
referncias.

Definindo entidades
Antes de explicar como cadastrar entidades no Aker Firewall necessria uma
breve explicao sobre os tipos de entidades possveis e o que caracteriza cada
uma delas.
Existem 9 tipos diferentes de entidades no Aker Firewall: mquinas, mquinas IPv6,
redes, redes IPv6, conjuntos, conjuntos IPv6, servios, autenticadores e interfaces.
As entidades do tipo mquina e rede, como o prprio nome j diz, representam
respectivamente mquinas individuais e redes. Entidades do tipo conjunto
representam uma coleo de mquinas e redes, em qualquer nmero. Entidades do
tipo servio representam um servio a ser disponibilizado atravs de um protocolo
qualquer que rode em cima do IP. Entidades do tipo autenticador representam um
tipo especial de mquina que pode ser utilizada para realizar autenticao de
Aker Security Solutions

133

usurios e as entidades do tipo interface, representam uma interface de rede do


firewall.
Por definio, o protocolo IP, exige que cada mquina possua um endereo
diferente. Normalmente estes endereos so representados da forma byte a byte,
como por exemplo, 172.16.17.3. Desta forma, pode-se caracterizar unicamente uma
mquina em qualquer rede IP, incluindo a Internet, com apenas seu endereo.
Para definir uma rede deve-se utilizar uma mscara alm do endereo IP. A
mscara serve para definir quais bits do endereo IP sero utilizados para
representar a rede (bits com valor 1) e quais sero utilizados para representar as
mquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas
mquinas podem assumir os endereos IP de 192.168.0.1 a 192.168.0.254, deve-se
colocar como rede o valor 192.168.0.0 e como mscara o valor 255.255.255.0. Esta
mscara significa que os 3 primeiros bytes sero usados para representar a rede e
o ltimo byte ser usado para representar a mquina.
Para verificar se uma mquina pertence a uma determinada rede, basta fazer um E
lgico da mscara da rede, com o endereo desejado e comparar com o E lgico do
endereo da rede com sua mscara. Se eles forem iguais, a mquina pertence
rede, se forem diferentes no pertence. Vejamos dois exemplos:
Suponha que desejamos verificar se a mquina 10.1.1.2 pertence rede 10.1.0.0,
mscara 255.255.0.0. Temos:
10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede)
10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereo)
Temos ento que os dois endereos so iguais aps a aplicao da mscara,
portanto a mquina 10.1.1.2 pertence rede 10.1.0.0.
Suponha agora que desejamos saber se a mquina 172.16.17.4 pertence rede
172.17.0.0, mscara 255.255.0.0. Temos:
172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede)
172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereo)
Como os endereos finais so diferentes, temos que a mquina 172.16.17.4 no
pertence rede 172.17.0.0
Caso seja necessrio definir uma rede onde qualquer mquina seja considerada
como pertencente a ela (ou para especificar qualquer mquina da Internet), deve-se
colocar como endereo IP desta rede o valor 0.0.0.0 e como mscara o valor
0.0.0.0. Isto bastante til na hora de disponibilizar servios pblicos, onde todas as
mquinas da Internet tero acesso.
Aker Security Solutions

134

Toda a vez que ocorre uma comunicao entre duas mquinas, usando o protocolo
IP, esto envolvidos no apenas os endereos de origem e destino, mas tambm
um protocolo de nvel mais alto (nvel de transporte) e algum outro dado que
identifique a comunicao unicamente. No caso dos protocolos TCP e UDP (que
so os dois mais utilizados sobre o IP), uma comunicao identificada por dois
nmeros: a Porta Origem e a Porta Destino.
A porta destino um nmero fixo que est associado, geralmente, a um servio
nico. Assim, temos que o servio Telnet est associado com o protocolo TCP na
porta 23, o servio FTP com o protocolo TCP na porta 21 e o servio SNMP com o
protocolo UDP na porta 161, por exemplo.
A porta origem um nmero seqencial escolhido pelo cliente de modo a
possibilitar que exista mais de uma sesso ativa de um mesmo servio em um dado
instante. Assim, uma comunicao completa nos protocolos TCP e UDP pode ser
representada da seguinte forma:
10.0.0.1
Endereo origem

1024
Porta origem

10.4.1.2
Endereo destino

23
Porta destino

TCP
Protocolo

Para um firewall, a porta de origem no importante, uma vez que ela randmica.
Devido a isso, quando se define um servio, leva-se em considerao apenas a
porta de destino.
Alm dos protocolos TCP e UDP existem outro protocolo importante: o ICMP. Este
protocolo utilizado pelo prprio IP para enviar mensagens de controle, informar
sobre erros e testar a conectividade de uma rede.
O protocolo ICMP no utiliza o conceito de portas. Ele usa um nmero que varia de
0 a 255 para indicar um Tipo de Servio. Como o tipo de servio caracteriza
unicamente um servio entre duas mquinas, ele pode ser usado como se fosse a
porta destino dos protocolos, TCP e UDP, na hora de definir um servio.
Por ltimo, existem outros protocolos que podem rodar sobre o protocolo IP e que
no so TCP, UDP ou ICMP. Cada um destes protocolos tem formas prprias para
definir uma comunicao e nenhum deles utilizado por um grande nmero de
mquinas. Ainda assim, o Aker Firewall optou por adicionar suporte para possibilitar
ao administrador o controle sobre quais destes protocolos podem ou no passar
atravs do firewall.
Para entender como isso feito, basta saber que cada protocolo tem um nmero
nico que o identifica para o protocolo IP. Este nmero varia de 0 a 255. Desta
forma, podemos definir servios para outros protocolos usando o nmero do
protocolo como identificao do servio.

Aker Security Solutions

135

O que Qualidade de Servio (QoS)


A qualidade de servio pode ser compreendida de duas formas: do ponto de vista
da aplicao ou da rede.
Para uma aplicao oferecer seus servios com qualidade, tem que atender s
expectativas do usurio em relao ao tempo de resposta e da qualidade do servio
que est sendo provido. Por exemplo, no caso de uma aplicao de vdeo,
fidelidade adequada do som e/ou da imagem sem rudos nem congelamentos.
A qualidade de servio da rede depende das necessidades da aplicao, ou seja, do
que ela requisita da rede a fim de que funcione bem e atenda, por sua vez, s
necessidades do usurio. Estes requisitos so traduzidos em parmetros
indicadores do desempenho da rede como, por exemplo, o atraso mximo sofrido
pelo trfego da aplicao entre o computador origem e destino.
O Aker Firewall implementa um mecanismo com o qual possvel definir uma banda
mxima de trfego para determinadas aplicaes. Atravs de seu uso,
determinadas aplicaes que tradicionalmente consomem muita banda, podem ter
seu uso controlado. As entidades do tipo Canal so utilizadas para este fim e sero
explicadas logo abaixo.
6.2. Cadastrando entidades utilizando a interface grfica
Para ter acesso janela de cadastro de entidades deve-se:
Clicar no menu Configurao do Firewall da janela do firewall que se quer
administrar;
Selecionar o item Entidades (a janela ser mostrada abaixo da janela com os menus
de configurao dos firewalls).

Aker Security Solutions

136

A janela de cadastro de entidades

Figura 80. Janela de entidades (Aker Firewall).

Figura 81. Entidades (Instncia Aker Firewall).

Aker Security Solutions

137

A janela de cadastro de entidades onde so cadastradas todas as entidades do


Aker Firewall, independente do seu tipo. Esta janela, por ser constantemente
utilizada em praticamente todas as demais configuraes do firewall, normalmente
mostrada sempre aberta na horizontal, abaixo da janela com os menus de
configurao de cada firewall.
Dica: Possui uma janela nica para todos os firewalls abertos. A janela continuar a
mesma, s mudar o contedo que ser
referente ao firewall selecionado. Os
tipos de entidades mais usados so os nicos apresentados na aba. As entidades
menos utilizadas aparecem no menu.
Dica: possvel posicionar a janela de entidades como se fosse uma janela
comum, bastando para isso clicar sobre sua barra de ttulo e arrast-la para a
posio desejada.
Dica: Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia,
deve-se clicar em cima da aba que fica na parte inferior da janela.
Nesta janela esto desenhados oito cones, em forma de rvore, que representam
os oito tipos de entidades possveis de serem criados.
Dica: Para visualizar as entidades criadas s clicar no sinal de '+' e as entidades
ficaro listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a
entidade que se deseja visualizar.
Para cadastrar uma nova entidade, deve-se proceder da seguinte forma:
1. Clicar uma vez no cone correspondente entidade do tipo que deseja criar com
o boto direito do mouse e selecionar a opo Inserir no menu pop-up
ou
2. Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a
tecla Insert.
Para editar ou excluir uma entidade, deve-se proceder da seguinte forma:
1. Selecionar a entidade a ser editada ou excluda (se necessrio, expande-se a
lista do tipo de entidade correspondente);
2. Clicar com o boto direito do mouse e selecionar a opo Editar ou Apagar,
respectivamente, no menu pop-up que aparecer;
3. Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a
tecla Delete.
No caso das opes Editar ou Incluir, aparecer a janela de edio de parmetros
da entidade a ser editada ou includa. Esta janela ser diferente para cada um dos
tipos possveis de entidades.

Aker Security Solutions

138

O cone
, localizado na parte inferior da janela aciona o assistente de
cadastramento de entidades que ser descrito no final deste captulo.
Incluindo / editando mquinas

Figura 82. Cadastro de entidade Tipo Mquina.

Para cadastrar uma entidade do tipo mquina deve-se preencher os seguintes


campos:
Nome: o nome pelo qual a mquina ser sempre referenciada pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio,
manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so, portanto, consideradas
diferentes.
cone: o cone que aparecer associado mquina em todas as referncias. Para
alter-lo, basta clicar sobre o desenho do cone atual. O Firewall ento mostrar
uma lista com todos os possveis cones para representar mquinas. Para escolher
entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo
aps ver a lista, basta clicar no boto Cancelar.
Endereo IP: o endereo IP da mquina a ser criada.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para
realizar a incluso ou alterao da mquina. Para cancelar as incluses ou
alteraes realizadas deve pressionar o boto Cancelar.
Aker Security Solutions

139

Para facilitar a incluso de vrias mquinas seguidamente, existe um boto


chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este
boto far com que a mquina inclua os dados preenchidos e mantenha aberta a
janela de incluso de mquinas onde estar pronta para uma nova incluso. Desta
forma possvel cadastrar rapidamente um grande nmero de mquinas.
Incluindo / editando servidor IPv6

Figura 83. Cadastro de entidade Tipo Mquina IPv6.

Para cadastrar uma entidade do tipo mquina IPv6 deve-se preencher os seguintes
campos:
Nome: o nome pelo qual a mquina ser sempre referenciada pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio,
manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so, portanto, consideradas
diferentes.
cone: o cone que aparecer associado mquina em todas as referncias. Para
alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma
lista com todos os possveis cones para representar mquinas. Para escolher entre
eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps
ver a lista, basta clicar no boto Cancelar.
Endereo IPv6 : o endereo IPv6 da mquina a ser criada.
Aker Security Solutions

140

Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para


realizar a incluso ou alterao da mquina. Para cancelar as incluses ou
alteraes realizadas deve pressionar o boto Cancelar.
Para facilitar a incluso de vrias mquinas seguidamente, existe um boto
chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este
boto far com que a mquina inclua os dados preenchidos e mantenha aberta a
janela de incluso de mquinas onde estar pronta para uma nova incluso. Desta
forma, possvel cadastrar rapidamente um grande nmero de mquinas.
A ampliao de 32 bits do endereo IPv4 para 128 bits no endereo IPv6 uma
das mais importantes caractersticas do novo protocolo. um imenso espao de
endereamento, com um nmero difcil de ser apresentado (2 elevado a 128),
porque so milhares de bilhes de endereos. O IPv6 acaba ainda com as classes
de endereos e possibilita um mtodo mais simples de auto-configurao.
A notao mais usual que o endereo IPv6 representado x:x:x:x:x:x:x:x, onde os
"x" so nmeros hexadecimais, ou seja, o endereo dividido em oito partes de 16
bits, como no seguinte exemplo: 1080:0:0:0:8:800:200C:417A
Incluindo / editando redes

Figura 84. Incluso e edio de redes.

Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos:
Nome: o nome pelo qual a rede ser sempre referenciada pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio,
manual.
Aker Security Solutions

141

Letras maisculas e minsculas so consideradas diferentes nos nomes das


entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado rede em todas as referncias. Para
alter-lo deve clicar sobre o desenho do cone atual. O firewall ento mostrar uma
lista com todos os possveis cones para representar redes. Para escolher entre eles
tem que clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver
a lista, basta clicar no boto Cancelar.
Endereo IP: o endereo IP da rede a ser criada.
Mscara de Rede: Define quais bits do endereo IP sero utilizados para
representar a rede (bits com valor 1) e quais sero utilizados para representar as
mquinas dentro da rede (bits com valor 0)
Intervalo: Este campo mostra a faixa de endereo IP a que pertence a rede e
realiza uma crtica quanto a mscara que est sendo cadastrada, ou seja no
permite cadastramento de mscaras erradas.
Aps estarem todos os campos preenchidos, deve-se clicar no boto OK para
realizar a incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a
incluso, deve-se pressionar o boto Cancelar.
Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado
Nova (que no estar habilitado durante uma edio). Ao clicar neste boto far
com que sejam includos os dados preenchidos e manter aberta a janela de
incluso de redes onde estar pronta para uma nova incluso. Desta forma
possvel cadastrar rapidamente um grande nmero de redes.
Incluindo / editando redes IPv6

Figura 85. Incluso e edio de redes IPv6.


Aker Security Solutions

142

Para cadastrar uma entidade do tipo rede IPv6 deve-se preencher os seguintes
campos:
Nome: o nome pelo qual a rede ser sempre referenciada pelo firewall. possvel
especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio,
manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado rede em todas as referncias. Para
alter-lo deve clicar sobre o desenho do cone atual. O firewall ento mostrar uma
lista com todos os possveis cones para representar redes. Para escolher entre eles
tem que clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver
a lista, basta clicar no boto Cancelar.
Endereo IPv6: o endereo IPv6 da rede a ser criada.
Tamanho do prefixo da sub-rede : Define quais bits do endereo IP sero
utilizados para representar a rede.
Aps estarem todos os campos preenchidos, deve-se clicar no boto OK para
realizar a incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a
incluso, deve-se pressionar o boto Cancelar.

Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado


Nova (que no estar habilitado durante uma edio). Ao clicar neste boto far
com que sejam includos os dados preenchidos e manter aberta a janela de
incluso de redes onde estar pronta para uma nova incluso. Desta forma
possvel cadastrar rapidamente um grande nmero de redes.

Aker Security Solutions

143

Incluindo / editando conjuntos

Figura 86. Incluso e edio de conjuntos.

Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes


campos:
Nome: o nome pelo qual o conjunto ser sempre referenciado pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica se no, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado ao conjunto em todas as referncias.
Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento
mostrar uma lista com todos os possveis cones para representar conjuntos. Para
escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira
alter-lo aps ver a lista, basta clicar no boto Cancelar.

Aker Security Solutions

144

Aps preencher o nome e escolher o cone para o conjunto, deve-se definir quais
mquinas e redes faro parte do mesmo. Abaixo esto os passos que devero ser
seguidos.
1. Clicar com o boto direito do mouse no campo em branco e selecionar a opo
Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes
sobre ela ou clicando uma vez e logo abaixo em Adicionar).
ou
2. Clicar sobre a entidade que deseja incluir, com isso deve arrast-la e solt-la
dentro da janela de entidades do conjunto.

Figura 87. Adio de entidades.

Para remover uma rede ou mquina do conjunto, deve-se proceder da seguinte


forma:
1. Clicar com o boto direito do mouse sobre a entidade a ser removida e
selecionar a opo Remover, ou,
Aker Security Solutions

145

2. Clicar na mquina ou rede a ser removida e pressionar a tecla Delete.


Aps todos os campos estarem preenchidos e todas as redes e mquinas que
devem fazer parte do conjunto selecionadas, deve-se clicar no boto OK para
realizar a incluso ou alterao do conjunto. Para cancelar as alteraes realizadas
ou a incluso, deve-se pressionar o boto Cancelar.
Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto
chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este
boto far com que o conjunto cujos dados foram preenchidos seja includo e a
janela de incluso de conjuntos mantida aberta, pronta para uma nova incluso.
Desta forma possvel cadastrar rapidamente um grande nmero de conjuntos.
Editando conjuntos - IPv6

Figura 88. Edio de conjuntos IPv6.

Para cadastrar uma entidade do tipo conjunto IPv6 deve-se preencher os seguintes
campos:
Nome: o nome pelo qual o conjunto ser sempre referenciado pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica se no, manual.
Aker Security Solutions

146

Letras maisculas e minsculas so consideradas diferentes nos nomes das


entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado ao conjunto em todas as referncias.
Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento
mostrar uma lista com todos os possveis cones para representar conjuntos. Para
escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira
alter-lo aps ver a lista, basta clicar no boto Cancelar.
Aps preencher o nome e escolher o cone para o conjunto, deve-se definir quais
mquinas e redes faro parte do mesmo. Abaixo esto os passos que devero ser
seguidos.
1. Clicar com o boto direito do mouse no campo em branco e selecionar a
opo Adicionar Entidades (a entidade pode ser adicionada clicando-se
duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar).
ou
2. Clicar sobre a entidade que deseja incluir, com isso deve arrast-la e solt-la
dentro da janela de entidades do conjunto.

Figura 89. Edio de conjuntos IPv6 (entidades a ser adicionada).

Aker Security Solutions

147

Para remover uma rede ou mquina do conjunto, deve-se proceder da seguinte


forma:
1. Clicar com o boto direito do mouse sobre a entidade a ser removida e
selecionar a opo Remover.
ou
2. Clicar na mquina ou rede a ser removida e pressionar a tecla Delete.
Aps todos os campos estarem preenchidos e todas as redes e mquinas que
devem fazer parte do conjunto selecionadas, deve-se clicar no boto OK para
realizar a incluso ou alterao do conjunto. Para cancelar as alteraes realizadas
ou a incluso, deve-se pressionar o boto Cancelar.
Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto
chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este
boto far com que o conjunto cujos dados foram preenchidos seja includo e a
janela de incluso de conjuntos mantida aberta, pronta para uma nova incluso.
Desta forma possvel cadastrar rapidamente um grande nmero de conjuntos.
Incluindo/Editando lista de categorias

Figura 90. Incluso e edio das listas de categorias.


Aker Security Solutions

148

Para definir uma lista de categorias necessrio proceder da seguinte forma:


Selecionar a opo Automtico, caso queira atribuir um nome padro a lista.
Preencher o campo nome, onde pode definir um nome especfico para a lista de
categorias.
O boto Atualizar permite buscar as categorias no firewall caso tenha havido
alguma
atualizao.
Ao selecionar a opo Tentar recuperar categorias pelo critrio nome quando o
Analisador de Contexto for trocado, permite identificar as categorias pelos nomes
que foram cadastradas, pois ao trocar o analisador de contexto muitas categorias
podem ser perdidas.
Incluindo/Editando lista de padres de busca

Figura 91. Incluso e edio dos padres de buscas.

Para definir um padro de pesquisa necessrio proceder da seguinte forma:


Selecionar a opo Automtico, caso queira atribuir um nome padro ao tipo de
pesquisa.
Preencher o campo nome, onde pode definir um nome especfico para a pesquisa.
Os campos Padro e Texto permitem definir qual ser a string ou os parmetros
que sero pesquisados na URL acessada e qual operao a ser efetuada.

Aker Security Solutions

149

Incluindo/Editando lista de quotas

Figura 92. Incluso e edio de quotas.

Esta janela permite definir, vrios tipos de quotas de acesso do usurio rede.
Para criar uma quota pode-se selecionar a opo Automtico para que seja
atribudo um nome padro ao tipo de quota a ser definido ou ento preencher o
campo nome, onde pode atribuir um nome especfico para a lista de quotas.
A opo Tipo da Quota permite escolher se a quota definida ser atribuda
diariamente, semanalmente ou mensalmente. Ao marcar qual o tipo de quota
desejada, pode associar a ela a checagem de tempo de acesso e/ou de volume de
dados.
A checagem de tempo pode ser definida em dias e/ou horas. Por exemplo,
diariamente s vai ser liberado 3 horas de acesso internet, ou semanalmente 3
dias ou at mesmo semanalmente liberado 7 dias.

Observao 1: A contagem de tempo funciona da seguinte forma: quando o usurio


acessa uma pgina, conta um relgio de 31 segundos, se o usurio acessar uma
outra pgina, comea a contar do zero, mas no deixar de contar, por exemplo, os
10 segundos que o usurio gastou ao acessar a pgina anterior.
Observao 2: Para o consumo de quota, funciona da seguinte forma: no MSN,
para cada janela de conversao, o tempo contado separadamente, j na WEB
ser tiver acessando 10 sites, ser contado somente o tempo de uma.
Aker Security Solutions

150

Incluindo / Editando agentes externos


Agentes externos so utilizados para a definio de programas complementares ao
Aker Firewall. So responsveis por funes especficas que podem estar rodando
em mquinas distintas. Quando houver necessidade de realizao de uma
determinada tarefa por um dos agentes externos, ou vice-versa, o firewall se
comunicar com eles e requisitar sua execuo.

Figura 93. Incluso e edio de agentes externos.

Existem 10 diferentes tipos de agentes externos, cada um responsvel por um tipo


distinto de tarefas:
Autenticadores
Os agentes de autenticao so utilizados para fazer a autenticao de usurios no
firewall utilizando usuarios/senhas de bases de dados de diversos sistemas
operacionais (Windows NT, Linux, etc).
Autoridades certificadoras
Autoridades certificadoras so utilizadas para fazer autenticao de usurios
atravs de PKI, com o uso de Smart Cards e para autenticao de firewalls com
criptografia IPSEC.
Autenticadores Token
Os autenticadores token so utilizados para fazer autenticao de usurios no
firewall utilizando SecurID(R), Alladin e outros.

Aker Security Solutions

151

Agentes IDS
Os agentes IDS (Intrusion Detection Systems - Sistemas detectores de intruso) so
sistemas que ficam monitorando a rede em tempo real procurando por padres
conhecidos de ataques ou abusos. Ao detectar uma destas ameaas, ele pode
incluir uma regra no firewall que bloquear imediatamente o acesso do atacante.
Mdulos de Antivirus
Os agentes anti-vrus so utilizados pelo proxy SMTP, POP3 e Filtro Web para
realizarem a checagem e a desinfeco de virus de forma transparente em e-mails e
nos downloads FTP e HTTP.
Analisadores de contexto
Os analisadores de contexto so utilizados pelo Filtro Web para controlar o acesso a
URLs baseados em diversas categorias pr-configuradas.
Servidores remotos de log
Os servidores de log remoto so utilizados pelo firewall para enviar o log para
armazenamento em uma mquina remota.
Autenticador Radius
O autenticador Radius utilizado para fazer autenticao de usurios no firewall a
partir de uma base Radius.
Autenticadores LDAP
O autenticador LDAP permite ao firewall autenticar usurio usando uma base LDAP
compatvel com o protocolo X500.
Spam Meters
Os servidores do spam meter so utilizados pelo firewall para classificar e-mails e
definir quais deles sero considerados SPAM.
possvel a instalao de diversos agentes externos em uma mesma mquina,
desde que sejam distintos.
Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo
o diretrio de Agentes Externos. Independemente de seu sub-tipo, todos os agentes
externos possuem os seguintes campos (os demais campos sero ento
modificados de acordo com o tipo do agente a ser cadastrado):
Nome: o nome pelo qual o agente ser sempre referenciado pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
Aker Security Solutions

152

automaticamente. A opo Automtico permite escolher entre estes dois modos de


operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio,
manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado ao agente em todas as referncias. Para
alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma
lista com todos os possveis cones para representar agentes do sub-tipo
selecionado. Para escolher entre eles basta clicar no cone desejado e no boto OK.
Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar.
Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token,
necessrio preencher os seguintes campos adicionais:

Figura 94. Cadastro de um agente externo tipo autenticador ou autenticador Token.

IP: o endereo IP da mquina onde o agente est rodando.


Backup 1 e Backup 2: Estes campos permitem com que seja especificado at dois
endereos de outras mquinas que tambm estaro rodando o agente e que
serviro como backup no caso de quedas da mquina principal.
A mquina principal e as de backup devero compartilhar uma mesma base de
usurios, ou seja, elas devero ser controladoras de domnio primrias e de backup
Aker Security Solutions

153

(PDCs e BDCs), no caso de redes Windows, ou vrias mquinas Unix utilizando


NIS.
Senha: a senha utilizada para gerar as chaves de autenticao e criptografia
usadas na comunicao com o agente. Esta senha dever ser igual a configurada
no agente. Para maiores informaes, veja o captulo intitulado: Trabalhando com
proxies.
Confirmao: Este campo utilizado apenas para verificar se a senha foi digitada
corretamente. Deve-se digit-la exatamente como no campo Senha.
Tempo limite do cache: Todas as vezes que realizada uma autenticao com
sucesso, o firewall mantm em memria os dados recebidos do usurio e do
agente. Nas autenticaes seguintes, o firewall possui todos os dados necessrios e
no mais precisa consultar o agente. Isso permite um grande ganho de
performance.
Este parmetro permite definir em segundos o tempo em que o firewall deve manter
as informaes de autenticao em memria. Para maiores informaes, veja o
captulo intitulado: Trabalhando com proxies.
Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-se
preencher os seguintes campos adicionais:

Figura 95. Cadastro de um agente externo tipo Autoridade Certificadora.


Aker Security Solutions

154

Localizao da publicao da lista de certificados revogados (CRL): a URL


da qual ser baixada a lista de certificados revogados da CA (CRL). Esta URL deve
ser obrigatoriamente do protocolo HTTP e deve ser especificada sem o http:// na
sua frente.
O boto Importar certificado raiz permite carregar o certificado root da CA no
firewall. Ao ser clicado, a interface abrir uma janela para que especificar o nome do
arquivo com o certificado a ser importado.
necessrio importar um certificado raiz para cada Autoridade Certificadora
criada, caso contrrio no ser possvel autenticar usurios por meio dela.
O Campo Pseudo-grupos permite definir grupos para usurios que se autenticarem
por meio da autoridade certificadora, da mesma forma como define grupos em um
sistema operacional. Desta maneira, possvel criar pseudo-grupos que
representem todos os usurios de uma determinada empresa, departamento,
cidade, etc. Aps serem criados os pseudo-grupos, eles podem ser associados a
perfis de acesso, da mesma forma como se faz com grupos de autenticadores ou
autenticadores token.
Clicando com o boto direito podemos selecionar as seguintes opes:
Inserir: Esta opo permite incluir um novo pseudo-grupo;
Excluir:

Esta

opo

remove

da

lista

pseudo-grupo

selecionado.;

Editar: Esta opo abre a janela de edio para o pseudo-grupo selecionado;


Ao clicar no boto Inserir ou Editar, a seguinte janela ser mostrada:

Aker Security Solutions

155

Figura 96. Definio de Pseudo-Grupos para usurios que se autenticarem por meio de autoridade
certificadora.

Nome: Campo de preenchimento obrigatrio o campo que, indicar o nome pelo


qual o pseudo-grupo ser referenciado pelo firewall. Os demais campos
representam dados que sero comparados com os dados presentes no certificado
X509 de cada usurio autenticado. Se um determinado campo estiver em branco
ento qualquer valor ser aceito no campo correspondente do certificado, se no
apenas certificados que possurem o campo igual ao valor informado sero
considerados como parte do grupo.
Domnio: Nome da pessoa certificada;
E-mail: Endereo de e-mail da pessoa certificada;
Empresa: Nome da empresa onde trabalha a pessoa certificada ;
Departamento: Departamento dentro da empresa onde trabalha a pessoa
certificada;
Cidade: Cidade onde se localiza a empresa onde trabalha a pessoa certificada;
Estado: Estado onde se localiza a empresa onde trabalha a pessoa certificada;
Pas: Pas onde se localiza a empresa onde trabalha a pessoa certificada;
Os campos: Domnio, E-mail, Empresa, Departamento, Cidade, Estado e Pas se
referem a pessoa que o certificado foi emitido.
Aker Security Solutions

156

Para que um usurio autenticado atravs da autoridade certificadora seja


considerado como membro de um pseudo-grupo, todos os campos de seu
certificado X509 devem ser iguais aos valores dos campos correspondentes do
pseudo-grupo. Campos em branco de um pseudo-grupo so ignorados na
comparao e, portanto, quaisquer valores do certificado para estes campos sero
aceitos.
Para cadastrar um agente externo do tipo Agente IDS, Analisador de contexto,
Anti-vrus, Spam Meter ou Servidor de Log Remoto, deve-se preencher os
seguintes campos adicionais:

Figura 97. Cadastro de agente externo tipo Agente IDS.

Figura 98. Cadastro de agente externo tipo Analisador de texto.


Aker Security Solutions

157

Figura 99. Cadastro de agente externo tipo Mdulo de Antivrus.

Figura 100. Cadastro de agente externo tipo Spam Meter.

Aker Security Solutions

158

Figura 101. Cadastro de agente externo Servidor Remoto.

IP: o endereo IP da mquina onde o agente est rodando.


Backup 1 e Backup 2: Estes campos permitem especificar at dois endereos de
outras mquinas que tambm estaro rodando o agente e que serviro como
backup no caso de quedas da mquina principal.
Senha: a senha utilizada para gerar as chaves de autenticao e criptografia
usadas na comunicao com o agente. Esta senha deve ser igual configurada no
agente.
Confirmao: Este campo utilizado apenas para verificar se a senha foi digitada
corretamente. Deve-se digit-la exatamente como no campo Senha.
Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher
os seguintes campos:

Aker Security Solutions

159

Figura 102. Cadastro de agente externo Autenticador LDAP.

IP: o endereo IP da mquina onde o agente est rodando.


Backup 1 e Backup 2: Estes campos permitem especificar at dois endereos de
outras mquinas que tambm estaro rodando o servidor LDAP e que serviro
como backup no caso de quedas da mquina principal.
Tempo limite da cache: Todas as vezes que uma autenticao realizada com
sucesso, o firewall mantm em memria os dados recebidos do usurio e do
agente. Nas autenticaes seguintes, o firewall possui todos os dados necessrios e
no mais precisa consultar o agente. Isso permite um grande ganho de
performance.
Este parmetro permite definir em segundos o tempo que o firewall deve manter as
informaes de autenticao em memria. Para maiores informaes, veja o
captulo intitulado Trabalhando com proxies.
Configuraes LDAP: Neste conjunto de campos deve-se especificar as
configuraes do servidor LDAP que ser utilizado para a realizao das
autenticaes. A descrio de cada campo pode ser vista a seguir:
Aker Security Solutions

160

DN Root de conexo: DN do usurio utilizado pelo firewall para as consultas;


Senha Root de conexo: a senha deste usurio;
DN Base: DN para comear a busca;
ObjectClass da Conta: valor de objectclass que identifica objetos de contas
vlidas;
Atributo nome do usurio: o atributo onde encontra o nome do usurio;
Atributo senha: o atributo onde se encontra a senha do usurio;
Atributo grupo: o atributo onde se encontra o grupo do usurio;
Permitir senha em branco: permite senhas em branco para o usurio quando
marcado;
Usar a verso 3 do protocolo LDAP: Habilita a o uso da verso 3 do protocolo
LDAP;

Ignorar maisculas e minsculas na comparao: Permite que maisculas e


minsculas na comparao sejam equivalentes;
Mtodo de Autenticao: Este campo especifica se o firewall deve buscar a senha
ou deve se conectar na base LDAP com as credenciais do usurio para valid-lo;
Conectar utilizando as credencias do usurio: Permite ao usurio autenticar-se
utilizando suas credenciais.
Hash (RFC2307): Permite atenticao pelo modo Hash (RFC2307);
Adicionar DN Base ao nome do usurio: Permite adicionar DN Base ao nome do
usurio na autenticao;
Conexo LDAP segura: Este campo especifica se a conexo ao servidor LDAP
ser encriptada ou no. Ele consiste das seguintes opes:
SSL: especifica que o firewall usar conexo encriptada via SSL;
TLS: especifica que o firewall usar conexo encriptada via TLS;
Nenhuma: especifica que o firewall no usar criptografia ao se conectar ao
servidor LDAP;
Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencher
os seguintes campos adicionais:

Aker Security Solutions

161

Figura 103. Cadastro de agente externo Autenticador Radius.

IP: o endereo IP da mquina onde o agente est rodando.


Porta: Nmero da porta onde o servidor RADIUS estar escutando as requisies
de autenticao.
1 Backup: Este campo permite com que se especifique outra mquina que tambm
estar rodando o servidor RADIUS e que servir como backup no caso de queda
da mquina principal.
Segredo: o segredo compartilhado utilizado no servidor RADIUS.
Confirmao: Este campo utilizado apenas para se verificar se o segredo foi
digitado corretamente. Deve-se digit-lo exatamente como no campo Segredo.
Tempo limite do cache: Todas as vezes que realizado uma autenticao com
sucesso, o firewall mantm em memria os dados recebidos do usurio e do
agente. Nas autenticaes seguintes, o firewall possui todos os dados necessrios e
no mais precisa consultar o agente. Isso permite um grande ganho de
performance.
Este parmetro permite definir o tempo, em segundos, que o firewall deve manter as
informaes de autenticao em memria. Para maiores informaes, veja o
captulo intitulado Trabalhando com proxies.
Usurios: Este campo serve para que se possa cadastrar e posteriormente
associar usurios especficos RADIUS com perfis de acesso do firewall, uma vez
que com este protocolo no possvel para o firewall conseguir a lista completa de
Aker Security Solutions

162

usurios. Somente necessrio realizar o cadastramento dos usurios que queira


se associar com perfis especficos.
Grupos: Este campo serve para cadastrar e posteriormente associar grupos
especficos RADIUS com perfis de acesso do firewall, uma vez que com este
protocolo no possvel para o firewall conseguir a lista completa de grupos.
Somente necessrio realizar o cadastramento dos grupos que quer associar com
perfis especficos.
Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo
firewall que pode ser utilizado para a associao de usurios RADIUS com um perfil
de acesso especfico. Todos os usurios autenticados em um determinado servidor
RADIUS so considerados como pertencentes a este grupo. Desta forma, caso
queira utilizar um nico perfil de acesso para todos os usurios, no necessrio o
cadastramento de nenhum usurio e/ou grupo.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para
realizar a incluso ou alterao do agente externo. Para cancelar as alteraes
realizadas ou a incluso, deve-se pressionar o boto Cancelar.
Para facilitar a incluso de vrios agentes seguidamente, existe um boto chamado
Nova (que no estar habilitado durante uma edio). Ao clicar, neste boto far
com que o dados preenchidos do agente, sejam includos e a janela de incluso de
agentes mantida aberta, pronta para uma nova incluso. Desta forma possvel
cadastrar rapidamente um grande nmero de agentes.
Incluindo / editando servios

Figura 104. Incluso e edio de servios.

Aker Security Solutions

163

Para cadastrar uma entidade do tipo servio deve-se preencher os seguintes


campos:
Nome: o nome pelo qual o servio ser sempre referenciado pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio,
manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado ao servio em todas as referncias. Para
alter-lo, deve-se clicar sobre o desenho do cone atual. O firewall ento mostrar
uma lista com todos os possveis cones para representar servios. Para escolher
entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo
aps ver a lista, basta clicar no boto Cancelar.
Protocolo: o protocolo associado ao servio. (TCP, UDP, ICMP ou OUTROS)
Servio: o nmero que identifica o servio. No caso dos protocolos TCP e UDP,
este nmero a porta destino. No caso de ICMP o tipo de servio e no caso de
outros protocolos o nmero do protocolo. Para cada protocolo, o firewall possui
uma lista dos valores mais comuns associados a ele, de modo a facilitar a criao
do servio. Entretanto, possvel colocar valores que no faam parte da lista,
simplesmente digitando-os neste campo.
Caso queira especificar uma faixa de valores, ao invs de um nico valor, deve-se
clicar no boto ao lado dos nomes De e Para e especificar o menor valor da faixa
em De e o maior em Para. Todos os valores compreendidos entre estes dois,
inclusive, sero considerados como fazendo parte do servio.
Proxy: Este campo s se encontra habilitado para os protocolos TCP e UDP e
permite especificar se a conexo que se enquadrar neste servio, ser
automaticamente desviada para um dos proxies transparentes do Firewall Aker ou
no. O valor padro Sem Proxy, que significa que a conexo no deve ser
desviada para nenhum proxy. Quando o protocolo TCP est selecionado, as outras
opes so Proxy SMTP, Proxy Telnet, Proxy FTP, Proxy do usurio, Proxy
HTTP e Proxy POP3 que desviam para os proxies SMTP, Telnet, FTP, proxies
criados pelo usurio, HTTP e POP3, respectivamente. Quando o protocolo UDP
est selecionado, as outras opes so Proxy RPC, que desvia para o proxy RPC,
e Proxy do Usurio.
O servio Telnet est associado porta 23, o SMTP porta 25, o FTP porta
21, o HTTP porta 80 e o POP3 porta 110. possvel especificar que conexes
de quaisquer outras portas sejam desviadas para um destes proxies, entretanto, isto
Aker Security Solutions

164

no o comportamento padro e no deve ser feito a no ser que tenha


conhecimento de todas as possveis implicaes.
Caso tenha especificado que a conexo deve ser desviada para um proxy, pode ser
necessrio definir os parmetros do contexto que ser utilizado pelo proxy para este
servio. Caso isso seja necessrio, no momento em que o proxy for selecionado, a
janela ser expandida para mostrar os parmetros adicionais que devem ser
configurados.
A explicao dos parmetros de cada um dos contextos dos proxies padro, se
encontra nos captulos intitulados Configurando o proxy SMTP, Configurando o
proxy Telnet, Configurando o proxy FTP, Configurando o proxy POP3 e
Configurando o Proxy RPC e o proxy DCE-RPC. O proxy HTTP no tem
parmetros configurveis e suas configuraes so descritas no captulo
Configurando o Filtro Web . Para maiores informaes sobre proxies
transparentes e contextos, veja o captulo intitulado Trabalhando com proxies.
Proxies definidos pelo usurio somente so teis para desenvolvedores e sua
descrio no ser abordada aqui.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para
realizar a incluso ou alterao do servio. Para cancelar as alteraes realizadas
ou a incluso, deve-se pressionar o boto Cancelar.
Para facilitar a incluso de vrios servios seguidamente, existe um boto chamado
Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto
far com que o servio, cujos dados foram preenchidos, seja includo e a janela de
incluso de servios mantida aberta, pronta para uma nova incluso. Desta forma
possvel cadastrar rapidamente um grande nmero de servios.
Incluindo / editando interfaces

Figura 105. Incluso e edio de interfaces.

Aker Security Solutions

165

Para cadastrar uma entidade do tipo interface necessrio preencher os seguintes


campos:
Nome: o nome pelo qual a interface ser sempre referenciada pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: se ela estiver marcada, a atribuio ser automtica caso contrrio ser
manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado interface em todas as referncias. Para
alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma
lista com todos os possveis cones para representar interfaces. Para escolher entre
eles deve-se clicar no cone desejado e no boto OK. Caso no queira alter-lo
aps ver a lista, basta clicar no boto Cancelar.
Interface: o nome do adaptador de rede que ser associado entidade
interface. Ser mostrada automaticamente uma lista com todos os adaptadores de
rede configurados no firewall e o endereo IP de cada um, se existir.
Comentrio: um campo texto livre usado apenas para fins de documentao.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para
realizar a incluso ou alterao da interface. Para cancelar as alteraes realizadas
ou a incluso, deve-se pressionar o boto Cancelar .
Para facilitar a incluso de vrias interfaces seguidamente, existe um boto
chamado Nova (que no estar habilitado durante uma edio). Ao clicar este boto
far com que os dados da interface que foram preenchidos sejam includos e
mantida aberta a janela de incluso de interfaces onde estar pronta para uma nova
incluso. Desta forma, possvel cadastrar rapidamente um grande nmero de
interfaces.
Incluindo / editando listas de e-mails
Listas de e-mails so entidades usadas no proxy MSN com o objetivo de definir com
quais pessoas um determinado usurio pode conversar atravs do MSN Messenger.

Aker Security Solutions

166

Figura 106. Incluso e edio de listas de e-mails.

Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher os


seguintes campos:
Nome: o nome pelo qual a lista de e-mails ser sempre referenciado pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio,
manual.
A lista deve ter apenas "enter ou (\n)" como separadores na lista de e-mails.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
Domnio de E-mail: Este campo composto pelos e-mails ou domnios que faro
parte da lista. possvel especificar um e-mail completo ou utilizar o smbolo * para
representar um caractere qualquer. As seguintes opes so e-mails vlidos:
= *@* - Corresponde a qualquer e-mail
= *@aker.com.br - Corresponde a todos os e-mails do domnio aker.com.br
Para executar qualquer operao sobre um e-mail ou domnio, deve-se clicar sobre
ele com o boto direito e a seguir escolher a opo desejada no menu que ser
mostrado. As seguintes opes esto disponveis:
Aker Security Solutions

167

Figura 107. Opo para realizar uma operao sobre um e-mail ou domnio.

Incluir: Esta opo permite incluir um novo endereo;


Excluir: Esta opo remove da lista o endereo selecionado;
Importar: Esta opo importa a lista de e-mails a partir de um arquivo .ctt
(formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por
linha);
Exportar: Esta opo exporta a lista de e-mails para um arquivo .ctt
(formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por
linha).
A lista deve ter apenas "enter ou (\n)" como separadores na lista de domnios.
Incluindo / editando listas de tipos de arquivos
Listas de tipos de arquivos so entidades usadas no proxy MSN com o objetivo de
definir quais tipos de arquivos podem ser enviados e recebidos, atravs do MSN
Messenger.

Figura 108. Lista dos tipos de arquivos.

Aker Security Solutions

168

Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os


seguintes campos:
Nome: o nome pelo qual a lista de tipos de arquivos ser sempre referenciado
pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja
atribudo automaticamente. A opo Automtico permite escolher entre estes dois
modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso
contrrio, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
Para executar qualquer operao sobre uma entrada da lista, deve-se clicar sobre
ela com o boto direito e a seguir escolher a opo desejada no menu que ser
mostrado. As seguintes opes esto disponveis:

Figura 109. Opo para realizar uma operao (Entrada da lista).

Incluir: Incluir um novo tipo de arquivo;


Excluir: Remover da lista o tipo de arquivo selecionado;
Duplicar: Criar uma nova entrada na lista, idntica entrada selecionada, sendo
indicada para criar vrios tipos com a mesma descrio;
Para cada entrada, os seguintes campos devem ser preenchidos:
Extenso: Extenso do arquivo sem o ponto. Ex.: zip, exe, etc.
Descrio: Breve descrio do tipo associado extenso.
Incluindo / editando acumuladores
Acumuladores so entidades usadas nas regras de filtragem com o objetivo de
coletar estatsticas sobre o trfego de rede. Um mesmo acumulador pode ser
utilizado em vrias regras de filtragem. O trfego que encaixar em cada uma destas
regras sumarizado pelo acumulador. A sua utilizao est descrita nos captulos:
O Filtro de Estados e Visualizando estatsticas.

Aker Security Solutions

169

Figura 110. Acumuladores.

Para cadastrar uma entidade do tipo acumulador deve-se preencher os seguintes


campos:
Nome: o nome pelo qual o acumulador ser sempre referenciado pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre esses dois modos de
operao: se ela estiver marcada, a atribuio ser automtica caso contrrio ser
manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado ao acumulador em todas as referncias.
Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento
mostrar uma lista com todos os possveis cones para representar interfaces. Para
escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira
alter-lo aps ver a lista, basta clicar no boto Cancelar.
Comentrio: um campo texto livre, usado apenas para fins de documentao.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para
realizar a incluso ou alterao do acumulador. Para cancelar as alteraes
realizadas ou a incluso, deve-se pressionar o boto Cancelar .
Para facilitar a incluso de vrios acumuladores seguidamente, existe um boto
chamado Nova (que no estar habilitado durante uma edio). Ao clicar neste
boto far com que os dados do acumulador que foram preenchidos sejam includos
e mantida aberta a janela de incluso de acumuladores onde estar pronta para
uma nova incluso. Desta forma possvel cadastrar rapidamente um grande
nmero de acumuladores.

Aker Security Solutions

170

Incluindo / editando Canais


Canais so entidades usadas nas regras de filtragem com o objetivo de limitar a
banda de determinados servios, mquinas, redes e/ou usurios. Seu uso est
descrito no captulo: O Filtro de Estados.

Figura 111. Cadastro de entidade tipo Canal.

Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes


campos:
Nome: o nome pelo qual o canal ser sempre referenciado pelo firewall.
possvel especificar este nome manualmente ou deixar que ele seja atribudo
automaticamente. A opo Nome automtico permite escolher entre estes dois
modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso
contrrio, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
cone: o cone que aparecer associado ao Canal em todas as referncias. Para
alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma
Aker Security Solutions

171

lista com todos os possveis cones para representar interfaces. Para escolher entre
eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps
ver a lista, basta clicar no boto Cancelar.

Largura de Banda: um campo texto usado para designar a largura de banda


(velocidade mxima de transmisso em bits por segundo) deste Canal. Esta banda
ser compartilhada entre todas as conexes que usarem este Canal. Deve ser
escolhida a unidade de medida mais conveniente.
Banda de upload: velocidade mxima de transmio em bits por segundo definida
para realizar um upload.
Banda de download: velocidade mxima de transmio em bits por segundo
definida para realizar um download.
Buffer: um campo texto usado para designar o tamanho do buffer (espao
temporrio de dados utilizado para armazenar pacotes que sero transmitidos)
utilizado por este Canal. Deve ser escolhida a unidade de medida. possvel
especificar este tamanho manualmente ou deixar que ele seja atribudo
automaticamente.
A opo Automtico permite escolher entre estes dois modos de operao: se ela
estiver marcada, a atribuio ser automtica, seno manual.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para
realizar a incluso ou alterao do Canal. Para que as alteraes e as incluses
sejam canceladas deve-se pressionar o boto Cancelar .
Para facilitar a incluso de vrios Canais seguidamente, existe um boto chamado
Nova (que no estar habilitado durante uma edio). Ao clicar este boto far com
que os dados da canal que foram preenchidos sejam includos e mantida aberta a
janela de incluso de canais onde estar pronta para uma nova incluso. Desta
forma possvel cadastrar rapidamente um grande nmero de canais.

6.3. Utilizando a interface texto

A utilizao da interface texto na configurao das entidades bastante simples e


possui praticamente todos os recursos da interface grfica. As nicas opes no
disponveis so a criao de servios que utilizem proxies transparentes e a edio
de pseudo-grupos de uma autoridade certificadora. importante comentar,
entretanto, que na interface texto os agentes externos so mostrados e criados
diretamente pelo seu sub-tipo.
Localizao do programa: /aker/bin/firewall/fwent
Aker Security Solutions

172

Sintaxe:
Uso: fwent ajuda
fwent mostra
fwent remove <nome>
fwent inclui maquina <nome> <IP
fwent inclui rede <nome> <IP> <mascara>
fwent inclui conjunto <nome> [<entidade1> [<entidade2>] ...]
fwent inclui maquina_ipv6 <nome> <ipv6>
fwent inclui rede_ipv6 <nome> <ipv6> / <prefixo>
fwent conjunto_ipv6 <nome> [<entidade1> [<entidade2>] ...]
fwent inclui autenticador<nome><IP1>[<IP2>][<IP3>]<senha> <t. cache>
fwent inclui token <nome><IP1>[<IP2>][<IP3>]<senha><t. cache>
fwent inclui ldap <nome><IP1>[<IP2>][<IP3>]<root_dn><root_pwd>
<base_dn><act_class><usr_attr><grp_attr>
<<pwd_attr>|<-bind> >< <-ssl>|<-tls>|<-nenhuma>>
< <-no_pwd>|<-pwd> > <t.cache>
< <-append_dn> | <-no_append_dn> >
< <-ldap_v3> | <-no_ldap_v3> >
< <-case_sensitive> | <-case_insensitive> >
fwent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache>
fwent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui ids <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui analisador-url <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui interface <nome> <dispositivo> [<comentario>]
fwent inclui acumulador <nome> [<comentario>]
fwent inclui servico <nome> [TCP | UDP | ICMP | OUTRO] <valor>[..<valor>
fwent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs>:
fwent inclui pipe <nome> <banda em Kbits/s> [<tamanho da fila> <bytes|pacts>]
fwent inclui log_remoto <nome> <IP> [IP] [IP] <senha>
fwent inclui quota <nome> [ kbytes <max kbytes> ] [ segundos <max seconds> ]
<tipo>
fwent - Interface texto para configuracao das entidades
Ajuda do programa :
inclui = inclui uma nova nova entidade
remove = remove uma entidade existente
ajuda = mostra esta mensagem
Aker Security Solutions

173

Para remove / inclui temos:


nome = nome da entidade a ser criada ou removida
Para inclui temos:
IP = endereco IP da maquina ou da rede
mascara = mascara da rede entidade = nome das entidades a serem
acrescentadas no conjunto
(OBS: Somente podem fazer parte de um conjunto entidades do tipo maquina ou
rede)
senha = senha de acesso
t. cache = tempo em segundos de permanencia de uma entrada no cache de
autenticacao TCP = servico utiliza protocolo TCP
UDP = servico utiliza protocolo UDP
ICMP = servico utiliza protocolo ICMP
OUTRO = servico utiliza protocolo diferente dos acima citados
valor = Numero que identica o servico.
Para os protocolos TCP e UDP, e' o valor da porta associada ao servico.
No caso de ICMP, e' o
tipo de servico e no caso de outros protocolos o numero do
proprio protocolo. Pode-se especificar uma faixa atraves da
notacao valor1..valor2, que significa a faixa de valores
compreendida entre o valor1 e o valor2 (inclusive).
Para inclui ldap temos:
root_dn = DN do usuario utilizado pelo firewall para as consultas
root_pwd = a senha deste usuario
base_dn = DN para comecar a busca
act_class= valor de objectclass que identifica objetos de contas validas
usr_attr = o atributo onde se encontra o nome do usuario
grp_addr = o atributo onde se encontra o grupo do usuario
pwd_addr = o atributo onde se encontra a senha do usuario
-bind = nao tenta buscar a senha, em vez disso tenta conectar na base
-append_dn = onde se adiciona base DN ao nome de usurio
-ldap_v3 = atributo onde habilita ou no a verso 3 do protocolo LDAP
-case_sensitive = permite a diferenciao de caracteres maisculos e minsculos
LDAP com as credenciais do usuario para valida-lo
-ssl = usar conexao encriptada via ssl
-tls = usar conexao encriptada via tls
-nenhuma = nao usar conexao encriptada
-no_pwd = permite senhas em branco para o usuario
-pwd = nao permite senhas em branco para o usuario
Exemplo 1:(visualizando as entidades definidas no sistema)
Aker Security Solutions

174

#fwent mostra

Maquinas:
--------cache 10.4.1.12
firewall 10.4.1.11
Redes:
-----AKER 10.4.1.0 255.255.255.0
Internet 0.0.0.0 0.0.0.0
Conjuntos:
---------Maquinas Internas cache firewall
Autenticadores:
--------------Autenticador NT 10.0.0.1 10.0.0.2 600
Unix 192.168.0.1 192.168.0.2 192.168.0.3 600
Autenticadores do tipo token:
----------------------------Autenticador token 10.0.0.1 10.0.0.2 600
Agentes IDS:
-----------Agente IDS 10.10.0.1
Anti-Virus:
----------Anti-virus local 127.0.0.1
Servicos:
--------echo reply ICMP 8
echo request ICMP 0
ftp TCP 21
snmp UDP 161
telnet TCP 23
Interfaces:
---------Interface Externa xl0
Interface Interna de0
Exemplo 2:(cadastrando uma entidade do tipo mquina)
#/aker/bin/firewall/fwent inclui maquina Servidor_1 10.4.1.4
Entidade incluida
Exemplo 3:(cadastrando uma entidade do tipo rede)
#/aker/bin/firewall/fwent inclui rede Rede_1 10.4.0.0 255.255.0.0
Entidade incluida

Aker Security Solutions

175

Exemplo 4:(cadastrando uma entidade do tipo servio)


#/aker/bin/firewall/fwent inclui servico DNS UDP 53
Entidade incluida
Exemplo 5:(cadastrando uma entidade do tipo autenticador)
#/aker/bin/firewall/fwent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123
900
Entidade incluida
O uso de "" ao redor do nome da entidade obrigatrio quando inclui ou remove
entidades cujo nome contm espaos.
Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros so
as mquinas cache e firewall, previamente definidas)
#/aker/bin/firewall/fwent inclui conjunto "Conjunto de teste" cache firewall
Entidade incluida
Exemplo 7: (incluindo uma entidade do tipo interface, sem especificar um
comentrio)
#/aker/bin/firewall/fwent inclui interface "Interface DMZ" fxp0
Entidade incluida
Exemplo 8: (incluindo uma entidade do tipo autenticador token, utilizando uma
mquina primria e uma secundria, como backup)
#/aker/bin/firewall/fwent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha
600
Entidade incluida
Exemplo 9: (removendo uma entidade)
#/aker/bin/firewall/fwent remove "Autenticador Unix"
Entidade incluida

6.4. Utilizando o Assistente de Entidades

O assistente de criao de entidades pode ser invocado clicando-se no cone


,
localizado na parte inferior da janela de entidades. O seu intuito simplificar a tarefa
de criao das entidades, podendo ser utilizado sempre que desejado. Ele consiste
de vrias janelas mostradas em srie, dependendo do tipo de entidade a ser criada.
Seu uso extremamente simples e o exemplificaremos para a criao de uma
entidade do tipo mquina:

Aker Security Solutions

176

1 - A primeira janela mostrada uma breve explicao dos procedimentos a serem


realizados:

Figura 112. Mensagem de entrada no Assistente de criao de entidades.

Aker Security Solutions

177

2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a


ser cadastrada:

Figura 113. Escolha do tipo de entidade.

Aker Security Solutions

178

3 - Localizar o endereo IP. Para cadastrar uma mquina deve ser especificado o
endereo IP correspondente. Caso queira obter esse endereo, deve ser informado
o nome da mquina e logo em seguida clicar no boto Resolva:

Figura 114. Insero do endereo de IP da mquina.

Aker Security Solutions

179

4 - Atribuio do nome da entidade. Pode-se escolher o nome ou usar a atribuio


automtica:

Figura 115. Atribuio do nome da entidade.

Aker Security Solutions

180

5 -Escolha do cone da entidade. Para escolher o cone da entidade deve-se clicar


em um dos cones que aparecem na janela. Observe que o cone selecionado ir
aparecer direita da janela:

Figura 116. Escolha do cone da entidade.

Aker Security Solutions

181

6 - Finalizao do cadastramento. Ser mostrado um resumo dos dados da


entidade. Para cadastr-la deve-se clicar no boto Finalizar:

Figura 117. Mensagem de finalizao do cadastramento.

Aker Security Solutions

182

O Filtro de Estado

Aker Security Solutions

183

7.

O Filtro de Estado
Este captulo mostrar como configurar as regras que propiciaro a aceitao ou
no de conexes pelo firewall. Este mdulo o mais importante do sistema e
onde normalmente se gasta o maior tempo de configurao.

7.1. Planejando a instalao

O que um filtro de pacotes?


Um filtro de pacotes o mdulo que ir decidir se um determinado pacote poder
passar atravs do firewall ou no. Deixar um pacote passar, implica em aceitar um
determinado servio. Bloquear um pacote significa impedir que este servio seja
utilizado.
Para que seja decidido qual ao a ser tomada para cada pacote que chega ao
firewall, o filtro de pacotes possui um conjunto de regras configurado pelo
administrador do sistema. Para cada pacote que chega, o filtro de pacotes percorre
este conjunto de regras, na ordem em que foi criado, verificando se este, encaixa
em alguma das regras. Se ele se encaixar em uma regra ento a ao definida para
ela ser executada. Caso o filtro termine a pesquisa de todas as regras e o pacote
no se encaixe em nenhuma delas ento a ao padro ser executada.
O que o filtro de estados do Aker Firewall?
Um filtro tradicional de pacotes baseia suas aes exclusivamente no conjunto de
regras configurado pelo administrador. Para cada pacote que poder passar pelo
filtro, o administrador tem que configurar uma regra que possibilite sua aceitao.
Em alguns casos isto simples, mas em outros isto no possvel de ser feito ou
pelo menos no possvel realizar com a segurana e flexibilidade necessrias.
O filtro de pacotes do Aker Firewall chamado de filtro de estados. Armazena
informaes do estado de todas as conexes que esto fluindo por meio dele e usa
estas informaes em conjunto com as regras definidas pelo administrador na hora
de tomar a deciso de permitir ou no a passagem de um determinado pacote. Alm
disso, diferentemente de um filtro de pacotes que baseia suas decises apenas nos
dados contidos no cabealho do pacote, o filtro de estados examina dados de todas
as camadas e utiliza todos estes dados ao tomar uma deciso.
Vamos analisar como isso permite a soluo de diversos problemas apresentados
pelos filtros de pacotes tradicionais.
O problema do protocolo UDP:
Aker Security Solutions

184

Para usar um servio UDP, a mquina cliente inicialmente escolhe um nmero de


porta (que varivel cada vez que o servio for utilizado) e envia um pacote para a
porta da mquina servidora correspondente ao servio (esta porta na mquina
servidora fixa). A mquina servidora, ao receber a requisio, responde com um
ou mais pacotes para a porta da mquina cliente. Para que a comunicao seja
efetiva o firewall deve permitir a passagem dos pacotes de solicitao do servio e
de resposta. O problema que o protocolo UDP no orientado conexo, isto
significa que se um determinado pacote for observado isoladamente, fora de um
contexto, no pode saber se ele uma requisio ou uma resposta de um servio.
Nos filtros de pacotes tradicionais; como o administrador no pode saber
inicialmente, qual a porta ser escolhida pela mquina cliente para acessar um
determinado servio, ele pode ou bloquear todo o trfego UDP ou permitir a
passagem de pacotes para todas as possveis portas. Ambas as abordagens
possuem alguns problemas.
O Aker Firewall possui a capacidade de se adaptar dinamicamente ao trfego de
modo a resolver possveis problemas. Um exemplo quando um pacote UDP
aceito por uma das regras configuradas pelo administrador, com isso adicionada
uma entrada em uma tabela interna, chamada de tabela de estados, de modo a
permitir que os pacotes de resposta ao servio correspondente possam voltar para a
mquina cliente. Esta entrada s fica ativa durante um curto intervalo de tempo, ao
final do qual ela removida (este intervalo de tempo configurado atravs da janela
de configurao de parmetros, mostrada no captulo intitulado Configurando os
parmetros do sistema). Desta forma, o administrador no precisa se preocupar
com os pacotes UDP de resposta, sendo necessrio apenas configurar as regras
para permitir o acesso aos servios. Isto pode ser feito facilmente, j que todos os
servios possuem portas fixas.
O problema do protocolo FTP:
O FTP um dos protocolos mais populares da Internet, porm um dos mais
complexos de ser tratado por um firewall. Vamos analisar seu funcionamento:
Para acessar o servio FTP, inicialmente a mquina cliente abre uma conexo TCP
para a mquina servidora na porta 21. (a porta usada pelo cliente varivel). Esta
conexo chamada de conexo de controle. A partir da, para cada arquivo
transferido ou para cada listagem de diretrio, uma nova conexo estabelecida,
chamada de conexo de dados. Esta conexo de dados pode ser estabelecida de
duas maneiras distintas:
1. O servidor pode iniciar a conexo a partir da porta 20 em direo a uma porta
varivel, informada pelo cliente pela conexo de controle (este chamado de
FTP ativo)
2. O cliente pode abrir a conexo a partir de uma porta varivel para uma outra
porta varivel do servidor, informada para o cliente atravs da conexo de
controle (este chamado de FTP passivo).

Aker Security Solutions

185

Nos dois casos o administrador no tem como saber quais portas sero escolhidas
para estabelecer as conexes de dados e desta forma, se ele desejar utilizar o
protocolo FTP atravs de um filtro de pacotes tradicional, dever liberar o acesso
para todas as possveis portas utilizadas pelas mquinas clientes e servidores. Isto
tem implicaes srias de segurana.
O Aker Firewall tem a capacidade de vasculhar o trfego da conexo de controle
FTP e desta forma descobrir qual o tipo de transferncia que ser utilizada (ativa ou
passiva) e quais portas sero usadas para estabelecer as conexes de dados.
Desta forma, todas as vezes que o filtro de pacotes determinar que uma
transferncia de arquivos ser realizada, ele acrescenta uma entrada na tabela de
estados de modo a permitir que a conexo de dados seja estabelecida. Esta entrada
s fica ativa enquanto a transferncia estiver se realizando e caso a conexo de
controle esteja aberta, propiciando o mximo de flexibilidade e segurana. Neste
caso, para configurar o acesso FTP deve-se acrescentar uma regra liberando o
acesso para a porta da conexo de controle (porta 21). Todo o resto ser feito
automaticamente.
O problema do protocolo Real udio:
O protocolo Real udio o mais popular protocolo de transferncia de som e vdeo
em tempo real atravs da Internet.
Para que seja possvel uma transmisso de udio ou vdeo necessrio que o
cliente estabelea uma conexo TCP para o servidor de Real udio. Alm desta
conexo, para conseguir uma melhor qualidade de som, o servidor pode abrir uma
conexo UDP para o cliente, para uma porta randmica informada em tempo real
pelo cliente e o cliente tambm pode abrir uma outra conexo UDP para o servidor,
tambm em uma porta randmica informada pelo servidor no decorrer da conexo.
Os filtros de pacotes tradicionais no permitem o estabelecimento das conexes
UDP do servidor para o cliente e vice-versa, uma vez que as portas no so
conhecidas antecipadamente, fazendo com que a qualidade, do udio e vdeo
obtidas, seja bastante inferior.
O filtro de estados do Aker Firewall acompanha toda a negociao do servidor Real
udio com o cliente de modo a determinar se as conexes UDP sero abertas e
quais portas sero usadas acrescentando esta informao em uma entrada na sua
tabela de estados. Esta entrada na tabela de estados s fica ativa enquanto a
conexo de controle TCP estiver aberta, propiciando o mximo de segurana.
O problema do protocolo Real Video (RTSP):
O protocolo Real Vdeo suportado pelo firewall. Assim como o Real udio, as
transaes so controladas pelo firewall, permitindo uma total segurana do uso de
aplicaes de Real Vdeo.

Aker Security Solutions

186

Montando regras de filtragem em um filtro de pacotes simples


Antes de mostrar como funciona a configurao do filtro de estados do Aker Firewall
interessante explicar o funcionamento bsico de um filtro de pacotes simples:
Existem vrios critrios possveis para realizar filtragem de pacotes. A filtragem de
endereos pode ser considerada a mais simples de todas, pois ela consiste em
fazer uma comparao entre os endereos dos pacotes e os endereos das regras.
Caso os endereos sejam iguais, o pacote aprovado. Esta comparao feita da
seguinte forma:
Trabalharemos com a seguinte regra: Todas as mquinas da rede 10.1.x.x podem
se comunicar com as mquinas da rede 10.2.x.x. Escreveremos esta regra
utilizando o conceito de mascaramento (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades). Assim temos:
10.1.0.0

&

255.255.0.0

->

10.2.0.0

------- Origem ------

&

255.255.0.0

------- Destino -------

Vamos agora aplicar a regra a um pacote que trafega da mquina 10.1.1.2 para a
mquina 10.3.7.7. Aplica-se a mscara da regra aos dois endereos, o da regra e o
do pacote e verifica se os endereos de destino e o de origem so iguais.
Para o endereo origem temos
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (para a regra)
10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (para o pacote)
Temos ento que os dois endereos origem so iguais aps a aplicao da
mscara. Veremos agora para o endereo destino:
10.2.0.0 AND 255.255.0.0 = 10.2.0.0 (para a regra)
10.3.7.7 AND 255.255.0.0 = 10.3.0.0 (para o pacote)
Como o endereo destino do pacote no est igual ao endereo destino da regra
aps a aplicao da mscara, por definio, esta regra no se aplicaria a este
pacote.
Esta operao feita em toda a lista de endereos e mscaras destino e origem at
o fim da lista, ou at uma das regras aplicar para o pacote examinado. Uma lista de
regras teria a seguinte forma:
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0
Aker Security Solutions

187

10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255


10.1.1.0 & 255.0.0.0
10.1.0.0 & 255.255.0.0

-> 10.2.3.0 & 255.255.255.0


-> 10.2.0.0 & 255.255.0.0

Alm dos endereos origem e destino, cada pacote IP possui um protocolo e um


servio associado. Esta combinao de servio mais protocolo pode ser utilizado
como mais um critrio de filtragem.
Os servios no protocolo TCP, por exemplo, esto sempre associados a uma porta
(para maiores informaes, veja o captulo intitulado Cadastrando Entidades).
Assim, pode-se tambm associar uma lista de portas aos endereos.
Pegaremos como exemplo dois servios conhecidos, o POP3 e o HTTP. O POP3
est associado porta 110 do servidor e o HTTP est associado porta 80. Assim,
iremos acrescentar estas portas no formato da regra. Teremos ento:

10.1.0.0 & 255.255.0.0


------- Origem ------

-> 10.2.0.0 & 255.255.0.0


------- Destino -------

TCP
- Protocolo -

80

110

--Portas-

Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e que
utiliza os servios HTTP ou POP3 a trafegar pelo firewall.
Assim, em uma primeira etapa compara-se os endereos da regra com os do
pacote. Caso estes endereos sejam iguais aps a aplicao das mscaras, passase a comparar o protocolo e a porta destino no pacote com o protocolo e a lista de
portas associados regra. Se o protocolo for o mesmo e se for encontrada uma
porta da regra igual porta do pacote, esta regra por definio se aplica ao pacote,
caso contrrio a pesquisa continua na prxima regra.
Assim um conjunto de regras teria o seguinte formato:
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0

UDP 53

10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 80


10.1.1.0 & 255.0.0.0
10.1.0.0 & 255.255.0.0

-> 10.2.3.0 & 255.255.255.0 TCP 21 20 113


-> 10.2.0.0 & 255.255.0.0

ICMP 0 8

Montando regras de filtragem para o Aker Firewall


Configurar as regras de filtragem no Aker Firewall algo muito fcil em funo de
sua concepo inteligente. Toda a parte de endereos IP, mscaras, protocolos,
Aker Security Solutions

188

portas so interfaces e so configuradas nas entidades (para maiores informaes,


veja o captulo intitulado Cadastrando Entidades). Com isso, ao configurar uma
regra no necessrio preocupar com qual porta um determinado servio utiliza ou
qual o endereo IP de uma rede. Tudo isso j foi previamente cadastrado. Para
facilitar ainda mais, todos os servios mais utilizados na Internet j vem previamente
configurado de fbrica, no havendo a necessidade de gastar tempo pesquisando
os dados de cada um.
Basicamente, para cadastrar uma regra, o administrador deve especificar as
entidades de origem, destino e os servios que faro parte da regra. Ele pode
tambm especificar uma interface de origem para os pacotes e definir em quais
horrios a regra estar ativa, em uma tabela de horrios semanal. Com o uso desta
tabela de horrios possvel liberar determinados servios em determinadas horas
do dia (por exemplo, liberar IRC, ou bate-papo, apenas nos horrios fora do
expediente). Se um pacote chegar a um horrio no qual a regra no est marcado
como ativa, ela ser ignorada, fazendo com que a busca continue na prxima regra
da lista.
O funcionamento do filtro simples: o firewall ir pesquisar uma a uma as regras
definidas pelo administrador, na ordem especificada, at que o pacote se encaixe
em uma delas. A partir deste momento, ele ir executar a ao associada regra,
que pode ser aceita, rejeitada ou descartada (estes valores sero explicados no
prximo tpico). Caso a pesquisa chegue ao final da lista e o pacote no se
enquadre em nenhuma regra ento este ser descartado ( possvel configurar
aes para serem executadas neste caso). Isto ser tratado no captulo intitulado:
Configurando as aes do sistema.

7.2. Editando uma lista de regras usando a interface grfica


Para ter acesso a janela de configurao de regras basta:

Aker Security Solutions

189

Figura 118. Dispositivos remotos (Acesso a janela de configurao das regras).

Clicar no menu Configuraes do firewall da janela principal.


Selecionar o item Regras de Filtragem.
A janela de regras de filtragem

Figura 119. Janelas de regras de filtragem.


Aker Security Solutions

190

A janela de regras contm todas as regras de filtragem definidas no Aker Firewall.


Cada regra ser mostrada em uma linha separada, composta de diversas clulas.
Caso uma regra esteja selecionada, ela ser mostrada em uma cor diferente.
O boto OK far com que o conjunto de regras seja atualizado e passe a funcionar
imediatamente.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a
janela seja fechada.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a
janela aberta
Ao clicar sobre uma regra que tenha algum comentrio, este aparecer na parte
inferior da janela
Para executar qualquer operao sobre uma determinada regra, deve-se clicar com
o boto direito do mouse sobre o campo que queira alterar. Aparecer um menu
com as opes de entidades referentes ao campo, como na figura abaixo:

Figura 120. Menu com opes de entidades referente ao campo.


Aker Security Solutions

191

Inserir: Incluir uma nova regra na lista. Se alguma regra estiver selecionada, a nova
regra ser inserida na posio da selecionada. Caso contrrio, a nova regra ser
includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Excluir: Remover da lista a regra selecionada.
Habilitar/Desabilitar: Desabilitar/habilitar a regra selecionada.
Adicionar entidades: Adicionar uma entidade cadastrada no firewall. Veja se o
ponteiro do mouse est sobre o campo o qual se quer inserir a entidade.
Remover entidades: Remover uma entidade que foi inserida na regra.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posio desejada, soltando em seguida.
Poltica Padro: pode-se definir uma nova poltica, clicando no boto "Poltica" na
barra de ferramentas do Firewall. possvel editar um nome e uma cor para cada
poltica, inclusive a padro.
Adicionando e removendo entidades e servios na regra
Para adicionar uma entidade a um destes campos, pode-se proceder de duas
formas:
1. Selecionar a entidade a ser includa, clicando sobre ela na tabela de entidades,
localizada na parte inferior esquerda da janela e a arraste para o campo
correspondente. As teclas Insert e Delete podem inserir e remover as entidades
respectivamente.
2. Clicar com o boto direito do mouse sobre o campo onde se deseja adicionar as
entidades, ser exibida uma lista das entidades pertinentes ao campo
selecionado, bem como que tipo de ao se deseja aplicar sobre as mesmas.
3. O duplo-clique na entidade ir permitir a edio da mesma.
Para remover uma entidade de um destes campos, deve-se proceder da seguinte
forma:
1. Clicar com o boto direito do mouse sobre o campo onde se encontra a entidade
que se deseja remover e ser exibida uma lista das entidades participantes do
campo com a opo de remoo da entidades no seguinte formato: remover
'entidade_removida'.
2. Pode-se utilizar a opo Remover Entidade para eliminar vrias entidades de
uma vez.
Na criao de regras ao selecionar as entidades, deve-se observar a origem e o
destino destas. Se especificar um endereo ipv4 na origem, obrigatoriamente devese especificar um endereo ipv4 no destino, a mesma coisa acontece caso a opo
seja o endereo ipv6.
Aker Security Solutions

192

Parmetros da regra:
Alm das especificaes bsicas de uma regra, entidades de origem, entidades de
destino e servios, deve-se levar em conta outros parmetros de configurao:
Acumulador: Define qual o acumulador para os pacotes da regra. A opo nenhum
desativa a contabilizao dos pacotes que se encaixem nesta regra. Se for
escolhido um acumulador, sero adicionados a ele a quantidade de bytes e pacotes
encaixados nesta regra.
Canal: Define o canal que ser utilizado para controlar a banda para a regra. A
opo nenhum desativa a utilizao de controle de banda para esta regra.
Ao: Este campo define qual a ao a ser tomada para todos os pacotes que se
encaixem nesta regra. Ela consiste nas seguintes opes:
Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem atravs do
firewall.
Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta
regra. Assim ser enviado um pacote ICMP para a mquina de origem do pacote
dizendo que o destino inatingvel. Esta opo no funciona para alguns tipos de
servio ICMP, devido a uma caracterstica inerente a este protocolo.
Descarta: Significa que os pacotes que se encaixarem nesta regra no passaro
pelo firewall, mas no ser enviado nenhum pacote para a mquina de origem.
Restries: Este campo permite especificar exigncias adicionais que um pacote
deve cumprir para que ele se encaixe nesta regra. Ele formado pelas seguintes
opes:
Nenhum: No existe nenhuma exigncia adicional.
Somente se encriptado: Neste caso, para que um pacote se enquadre nesta
regra, ele dever obrigatriamente vir encriptado/autenticado, ou seja, vir de
um canal seguro. Esta opo particularmente til quando est utilizando
clientes de criptografia e deseja que apenas conexes provenientes destes
clientes (ou de canais de criptografia firewall-firewall) sejam aceitas. Para
maiores informaes sobre criptografia e canais seguros, veja o captulo:
Criando canais de criptografia.
Somente se encriptado e de um usurio autenticado: Neste caso, para
que os pacotes sejam aceitos, alm deles virem encriptados/autenticados, o
usurio que estabeleceu o canal seguro deve ter sido autenticado pelo
firewall. A nica maneira de um pacote atender esta exigncia ele ser
proveniente de um cliente de criptografia e a opo de realizar autenticao
de usurios para os clientes de criptografia, estar ativa.
Aker Security Solutions

193

Log: Definir quais tipos de aes serem executadas pelo sistema quando um
pacote se encaixar na regra. Ele consiste em vrias opes que podem ser
selecionadas independentemente uma das outras. Os valores possveis so:
Logs: Se esta opo estiver selecionada, todos os pacotes que se
enquadrarem nesta regra sero registrados no log do sistema.
Envia email: Se esta opo estiver selecionada, ser enviado um e-mail
todas as vezes que um pacote enquadrar-se nesta regra (a configurao do
endereo de e-mail ser mostrada no captulo intitulado configurando as
aes do sistema).
Executar programa: Ao selecionar essa opo, ser executado um
programa definido pelo administrador todas as vezes que um pacote se
enquadrar nesta regra (a configurao do nome do programa a ser executado
ser mostrada no captulo intitulado configurando as aes do sistema).
Disparar mensagens de alarme: Ao selecionar essa opo, o firewall
mostrar uma janela de alerta todas as vezes que um pacote se enquadrar
nesta regra. Esta janela de alerta ser mostrada na mquina onde a interface
grfica remota estiver aberta e, se a mquina permitir, ser emitido tambm
um aviso sonoro. Caso a interface grfica no esteja aberta, no ser
mostrada nenhuma mensagem e esta opo ser ignorada.
Enviar Trap SMNP: Se esta opo estiver selecionada, ser enviada uma
Trap SNMP para cada pacote que enquadrar nesta regra (a configurao dos
parmetros para o envio das traps ser mostrada no captulo intitulado
configurando as aes do sistema).
No caso do protocolo TCP, somente sero executadas as aes definidas na
regra para o pacote de abertura de conexo. No caso do protocolo UDP, todos os
pacotes que forem enviados pela mquina cliente e se enquadrarem na regra
(exceto os pacotes de resposta) provocaro a execuo das aes.
Tabela de horrios: Definir as horas e dias da semana em que a regra ser
aplicvel. As linhas representam os dias da semana e as colunas representam as
horas. Caso queira que a regra seja aplicvel em determinada hora o quadrado
deve ser preenchido, caso contrrio o quadrado deve ser deixado em branco.
Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse
sobre um quadrado e a seguir arrast-lo, mantendo o boto pressionado. Isto faz
com que a tabela seja alterada na medida em que o mouse se move.
Perodo de validade: Permitir o cadastro de duas datas que delimitam um perodo
fora do qual a regra no tem validade. um recurso muito til para, por exemplo,
liberar o trfego relacionado a um evento no recorrente, como um teste. Se o
Aker Security Solutions

194

perodo ainda no tiver comeado ou estiver expirado, o nmero da regra ser


mostrado sobre um fundo vermelho.
Comentrio: Inserir um comentrio sobre a regra. Muito til na documentao e
manuteno das informaes sobre a utilidade da regra.
Verificao de regras
A verificao de regras feita por meio do cone
, ou ento automaticamente,
quando o usurio aplica as regras no boto aplicar na janela de Regras de filtragem.
A verificao pelo boto aplicar s ser feita se a opo estiver habilitada, esta
opo configurada no menu configuraes > suprimir > verificar regras.

Figura 121. Menu cone de verificao de regras.

O boto verificar faz a verificao da conexo com o Aker Control Center e a


verificao das regras eclipsadas. A primeira permite checar se existe alguma regra
que impea o usurio de conectar-se no firewall que ele est atualmente
configurando.
Exemplo: O ip do usurio o 10.0.0.1 e o do firewall o 10.0.0.2 e a porta do
control center a 1020. Caso exista alguma regra dizendo que para rejeitar os
pacotes de origem 10.0.0.1 e destino 10.0.0.2 na porta 1020, e caso esta regra seja
aplicada, implicar na impossibilidade do usurio se conectar a esse firewall. um
mecanismo para impedir que o prprio usurio tire o seu acesso de conexo no
firewall, sendo assim um tipo de regra problemtico que o verificador de regras
vlidas.
A segunda verificao a da regra "eclipsa", necessria essa verificao quando
a regra 1 engloba completamente a regra 2, impedindo que a regra 2 seja atingida.
Exemplo: A regra 1 tem origem 0.0.0.0 (qualquer origem), destino 0.0.0.0 (qualquer
destino) e todas as portas TCP 7. A regra 2 tem origem 10.0.0.1, destino 10.0.0.2 e
porta TCP 7. A primeira regra faz tudo o que a segunda regra faz, ento a segunda
regra nunca vai ser atingida, porque a primeira regra vai ser processada primeiro e
no vai deixar com que a outra regra seja alcanada.
Obs.: Todas as regras que so verificadas, so regras que j existem ou seja, que
j foram definidas.

Aker Security Solutions

195

Figura 122. Verificador de regras.

Utilizao dos Canais na Regra de Filtragem do Aker Firewall


O administrador pode definir Qualidade de Servio (QoS) diferenciada para cada
tipo de regra. No caso da figura abaixo, foi criado um canal de 500Kbits e aplicado
nas regras 8 e 9. O servidor "Correio_SMTP" possui prioridade no trfego pois a
prioridade para ele no canal est como "Muito alto".

Figura 123. Regras de filtragem (Exemplo de canal de 50KBits).


Aker Security Solutions

196

Para ajustes de prioridade de canal, basta clicar como o boto direito na entidade
Canal e escolher a prioridade pelo boto deslizando. Veja a figura abaixo:

Figura 124. Ajustes de prioridade de canal.

7.3. Trabalhando com Polticas de Filtragem


Este recurso permite que o administrador do firewall faa um agrupamento de
regras dentro de um levantamento feito dos fluxos que ocorrerem entre as suas sub
redes.
Para exemplificar, suponha que o administrador possua um firewall colocado entre
as redes interna, DMZ e Internet, conforme esquema abaixo:

Aker Security Solutions

197

Figura 125. Exemplo de como trabalhar com polticas de filtragem.

Pode-se verificar os possveis fluxos de dados que podero ocorrer entre essas
redes. Para cada fluxo foi dada uma numerao e com isso pode-se concluir que os
fluxos com nmeros mais altos (5 e 6) sero considerados os mais inseguros, pois
envolvem o acesso da internet as redes DMZ e interna, respectivamente.
Estes fluxos para o firewall sero desdobrados em regras de filtragem, com isto
poderiam ter as seguintes regras:

Aker Security Solutions

198

Figura 126. Exemplo de regras de filtragem.

No exemplo acima foram criadas as seguintes regras:

Aker Security Solutions

199

Regras Gerais do Firewall, de 1 a 4;


Fluxo Interna para DMZ, de 5 a 7;
Fluxo DMZ para Interna, de 8 a 10;
Fluxo Interna para Internet, de 11 a 13;
Fluxo DMZ para Internet, de 14 a 16;
Fluxo Internet para DMZ, de 17 a 19;
Fluxo Internet para Interna a 20.
Repare que ao final de cada fluxo foi colocada uma regra bloqueando o mesmo (4,
7, 10, 13, 16, 19 e 20). O objetivo desta tcnica evitar que erros cometidos ao
longo do cadastramento das regras de filtragem possam abrir indevidamente um
acesso no permitido, com isso caso uma regra no esteja colocada corretamente
dentro do fluxo, ela cair em um destes bloqueios que no permitir o acesso
indevido.
Observe que no fluxo Internet para Rede Interna no existe nenhuma regra
cadastrada, apenas o bloqueio.
Para melhor visualizao e controle, o firewall permite agrupar estas regras pelos
fluxos. A interface ento ficaria desta forma:

Figura 127. Interface regras de filtragem.

Para criar novas Polticas basta clicar no cone da barra de ferramentas "Poltica".

Figura 128. Barra de cones (Politca).

Aker Security Solutions

200

A figura abaixo mostra o desdobramento das regras da poltica. Basta dar um duplo
clique na linha para exibir as regras que ela contm:

Figura 129. Exibio das regras de filtragem.

No caso de desabilitar uma poltica, todas as regras que ela contm tambm
sero desabilitadas.
7.4. Utilizando a interface texto
A utilizao da interface texto na configurao das regras de filtragem traz uma
dificuldade gerada pela grande quantidade de parmetros que devem ser passados
pela linha de comando.
No possvel configurar a tabela de horrios nem especificar comentrios para
as regras atravs da interface texto. Tambm no possvel especificar mais de
uma entidade para origem ou destino da regra. Todas as regras acrescentadas por
esta interface so consideradas aplicveis em todas as horas da semana.
Localizao do programa: /aker/bin/firewall/fwrule.
Sintaxe:
Uso: fwrule [ajuda | mostra]
fwrule [habilita | desabilita | remove] [forca] <pos>
fwrule inclui [forca] <pos> <origem> <destino>
<aceita | rejeita | descarta>
[pipe <pipe> <peso>] [acumulador <acumulador>]
Aker Security Solutions

201

[loga] [mail] [trap] [programa] [alerta]


[encriptado | usuario ] [<servico> ...]
Ajuda do programa:
Firewall Aker - Verso 6.5
fwrule - Configura tabela de regras do filtro de estados
Uso: fwrule [ajuda | mostra]
fwrule [habilita | desabilita | remove] <pos>
fwrule inclui [forca] <pos> <origem> <destino>
<aceita | rejeita | descarta>
[pipe <pipe> <peso>] [acumulador <acumulador>]
[loga] [mail] [trap] [programa] [alerta]
[encriptado | usuario ] [<servico> ...]
mostra = mostra todas as entradas da tabela de regras
inclui
= inclui uma nova regra de filtragem
habilita = habilita uma regra de filtragem desabilitada
desabilita = desabilita uma regra de filtragem existente
remove = remove uma regra existente
ajuda
= mostra esta mensagem
Para inclui temos:
pos
= posicao onde incluir a nova regra na tabela
(Pode ser um inteiro positivo ou a palavra FIM para incluir
no final da tabela)
aceita = a regra aceita as conexoes que se enquadrarem nela
rejeita = a regra rejeita as conexoes que se enquadrarem nela e envia
pacote ICMP de destino inatingivel para maquina de origem
descarta = a regra descarta os pacotes recebidos (nao envia pacote ICMP)
pipe
= faz com que o trafego que se encaixe nesta regra seja
direcionado ao "pipe" indicado com peso relativo dado por:
acumulador = faz com que o trafego que se encaixe nesta regra seja
somado a entidade acumulador especificada
peso
= "ocioso", "m_baixo" (muito baixo), "baixo", "normal",
"alto", "m_alto" (muito alto) ou "tr" (tempo real)
loga
= loga os pacotes que se enquadrarem na regra
mail
= envia e-mail para cada pacote que se enquadre na regra
trap
= gera trap SNMP para cada pacote que se enquadre na regra
programa = executa um programa para cada pacote que se enquadre na regra
alerta = abre uma janela de alerta para cada pacote que se enquadre na regra
encriptado = indica que a regra so e' valida se os pacotes vierem encriptados
usuario = indica que a regra so e' valida se os pacotes vierem
Aker Security Solutions

202

encriptados e o usuario tiver se autenticado previamente no


firewall. Esta condicao somente pode ser atendida por
conexoes originadas de clientes de criptografia
servico = lista de nomes dos servicos para a nova regra
Para habilita / desabilita / remove temos:
pos
= numero da regra a ser habilitada, desabilitada ou removida
Exemplo 1: (visualizando as regras de filtragem)
#/aker/bin/firewall/fwrule mostra
Regra 01
-------Origem : Internet
Destino : firewall
cache
Acao
: Descarta
Log
: Loga Trap Alerta
Servicos : todos_tcp
todos_udp
todos_icmp
Regra 02
-------Origem : cache
firewall
Destino : Internet
Acao
: Aceita
Log
: Loga
Servicos : http
ftp
Regra 03
-------Origem
Destino
Acao
Log
Servicos

: Internet
: Mail server
: Aceita
: Loga
: smtp

Regra 04
-------Origem
Destino
Acao
Log
Servicos

: Empresas externas
: Aker
: Aceita
: Loga
: smtp
Aker Security Solutions

203

Exemplo 2: (removendo a quarta regra de filtragem)


#/aker/bin/firewall/fwrule remove 4
Regra 4 removida
Exemplo 3: (incluindo uma nova regra no final da tabela)
#/aker/bin/firewall/fwrule inclui fim Internet "Mail server" aceita loga smtp
Regra incluida na posicao 4
As entidades Internet e Mail server, bem como o servio smtp devem ter sido
previamente cadastradas no sistema. Para maiores informaes sobre como
cadastrar entidades no Aker Firewall, veja o captulo intitulado Cadastrando
Entidades.
O uso de "" ao redor do nome da entidade a ser includa na regra obrigatrio
quando este contm espaos.
7.5. Utilizando o assistente de regras
O assistente de regras pode ser acionado pelo menu ou pela barra de tarefas. Caso
o nmero de regras for muito pequeno o prprio assistente ser acionado
automaticamente.
1 - Acionando do assistente de regras. A janela abaixo aparecer quando um
nmero muito pequeno de regras for detectado.

Figura 130. Assistente de regras filtragem (janela exibida quando um nmero pequeno de regras for
detectado).

Aker Security Solutions

204

2 - Tela inicial com as explicaes necessrias.

Figura 131. Mensagem de boas vindas ao Assitente de regras filtragem.

Aker Security Solutions

205

3 - Escolha da rede interna na configurao inicial.

Figura 132. Escolha da rede interna e configurao inicial.

Aker Security Solutions

206

4 - Informao necessria para saber se as mquinas tero acesso irrestrito


Internet.

Figura 133. Tela de acesso para escolha de acesso restrito ou no internet.

Aker Security Solutions

207

5 - Configurao da DMZ.

Figura 134. Escolha se possui ou no DMZ.

Aker Security Solutions

208

6 - Escolha da entidade da DMZ.

Figura 135. Escolha da entidade DMZ.

Aker Security Solutions

209

7 - Informa se a DMZ ter acesso irrestrito a Internet.

Figura 136. Mquinas DMZ (acesso restrito ou no a internet).

Aker Security Solutions

210

8 - Servios a serem disponibilizados para a DMZ.

Figura 137. Escolha dos servios da internet e estaes de trabalho que o DMZ ter acesso.

Aker Security Solutions

211

9 - Administrao do Firewall. Informar quem ter acesso de administrao ao


mesmo.

Figura 138. Configurao do Firewall.

Aker Security Solutions

212

10- Registro individual de servidor para a DMZ.

Figura 139. Registro de configurao do servidor.

Aker Security Solutions

213

11 - Informao de servidor especfico para a DMZ.

Figura 140. Escolha da entidade do servidor.

Aker Security Solutions

214

12 - Seleo dos servios do servidor para a DMZ.

Figura 141. Selecionar o locar onde o servidor DMZ ficar disponvel.

Aker Security Solutions

215

13 - Pergunta se deseja configurar outro servidor.

Figura 142. Escolha para configurar outro servidor ou no.

Aker Security Solutions

216

14 - Visualizao final das regras de filtragem montada pelo assistente.

Figura 143. Aviso de finalizao de configurao das regras de filtragem.

7.6. Utilizando Regras de Pipes


Esta janela foi criada para organizar suas regras de Q.o.S, no Aker Firewall
conhecida como "canal/pipe". Ela permite que seja visualizado em apenas uma
janela todas as suas regras de PIPE, sem a necessidade de visualizar vrias janelas
separadas como as de Regras de filtragem Geral e/ou Regras de Filtragem nos
Perfis de Acesso.
Os campos so muito parecidos com a janela de Regras de Filtragem, contendo:
Aker Security Solutions

217

Origem: Determina o IP/rede de origem dos pacotes;


Destino: Determina o IP/rede de destino dos pacotes;
Servio: Permite selecionar quais os servios (TCP, UDP, ICMP ou Outros)
utilizar esta regra de PIPE;
Canal: O administrador pode definir Qualidade de Servio (QoS) diferenciada
para cada tipo de regra;
Hora:Define as horas e dias da semana em que a regra ser aplicvel. As linhas
representam os dias da semana e as colunas representam s horas. Caso queira
que a regra seja aplicvel em determinada hora o quadrado deve ser preenchido,
caso contrrio o quadrado deve ser deixado em branco.
Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse
sobre um quadrado e arrast-lo, mantendo o boto pressionado. Isto faz com que a
tabela seja alterada na medida em que o mouse se move.
Perodo de validade: Permitir o cadastro de duas datas que delimitam um
perodo fora do qual a regra no tem validade. um recurso muito til para,
por exemplo, liberar o trfego relacionado a um evento no recorrente, como um
teste. Se o perodo ainda no tiver comeado ou estiver expirado, o nmero da
regra ser mostrado sobre um fundo vermelho.
Comentrio: Inserir um comentrio sobre a regra. Muito til na documentao e
manuteno das informaes sobre a utilidade da regra.
A janela de Regras de Pipes

Figura 144. Janela com as regras de Pipes.

Observao: Estas regras sobrepem s configuraes de "Canal" das Regras de


Filtragem Geral e das Regras de Filtragem nos Perfis de Acesso.

Aker Security Solutions

218

Configurando converso de
endereos

Aker Security Solutions

219

8.

Configurando a converso de endereos


Este captulo mostrar como configurar os parmetros de converso de endereos
(NAT) de modo a possibilitar que a rede interna trabalhe com endereos reservados,
aumentando sua capacidade de endereamento, ocultando as mquinas da rede
interna e acessando a Internet, de forma totalmente transparente. Nesta verso
tambm ser possvel realizar um balanceamento de carga das conexes de forma
mais inteligente.
8.1. Planejando a instalao

O que converso de endereos?


Qualquer rede que vai se ligar Internet necessita de um conjunto de endereos IP
atribudos por alguma autoridade designada para tal (no Brasil esta distribuio de
responsabilidade da FAPESP). Basicamente existem 3 conjuntos de endereos
possveis, os chamados classe A, que possibilitam 16.777.214 mquinas dentro da
rede, os classe B, que possibilitam 65.533 mquinas e os classe C, que possibilitam
254 mquinas.
Devido ao grande crescimento apresentado pela Internet nos ltimos anos, no
existem mais endereos classe A e B disponveis. Assim sendo, qualquer rede que
venha a se conectar receber um endereo classe C que permite o endereamento
de apenas 254 mquinas. Caso o nmero de mquinas seja maior do que isso,
deve-se adquirir vrios endereos classe C o que dificulta o trabalho de
administrao, ou utilizar uma soluo de converso de endereos.
A converso de endereos uma tecnologia que permite que os endereos das
mquinas da rede interna sejam distribudos livremente, utilizando endereos classe
A. Assim continua a permitir que todas as mquinas tenham acesso a internet de
forma simultnea e transparente a Internet.
O seu funcionamento simples, todas as vezes que uma mquina com um
endereo reservado tenta acessar a Internet, o Firewall detecta e automaticamente
traduz seu endereo para um endereo vlido. Quando a mquina de destino
responde e envia dados para o endereo vlido, o Firewall converte de volta este
endereo para o reservado e repassa os dados para a mquina interna. Da forma
que isso feito, nem as mquinas clientes nem as mquinas servidoras sabem da
existncia de tal mecanismo.
Outra vantagem, alm da apresentada acima, que com a converso de endereos
todas as mquinas da sua rede interna ficam invisveis para a rede externa,
aumentando ainda mais o nvel de segurana da instalao.

Aker Security Solutions

220

A converso de endereos no compatvel com servios que transmitem


endereos IP ou portas como parte do protocolo. Os nicos servios deste tipo
suportados pelo Aker Firewall so o FTP, Real udio e Real Vdeo.
Quais so as minhas redes internas?
As redes internas se constituem de todas as mquinas de uma ou mais sub-redes
que esto sendo protegidas pelo Aker Firewall. Isto inclui todos os dispositivos
internos rede, como roteadores, switches, mquinas servidoras, mquinas
clientes, etc. So os equipamentos que guardam informaes importantes da sua
rede, ou so peas chaves para seu funcionamento.
Quais so as minhas redes externas?
As redes externas so formadas por todas as mquinas que no fazem parte da
rede interna. Elas podem estar ou no sobre a responsabilidade administrativa de
sua organizao.
No caso de uma rede de uma organizao se ligando Internet, a rede externa
seria toda a Internet.
Endereando as minhas redes internas
Apesar de tecnicamente possvel, os endereos de suas redes internas no devem
ser escolhidos aleatoriamente. Existem alguns endereos reservados
especificamente para este fim. Estes endereos no podem ser atribudos a
nenhuma mquina ligada Internet.
Os endereos reservados so:
De 10.0.0.0 10.255.255.255, mscara 255.0.0.0 (classe A)
De 172.16.0.0 172.31.0.0, mscara 255.255.0.0 (classe B)
De 192.168.0.0 192.168.255.255, mscara 255.255.255.0 (classe C)
Tipos de converso de endereos
Existem trs tipos diferentes de converso de endereos: 1-1, N-1, 1-N e N-N. Cada
um deles possui caractersticas distintas e normalmente so utilizados em conjunto
para conseguir melhores resultados.
1-1
O tipo 1-1 o mais intuitivo, porm normalmente o menos til. Ele consiste em
fazer mapeamentos binrios de um para um entre endereos reservados e
endereos vlidos. Desta forma, mquinas distintas teriam endereos
convertidos distintos.

Aker Security Solutions

221

A grande limitao desta forma de operao que no possvel colocar um


nmero de mquinas maior que o nmero de endereos vlidos, uma vez que
so sempre convertidos na base de um para um. Em compensao, ela permite
que mquinas com endereos reservados possam ser acessadas externamente
com endereos vlidos.
N-1
A converso de N-1, como o nome j diz, possibilita que vrias mquinas com
endereos reservados utilizem um mesmo endereo vlido. Para conseguir este
objetivo, ela utiliza endereos IP em combinao com portas (no caso dos
protocolos TCP e UDP) ou com nmeros de seqncia (no caso de ICMP). Este
mapeamento feito dinamicamente pelo firewall, cada vez que uma nova
conexo estabelecida. Como existem 65535 portas ou nmeros de seqncia
distintos possvel a existncia de at 65535 conexes simultneas ativas
utilizando o mesmo endereo.
A nica limitao desta tecnologia que ela no permite que as mquinas
internas sejam acessadas externamente. Todas as conexes devem ser
iniciadas internamente.
1-N
Este tipo de converso tambm chamado de balanceamento de carga e
possibilita que vrios servidores sejam colocados atrs de um nico endereo IP
vlido. Cada vez que uma nova conexo aberta para esse endereo, ela
redirecionada para um dos servidores internos. A grande vantagem dessa
tecnologia possibilitar que servios que demandam uma grande quantidade de
recursos possam ser separados em vrias mquinas e serem acessados de
forma transparente, atravs de um nico endereo. No caso de quedas de
algumas dessas mquinas, as novas conexes so automaticamente
repassadas para as mquinas que ainda estiverem no ar, implantando com isso
mecanismo de tolerncia a falhas.
N-N
Esta converso permite que todos os endereos de uma rede sejam convertidos
para os endereos de uma rede virtual automaticamente.

Aplicaes da converso de endereos com o Aker Firewall


O Aker Firewall permite que qualquer tipo de converso seja realizada, no se
limitando apenas ao endereo vlido da interface externa do firewall, mas sim dando
total flexibilidade ao administrador em utilizar qualquer endereo dentro da rede,
inclusive fazendo a converso entre redes invlidas.

Aker Security Solutions

222

S. Suponhamos que uma determinada organizao receba uma rede de endereos


classe C, com o formato A.B.C.0. Este endereo um endereo vlido que suporta
no mximo 254 mquinas (os endereos A.B.C.0 e A.B.C.255 so reservados para
fins especficos e no podem ser utilizados, sobrando os valores de A.B.C.1 a
A.B.C.254). Suponha ainda que esta rede possua 1000 mquinas para serem
conectadas. Em virtude da impossibilidade de alocar todas as mquinas no
endereo recebido, foi decidido pelo uso da converso de endereos. Escolheu-se
ento um endereo reservado classe A para ser colocado nas mquinas da rede
interna, o 10.x.x.x com mscara 255.0.0.0.
O Aker Firewall ir ficar na fronteira da Internet com a rede interna, que possui
endereos reservados. Ele ser o responsvel pela converso dos endereos
reservados 10.x.x.x para os endereos vlidos A.B.C.x. Desta forma, o firewall
dever possuir pelo menos dois endereos: um endereo vlido, para que possa ser
atingido pela Internet e um reservado, para que possa ser atingido pela rede interna.
(na maioria das instalaes, colocam-se duas ou mais placas de rede no firewall:
uma para a rede externa e uma ou mais para a rede interna. Entretanto possvel,
porm no recomendado, fazer esta mesma configurao com apenas uma placa
de rede, atribuindo um endereo vlido e um reservado para a mesma placa).
Supondo que seja escolhido o endereo A.B.C.2 para o segmento vlido e o
10.0.0.2 para o segmento reservado. Este endereo vlido ser utilizado pelo
firewall para converter todas as conexes com origem na rede interna e destino na
Internet. Externamente, todas as conexes sero vistas como se partissem dele.
Outro exemplo seria a de uma organizao que possua sadas para a Internet e trs
classes de endereos vlidos, neste caso o administrador tem a possibilidade de
distribuir a converso de endereos entre essas trs classes, obtendo muito mais
flexibilidade na configurao.
Com a converso de endereos funcionando, todas as mquinas internas
conseguem acessar qualquer recurso da Internet transparentemente, como se elas
prprias possussem endereos vlidos. Porm, no possvel para nenhuma
mquina externa iniciar uma conexo para qualquer mquina interna (devido ao fato
delas no possurem endereos vlidos). Para resolver este problema, o Aker
Firewall possibilita a configurao de regras de converso 1-1, o que permite
simular endereos vlidos para quaisquer endereos reservados.
Voltando para o caso da nossa hipottica organizao, suponha que em sua rede
exista um servidor WWW, com endereo 10.1.1.5, e que seja desejado que este
servidor fornea informaes para a rede interna bem como para a Internet. Neste
caso deve-se escolher um endereo vlido para que este possa ser utilizado pelos
clientes externos para se conectarem a este servidor. Suponha que o endereo
escolhido tenha sido o A.B.C.10. Deve-se ento acrescentar uma regra de
converso 1-1, de modo a mapear o endereo A.B.C.10 para o endereo interno
10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10 sero
automaticamente mapeados novamente pelo firewall para 10.1.1.5.

Aker Security Solutions

223

Os endereos vlidos escolhidos para realizar a converso de 1-1 no podem ser


atribudos a nenhuma mquina real. Desta forma, em nosso exemplo possvel a
configurao de at 253 servidores na sua rede interna passveis de serem
acessados externamente (um dos 254 endereos vlidos j usado para que o
firewall converta o trfego de todas as mquinas clientes).
O Aker Firewall utiliza a tecnologia de proxy-arp para possibilitar que os
servidores virtuais sejam tratados pelas mquinas pertencentes rede vlida (por
exemplo, o roteador externo), como se fossem mquinas reais.
Exemplos de configuraes usando converso de endereos:
Se ligando Internet com uma linha dedicada
Equipamento: 1 roteador, 1 Aker Firewall, n clientes, 2 servidores na rede interna
Endereo vlido: A.B.C.x, mscara da rede 255.255.255.0
Endereo reservado: 10.x.x.x mscara da rede 255.0.0.0
Endereo dos servidores: 10.1.1.1, 10.2.1.1
Endereo dos clientes: 10.x.x.x
Endereos do roteador: Rede vlida A.B.C.1 , Internet :x.x.x.x

Configurao do Aker Firewall:


Endereos das placas: rede interna: 10.0.0.2, rede vlida A.B.C.2
IP virtual para a converso N-1: A.B.C.2
Rede privada: 10.0.0.0
Mscara da rede privada: 255.0.0.0
Regras de converso 1-1:
A.B.C.10 - 10.1.1.1
A.B.C.30 - 10.2.1.1

Figura 145. Exemplo 1 - configurao do Aker Firewall (interligando departamentos).

Aker Security Solutions

224

Desenho do Exemplo 1
Interligando departamentos
Neste exemplo, iremos mostrar como interligar departamentos de uma mesma
empresa, utilizando um conversor de endereos entre estes departamentos.
Equipamento: 1 roteador, 3 Aker Firewall, n clientes, 4 servidores na rede interna
Endereo vlido: A.B.C.x, mscara da rede 255.255.255.0
Endereo reservado: 10.x.x.x mscara da rede 255.255.0.0
Endereo reservado:172.16.x.x, mscara 255.255.0.0
Endereos da sub-rede 1:
10.1.x.x
Endereo do servidor: 10.1.1.1
Endereo dos clientes: 10.1.x.x
Endereos do roteador: Rede vlida A.B.C.1 , Internet: x.x.x.x
Configurao do Aker Firewall:
Rede interna: 10.1.0.1, Rede vlida A.B.C.2
IP virtual para a converso N-1: A.B.C.2
Rede privada: 10.0.0.0
Mscara da rede privada: 255.0.0.0
Endereos da sub-rede 2:
Externamente: 10.1.0.2
Internamente:172.16.x.x
Endereo do servidor: 172.16.1.1
Endereo dos clientes: 172.16.x.x
Configurao do Aker Firewall:
Sub-Rede 2: 172.16.0.1, Sub-rede 1:10.1.0.2
IP Virtual para converso N-1:10.1.0.2
Rede privada (2): 172.16.0.0
Mscara da rede privada: 255.255.0.0
Regras de converso 1-1:
10.2.1.1 - 172.16.1.1
Endereos da sub-rede 3:

Aker Security Solutions

225

Externamente: 10.1.0.3
Internamente:172.16.x.x
Endereo do servidor: 172.16.1.1
Endereo dos clientes: 172.16.x.x
Configurao do Aker Firewall:
Sub-Rede 3: 172.16.0.1, Sub-rede 1:10.1.0.3
IP Virtual para converso N-1:10.1.0.3
Rede privada (3): 172.16.0.0
Mscara da rede privada: 255.255.0.0
Regras de converso 1-1:
10.3.1.1 - 172.16.1.1
Na tabela de roteamento para este tipo de instalao devemos inserir rotas para
as sub-redes 10.1.x.x, 10.2.x.x, 10.3.x.x.

Figura 146. Exemplo 2 - configurao do Aker Firewall (mltiplas ligaes com a internet).

Desenho do Exemplo 2
Mltiplas ligaes com a Internet
Neste exemplo bem mais complexo, mostraremos como utilizar trs ligaes com a
Internet e duas redes internas, utilizando o conversor de endereos entre elas.

Aker Security Solutions

226

Equipamento: 3 roteadores, 1 Aker Firewall, n clientes, 2 servidores na rede DMZ


Endereos vlidos: A.B.C.x, D.E.F.x, G.H.I.x, todos com mscara de rede
255.255.255.0
Endereo reservado para a rede interna: 10.x.x.x mscara da rede 255.0.0.0
Endereo reservado para a DMZ:172.16.x.x, mscara 255.255.0.0
Endereos dos roteadores: Rede vlida A.B.C.1, D.E.F.1, G.H.I.1 , Internet :x.x.x.x
Configurao do Aker Firewall:
Endereos das placas: Placa 1: 10.0.0.2, Placa 2: 172.16.0.2 , Placa 3: A.B.C.2,
Placa 4: D.E.F.2, Placa 5: G.H.I.2
Redes privadas: 10.0.0.0 e 172.16.0.0
Mscara da redes privadas: 255.255.0.0
Servidores da DMZ
Servidor Web - 10.0.0.10
Servidor SMTP - 10.0.0.25
Regras de converso de Endereos
1. Origem - 10.0.0.10 converte para A.B.C.10 quando for para a Internet
2. Origem - 10.0.0.25 converte para D.E.F.25 quando for para a Internet
3. Origem - 172.16.x.x converte para 10.0.0.4 quando for para rede 10.0.0.0
4. Origem - 172.16.x.x converte para D.E.F.25 quando for para Internet
5. Origem - 10.x.x.x converte para A.B.C.20 quando for para Internet

Figura 147. Exemplo 3 - configurao do Aker Firewall (montando regras de converso de


endereos).

Aker Security Solutions

227

Desenho do Exemplo 3
Com o Aker Firewall possvel realizar um balanceamento dos links para realizar
um aproveitamento mais otimizado dos links. O firewall possui mecanismos de
verificao de ativao dos links, sendo possvel dividir o trfego de forma
inteligente pelos links ou desviar totalmente o trfego daquele que estiver fora do ar.
O administrador tambm poder atribuir pesos s suas conexes, ou seja, as
conexes mais rpidas podero ter um peso maior do que as conexes mais lentas,
desta forma o firewall dar preferncia em enviar o trfego para o link com maior
peso.
Montando regras de converso de endereos para o Aker Firewall
Configurar as regras de converso de endereos no Aker Firewall algo fcil em
funo de sua concepo inteligente. Toda a parte de endereos IP, mscaras,
protocolos e portas so configurados nas entidades (para maiores informaes, veja
o captulo intitulado (Cadastrando Entidades). Devido a isso, ao configurar uma
regra, no necessrio se preocupar com qual porta um determinado servio utiliza
ou qual o endereo IP de uma rede ou mquina. Tudo isso j foi previamente
cadastrado. Para facilitar ainda mais, todos os servios mais utilizados na Internet j
vem previamente configurado de fbrica, sendo desnecessrio perder tempo
pesquisando os dados de cada um.
Basicamente, para cadastrar uma regra de converso, deve-se especificar as
entidades de origem e destino, tipo de converso, interface virtual e servio (se for o
caso).
O funcionamento da converso simples: o firewall pesquisar uma a uma as
regras definidas pelo administrador, na ordem especificada, at que o pacote se
encaixe numa delas. A partir deste momento, ele executar o tipo de converso
associado regra. Caso a pesquisa chegue ao final da lista e o pacote no se
enquadre em nenhuma regra ento este no ser convertido.
Utilizando a interface grfica
Para ter acesso a janela de configurao da converso de endereos, basta:

Aker Security Solutions

228

Figura 148. Janela de acesso - configurao da converso de endereos.

Clicar no menu Configurao do Firewall.


Selecionar o item NAT.
A janela de configurao de converso de endereos (NAT)

Figura 149. Janela de configurao da converso de endereos (NAT).


Aker Security Solutions

229

A janela de converso de endereos contm todas as regras de converso definidas


no Aker Firewall. Cada regra ser mostrada em uma linha separada, composta de
diversas clulas. Caso uma regra esteja selecionada, ela ser mostrada em uma cor
diferente.
O boto OK far com que o conjunto de regras seja atualizado e passe a
funcionar imediatamente.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
Existe uma barra para incluso de comentrios relativo a regra de converso.
A opo Ativar NAT se estiver marcada, far com que o firewall passe a
converter os endereos de acordo com as regras cadastradas. Caso ela esteja
desmarcada, nenhum tipo de converso de endereos ser feita.
A barra de rolagem do lado direito serve para visualizar as regras que no
couberem na janela.
Ao clicar sobre uma regra e selecion-la, se ela possuir um comentrio, este
aparecer na parte inferior da janela.
A posio da regra pode ser alterada clicando e arrastando com o mouse para a
nova posio desejada.
A janela possui os seguintes campos:
Origem: Neste campo especifica-se a lista de todas as entidades cujos endereos
sero convertidos para o endereo da Entidade Virtual, descrita acima. A converso
1-1 ou converso de servios permitem que apenas uma entidade seja selecionada
para este campo e esta entidade deve ser do tipo mquina.
Caso esteja utilizando Converso 1-N ou Converso de Servios 1-N, ento cada
mquina pertencente a esse campo ter um peso associado a ela, mostrado entre
parnteses, direita do nome da entidade. Para alterar o peso de uma determinada
mquina, ou seja, fazer com que ela receba mais conexes que as demais, deve-se
clicar com o boto direito sobre o nome da entidade, na lista da direita, selecionar a
opo Alterar peso e escolher o novo valor.
O campo Entidade Origem deve sempre conter os endereos internos
(reservados ou no vlidos) das mquinas participantes da converso,
independentemente de seu tipo.
Destino: Este campo serve para especificar as entidades para as quais a converso
de endereos ser efetuada (no caso da converso N-1) ou as mquinas que
acessaro as mquinas internas atravs do endereo contido no campo Entidade
Virtual (para os demais tipos de converso). Ao criar vrias regras com valores
distintos nesse campo, faz com que uma mesma mquina tenha seu endereo
convertido em endereos distintos dependendo do destino da comunicao.
Aker Security Solutions

230

O valor mais comum para esse campo a especificao da entidade Internet


como destino. Isso far com que a converso de endereos selecionada na regra
seja efetuada para todas as mquinas externas.
Opes: Tipo de nat que ser utilizado.
Entidade Virtual: Neste campo deve-se configurar a entidade para a qual os
endereos internos sero convertidos ou para o qual as requisies externas devem
ser direcionadas. A entidade virtual dever sempre ser uma entidade do tipo
mquina.
Servios: Este campo define quais os servios que faro parte da regra, quando for
utilizado o tipo de converso de Servios, N-1 servios ou 1-N com Servios. A
janela ficar desabilitada para os demais tipos de converso.
Servio Virtual: Servio que sofrer a converso, somente utilizado em Nat de
porta.
Balanceamento de link: Este campo permite habilitar ou desabilitar o
balanceamento de link. As configuraes do balanceamento devero ter sido
realizadas quando for selecionada esta opo.
Comentrio: Reservado para colocar uma descrio sobre a regra. Muito til na
documentao e manuteno das informaes sobre sua utilidade.
A janela de configurao de Balanceamento de Link

Figura 150. Janela de configurao de balanceamento de link.

Aker Security Solutions

231

O boto OK far com que o conjunto de regras seja atualizado e passe a


funcionar imediatamente.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
Esta aba possui os seguintes campos:
Nome: Neste campo dever ser informado um nome para representar o link da
operadora;
Tipo: Este campo informa qual o tipo da configurao e pode assumir dentre dois
valores possveis, "esttico" ou "dinmico".
Quando o link for esttico obrigatrio cadastrar uma entidade de rede e uma
entidade de mquina (gateway) sendo, neste, caso no permitido o cadastro de
entidade de interface de rede. Quando o link for esttico, a situao se inverte,
sendo o usurio obrigado a cadastrar uma entidade do tipo interface, sendo que o
cadastro de entidades do tipo rede e mquina (gateway) no so permitidos.
Rede: Cadastre a rede que a operadora forneceu;
Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall
far uma crtica para verificar se o gateway realmente pertence a rede da
operadora);
Interface: Esse campo utilizado para o cadastro da entidade do tipo interface de
rede, a qual ir representar o link dinmico.
Peso: Indica um valor a ser atribudo ao link. Quando os pesos so maiores
pressupe que os links sejam mais rpidos.
Checa host 1: Nesse campo deve ser cadastrada uma entidade que tenha certeza
que esteja logo a seguir do roteador da operadora, de preferncia dentro de um ou
dois saltos de seu roteador. Esta entidade ser utilizada pelo firewall para
determinar se o link est no ar ou no. Pode ser cadastrado um servidor DNS da
operadora ou mesmo roteadores prximos.
Checa host 2 e Checa host 3: Entidades de verificao tambm utilizadas pelo
firewall. No obrigatrio que estejam cadastradas as trs entidades de verificao,
contudo, quanto mais entidades cadastradas melhor para o sistema de verificao
do firewall.
Para executar qualquer operao sobre uma determinada regra, basta clicar com o
boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser
acionado sempre que o boto direito for pressionado, mesmo que no exista
Aker Security Solutions

232

nenhuma regra selecionada. Neste caso, somente as opes Incluir e Colar estaro
habilitadas).

Figura 151. Janela de configurao para adicionar entidades.

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Excluir: Remover da lista a regra selecionada.
Habilita/Desabilita: Permitir habilitar/desabilitar a regra selecionada, ou seja, ela
permanecer cadastrada, mas o Firewall se comportar como se a mesma no
existisse (no caso do Disable) e prosseguir a pesquisa na regra seguinte.
Adicionar entidades: No ponto em que for feito o clique do mouse, ser
possvel inserir a entidade no campo correspondente da regra de converso.
Apenas um certo nmero de entidades poder ser visualizada. Para escolher
outra entidade faa a rolagem da janela na barra correspondente.
Dica: O mtodo mais prtico para o administrador montar sua regra de converso
ser arrastando diretamente as entidades para dentro da regra.

Aker Security Solutions

233

Dica 2: A posio de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posio desejada, soltando em seguida. Observe que o cursor
de indicao do mouse ir mudar para uma caixa pontilhada.
No caso de incluso ou edio de regras, ser mostrada a janela de propriedades,
descrita na seo abaixo:
1.1.1.1.1 A janela de incluso de regras de NAT

Figura 152. Janela de incluso de regras de NAT.

Tipos de NAT: Neste campo definido o tipo de converso que a regra realizar.
Ela possui as seguintes opes:
Sem Converso: Esta opo indica ao firewall que no deve haver converso
de endereos quando qualquer uma das mquinas pertencentes s Entidades
Origem for acessar qualquer uma das mquinas pertencentes s Entidades
Destino e vice-versa.
Converso 1-1: Esta opo indica ao firewall que quando a mquina listada nas
Entidades Origem for acessar qualquer uma das mquinas pertencentes s
Entidades Destino ela ter seu endereo convertido para o endereo da Entidade
Virtual. Todas as vezes que uma mquina pertencente s Entidades Destino
acessar o endereo da Entidade Virtual, esse ltimo ser automaticamente
convertido para o endereo real, definido pela entidade presente nas Entidades
Origem. Este tipo de converso til para possibilitar o acesso externo a
servidores internos.
Aker Security Solutions

234

Nas Entidades Origem deve-se colocar uma entidade com o endereo real
(interno, reservado) da mquina para a qual se far converso de 1-1. Na Entidade
Virtual deve-se colocar uma entidade com o endereo para o qual o endereo
interno ser convertido (endereo vlido) e que ser acessado pelas mquinas
externas.
Converso N-1: Esta opo indica ao firewall que quando qualquer mquina
listada nas Entidades Origem for acessar qualquer uma das mquinas
pertencentes s Entidades Destino ela ter seu endereo convertido para o
endereo da Entidade Virtual. Este tipo de converso til para possibilitar que
um grande nmero de mquinas utilize apenas um endereo IP vlido para se
comunicar atravs da Internet, entretanto ela no permite com que mquinas
externas (listadas nas Entidades Destino) iniciem qualquer comunicao com as
mquinas internas (listadas nas Entidades Origem).
Quando o mdulo de Cluster Cooperativo estiver funcionado na converso de N1, o IP da entidade virtual no pode ser nenhum dos atribudos as interfaces do
firewall.
Converso de Servios: Esta opo til para redes que dispem de apenas
um endereo IP e necessitam disponibilizar servios para a Internet. Ela
possibilita que determinados servios, ao serem acessados no firewall, sejam
redirecionados para mquinas internas.
No campo Entidades Origem, deve-se colocar o endereo IP interno (real) da
mquina para a qual os servios sero redirecionados. No campo Entidades
Destino, deve-se colocar as mquinas que iro acessar os servios externamente.
No campo Servios, deve-se escolher todos os servios que sero redirecionados
para a mquina presente em Entidades Origem quando uma mquina presente nas
Entidades Destino acess-los no endereo IP da Entidade Virtual.
Quando o mdulo de Cluster Cooperativo estiver funcionado no possvel a
converso de servios.
Converso 1-N: Esta opo utilizada para fazer balanceamento de carga, ou
seja, possibilitar que vrias mquinas respondam como se fossem uma nica.
No campo Entidades Origem deve-se colocar a lista de mquinas que faro parte
do balanceamento e que passaro a responder como se fossem uma nica. No
campo Entidades Destino, deve-se colocar as mquinas que iro acessar as
mquinas internas pelo endereo especificado na entidade presente no campo
Entidade Virtual.

Aker Security Solutions

235

Figura 153. Janela de configurao para aes que deseja ser realizada.

Converso 1:N para servios: Esta opo utilizada para fazer balanceamento
de carga para determinados servios, ou seja, possibilitar que vrias mquinas
respondam a requisies destes servios como se fosse uma nica.
Porta: Para efetuar converses no somente de endereos ip, mas tambm de
portas para conexo, utiliza-se este tipo de nat, que tambm conhecido com
PAT (port address translation).
1:N para Porta: Faz balanceamento de servidores efetuando converses no
somente de endereos ip, mas tambm as portas de conexo, sendo que aps a
converso os acessos so distribudos entre os servidores que fazem parte do
balanceamento.
Faz balanceamento de servidores efetuando converses no somente de endereos
ip, mas tambm das portas de conexo sendo, que aps a converso os acessos,
so distribudos entre os servidores que fazem parte do balanceamento.
Converso N:N: Esta opo indica ao firewall que os endereos pertencentes
rede listada nas Entidades Origem, ao acessar qualquer uma das mquinas
pertencentes s Entidades Destino, sero convertidos para os endereos da
rede no campo Entidade Virtual, ou seja, nesta converso deve-se usar uma
entidade de rede na coluna origem e uma entidade de rede na coluna entidade
virtual. O campo destino pode ser preenchido da mesma maneira como feito
para os demais tipos de NAT.

Alm disso, as mscaras de rede da entidade de origem e da entidade virtual


precisam ser iguais para que o NAT funcione. Por exemplo:

Aker Security Solutions

236

IP

Mscara de rede

Origem

192.168.0.0

255.255.255.0

Entidade
virtual

172.16.0.0

255.255.255.0

Figura 154. Comparativo: mscaras de rede da entidade de origem e virtual.

Nesse caso, todos os IPs da rede 192 sero convertidos para a 172.
O boto Avanado, que somente estar habilitado quando selecionar a converso
de endereos 1-N ou Converso de servios 1-N, permite configurar os parmetros
do monitoramento que ser realizado pelo firewall a fim de detectar se as mquinas
participantes do balanceamento esto no ar ou no e como o balanceamento ser
realizado. Ao clicar neste boto, a seguinte janela ser mostrada:

Figura 155. Configurao dos parmetros de monitoramento.

O campo Tipo de monitoramento, permite definir o mtodo utilizado pelo firewall


para verificar se as mquinas participantes do balanceamento (mquinas definidas
no campo Entidades Origem) esto no ar. Ela consiste das seguintes opes:
Sem monitoramento: Se essa opo for selecionada, o firewall no monitorar as
mquinas e assumir que elas esto sempre ativas.
Aker Security Solutions

237

Pacotes Ping: Se essa opo for selecionada, o firewall monitorar as mquinas


atravs de pacotes ICMP de Echo Request e Echo Reply (que tambm so
utilizados pelo comando PING, da o nome dessa opo).
Pedidos HTTP: Se essa opo for selecionada, o firewall monitorar as mquinas
atravs de requisies HTTP. Nesse caso, deve-se especificar a URL (sem o prefixo
http://) que o firewall tentar acessar em cada mquina para verificar se ela est
ativa ou no.
Algoritmo de balanceamento de carga: Esse campo permite definir o mtodo
utilizado para balancear as requisies entre as mquinas presentes no campo
Entidades Origem. Ele consiste das seguintes opes:
Round - Robin: Ao selecionar essa opo, o firewall distribuir seqencialmente as
requisies para as mquinas participantes do balanceamento, uma a uma. Caso as
mquinas tenham pesos diferentes, primeiro ser distribuda uma conexo para
cada mquina, a seguir uma conexo para cada mquina que recebeu um nmero
de conexes menor que seu peso e assim sucessivamente. Quando todas as
mquinas receberem o nmero de conexes equivalente a seu peso, o algoritmo se
inicia.
Aleatrio: Ao selecionar essa opo, o firewall distribuir as conexes de forma
randmica entre as mquinas, ou seja, a probabilidade de uma conexo ser
redirecionada para uma determinada mquina igual razo entre seu peso e o
peso total de todas as mquinas.
Persistncia entre conexes: Esse campo permite definir o tempo de persistncia
da sesso em protocolos ou aplicativos que utilizem mais de uma conexo em
tempos diferentes, ou seja, o tempo mximo de espera por uma nova conexo aps
o trmino da primeira. Neste intervalo de tempo as novas conexes sero
direcionadas pelo firewall ao mesmo servidor.
Observaes sobre a montagem das regras
altamente recomendvel que as regras de converso sejam colocadas na
seguinte ordem:
1.
2.
3.
4.
5.
6.
7.

Regras de No Converso;
Regras de Converso de Servios;
Regras de Converso 1-1 e de N-N;
Regras de Converso de Servios 1-N;
Regras de Converso 1-N;
Regras de Converso N-1;
Regras de Converso N-N.

Aker Security Solutions

238

necessria a incluso de uma regra de No Converso com origem nas redes


internas e destino nas prprias redes internas caso se pretenda administrar o
firewall por uma mquina interna que participar de qualquer tipo de converso.
Essa regra dever estar antes das demais regras de converso.
Exemplos - Cenrio 1 - Converso de Endereos
Suponha que uma empresa possua as mquinas e servios abaixo e deseja
implementar a converso de endereos. A empresa possui uma conexo dedicada
com a Internet e seu provedor distribuiu uma faixa de endereos IP vlidos na
Internet de 200.120.210.0 at 200.120.210.63.
Na regra 1 colocamos as redes internas da empresa (DMZ e Interna) em no
traduo. Esta regra possibilita que caso alguma mquina interna da rede for
administrar o firewall o seu endereo no convertido e a administrao seja
possvel. Estaria tambm correto em especificar as mquinas que so
administradoras (Entidade Origem) e a interface por onde iremos administrar o
firewall (Entidade de Destino) com a opo de "Sem traduo".
Na regra 2 o servidor server1 far uma converso de 1:1 para o endereo
200.120.210.15, ou seja, caso algum da Internet procure pelo IP 200.120.210.15
ser enviado para o servidor server1 (IP 10.20.0.50). Do mesmo modo caso o
servidor server1 origine uma conexo para Internet o seu IP ser 200.120.210.15.
A regra 3 por analogia idntica a regra 2, o servidor servidor_web_aker far
converso de 1:1 para o endereo 200.120.210.25.
A regra 4 o exemplo de balanceamento de carga. Algum da Internet procurando
pela mquina 200.120.210.20 ser enviado para o NT3, NT2 ou NT1. Isto
depender do clculo a ser realizado pelo firewall. No caso abaixo os pesos so
diferentes, portanto a mquina NT3 que possui o peso 4 a que receber a maior
quantidade de conexes. Caso as mquinas NT tenham de originar conexes para
Internet, elas tambm tero seus endereos convertidos para 200.120.210.20.
A regra 5 de converso de N:1, ou seja qualquer mquina da Rede_Interna
(10.20.0.0 com mscara 255.255.255.0) ter o seu endereo convertido para
200.120.210.16 quando as mesmas originarem conexo para a Internet. No entanto
a recproca no verdadeira, caso algum da Internet venha procurando conexo
para o IP 200.120.210.16 o firewall no enviar para nenhuma mquina da rede
interna e ir descartar os pacotes para esta conexo, pois o mesmo no sabe para
qual mquina enviar a requisio.
Cabe ressaltar que a ordem das regras de extrema importncia. Vamos supor que
a regra 2 seja movida para a ltima posio. Neste caso algum que viesse
procurando pela mquina 200.120.210.15 seria enviado para o server1, entretanto
quando o server1 fosse originar uma conexo para a Internet o mesmo teria seu
endereo convertido para 200.120.210.16, pois a regra da antiga posio 5 que
iria atender primeira a converso.
Aker Security Solutions

239

Figura 156. Exemplo 1 - converso de endereos.

Exemplos - Cenrio 2 - Converso de Servios


Suponha agora que a empresa no possua uma faixa de endereos IP da Internet e
sim um nico IP vlido. Neste caso conveniente fazer a converso de servios.
Com este tipo de configurao poder ser feito um aproveitamento deste nico IP
para diversos tipos de servios. No caso o IP o 200.120.210.15.
A regra 1, foi colocada pelos mesmos motivos citados no cenrio anterior.
Na regra 2, algum da Internet esteja procurando pela mquina 200.120.210.15 e
na porta do servidor FTP (21/TCP). Neste caso o firewall ir enviar a conexo para a
mquina server1.
Na regra 3, algum da Internet est procurando pela mesma mquina
200.120.210.15, porm na porta do SMTP (25/TCP). O firewall ir mandar esta
conexo para o endereo da entidade Correio_SMTP.
J a regra 4 possibilita que o servidor web da empresa seja acessado pela porta
HTTP (80/TCP).
A regra 5 um exemplo do balanceamento de carga utilizando uma porta de
servio. Neste caso algum da Internet est procurando acesso ao IP
200.120.210.15 para o servio web seguro (443/TCP), sendo que h trs servidores
para atender a requisio, no caso NT1, NT2 e NT3. Os princpios para atender
estas conexes so os mesmos j explicados no cenrio anterior.

Aker Security Solutions

240

Finalizando, a regra 6 permite que qualquer outra mquina origine conexo para
Internet, no caso sendo visualizado o IP 200.120.210.15 no destino.
Apesar de ser possvel utilizar a converso de servios no caso do cenrio 1, a Aker
recomenda que esta configurao seja utilizada no caso da empresa possuir
somente um nico endereo IP vlido para Internet.

Figura 157. Exemplo 2 - converso de servios.

Exemplos - Cenrio 3 - Balanceamento de Link


Neste cenrio ser descrito como realizar o balanceamento de links. Suponha que a
empresa possua dois prestadores de conexo IP para Internet, por exemplo,
Embratel e Intelig. No caso cada operadora forneceu sua faixa de endereo IP para
a empresa.
Primeira Fase - Montagem do Balanceamento
O administrador do firewall ento ir realizar o cadastramento e informar as
seguintes entidades e campos:
Nome: Informe um nome para representar o link da operadora;
Tipo: Este campo informa qual o tipo da configurao e pode assumir dentre
dois valores possveis, "esttico" ou "dinmico";
Rede: Cadastre a rede que a operadora forneceu;

Aker Security Solutions

241

Gateway: O IP do roteador da operadora deve ser informado (neste caso o


firewall far uma crtica para verificar se o gateway realmente pertence a rede da
operadora);
Interface: Esse campo utilizado para o cadastro da entidade do tipo interface
de rede, a qual ir representar o link dinmico;
Peso: Um valor a ser atribudo ao link. Quando os pesos so maiores pressupe
que links sejam mais rpidos.
Checa host 1: Cadastre uma entidade que tenha certeza que esteja logo a
seguir do roteador da operadora, de preferncia dentro de um ou dois saltos de
seu roteador. Esta entidade ser utilizada pelo firewall para determinar se o link
est no ar ou no. Pode ser cadastrado um servidor DNS da operadora ou
mesmo roteadores prximos.
Checa host 2 e Checa host 3: Entidades de verificao tambm utilizadas pelo
firewall. No mandatrio que estejam cadastrados as trs entidades de
verificao, contudo quanto mais entidades cadastradas, melhor para o sistema
de verificao do firewall.

Figura 158. Balanceamento de link (primeira fase).

Segunda Fase - Montagem das Regras de NAT


A segunda fase da montagem bem simples, bastando colocar em cada regra de
converso duas ou mais entidades virtuais, uma com endereo de cada prestador
de servio.
No esquea de habilitar na coluna Balanceamento de links o cone correspondente
para que o servio possa ser realizado pelo firewall. Cabe ressaltar que o firewall
tambm realizar uma crtica para determinar se realmente a Entidade Virtual
pertence a um link previamente cadastrado.
Aker Security Solutions

242

Uma limitao desta implementao quanto origem da conexo pela Internet. Os


DNS devem ter entradas duplas de IP e devem trabalhar em modo Round-Robin. O
problema est quando um link de determinada operadora cai, o firewall no tem
como desviar as conexes que so originadas pela Internet. Para contornar este
problema o administrador poderia utilizar de scripts para remover do DNS o IP da
operadora que esteja fora do ar, pois o firewall passa para o log de eventos desta
informao.

Figura 159. Montangem das regras do NAT (segunda fase).

8.2. Utilizando a interface texto

A interface texto de configurao da converso de endereos relativamente


simples e tem as mesmas capacidades da interface grfica, exceto pelo fato de no
ser possvel configurar os parmetros de monitoramento.
Localizao do programa: /aker/bin/firewall/fwnat
Sintaxe:
Firewall Aker - Verso 6.5
fwnat - Configura regras de conversao de enderecos (NAT)
Uso: fwnat [ajuda | mostra | ativa | desativa]
fwnat [habilita | desabilita | remove] <pos>
fwnat inclui <pos> 1-1 <origem> <destino> [ <entidade virtual> |
Aker Security Solutions

243

-bal <ev_1> <ev_2> ... ]


fwnat inclui <pos> n-1 <origem> <destino> [ <entidade virtual> |
-bal <ev_1> <ev_2> ... ]
fwnat inclui <pos> servicos <origem> <destino> [ <entidade virtual> |
-bal <ev_1> <ev_2> ... ] <servico1>...<servico2>
fwnat inclui <pos> portas <origem> <destino> [ <entidade virtual> |
-bal <ev_1> <ev_2> ... ] <servico> <servico virtual>
fwnat inclui <pos> sem_conversao <origem> <destino>
fwnat inclui <pos> 1-n <origem1>...<origem2> <destino> [ <entidade virtual> |
-bal <ev_1> <ev_2> ... ] <round-robin | randomico> <persist>
nenhum | ping | HTTP <URL>>
fwnat inclui <pos> n-n <origem> <destino> [ <entidade virtual> | -bal <ev_1> <ev_2>
...]
Ajuda do programa:
desativa = desativa conversao de enderecos
mostra
= mostra todas as regras da tabela de conversao
inclui
= inclui uma nova regra de conversao
habilita = habilita uma regra de conversao desabilitada
desabilita = desabilita uma regra de conversao existente
remove
= remove uma regra de conversao existente
ajuda
= mostra esta mensagem Para inclui temos:
pos
= posicao onde incluir a nova regra na tabela
(Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela)
1-1

= realiza conversao de servidores. Neste caso a origem deve


ser obrigatoriamente uma entidade do tipo maquina

n-1

= realiza conversao de clientes

servicos = realiza conversao apenas para os servicos citados.


Neste caso a origem deve ser obrigatoriamente uma entidade do
tipo maquina
portas = realiza conversao apenas para o servico citado.
Neste caso a origem deve ser obrigatoriamente uma entidade do
tipo maquina. Alem disso, o servico visivel externamente
sera' o <servico virtual>sem_conversao = nao realiza conversao
entre a origem e o destino
1-n

= realiza balanceamento de carga, ou seja, possibilita que


as varias maquinas origem sejam acessadas pelo endereco
IP configurado na entidade virtual, como se fossem uma so
maquina

n-n

= Esta converso permite que todos os endereos de uma rede


sejam convertidos para os endereos de uma rede virtual automaticamente.
Aker Security Solutions

244

servico1 = lista de nomes dos servicos para a nova regra. Sao aceitos
apenas servicos dos protocolos TCP ou UDP Para habilita / desabilita /
remove temos:
pos

= numero da regra a ser habilitada, desabilitada ou removida da tabela

Para conversao 1-n temos:


round-robin = Utiliza algoritmo round-robin para o balanceamento das conexoes
randomico = Utiliza algoritmo randomico para o balanceamento das conexoes
persist = Tempo de persistencia (mins) de servidor destino para
conexoes originadas do mesmo cliente
nenhum
= Nao monitora as maquinas origem, isto e', considera que elas estao
sempre ativas
ping
= Monitora as maquinas origem atraves de pings
HTTP
= Monitora as maquinas origem atraves de conexoes HTTP
URL
= Especifica qual a URL deve utilizada para monitorar as
maquinas, no caso de se utilizar monitoramento HTTP
Exemplo 1 : (Mostrando a configurao)
#/aker/bin/firewall/fwnat mostra
Parametros Globais:
------------------Conversao de enderecos: Ativada
Regras de Conversao:
-------------------Regra 01
-------Tipo: sem_conversao
Origem: Rede Interna
Destino: Rede Interna

Regra 02
-------Tipo: servicos
Origem: Server
Destino: Internet
Entidade virtual: Firewall - interface externa
Servicos: MYSQL
POP3
SMTP
Regra 03
Aker Security Solutions

245

-------Tipo: 1-1
Origem: Web Server_001
Destino: Internet
Entidade virtual: External Web server

Regra 04
-------Tipo: n-n
Origem: rede1
Destino: internet
Entidade Virtual: rede2

Regra 05
-------Tipo: 1-n
Origem: server1,server2, server3
Destino: Internet
Entidade virtual: Virtual Server
Balanceamento: randomico Monitoramento: http
URL: www.aker.com.br

Regra 06
-------Tipo: n-1
Origem: Rede Interna
Destino: Internet
Entidade virtual: Firewall - interface externa
Exemplo 2 : (Incluindo uma regra de converso 1-1 no final da tabela. mapeando o
servidor SMTP Server, com endereo reservado para o External Server, com
endereo vlido para todas as mquinas da Internet).
#/aker/bin/firewall/fwnat inclui fim 1-1 "SMTP Server" Internet "External Server"
Regra incluida na posicao 6
Exemplo 3: (Incluindo uma regra de converso n-n na posio 5).
#/aker/bin/firewall/fwnat inclui 5 n-n rede1 internet rede2.
Regra incluida na posio 5
Aker Security Solutions

246

Exemplo 4 : (Incluindo uma regra de converso de servios no incio da tabela).


#/aker/bin/firewall/fwnat inclui 1 Servicos "Server 2" Internet "External Server 2"
Telnet FTP
Regra incluida na posicao 1
Exemplo 5 : (Removendo a regra 3).
#/aker/bin/firewall/fwnat remove 3
Regra 5 removida
Exemplo 6 : (Incluindo uma regra de converso 1-N, balanceamento, mapeando os
servidores srv01 e srv02 em uma mquina externa chamada de srv_externo, para
todas as mquinas da Internet, e monitorando via ping).
#/aker/bin/firewall/fwnat inclui 4 1-N srv01 srv02 Internet srv_externo round-robin
ping
Regra incluida na posicao 4

8.3. Redundncia de Link Via Modem


Este aplicativo utilizado apenas em modelos de Firewall Box com modem, onde se
pode configurar a redundncia de link usando o aplicativo de configurao "
fwdialup_conn", conforme demonstrado na sintaxe abaixo:
Sintaxe:
/aker/bin/firewall # fwdialup_conn ajuda
Firewall Aker - Verso 6.5 (HW)
Uso: fwdialup_conn ajuda
fwdialup_conn mostra
fwdialup_conn configura <nome_usuario> <senha> <fone1> [fone2] [fone3]
fwdialup_conn habilita
fwdialup_conn desabilita
fwdialup_conn habilita_teste <dias_semana> <hora>
fwdialup_conn desabilita_teste
os parametros sao:
nome_usuario : nome de usuario para a conexao com o ISP.
senha : senha utilizada para conexao com o ISP.
fone1, 2, 3 : numero de telefone do ISP para discagem.
dias_semana : dias da semana quando o teste sera executado. Os dias devem ser
especificados por digitos.
Exemplos: 0 => para representar Domingo, 6 => para representar Sabado.
Voce pode especificar valores simples (1;3;5 ou 3) ou sequencias (1-5).
hora : hora do dia quando o teste sera executado, tipo 20:55.
Aker Security Solutions

247

/aker/bin/firewall # fwdialup_conn mostra


Configuracao:
--------------------Habilitado: Nao
Nome de usuario: ig
Senha: ig
Telefone 1: 34824000
Telefone 2:
Telefone 3:
Teste:
--------------------Teste habilitado: Nao
Dias da semana:
Hora: 00:00
Exemplo 1: (Habilita e desabilita a funcionalidade)

/aker/bin/firewall # fwdialup_conn habilita


Alteracao feita com sucesso!!!

/aker/bin/firewall # fwdialup_conn desabilita


Alteracao feita com sucesso!!!
Exemplo 2: (testando o funcionamento do modem periodicamente, o exemplo
abaixo habilita o teste de segunda a sexta s 00:27)
/aker/bin/firewall # fwdialup_conn habilita_teste '1;6' 00:27
Alteracao feita com sucesso!!!
/aker/bin/firewall # fwdialup_conn desabilita_teste
Alteracao feita com sucesso!!!
A funcionalidade de Redundncia de Link aplica-se apenas em Firewall Box.

8.4. Utilizando o Assistente de Configurao NAT


O assistente de configurao NAT pode ser acionado tanto pela barra de
ferramentas como pelo menu. As janelas abaixo iro solicitar diversas informaes
de modo que a converso seja configurada.
1 - A janela inicial informa sobre o que o NAT. Clique no boto Prximo para
continuar com a configurao.
Aker Security Solutions

248

Figura 160. Mensagem de boas vindas ao Assistnte de configurao de NAT.

Aker Security Solutions

249

2 - Informe as redes que necessitaro acessar a Internet.

Figura 161. Seleo das redes que tem a necessidade de acessar a internet compartilhando um
endereo IP.

Aker Security Solutions

250

3 - Escolha o IP da Mquina virtual para realizar a converso N-1.

Figura 162. Seleo do IP da mquina virtual para realizar a converso de N-1.

Aker Security Solutions

251

4 - Escolha a opo Sim caso queira configurar os servidores que devero aparecer
para Internet.

Figura 163. Mensagem se deseja configurar os servidores acessveis externamentes.

Aker Security Solutions

252

5 - Escolha a entidade para aparecer para a Internet.

Figura 164. Escolha da entidade que deseja tornar acessvel na internet.

Aker Security Solutions

253

6 - Escolha o IP da Mquina virtual o qual o servidor ser mostrado para Internet.

Figura 165. Escolha do endereo IP utilizados por mquinas externas a ser utilizado no servidor.

Aker Security Solutions

254

7 - Esta tela ir permitir que mais servidores sejam configurados.

Figura 166. Escolha para configurar mais servidores.

Aker Security Solutions

255

8 - Tela de finalizao do Assistente e as regras que foram criadas pelo mesmo.

Figura 167. Finalizao do assistentes de regras.

Aker Security Solutions

256

Criando canais de criptografia

Aker Security Solutions

257

9.

Criando canais de criptografia


Este capitulo mostrar como configurar as regras que propiciaro a criao de
canais seguros de comunicao na Internet. Estes canais seguros so usados para
interligar instituies pela Internet de forma a permitir que os dados fluam entre elas
sem o risco de serem lidos ou alterado por estranhos.

9.1. Planejando a instalao.

O que e para que serve um canal seguro de dados?


A Internet uma rede mundial composta de milhares de mquinas espalhadas por
todo o mundo. Quando duas mquinas quaisquer esto se comunicando, todo o
trfego entre elas passa por diversas outras mquinas (roteadores, switches, etc)
desde sua origem at seu destino. Na quase totalidade das vezes, a administrao
destas mquinas intermedirias feita por terceiros e nada se pode afirmar quanto
a sua honestidade (na maioria das vezes, no nem possvel saber
antecipadamente por quais mquinas os pacotes passaro at atingir seu destino).
Qualquer uma destas mquinas que estiver no caminho dos pacotes pode visualizar
seu contedo e/ou alterar qualquer um destes. Isto um problema srio e sua
importncia aumentada ainda mais quando existe a necessidade de transmitir
dados confidenciais e de grande impacto.
Para resolver este problema, pode-se usar um canal seguro de dados. Um canal
seguro de dados pode ser visto como se fosse um tnel. De um lado so colocadas
as informaes que s podero ser lidas novamente aps sarem do outro lado.
Na prtica, o que feito dar um tratamento especial aos dados a serem
transmitidos de modo que estes no possam ser alterados durante seu caminho
(autenticao), nem visualizados (criptografia). A combinao das duas tcnicas
produz dados invisveis e imutveis para qualquer mquina que se encontre no
caminho dos pacotes, da origem ao destino.
O que criptografia?
Criptografia a combinao de uma chave com um algoritmo matemtico baseado
em uma funo unidirecional. Este algoritmo aplicado aos dados, juntamente com
a chave, de modo a torn-los indecifrveis para qualquer um que os veja. O modo
que isso feito garante que somente possvel obter os dados originais caso
possua o algoritmo e a chave usados inicialmente.
Ao manter um destes dois componentes secretos (no caso, a chave), torna
impossvel a visualizao dos dados por terceiros.
Aker Security Solutions

258

O que autenticao?
Autenticao tambm a combinao de uma chave com um algoritmo matemtico
baseado em uma funo unidirecional. A diferena em relao a criptografia que
este algoritmo, quando aplicado sobre os dados, no produz dados indecifrveis
mas sim uma assinatura digital para estes. Essa assinatura gerada de tal forma
que qualquer pessoa que desconhea o algoritmo ou a chave utilizado para ger-la
seja incapaz de calcul-la.
Quando a assinatura digital gerada, ela passa a ser transmitida para o destino
junto com os dados. Caso estes tenham sofrido quaisquer alteraes no caminho, o
recipiente quando calcular a assinatura digital dos dados recebidos e compar-la
com a assinatura recebida ir perceber que as duas so diferentes e concluir que os
dados foram alterados.
A autenticao uma operao bastante rpida quando comparada com a
criptografia, porm ela sozinha no consegue impedir que os dados sejam lidos. Ela
deve ser usada apenas nos casos onde necessita confiabilidade dos dados, mas
no sigilo. Caso necessite de ambos, usa-se autenticao em conjunto com a
criptografia.
O que certificao digital?
Atravs do processo de autenticao descrito acima possvel garantir a origem
das mensagens em uma comunicao entre duas partes. Entretanto, para que isso
seja possvel necessrio que as entidades que esto se comunicando j tenham
previamente trocado informaes atravs de algum meio fora do trfego normal dos
dados. Esta troca de informaes normalmente consiste no algoritmo a ser utilizado
para a autenticao e sua chave.
O problema surge quando necessrio assegurar a origem das mensagens de uma
entidade com a qual nunca existiu comunicao prvia. A nica forma de resolver
este problema delegar a uma terceira entidade o poder de realizar estas
autenticaes (ou em termos mais tcnicos, realizar a certificao da origem de uma
mensagem). Esta terceira entidade chamada de Entidade Certificadora e para
que seja possvel ela assegurar a origem de uma mensagem, ela j deve ter
realizado uma troca de informaes com a entidade que est sendo certificada.
O que um certificado digital?
Certificado digital um documento fornecido pela Entidade Certificadora para cada
uma das entidades que ir realizar uma comunicao, de forma a garantir sua
autenticidade.

Aker Security Solutions

259

Tipos de algoritmos de autenticao e criptografia


Atualmente existem inmeros algoritmos de autenticao e criptografia. Neste tpico
sero mostrados apenas os algoritmos suportados pelo Aker Firewall.
Cabe comentar que um dos parmetros para medir a resistncia de um algoritmo
o tamanho de suas chaves. Quanto maior o nmero de bits das chaves, maior o
nmero de possveis combinaes e, teoricamente, maior a resistncia do
algoritmo contra ataques.
Algoritmos de autenticao:
MD5
MD5 a abreviatura de Message Digest 5. Ele um algoritmo criado e
patenteado pela RSA Data Security, Inc, porm com uso liberado para quaisquer
aplicaes. Ele usado para gerar assinaturas digitais de 128 bits para
mensagens de qualquer tamanho e considerado um algoritmo bastante rpido
e seguro.
SHA
SHA a abreviatura de Secure Hash. Ele um algoritmo que gera assinaturas
digitais de 160 bits para mensagens de qualquer tamanho. Ele considerado
mais seguro que o MD5, porm tem uma performance em mdia 50% inferior (na
implementao do Aker Firewall ).
A verso implementada pelo Aker Firewall o SHA-1, uma reviso no algoritmo
inicial para corrigir uma pequena falha. Entretanto ele ser chamado sempre de
SHA, tanto neste manual quanto nas interfaces de administrao.
Algoritmos de criptografia simtricos:
Os algoritmos de criptografia simtricos so utilizados para encriptar fluxos de
informaes. Eles possuem uma nica chave que utilizada tanto para encriptar
quanto para decriptar os dados.
DES
O algoritmo DES um anagrama para Data Encription Standard, foi criado pela
IBM na dcada de 70 e foi adotado pelo governo americano como padro at
recentemente. Ele um algoritmo bastante rpido em implementaes de
hardware, porm no to rpido quando implementado em software. Suas
chaves de criptografia possuem tamanho fixo de 56 bits, nmero considerado
pequeno para os padres atuais. Devido a isso, deve-se dar preferncia a outros
algoritmos em caso de aplicaes crticas.
Triplo DES ou 3DES
Aker Security Solutions

260

Este algoritmo consiste na aplicao do algoritmo DES trs vezes, usando trs
chaves distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo
com chave de 112 bits, o que representa uma segurana extremamente maior do
que a oferecida pelo DES. O problema deste algoritmo que ele duas vezes
mais lento que o DES (na implementao utilizada no Aker Firewall).
AES
O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para
substituir o j inseguro e ineficiente DES. AES um anagrama para Advanced
Encryption Standard. O algoritmo escolhido em concurso foi o Rijndael, e ele
utiliza 256 bits de chave, sendo ao mesmo tempo muito mais seguro e rpido
que o DES ou mesmo o 3DES.
O Aker Firewall trabalha com o AES utilizando chaves de 256 bits, o que garante
um nvel altssimo de segurana. Ele a escolha recomendada.
Blowfish
O algoritmo Blowfish foi criado como uma possvel substituio ao DES. Ele
um algoritmo extremamente rpido (quando comparado com outros algoritmos
de criptografia), bastante seguro e pode trabalhar com vrios tamanhos de
chaves, de 40 a 438 bits.
O Aker Firewall trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o
que garante um nvel altssimo de segurana.
Algoritmos de criptografia assimtricos:
Os algoritmos de criptografia assimtricos possuem um par de chaves associadas,
uma para encriptar e outra para decriptar os dados. Eles so bastante lentos se
comparados aos algoritmos simtricos e, devido a isso, normalmente so utilizados
apenas para realizar assinaturas digitais e no estabelecimento de chaves de sesso
que sero usadas em algoritmos simtricos.
RSA
O RSA um algoritmo baseado em aritmtica modular capaz de trabalhar com
chaves de qualquer tamanho, porm valores inferiores a 512 bits so
considerados muito frgeis. Ele pode ser utilizado para encriptar e decriptar
dados, porm, devido a sua grande lentido se comparado aos algoritmos
simtricos, seu principal uso em assinaturas digitais e no estabelecimento de
chaves de sesso.
Diffie-Hellman
O algoritmo Diffie-Hellman na verdade no pode ser encarado como algoritmo de
criptografia, uma vez que no serve para encriptar dados ou realizar assinaturas
digitais. Sua nica funo possibilitar a troca de chaves de sesso, feita de
Aker Security Solutions

261

forma a impedir que escutas passivas no meio de comunicao consigam obtlas. Ele tambm baseado em aritmtica modular e pode trabalhar com chaves
de qualquer tamanho, porm chaves menores que 512 so consideradas muito
frgeis.
Algoritmos de trocas de chaves
Um problema bsico que ocorre quando se configura um canal seguro como
configurar as chaves de autenticao e criptografia e como realizar trocas peridicas
destas chaves.
importante realizar trocas peridicas de chaves para diminuir a possibilidade de
quebra das mesmas por um atacante e para diminuir os danos causados caso ele
consiga decifrar uma das chaves. Suponha que um atacante consiga em seis meses
quebrar as chaves usadas por um algoritmo de criptografia (este tempo totalmente
hipottico, no tendo nenhuma relao com situaes reais). Se uma empresa usar
as mesmas chaves, por exemplo, durante 1 ano, ento um atacante conseguir
decifrar todo o trfego nos ltimos 6 meses desta empresa. Em contrapartida, se as
chaves forem trocadas diariamente, este mesmo atacante, aps 6 meses,
conseguir decifrar o trfego do primeiro dia e ter mais 6 meses de trabalho para
decifrar o trfego do segundo dia e assim por diante.
O Aker Firewall possui quatro mtodos para trocas de chaves: IPSEC-IKE, AKERCDP, SKIP e manual:
Troca de chaves via IPSEC-IKE
Esta opo estar disponvel apenas quando utilizar o conjunto completo de
protocolos IPSEC.
O IPSEC (IP Security) um conjunto de protocolos padronizados (RFC 2401RFC 2412) desenvolvidos pela IETF. O IPSec oferece transferncia segura de
informaes atravs de rede IP pblica ou privada. Uma conexo via IPSec
envolve sempre 3 etapas:
1. Negociao do nvel de segurana;
2. Autenticao e Integridade;
3. Confidencialidade.
Para implementar essas 3 etapas o IPSec utiliza-se 3 mecanismos:
AH - Autentication Header
ESP - Encapsulation Security Payload
IKE - Internet Key Exchange Protocol
Recomenda-se fortemente o uso desta opo na hora de configurar os canais
seguros.

Aker Security Solutions

262

Troca de chaves via Aker-CDP


O Aker-CDP um protocolo desenvolvido pela Aker Security Solutions que
possibilita a configurao totalmente automtica de todos os parmetros de um
canal seguro. Ele utiliza o protocolo SKIP como base (o que significa que ele
oferece todas as facilidades de trocas de chaves apresentadas anteriormente),
porm possui a grande vantagem de no necessitar de uma configurao
manual dos segredos compartilhados, tudo feito automaticamente.
Para assegurar o mximo de segurana, toda a troca de chaves feita por meio
de certificados digitais assinados pela prpria Aker ou por outras entidades
certificadoras autorizadas. Nestes certificados so utilizados os protocolos DiffieHellman e RSA, ambos com 1024 bits.
Os algoritmos a serem utilizados na criptografia e autenticao podem ser
especificados, da mesma forma que no protocolo SKIP, ou deixados em modo
automtico, o que far que os dois firewalls comunicantes negociem o algoritmo
mais seguro suportado por ambos.
Troca de chaves via SKIP
SKIP um anagrama para Simple Key Management for IP. Ele basicamente
um algoritmo que permite que as trocas de chaves sejam realizadas de forma
automtica e com uma freqncia extremamente elevada, tornando invivel a
quebra destas chaves. O funcionamento do SKIP complexo e no entraremos
em maiores detalhes aqui. Nossa abordagem ficar limitada a descrever seu
funcionamento.
Basicamente o SKIP trabalha com trs nveis diferentes de chaves:

Um segredo compartilhado pelas duas entidades que desejam


comunicar-se (configurado manualmente, no caso do Aker Firewall).
Uma chave mestre, recalculada de hora em hora, baseada no segredo
compartilhado.
Uma chave randmica, que pode ser recalculada quando se desejar.

Genericamente falando, para efetuar a comunicao, o algoritmo gera uma


chave aleatria e a utiliza para encriptar e autenticar os dados a serem enviados.
A seguir ele encripta esta chave com a chave mestre e envia isto junto com os
dados encriptados. Ao receber o pacote, o outro lado decripta a chave, com o
auxlio da chave mestra, e a utiliza para decriptar o restante do pacote.
Os algoritmos utilizados para autenticar o pacote e encriptar a chave so
definidos pelo remetente e informados como parte do protocolo. Desta forma,
no necessrio configurar estes parmetros no recipiente.
A principal vantagem do SKIP a possibilidade de utilizar o mesmo segredo
compartilhado por anos, sem a menor possibilidade de quebra das chaves por
qualquer atacante (uma vez que a troca de chaves efetuada em intervalos de
poucos segundos a no mximo uma hora, dependendo do trfego entre as redes
Aker Security Solutions

263

comunicantes).

Troca de chaves manual


Neste caso, toda a configurao de chaves feita manualmente. Isto implica que
todas as vezes que uma chave for trocada, ambos os Firewall participantes de
um canal seguro tero que ser re-configurados simultaneamente.
Tipos de canais seguros
O Aker Firewall possibilita a criao de dois tipos de canais seguros distintos,
chamados de Firewall-Firewall e Cliente-Firewall. Cada um destes tipos de canais
possuem objetivos e limitaes diferentes e normalmente so combinados para
atingir o mximo de segurana e flexibilidade.
Canais seguros Firewall-Firewall
Este tipo de canal seguro o mais comum e suportado pelo Aker Firewall
desde sua verso 1.31. Ele consiste na utilizao de criptografia e autenticao
entre dois firewalls, interligados atravs da Internet ou de outro meio qualquer.
Os pontos de entrada e sada do canal so os dois firewalls, o que significa que
toda a criptografia feita transparentemente por eles e nenhum software
adicional necessita ser instalado em nenhuma mquina cliente.
A nica limitao desta soluo que ela exige a presena de dois firewalls, um
na entrada de cada rede, para que o canal seguro possa ser criado.
Canais seguros Cliente-Firewall (Secure Roaming)
Estes canais so suportados pelo Aker Firewall a partir da verso 3.10. Eles
permitem com que uma mquina cliente (Famlia WindowsTM e Linux) estabelea
um canal seguro diretamente com um Aker Firewall. Para tanto necessria a
instalao de um programa, chamado de Aker Client, em cada uma destas
mquinas.
A principal vantagem desta tecnologia possibilitar com que clientes acessem
uma rede coorporativa atravs de linhas discadas com total segurana e
transparncia (transparncia na medida em que as aplicaes que estejam
rodando na mquina com o cliente de criptografia instalado desconhecem sua
existncia e continuam funcionando normalmente).
Apesar de ser bastante til, esta tecnologia possui algumas desvantagens e
limitaes:
necessrio a instalao de um software, Aker Client, em todas as
mquinas clientes;
O cliente de criptografia no est disponvel para todas as plataformas;
Aker Security Solutions

264

Definindo um canal seguro firewall-firewall


Para definirmos um canal seguro firewall-firewall deve-se escolher primeiro dois
grupos de mquinas que iro trocar informaes entre si de forma segura. Estes
grupos de mquinas tero seus pacotes autenticados e, caso desejado,
criptografados. necessrio que exista um firewall nas duas extremidades do canal.
Estes firewalls sero responsveis por autenticar/verificar e criptografar/decriptar os
dados a serem transmitidos e recebidos, respectivamente.
Para definir os grupos de mquinas, ser utilizado o conceito de entidades,
mostrado no captulo intitulado Cadastrando Entidades. Pode-se utilizar entidades
do tipo mquina, rede ou conjunto nesta definio.
O Aker Firewall suporta a existncia de diversos canais seguros simultneos, entre
pontos distintos. A unio destes diversos canais produz uma lista, onde cada
entrada define completamente os parmetros de um canal seguro. Cada uma
destas entradas recebe o nome de Associao de Segurana ou SA.
O planejamento destes canais seguros dever ser feito com bastante cuidado. A
criptografia um recurso dispendioso que demanda uma capacidade de
processamento muito alta. Desta forma, criptografar pacotes para os quais no
exista uma necessidade real de segurana ser um desperdcio de recursos. Alm
disso, deve-se atentar que diferentes algoritmos de criptografia exigem quantidades
de processamento diferentes e, por conseguinte, produzem um nvel de segurana
mais elevado. Dependendo do nvel de segurana desejado, pode-se optar por um
ou outro algoritmo (a descrio da cada algoritmo suportado pelo Aker Firewall se
encontra no tpico anterior).
Uma ltima observao sobre canais de criptografia firewall-firewall que estes so
unidirecionais, ou seja, caso deseje configurar uma comunicao segura entre duas
redes, A e B, deve-se configurar dois canais diferentes: um canal com origem na
rede A e destino na rede B e outro com origem na rede B e destino na rede A. Os
pacotes que forem enviados de A para B seguiro a configurao do primeiro canal
e os pacotes de B para A seguiro a configurao do segundo. Isto ser ilustrado
com mais clareza nos exemplos abaixo:

Exemplos do uso de canais seguros firewall-firewall


Exemplo bsico de configurao de um canal seguro firewall-firewall
Neste exemplo ser mostrado como definir um canal seguro de comunicao entre
duas redes, atravs da Internet, usando dois Aker Firewalls. O canal ser criado de
forma com que toda a comunicao entre estas duas redes seja segura. Como o
algoritmo de autenticao foi escolhido o MD5 e como algoritmo de criptografia, o
DES.

Aker Security Solutions

265

obrigatrio o uso de um algoritmo de autenticao para todos os fluxos, ou


seja, no permitida a criao de fluxos com criptografia apenas. Isto necessrio
j que sem a autenticao os algoritmos de criptografia so passveis de ataques de
recortar e colar (cut and paste).
Configurao do Aker Firewall da rede 1
Entidades:
REDE1 - Endereo IP: A1.B1.C1.0 - Mscara 255.255.255.0
REDE2 - Endereo IP: A2.B2.C2.0 - Mscara 255.255.255.0
Regra de criptografia 1:
Sentido do canal: envia
Entidades origem: REDE1
Entidades destino: REDE2
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X1
Chave de criptografia: X2
Regra de criptografia 2:
Sentido do canal: recebe
Entidades origem: REDE2
Entidades destino: REDE1
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X3
Chave de criptografia: X4
Configurao do Aker Firewall da rede 2
Entidades:
REDE1 - Endereo IP: A1.B1.C1.0 - Mscara 255.255.255.0
REDE2 - Endereo IP: A2.B2.C2.0 - Mscara 255.255.255.0
Regra de criptografia 1:
Sentido do canal: recebe
Entidades origem: REDE1
Entidades destino: REDE2
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X1
Chave de criptografia: X2
Aker Security Solutions

266

Regra de criptografia 2:
Sentido do canal: envia
Entidades origem: REDE2
Entidades destino: REDE1
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X3
Chave de criptografia: X4
Note que a regra 1 do Aker Firewall 1 exatamente igual regra 1 do Aker
Firewall 2, exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2.

Figura 168. Exemplo de configurao de um canal seguro firewall-firewall para uma sub-rede.

Exemplo de configurao de um canal seguro firewall-firewall para uma subrede


Neste exemplo o nosso canal seguro ser definido apenas para um grupo de
mquinas dentro de cada uma das duas redes. Alm disso, definiremos algoritmos
diferentes para os fluxos entre estes grupos.
Na prtica, configurar algoritmos diferentes para os dois sentidos de um canal
seguro pode ser interessante quando as informaes de um determinado sentido
tiverem um valor maior do que as do sentido oposto do fluxo. Neste caso, utiliza-se
um algoritmo mais seguro no sentido mais crtico.
Neste exemplo, vamos supor que as redes 1 e 2 possuam dois endereos classe B:
A1.B1.0.0 e A2.B2.0.0, respectivamente.
Configurao do Aker Firewall da rede 1
Entidades:

Aker Security Solutions

267

SUB_REDE1 - Endereo IP: A1.B1.2.0 - Mscara 255.255.255.0


SUB_REDE2 - Endereo IP: A2.B2.5.0 - Mscara 255.255.255.0
Regra de criptografia 1:
Sentido do canal: envia
Entidades origem: SUB_REDE1
Entidades destino: SUB_REDE2
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X1
Chave de criptografia: X2
Regra de criptografia 2:
Sentido do canal: recebe
Entidades origem: SUB_REDE2
Entidades destino: SUB_REDE1
Algoritmo de criptografia: 3DES
Algoritmo de autenticao: SHA
Chave de autenticao: X3
Chave de criptografia: X4
Configurao do Aker Firewall da rede 2
Entidades:
SUB_REDE1 - Endereo IP: A1.B1.2.0 - Mscara 255.255.255.0
SUB_REDE2 - Endereo IP: A2.B2.5.0 - Mscara 255.255.255.0
Regra de criptografia 1:
Sentido do canal: envia
Entidades origem: SUB_REDE2
Entidades destino: SUB_REDE1
Algoritmo de criptografia: 3DES
Algoritmo de autenticao:SHA
Chave de autenticao: X3
Chave de criptografia: X4
Regra de criptografia 2:
Sentido do canal: recebe
Entidades origem: SUB_REDE1
Entidades destino: SUB_REDE2
Algoritmo de criptografia: DES
Algoritmo de autenticao: MD5
Chave de autenticao: X1
Chave de criptografia: X2
Aker Security Solutions

268

Note que neste caso as regras aparecem colocadas em uma ordem diferente nos
dois firewalls: a regra 1 no Firewall 1 igual a regra 2 do Firewall 2 (com os sentidos
invertidos) e a regra 2 no Firewall 1 igual a regra 1 no Firewall 2 (novamente com
os sentidos trocados). Neste exemplo, a ordem das regras no faz diferena
(observe, entretanto que em alguns casos isto pode no ser verdade).

Figura 169. Canal seguro entre redes.

Certificados IPSEC
Os certificados IPSEC so certificados padro X.509 utilizados pelo firewall para
identificarem-se junto a seus pares quando do estabelecimento dos canais
criptogrficos firewall-firewall no padro IPSEC (veja a seo Configurando tneis
IPSEC, logo abaixo). Seu uso, entretanto, no obrigatrio, j que possvel
estabelecer canais IPSEC usando segredos compartilhados.
Para que um firewall aceite um certificado apresentado por outro, preciso que
ele possua o certificado da Autoridade Certificadora que o emitiu.
Para ter acesso a janela de manuteno de certificados IPSEC basta:

Aker Security Solutions

269

Figura 170. Janela de acesso - Certificados IPSEC).

Clicar no menu Criptografia da janela principal.


Escolher o item Certificados IPSEC.
A janela de certificados e requisies IPSEC

Aker Security Solutions

270

Figura 171. Janela de Certificados IPSEC.

A janela de certificados IPSEC contm os certificados e as requisies do Aker


Firewall.
Uma requisio um formulrio a ser preenchido com seus dados para que a
autoridade certificadora gere um certificado. Um certificado uma carteira de
identidade para autenticar (reconhecer como o prprio) o seu proprietrio. O Aker
Firewall utilizar estes certificados para autenticar frente a seus pares quando da
negociao de um canal IPSEC. Desta forma cada um dos dois Firewalls envolvidos
num canal IPSEC tem que gerar seu prprio certificado.
As operaes desta janela se encontram na barra de ferramentas localizada acima
da janela de Certificados IPSEC ou clicando-se com o boto direito do mouse sobre
o campo que se deseja operar.

Figura 172. Barra de ferramentas (Certificados IPSEC).


Aker Security Solutions

271

Figura 173. Janela de ao para Certificados IPSEC.

O boto Inserir permite incluir uma nova requisio, podendo ser local ou
remota, sendo que as requisies e certificados locais ficam na janela "deste
firewall" e certificados e requisies remotas ficam na janela "outros firewalls".
O boto Copiar copia o certificado/requisio selecionado.
O boto Colar cola da memria o certificado/requisio copiado.
O boto Excluir remove da lista o certificado/requisio selecionado.
O boto Importar permite que seja carregado um certificado que foi exportado.
O boto Exportar permite que salve o certificado selecionado.
O boto Submeter permite que carregue um certificado exportado ou carregue
um certificado de acordo com uma requisio selecionada (somente aparece
quando inserindo um novo certificado).
O boto Instalar far com que a janela seja fechada e atualizada.
O boto Atualizar faz com seja recarregada as informaes de certificados.
Para gerar um certificado necessrio que primeiro gere uma requisio no Aker
Firewall, com esta requisio faa um pedido a uma autoridade certificadora para
gerar o certificado e depois importe o certificado para o Aker Firewal.
Esta janela atualizada dinamicamente, ou seja, no possvel cancelar quando
j feito o pedido. Quando incluir-se uma nova requisio local, as requisies e os
certificados locais sero apagados. Da mesma forma, ao importar novo Certificado
local com par de chaves (.pfx), sero apagados as requisies e os certificados
locais.
Desta maneira, a operao deve se dar da seguinte forma (para o certificado local):
1. Criar uma requisio local;
2. Enviar esta requisio a uma Autoridade Certificadora;
3. Esperar at que a Autoridade Certificadora emita o certificado
correspondente;
4. Carregar o certificado correspondente requisio (clicar na requisio e,
depois, em Carregar).

Aker Security Solutions

272

Se o desejado for criar um certificado para um firewall remoto, o procedimento


muda:
1. Criar uma requisio remota;
2. Enviar esta requisio a uma Autoridade Certificadora;
3. Esperar at que a Autoridade Certificadora emita o certificado
correspondente;
4. Carregar o certificado correspondente requisio (clicar na requisio e,
depois, em Carregar);
5. Exportar o certificado para um arquivo PKCS#12 (Clicar no certificado remoto
correspondente e, em seguida, em exportar);
6. Importar este certificado no firewall remoto, selecionando Deste Firewall e,
em seguida com o boto direito do mouse, Importar.
Na janela de requisies, h dois campos que podem causar confuso:
Dominio (CN): o identificador principal do dono da requisio. Este campo
deve ser preenchido com common name.
Tamanho da chave: Se o certificado for local com criao de nova chave ou
remoto, este campo conter o comprimento da chave em bits. Caso contrrio
(certificado local adicional) ele no poder ser modificado, uma vez que a chave
que j existe ser utilizada.
Configurando canais Firewall-Firewall
Para ter acesso a janela de configurao de canais Firewall-Firewall basta:

Aker Security Solutions

273

Figura 174. Janela de acesso - Firewall/Firewall.

Clicar no menu Criptografia da janela principal.


Escolher o item Firewall-Firewall.
A janela de criptografia firewall-firewall

Figura 175. Janela de Criptografia Firewall/Firewall.


Aker Security Solutions

274

A janela de criptografia contm a definio de todos os fluxos de criptografia do Aker


Firewall. Cada fluxo ser mostrado em uma linha separada, composta de diversas
clulas. Caso um fluxo esteja selecionado, ele ser mostrado em uma cor diferente.
Esta janela composta por quatro abas, onde cada uma delas permite a
configurao de fluxos de criptografia usando diferentes mtodos de troca de
chaves.
O boto OK far com que o conjunto de fluxos seja atualizado e passe a
funcionar imediatamente.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta
A barra de rolagem do lado direito serve para visualizar os fluxos que no
couberem na janela.
Ao clicar sobre um fluxo e selecion-lo, se ele possuir um comentrio, este
aparecer na parte inferior da janela.
Dica: A posio de cada regra pode ser alterada, bastando-se clicar e arrastar a
mesma para a nova posio desejada, soltando em seguida. Observe que o cursor
de indicao do mouse ir mudar para uma mo segurando um basto.
Para executar qualquer operao sobre um determinado fluxo, basta clicar com o
boto direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser
acionado sempre que pressionar o boto direito, mesmo que no exista nenhum
fluxo selecionado. Neste caso, somente as opes Inserir e Copiar estaro
habilitadas).

Figura 176. Menu de insero, copia ou excluso para definio dos fluxos de criptografia.

Inserir: Esta opo permite incluir um novo fluxo na lista. Se algum fluxo estiver
selecionado, o novo ser inserido na posio do fluxo selecionado. Caso
contrrio, o novo fluxo ser includo no final da lista.
Copiar: Esta opo copia o fluxo selecionado para uma rea temporria.
Colar: Esta opo copia o fluxo da rea temporria para a lista. Se um fluxo
estiver selecionado, o novo ser copiado para a posio do fluxo selecionado.
Caso contrrio ele ser copiado para o final da lista.
Excluir: Esta opo apaga o fluxo selecionado.
Habilitar/Desabilitar: Esta opo permite desabilitar o fluxo selecionado.
Aker Security Solutions

275

Dica: Todas estas opes podem ser executadas a partir da barra de ferramentas
localizada na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo,
clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
Caso queira incluir ou editar fluxos, pode-se fazer de duas formas: As entidades
envolvidas podem ser arrastadas para o fluxo que vo participar ou clicando com o
boto direito do mouse sobre o campo desejado, neste caso ser dada a opo de
inserir, apagar ou editar entidades como mostrado a seguir:

Figura 177. Menu de incluso ou alterao de fluxos.

Configurando tneis IPSEC


Tneis IPSEC servem para criar uma VPN entre duas redes. A palavra tnel
utilizada para diferenciar das VPNs comuns, pois efetivamente cria um canal virtual
entre os firewalls envolvidos, possibilitando, por exemplo, que redes com endereos
invlidos se comuniquem de maneira segura atravs da Internet.
Para configurar canais IPSEC, deve-se selecionar a opo IPSEC, na janela
Firewall-Firewall. Isto provocar a alterao da janela de forma a mostrar os campos
necessrios para esta configurao.

Aker Security Solutions

276

Figura 178. Configurao de canais IPSEC.

Os campos de configurao tm os seguintes significados:


Origem: Definir as entidades cujos endereos sero comparados com o
endereo origem dos pacotes IP que formaro o fluxo.
Destino: Definir as entidades cujos endereos sero comparados com o
endereo destino dos pacotes IP que formaro o fluxo.
Direo: Define em que sentido o fluxo ser aplicado. S existem duas
opes possveis: ou o pacote est sendo criptografado (encriptao) ou o
pacote esta sendo decriptado (decriptao). (para maiores detalhes, veja o
tpico intitulado Planejando a instalao).
Gateway Remoto: Define a entidade do tipo mquina que ser o gateway
remoto, ou seja, a outra ponta do tnel IPSEC.
Agora possvel adicionar at trs gateways remotos na mesma regra.
Cada um dos dois firewalls envolvidos no tnel precisa ter certeza da identidade do
outro, de forma a evitar ataques de falsificao. Para isso, h dois modos
selecionveis:
Autenticao: Definir qual algoritmo ser utilizado na autenticao. Os
valores possveis so: MD5 ou SHA.
Segredo Compartilhado: Uma seqncia de caracteres que funciona como
uma senha e deve ser igual de cada um dos lados do tnel.

Aker Security Solutions

277

Certificado: Utiliza certificados padro X.509 com um esquema de chaves


pblicas para a identificao dos firewalls. Este o mesmo esquema utilizado
por sites seguros na Internet, por exemplo.
Devero ser especificados:
certificado local a apresentar para a outra ponta do tnel (Remote Gateway)
e dado de identificao exigido do firewall remoto. Este dado ser um
endereo de email para certificados criados com a opo USER- FQDN e
nome de uma mquina (Fully Qualified Domain Dame), se a opo for FQDN.
Avanado
A janela avanado permite definir quais so os algoritmos de criptografia e
autenticao preferidos e permitidos pelo firewall durante a negociao de chaves
IKE. Os campos j vm preenchidos com algoritmos padro que podem ser
alterados. Mais informaes nas RFC 2401 a RFC 2412.
A janela de avanado agora inclui uma escolha da ponta local do tnel, para os
casos da rede de passagem entre o firewall e o roteador ser invlida.

Figura 179. Definio dos algoritmos de criptografia e autenticao permitidos pelo firewall durante
negociao das chaves IKE.

Visualizando o trfego IPSEC


Clicando no item Tneis IPSEC, dentro de Informaes, a janela abaixo aparecer.

Aker Security Solutions

278

Figura 180. Visualizao do trfego IPSEC.

Na janela acima, possvel visualizar quais SPIs IPSEC foram negociadas para
cada um dos tneis configurados, bastando para isso clicar sobre a regra
correspondente. Se houver mais de uma SPI, porque o firewall negocia uma nova
sempre antes da anterior acabar, de forma a nunca interromper o trfego dentro da
VPN. Descrio de cada coluna:
SPI: Nmero de identificao da poltica de segurana.
Algoritmo de criptografia: Mostra que algoritmo de criptografia foi negociado.
Algoritmo de Hash: Mostra que algoritmo deve ser utilizado para fazer o hash
das informaes.
Tamanho da chave de criptografia: Informa o tamanho da chave de
criptografia que ambos os lados do canal devem utilizar.
Tamanho da chave de autenticao: Informa o tamanho da chave de
autenticao negociado.
Protocolo: Conjunto de protocolos negociados para a SP.
Bytes negociados: Quantidade de bytes que devem ser transmitidos para que
uma nova politica de segurana seja negociada.
Bytes transferidos: Quantidade de bytes trafegados pela SP.
Tempo total: Tempo de validade da SP.
Ocioso: Tempo de inatividade do SP.
Expirao: Data no qual a SP deixar de ser utilizada.

Aker Security Solutions

279

Ao clicar em "grfico", pode-se ver um grfico de uso dos tneis, que atualizado a
cada cinco segundos. Ele mostra o trfego agregado de todas as SPIs de cada
regra, permitindo verificar, em tempo real, o uso efetivo de banda criptografada.

Figura 181. Grfico de acompanhamento (Bytes de logs transferidos).

Para utilizar troca de chaves manual, deve-se selecionar a opo Manual, na janela
Firewall/Firewall. Isto provocar a alterao da janela de forma a mostrar os campos
necessrios para esta configurao.

9.2. Utilizando a interface texto

Atravs da interface texto possvel realizar todas as configuraes mostradas


acima. A descrio de cada configurao distinta se encontra em um tpico
separado.
Carregando certificados IPSEC
A interface texto de configurao dos certificados IPSEC de uso simples e possui
as mesmas capacidades da interface grfica.
Localizao do programa: /aker/bin/firewall/fwipseccert
Aker Security Solutions

280

Sintaxe:
Uso: fwipseccert ajuda
fwipseccert mostra [requisicao | certificado]
fwipseccert remove [requisicao | certificado] <numero>
fwipseccert requisita <local | remoto> <1024 | 2048> <email> <pais> <estado>
<cidade> <organizacao> <unid org> <dominio>
[use_email] [imprime]
fwipseccert instala <local | remoto> <certificado>
fwipseccert exporta <certificado> <arquivo PKCS12> <senha>
fwipseccert importa <arquivo PKCS12> <senha>
Ajuda do programa:
Firewall Aker - Verso 6.5
fwipseccert - Criacao e manejamento de requisicoes e certificados x.509
Uso: fwipseccert ajuda
fwipseccert mostra [requisicao | certificado]
fwipseccert remove [requisicao | certificado] <numero>
fwipseccert requisita <local | remoto> <1024 | 2048> <email> <pais> <estado>
<cidade> <organizacao> <unid org> <dominio>
[use_email] [imprime]
fwipseccert instala <local | remoto> <certificado>
fwipseccert exporta <certificado> <arquivo PKCS12> <senha>
fwipseccert importa <arquivo PKCS12> <senha>
ajuda = mostra esta mensagem
mostra = mostra uma lista contendo as requisicoes pendentes ou os
certificados instalados
remove = remove uma requisicao ou certificado de acordo com seu numero
requisita = cria um par de chaves publicas e privadas juntamente com uma
requisicao de um certificado x.509
instala = instala um certificado x.509 cujo o par de chaves deve ter
sido criado anteriormente pelo sistema atraves do comando
requisita
exporta = exporta o certificado e seu par de chaves correspondente para
para um arquivo de formato pkcs12
importa = obtem do arquivo pkcs12 um certificado e seu par de chaves e o
instala como certificado local(ver abaixo)
Para requisita temos:
local = o certificado local e' usado na indentificacao do proprio
Aker Security Solutions

281

firewall; pode-se criar varios certificados locais porem,


todos eles usarao o mesmo par de chaves que e' gerado na
primeira vez que uma requisicao local e' gerada
remoto = certificados remotos sao utilizados para identificacao de
outras entidades da rede.
1024/2048 = sao os possiveis tamanhos das chaves que serao geradas
use_email = o certificado contera o valor de <email> como seu subject
alternative name; como default ele usara o valor de <dominio>
imprime = apos a criacao da requizicao, ela sera impressa na tela
email, pais, estado, cidade, organizacao, unid org e dominio sao campos
que
serao usados para indentificar do usuario do certificao. O campo
<pais> deve conter 2 caracteres no maximo. O campo <unid org> e'
abreviatura de unidade organizacional e se refere ao departamento
ou divisao da organizacao ao qual pertence o usuario do certificado
Carregando certificados
A interface texto de configurao dos certificados de criptografia de uso simples e
possui as mesmas capacidades da interface grfica.
Localizao do programa:/aker/bin/firewall/fwcert
Sintaxe:
fwcert ajuda
fwcert mostra [local | ca | negociacao | revogacao]
fwcert carrega [local | ca] <arquivo> [-f]
fwcert carrega revogacao <arquivo>
fwcert remove <codigo> [-f]
Ajuda do programa:
Firewall Aker - Verso 6.5
fwcert - Configura os certificados para criptografia
Uso: fwcert ajuda
fwcert mostra [local | ca | negociacao | revogacao]
fwcert carrega [local | ca] <arquivo> [-f]
fwcert carrega revogacao <arquivo>
fwcert remove <codigo> [-f]
ajuda = mostra esta mensagem
mostra = mostra os certificados especificados
carrega = carrega um novo certificado no firewall
remove = remove o certificado de uma entidade certificadora
Aker Security Solutions

282

Para mostra temos:


local = mostra o certificado de negociacao local
negociacao = mostra os certificados de negociacao de outros firewalls
que foram recebidos pela rede
revogacao = mostra os certificados de revogacao que foram carregados
localmente ou recebidos pela rede

Para carrega temos:


local = carrega o certificado de negociacao local (se ja existir um
certificado carregado ele sera substituido)
ca = carrega um certificado de uma Entidade Certificadora que sera
usado para validar os certificados de negociacao recebidos
(se ja existir um outro certificado com o mesmo codigo ele
sera substituido)
revogacao = carrega um certificado de revogacao, que sera usado para
invalidar um certificado de negociacao comprometido
arquivo = nome do arquivo do qual o certificado sera carregado
-f
= se estiver presente, faz com que o programa nao confirme ao
substituir um certificado

Para remove temos:


codigo
-f

= codigo da entidade certificadora a ser removida


= se estiver presente, faz com que o programa nao confirme ao
remover um certificado

Exemplo 1: (carregando o certificado local)


#/aker/bin/firewall/fwcert carrega local /tmp/firewall.crt
Carregando certificado...OK
Exemplo 2: (mostrando os certificados de entidades certificadoras)
#/aker/bin/firewall/fwcert mostra ca
Nome: Aker Security Solutions
Codigo: 1
Nome: Entidade certificadora autorizada
Codigo: 2
Exemplo 3: (carregando um novo certificado de entidade certificadora)
Aker Security Solutions

283

#/aker/bin/firewall/fwcert carrega ca /tmp/novo_ca.ca


Certificado incluido
Exemplo 4: (removendo um certificado de entidade certificadora, sem confirmao)
#/aker/bin/firewall/fwcert remove 2 -f
Entidade certificadora removida
Configurando canais Firewall-Firewall
A utilizao da interface texto na configurao das regras de criptografia e de
autenticao firewall-firewall traz uma dificuldade gerada pela grande quantidade de
parmetros que devem ser passados na linha de comando.
Esta interface texto possui as mesmas capacidades da interface grfica com a
exceo de que atravs dela no possvel atribuir comentrios. Alm disso, no
ser possvel configurar os algoritmos a serem usados pelo IPSEC-IKE (janela
avanado), eles tero sempre os valores padro.
Localizao do programa: /aker/bin/firewall/fwcripto
Sintaxe:
Uso: fwcripto [mostra | ajuda]
fwcripto [habilita | desabilita | remove] <pos>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
ipsec <gateway> <<ss <segredo> | cert <local> <remoto>>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticacao> NENHUM
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticacao>
<DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticacao>
3DES <tamanho_iv> <chave1> <chave2> <chave3>
fwcripto inclui <pos> <origem> <destino> envia
skip <DES | 3DES | BFISH256> <MD5 | SHA>
<NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo>
fwcripto inclui <pos> <origem> <destino> recebe
skip <segredo>
fwcripto inclui <pos> <origem> <destino> <envia | recebe> aker-cdp
Ajuda do programa:
Firewall Aker - Versao 6.5
fwcripto - Configura a tabela de autenticacao e criptografia
Aker Security Solutions

284

Uso: fwcripto [mostra | ajuda]


fwcripto [habilita | desabilita | remove] <pos>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
ipsec <gateway> <ss <segredo> | cert <local> <remoto>>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticacao> NENHUM
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticacao>
<DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticacao>
3DES <tamanho_iv> <chave1> <chave2> <chave3>
fwcripto inclui <pos> <origem> <destino> envia
skip <DES | 3DES | BFISH256> <MD5 | SHA>
<NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo>
fwcripto inclui <pos> <origem> <destino> recebe
skip <segredo>
fwcripto inclui <pos> <origem> <destino> <envia | recebe> aker-cdp
mostra = mostra todas as entradas da tabela de criptografia
inclui
= inclui uma entrada na tabela
habilita = habilita uma entrada previamente desabilitada
desabilita = desabilita uma entrada existente
remove = remove uma entrada existente da tabela
ajuda
= mostra esta mensagem

Para inclui temos:


pos = posicao onde a nova entrada sera incluida na tabela
(Podera ser um inteiro positivo ou a palavra FIM
para incluir no final da tabela)
envia = esta entrada sera usada na hora de enviar pacotes
recebe = esta entrada sera usada na hora de receber pacotes
ipsec = usa troca de chave e protocolo IPSEC
gateway = a entidade que representa a ponta remota do tunel IPSEC
ss = usa segredo compartilhado como forma de autenticacao
segredp = a "string" que sera usada como segredo compartilhado
cert = usa certificados X.509 para autenticacao
local = o nome de dominio (FQDN) no certificado a apresentar
remoto = o nome de dominio (FQDN) no certificado esperado
manual = utiliza troca de chaves manual
skip = utiliza troca de chaves automatica via o protocolo SKIP
Aker Security Solutions

285

aker-cdp = utiliza troca de chaves automatica via o protocolo Aker-CDP


spi = indice de parametro de seguranca
(E' um inteiro que identifica unicamente a associacao de
seguranca entre a maquina de origem e de destino. Este
numero deve ser maior que 255)
MD5 = usa como algoritmo de autenticacao o MD5
SHA = usa como algoritmo de autenticacao o SHA-1
DES = usa como algoritmo de criptografia o DES
3DES = usa como algoritmo de criptografia o triplo DES
BFISH128 = usa como algoritmo de criptografia o Blowfish com chaves de
128 bits
BFISH256 = usa como algoritmo de criptografia o Blowfish com chaves de
256 bits
NENHUM = nao usa criptografia, somente autenticacao
(No caso do skip, o primeiro algoritmo selecionado
correponde ao algoritmo de criptografia da chave e
o segundo corresponde ao de criptografia do pacote)
tamanho_iv = tamanho do vetor de inicializacao, em bits, para o algoritmo
de criptografia. Deve ter o valor 32 ou 64.
As chaves de autenticacao, criptografia e o segredo skip
devem ser entradas como numeros hexadecimais.
No caso do 3DES devem ser digitadas 3 chaves separadas por brancos
Para habilita / desabilita / remove temos:
pos = posicao a ser habilitada, desabilitada ou removida da tabela
(a posicao e' o valor mostrado na esquerda da entrada ao
se usar a opcao mostra)

Aker Security Solutions

286

Configurando criptografia
Cliente-Firewall

Aker Security Solutions

287

10.

Configurando criptografia Cliente-Firewall


Este captulo mostrar como configurar o firewall e o Aker Client de modo a
propiciar a criao de canais seguros entre mquinas clientes e um Aker Firewall.

10.1.

Planejando a instalao.

O que um canal seguro Cliente-Firewall?


Conforme j explicado no captulo anterior, um canal seguro cliente-firewall aquele
estabelecido diretamente entre uma mquina cliente e um Aker Firewall. Isto
possvel com a instalao de um programa, chamado de Aker Client, nas mquinas
clientes.
Um canal de criptografia Cliente-Firewall utiliza as mesmas tecnologias de
criptografia, autenticao e troca de chaves j mostradas para os canais seguros
Firewall-Firewall, com a diferena de que tudo negociado automaticamente pelas
partes comunicantes. Ao administrador possvel apenas desabilitar determinados
algoritmos, de forma a assegurar que eles no sero utilizados.
Outra diferena fundamental entre os canais seguros firewall-firewall e clientefirewall, da forma com que so implementados no Aker Firewall, que os primeiros
so sempre realizados ao nvel de pacotes IP, onde cada pacote encriptado
individualmente, enquanto que os segundos so feitos ao nvel de fluxo de dados,
onde est encriptado somente as informaes contidas na comunicao (e no os
demais dados do pacote IP).
Exigncias para a criao de canais seguros Cliente-Firewall
Para que seja possvel o estabelecimento de canais seguros entre clientes e um
firewall, necessrio que a seguinte lista de condies seja atendida:
1. O Aker Client esteja instalado em todas as mquinas que estabelecero canais
seguros com o firewall, no caso de utilizarem o Secure Roaming;
ou
2. Clientes que suportem os protocolos L2TP ou PPTP.

Aker Security Solutions

288

Definindo um canal seguro cliente-firewall


A definio de um canal seguro cliente-firewall bem mais simples do que a de um
canal firewall-firewall. necessrio apenas configurar no firewall quais mquinas
podero estabelecer canais seguros de clientes e se ocorrer ou no autenticao
de usurios. Todo o restante da configurao feito automaticamente, no momento
em que o cliente inicia a abertura do canal seguro.

10.2.

Aker Secure Roaming

Para ter acesso janela de configuraes do Secure Roaming basta:

Figura 182. Janela de acesso Clientes VPN.

Clicar no menu Criptografia da janela principal;


Escolher o item Clientes VPN.

Aker Security Solutions

289

A janela de configuraes do Secure Roaming

Figura 183. Configurao geral do Security Roaming.

O boto OK far com que a janela de configuraes do Secure Roaming seja


fechada e as alteraes efetuadas aplicadas;
O boto Cancelar far com que a janela seja fechada porm as alteraes
efetuadas no sejam aplicadas;
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta.
Aba Geral
Nmero mximo de conexes simultneas: Aqui voc pode configurar o
nmero mximo de clientes conectados simultaneamente no Secure Roaming,
L2TP ou PPTP em um determinado tempo. Use esta opo para evitar com que
o servidor tenha uma sobrecarga por excesso de clientes, o que pode diminuir a
perfomance.

O nmero no pode ser superior ao de sua licena. Se estiver em 0, nenhum cliente


ser permitido.
Limite de conexes simultneas: Indica o limite mximo de conexes permitido
por sua licena.
Aker Security Solutions

290

Aba Secure Roaming

Figura 184. Configurao do Security Roaming.

Mtodos de Autenticao: As opes disponveis, que podem ser marcadas


independentemente, so:
1. Usurio/senha: O usurio dever ser autenticado por meio de uma
combinao de nome e uma senha. Esses dados sero repassados a um ou
mais servidores de autenticao que devero valid-los. Esta opo a mais
insegura porm no depende de nenhum hardware adicional;
2. Token (SecurID): O usurio dever ser autenticado mediante o fornecimento
de um nome, um PIN e um cdigo presente em um Token SecurID que
modificado a cada minuto. Esses dados sero repassados para o
autenticador Token cadastrado no firewall para serem validados. Essa opo
bem mais segura que a anterior, porm exige que cada usurio possua um
Token;
3. Smartcard/X.509: O usurio dever ser autenticado por meio do uso de
certificados X.509 (por exemplo, gravados em smart cards) e emitidos por
uma das autoridades certificadoras cadastradas no firewall. Essa forma de
autenticao a mais segura das trs, por exigir a senha de desbloqueio da
chave privada e a posse da mesma;

Aker Security Solutions

291

Verses antigas do cliente Secure Roaming so permitidas: Permite que


verses antigas do cliente Secure Roaming se conectem.
Habilita IPSEC: Utiliza protocolo IPSEC na comunicao com o Secure
Roaming.
Permitir compresso de dados: A compresso de dados importante para
conexes lentas, como as discadas. Quando esta opo est marcada, feita a
compresso das informaes antes de serem enviadas pela rede. Isso permite
um ganho de performance na velocidade de comunicao, porm, exige um
maior processamento local. Para redes mais rpidas, melhor no se utilizar a
compresso.
Porta TCP/UDP: Este controle permite configurar a porta usada pelo servidor
para escutar conexes e dados de clientes, respectivamente. Por exemplo, voc
pode configurar o servidor para usar as portas TCP/443 e UDP/53, em ordem
para burlar firewalls e/ou outros dispositivos de filtragem entre servidores e
clientes. Esses dispositivos recusariam uma conexo VPN, mas no uma
conexo HTTP segura e uma requisio DNS, respectivamente.
A porta padro 1011 tanto para TCP e UDP.
Aba Acesso

Figura 185. Lista de controle de acesso do Security Roaming.


Aker Security Solutions

292

Tipo da lista de controle de acesso: Aqui voc escolhe qual o tipo da Lista
de controle de acesso:
1. Nenhum: Sem controle de acesso. Todo cliente tem permisso para
conectar ao servidor.
2. Permitir entidades listadas: Somente os endereos IP listados, ou
endereos que pertenam s entidades rede e/ou conjunto listadas,
podero estabelecer conexo.
3. Proibir entidades listadas: As entidades listadas, ou que pertenam a
entidades rede e/ou conjunto listadas, no sero capazes de estabelecer
conexes. As demais entidades sero.
Lista de controle de acesso:
Para adicionar uma entidade lista, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse na lista, ou
Arrastar a entidade do campo entidades, localizado no lado inferior
esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse sobre a entidade que ser removida,
ou
Selecionar a entidade desejada e pressione a tecla Delete.
A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele
mostrado ao clicar com o boto direito do mouse em alguma entidade listada.
No exemplo da figura, a entidade clicada foi Host4:

Figura 186. Menu com escolha das entidades a ser adicionadas.

Aker Security Solutions

293

Aba Endereos

Figura 187. Conjuto de endereos do Security Roming.

Conjunto de endereos: Lista de endereos que podem ser atribudos a


clientes remotamente conectados ao firewall. Os endereos de mquinas
listados e todos os endereos que compem as redes e conjuntos includos
somam-se para definir o conjunto de endereos atribuveis a clientes.
Notar que as entidades listadas devem estar conectadas a algum adaptador de
rede configurado no firewall. Caso contrrio, no ser possvel estabelecer
conexo com tal entidade.
Para adicionar ou remover uma entidade do Conjunto de endereos, basta proceder
como na Lista de controle de acesso.
As redes nesse campo definem um conjunto de endereos, no uma sub-rede no
sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do
firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for
includa no Pool de endereos, o primeiro endereo atribuvel seria 10.0.0.1 e o
ltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a
10.1.0.255, incluindo-se ambos os extremos.
Aker Security Solutions

294

10.3.

L2TP

L2TP uma extenso do PPP (Point-to-Point Protocol), unindo caractersticas de


outros dois protocolos proprietrios: o L2F (Layer 2 Forwarding) da Cisco e o PPTP
(Point-to-Point Tunneling Protocol) da Microsoft. um padro da IETF (Internet
Engineering Task Force), que conta com a participao da Cisco e do PPTP frum,
entre outros lderes de mercado.
O L2TPv3, analisado neste trabalho uma atualizao da RFC2661 (L2TPv2), e foi
originalmente definido como um mtodo para tunelamento para quadros PPP
atravs de uma rede de comutao de pacotes. Surgiu ento a necessidade de
atualizar o mtodo, para que ele inclusse todos os encapsulamentos da camada 2
que necessitassem de tunelamento atravs de redes de comutao de pacotes.
Entre as mudanas para a verso 3, temos: retirada de todas as partes especficas
ao PPP do cabealho L2TP, garantindo assim a generalizao para outras
aplicaes, e a mudana para um formato que possibilitasse o desencapsulamento
de forma mais rpida.
O L2TP fornece a flexibilidade e escalabilidade do IP com a privacidade do Frame
Relay ou ATM (Asynchronous Transfer Mode), permitindo que servios de rede
sejam enviados em redes roteadas IP. As decises so tomadas nas terminaes
dos tneis ou VPNs, e comutadas sem a necessidade de processamento nos ns
intermedirios.
As seguintes vantagens so oferecidas pelo L2TP:
permite o transporte de protocolos que no o IP, como o IPX (Internetwork
Packet Exchange, da Novell/Xerox) e o SNA, assim como outros protocolos
dos terminais;
mecanismo simples de tunelamento para implementar funcionalidades de
LAN e IP de forma transparente, possibilitando servios de VPN IP de forma
bastante simples;
simplifica a interao entre as redes do cliente e do provedor;
fcil configurao para o cliente.
Referncias: Steven Brown, Implementing Virtual Private Networks, McGraw
Hill,1999.

Aker Security Solutions

295

Configurando a VPN L2TP

Figura 188. Configurao da VPN L2TP.

Figura 189. Lista de endereos que podem ser fornecidos a clientes conectados remotamente ao
firewall.

Aker Security Solutions

296

Habilitar L2TP: Este campo habilita o servidor de L2TP no Aker Firewall e permite
configurar outros campos como:
Servidor de DNS Primrio e secundrio: Configura dois servidores DNS
a serem usados durante a sesso criptogrfica. Usado para o caso de
haver um servidor de DNS interno na corporao;
Usar autenticao IPSEC: Habilita os modos de autenticao e
encapsulamento dos dados L2TP em pacotes IPSEC, os modos de
autenticao so atravs de Segredo compartilhado ou certificado X.509.
Conjunto de Endereos: Lista de endereos que podem ser atribudos a
clientes remotamente conectados ao firewall. Os endereos de mquinas
listados e todos os endereos que compem as redes e conjuntos includos
somam-se para definir o conjunto de endereos atribuveis a clientes.
Notar que as entidades listadas devem estar conectadas a algum adaptador de
rede configurado no firewall. Caso contrrio, no ser possvel estabelecer
conexo com tal entidade.
Para adicionar uma entidade lista, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse na lista, ou
Arrastar a entidade do campo entidades, localizado no lado inferior
esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse sobre a entidade que ser removida,
ou
Selecionar a entidade desejada e pressione a tecla Delete.
A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele
mostrado ao clicar com o boto direito do mouse em alguma entidade listada.
No exemplo da figura, a entidade clicada foi Host4:

Figura 190. Menu com escolhas da entidade para adicionar.


Aker Security Solutions

297

As redes nesse campo definem um conjunto de endereos, no uma sub-rede no


sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do
firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for
includa no Pool de endereos, o primeiro endereo atribuvel seria 10.0.0.1 e o
ltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a
10.1.0.255, incluindo-se ambos os extremos.
Configurando usando interface texto
# fwl2tp ajuda
Firewall Aker - Versao 6.5
Uso: fwl2tp help
fwl2tp mostra
fwl2tp < habilita | desabilita >
fwl2tp ipsec ss < segredo >
fwl2tp ipsec cert < fqdn >
fwl2tp ipsec nenhum
fwl2tp dns_1 < dns_server >
fwl2tp dns_2 < dns_server >
fwl2tp inclui < rede >
fwl2tp remove < rede >
os parametros sao:
segredo : O segredo compartilhado IPSEC
fqdn : O nome dominio presente no certificado X.509 para autenticacao IPSEC
dns_server : Um servidor DNS (entidade) para os clientes de VPN
rede : Entidade rede ou maquina para o conjunto de endercos IP dos clientes de
VPN

Configurando o Cliente L2TP

Windows Vista / XP

No Windows Vista, crie uma nova conexo de VPN, no Network and Sharing Center.
No Windows XP, isso deve ser feito na janela Network Connections. Um assistente
para a criao desta conexo aparecer, e deve ser preenchido de acordo com as
imagens abaixo:

Aker Security Solutions

298

Figura 191. Configurando o cliente L2TP (Windows Vista/XP).

Figura 192. Configurando o cliente L2TP (utilizando VPN).

Aker Security Solutions

299

Figura 193. Configurando o cliente L2TP (escolha do IP e nome da conexo).

Na imagem acima, 192.168.0.100 o endereo do Aker Fireewall com servidor


L2TP visvel pelo Cliente de VPN. Este endereo pode ser um nome, como
firewall.empresa.com.br.

Figura 194. Configurando o cliente L2TP (nome do usurio e senha utilizados para autenticar o
cliente de VPN no Aker Firewall).
Aker Security Solutions

300

Na imagem acima, devem ser preenchidos o nome de usurio e senha que sero
utilizados para autenticar o cliente de VPN no AKER FIREWALL.

Figura 195. Configurao da VPN L2TP concluda.

Aps clicar em Close, ser criada uma nova conexo, que precisa ser editada, no
passo seguinte. No clique em Connect now.
Abra a janela Network Connections, e edite as propriedades da conexo recm
criada de acordo com as janelas abaixo:

Aker Security Solutions

301

Figura 196. Network conections (edio das propriedades de conexo).

Clique no boto Settings, aps escolher Advanced (custom settings), e configure a


janela de configuraes avanadas de acordo com a imagem abaixo:

Aker Security Solutions

302

Figura 197. Network conections (janela de configuraes avanadas).

Aps clicar OK, volte ao dilogo de propriedades e continue a configurao:

Aker Security Solutions

303

Figura 198. Dilogo de propriedades (configurao).

Por fim, basta utilizar a conexo recm criada.

10.4.

PPTP

O Point-to-Point Tunneling Protocol (PPTP) um mtodo para execuo de


redes virtuais privadas. PPTP usa o TCP (porta 1723) e o GRE (Outros 47). PPTP
usa um canal de controle sobre TCP e GRE tnel operacional para encapsular PPP
pacotes.

Aker Security Solutions

304

Configurando a VPN PPTP

Figura 199. Configurando a VPN PP TP.

Habilitar PPTP: Este campo habilita o servidor de PPTP no Aker Firewall e permite
configurar outros campos como:
Servidor de DNS Primrio e secundrio: Configura dois servidores DNS
a serem usados durante a sesso criptogrfica. Usado para o caso de
haver um servidor de DNS interno na corporao;
Segurana: Permite especificar os mtodos de encriptao da
auteticao e dos dados trafegados, as opes so:
PAP: Autenticao no cifrada e dados no cifrados. Funciona com
qualquer tipo de autenticador que possa ser cadastro no Firewall;
CHAP: Autenticao cifrada, dados no cifrados. Funciona
somente com o autenticador RADIUS;
MS-CHAPv2: Autenticao cifrada, dados no cifrados. Funciona
somente com o autenticador RADIUS;
MPPE (MS-CHAPv2 + MPPE): Autenticao cifrada, dados
cifrados com RC4 e chave de 40 a 128 bits. Funciona somente com
o autenticador RADIUS;
MPPE-128(MS-CHAPv2 + MPPE-128): Autenticao cifrada, dados
cifrados com RC4 e chave de 128 bits. Funciona somente com o
autenticador RADIUS.
Aker Security Solutions

305

Conjunto de Endereos: Lista de endereos que podem ser atribudos a


clientes remotamente conectados ao firewall. Os endereos de mquinas
listados e todos os endereos que compem as redes e conjuntos
includos somam-se para definir o conjunto de endereos atribuveis a
clientes.
Notar que as entidades listadas devem estar conectadas a algum
adaptador de rede configurado no firewall. Caso contrrio, no ser
possvel estabelecer conexo com tal entidade.
Para adicionar uma entidade lista, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse na lista, ou
Arrastar a entidade do campo entidades, localizado no lado inferior
esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse sobre a entidade que ser removida,
ou
Selecionar a entidade desejada e pressione a tecla Delete.
A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele
mostrado ao clicar com o boto direito do mouse em alguma entidade listada.
No exemplo da figura, a entidade clicada foi Host4:

Figura 200. Menu com escolhas da entidades para adicionar.

As redes nesse campo definem um conjunto de endereos, no uma sub-rede no


sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do
firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for
includa no Pool de endereos, o primeiro endereo atribuvel seria 10.0.0.1 e o
ltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a
10.1.0.255, incluindo-se ambos os extremos.
Aker Security Solutions

306

Configurando usando interface texto


/aker/bin/firewall # fwpptpsrv ajuda
Aker Firewall - Versao 6.5 (HW)
Uso: fwpptpsrv ajuda
fwpptpsrv mostra
fwpptpsrv < habilita | desabilita >
fwpptpsrv limpa
fwpptpsrv dns_1 < dns_server >
fwpptpsrv dns_2 < dns_server >
fwpptpsrv inclui < rede >
fwpptpsrv remove < rede >
fwpptpsrv seguranca < PAP | CHAP | MS-CHAPv2 | MPPE | MPPE-128 >
os parametros sao:
dns_server : Um servidor DNS (entidade) para os clientes de VPN
rede

: Entidade rede ou maquina para o conjunto de enderecos IP dos


clientes de VPN

Configurando o Cliente PPTP para autenticao com PAP

Windows Vista / XP
No Windows Vista, crie uma nova conexo de VPN, no Network and Sharing Center.
No Windows XP, isso deve ser feito na janela Network Connections. Um assistente
para a criao desta conexo aparecer, e deve ser preenchido de acordo com as
imagens abaixo:

Aker Security Solutions

307

Figura 201. Configurando o Cliente PPTP para autenticao com PAP (Windows Vista/XP).

Aker Security Solutions

308

Figura 202. Janela de configurao da VPN no Microsoft Windows.

Aker Security Solutions

309

Figura 203. Janela de configurao de rede da VPN no Microsoft Windows.

Na imagem acima, 192.168.0.100 o endereo do AKER FIREWALL com servidor


PPTP visvel pelo cliente de VPN. Este endereo pode ser um nome, como
firewall.empresa.com.br.

Aker Security Solutions

310

Figura 204. Janela de configurao de usurio e senha da VPN no Microsoft Windows.

Na imagem acima, devem ser preenchidos o nome de usurio e senha que sero
utilizados para autenticar o cliente de VPN no AKER FIREWALL.

Aker Security Solutions

311

Figura 205. Configurao da VPN no Microsoft Windows concluda.

Aps clicar em Close, ser criada uma nova conexo, que precisa ser editada, no
passo seguinte. No clique em Connect now.
Abra a janela Network Connections, e edite as propriedades da conexo recm
criada de acordo com as janelas abaixo:

Aker Security Solutions

312

Figura 206. Janela de configuraes avanadas da VPN no Microsoft Windows.

Clique no boto Settings, aps escolher Advanced (custom settings), e configure a


janela de configuraes avanadas de acordo com a imagem abaixo:

Aker Security Solutions

313

Figura 207. Janela de configuraes dos parmentros de autenticao da VPN no Microsoft


Windows.

Aps clicar OK, volte ao dilogo de propriedades e continue a configurao. Nesta


janela que definimos as configuraes de Segurana conforme configurao
realizada pelo administrador do firewall.

Aker Security Solutions

314

Figura 208. Janela de configuraes dos parmentros de rede da VPN no Microsoft Windows.

Por fim, basta utilizar a conexo recm criada.


Configurando o servidor Radius Microsoft IAS
A seguinte configurao aceita todos os tipos de criptografia. Para iniciar a
configurao precisamso cadastrar o endereo IP do firewall e sua senha NAS:

Aker Security Solutions

315

Figura 209. Configuraes do Servidor de autenticao Radius do Microosft Windows Server.

Aker Security Solutions

316

Figura 210. Configuraes do Shared secret do servidor de autenticao Radius do Microosft


Windows Server.

Aps cadastrar o(s) firewall(s), define-se as regras de acesso remoto (Remote


Access Policies), efetue suas configuraes iguais as exibidas abaixo:

Aker Security Solutions

317

Figura 211. Definio das regras de acesso remoto do servidor de autenticao Radius do Microosft
Windows Server.

Aker Security Solutions

318

Figura 212. Especificao das condies de conexo do servidor de autenticao Radius do


Microosft Windows Server.

Aker Security Solutions

319

Clique em Edit Profile.

Figura 213. Especificao das condis de conexo - Edio.

Aker Security Solutions

320

Figura 214. Especificao das condis de conexo IP.

Aker Security Solutions

321

Figura 215. Especificao das condis de conexo Multilink.

Aker Security Solutions

322

Figura 216. Especificao das condis de conexo Authentication.

Aker Security Solutions

323

Figura 217. Especificao das condis de conexo Encryption.

Aker Security Solutions

324

Figura 218. Especificao das condis de conexo Advanced.

Devido as polticas de segurana do Windows Server tm, ser necessrio informar


quais usurios podem efetuar estas autenticaes, para realizar esta etapa uma
Policy em Connection Request Policies.

Aker Security Solutions

325

Figura 219. Informaes dos usurios que podem efetuar autenticaes.

Tembm necessrio que no Microsoft Active Directorytm, selecione os usurios


que podem efetuar estas autenticaes e permitam que VPN e Dial-in, vejam na
janela abaixo:

Aker Security Solutions

326

Figura 220. Propriedades dos usurios podem efetuar autenticaes.

Para suporte CHAP, necessrio alterar as polticas de segurana do Windows, de


forma que o mesmo salve as senhas com criptografia reversvel e, aps este passo,
alterar as senhas dos usurios. Mais informaes neste link:
http://technet.microsoft.com/en-us/library/cc782191(WS.10).asp

10.5.

IPSEC Client

O conjunto de protocolos IPSEC (em especial IKE e ESP) no foi projetado para o
uso em modo cliente-servidor. Por isso, diversas extenses na sua implementao
original (RFC 2401 e famlia) so necessrias para que o mesmo possa ser utilizado
com esta finalidade.
Diferentemente do que ocorre com as VPNs L2TP/IPSEC e PPTP, no existe um
padro devidamente normatizado para essas extenses necessrias ao
funcionamento de VPNs IPSEC modo tnel para clientes remotos. O que existe so
uma srie de propostas de RFCs (Internet Drafts) que nunca foram aceitas pelo
Aker Security Solutions

327

IETF, mas mesmo assim, so utilizadas largamente por diversos fabricantes de


equipamentos e clientes de VPN.
A seguir, explicamos os diversos problemas encontrados para estabelecer esse tipo
de VPN e indicamos as solues encontradas, indicando as RFCs e drafts
correspondentes, quando for o caso.
Autenticao com usurio e senha
Originalmente, o protocolo IKE somente suporta autenticao simtrica, em especial
utilizando segredos compartilhados ou certificados digitais. Quando se trata de
VPNs para clientes remotos, o mais prtico utilizar autenticao por meio de
usurio e senha.
A proposta mais aceita para extenso do IKE nesse sentido chama-se 1XAUTH,
uma proposta da Cisco cujo draft mais recente o 2draft-beaulieu-ike-xauth-02, de
outubro de 2001. Essa proposta largamente utilizada por diversos fabricantes e
prope estender o protocolo IKE incluindo uma segunda etapa de autenticao entre
as fases 1 e 2 tradicionais. Com isso, aps o estabelecimento de uma SA ISAKMP
durante a fase 1, antes de estabelecer SAs de fase 2 (ESP), uma nova troca cifrada
verifica as credenciais do usurio.
Configurao de rede do cliente
Um problema importante a ser resolvido nas VPNs IPSEC para clientes a
configurao de rede do mesmo. Geralmente, uma interface virtual criada no
computador onde executa o cliente de VPN e esta interface recebe endereos e
rotas da rede interna protegida pelo gateway de VPNs. Para no precisar configurar
cada um dos clientes com endereos IPs estticos e diferentes, necessrio uma
soluo que permita ao servidor de VPN informar ao cliente quais configuraes
utilizar.
A proposta mais aceita para solucionar essa questo chama-se Mode Config3,
tambm produzida pela Cisco em outubro de 2001 e que tem como draft mais
recente o draftdukes-ike-mode-cfg-024. Essa proposta tambm largamente
utilizada por diversos fabricantes de equipamento de VPN e prope, do mesmo
modo que o XAUTH, entre as fases 1 e 2, executar uma srie de perguntas e
respostas entre o cliente e o servidor de criptografia, com o propsito de configurar
aquele a partir desse.
Deteco de cliente desconectado
Clientes remotos tm grande probabilidade de serem desconectados do servidor de
criptografia sem aviso prvio. Um exemplo simples um dispositivo conectado por
WIFI afastar-se demais de seu access point. O protocolo IPSEC originalmente
proposto no tem nenhuma outra forma de detectar que a conectividade foi perdida
que no seja pela falha da troca de chaves, o que se d em intervalos relativamente
longos, devido a seu custo computacional. Se a desconexo de clientes no for
Aker Security Solutions

328

rapidamente detectada, recursos escassos como os endereos IP do conjunto


disponvel para os mesmos podem ser rapidamente exauridos no servidor de VPN.
A proposta padronizada para este fim est descrita na RFC 3706 e consiste em
permitir a ambos endpoints IPSEC enviar pacotes de ping protegidos pela SA de
fase 1 (ISAKMP) de acordo com sua necessidade. Esses pacotes geralmente so
enviados em intervalos bem mais curtos que a troca de chave, uma vez que toda a
transao de envi-los, respond-los e receb-los tem um custo muito baixo.
IPSEC

Figura 221. Clientes VPN - IPSEC.

Habilitar Cliente IPSEC: Este campo habilita o servidor de IPSEC Client no Aker
Firewall e permite configurar outros campos como:
Servidor de DNS Primrio, secundrio e tercirio: Configura at trs
servidores DNS a serem usados durante a sesso criptogrfica. Usado
para o caso de haver um servidor de DNS interno na corporao;
Servidor WINS Primrio, secundrio e tercirio: Configura at trs
servidores WINS a serem usados durante a sesso criptogrfica. Usado
para o caso de haver um servidor de WINS interno na corporao;
Mensagem de autenticao: Mensagem de apresentao (banner) a ser
mostrada para os clientes.

Aker Security Solutions

329

Lista de endereos que podem ser atribudos a clientes - Conjunto de


Endereos: Lista de endereos que podem ser atribudos a clientes
remotamente conectados ao firewall. Os endereos de mquinas listados e todos
os endereos que compem as redes e conjuntos includos somam-se para
definir o conjunto de endereos atribuveis a clientes.
Notar que as entidades listadas devem estar conectadas a algum adaptador de
rede configurado no firewall. Caso contrrio, no ser possvel estabelecer
conexo com tal entidade.
Para adicionar uma entidade lista, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse na lista, ou
Arrastar a entidade do campo entidades, localizado no lado inferior
esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse sobre a entidade que ser removida,
ou
Selecionar a entidade desejada e pressione a tecla Delete.
A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele
mostrado ao clicar com o boto direito do mouse em alguma entidade listada.
No exemplo da figura, a entidade clicada foi Host4:

Figura 222. Lista de endereos que podem ser atribudos aos clientes.

As redes nesse campo definem um conjunto de endereos, no uma sub-rede no


sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do
firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for
includa no Pool de endereos, o primeiro endereo atribuvel seria 10.0.0.1 e o
ltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a
10.1.0.255, incluindo-se ambos os extremos.
Aker Security Solutions

330

Lista de endereos que so redes protegidas Redes Protegidas: Lista de


endereos de hosts ou redes protegidas pela VPN IPSEC, quando utilizado os
clientes da VPN IPSEC Client recebem rotas para alcanarem estes endereos
sem alterar o default gateway da sua estao. Quando deixar este campo em
branco os clientes da VPN IPSEC Client recebem o endereo IP do Aker Firewall
como default gateway.
Para adicionar uma entidade lista, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse na lista, ou
Arrastar a entidade do campo entidades, localizado no lado inferior
esquerdo, para a lista.
Para remover uma entidade, deve-se proceder da seguinte forma:
Clicar com o boto direito do mouse sobre a entidade que ser removida,
ou
Selecionar a entidade desejada e pressione a tecla Delete.
A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele
mostrado ao clicar com o boto direito do mouse em alguma entidade listada.
No exemplo da figura, a entidade clicada foi Host4:

Figura 223. Lista de endereos que so redes protegidas.

As redes nesse campo definem um conjunto de endereos, no uma sub-rede no


sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do
firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for
includa no Pool de endereos, o primeiro endereo atribuvel seria 10.0.0.1 e o
ltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a
10.1.0.255, incluindo-se ambos os extremos.
Aker Security Solutions

331

Grupos: Este campo permite definir as opes de autenticao do IPSEC para os


clientes:
Nome do grupo: Identidade dos grupos, os clientes especificam o grupo
e assim qual o mtodo de autenticao ser utilizado.
Autenticao:
Segredo Compartilhado: Uma seqncia de caracteres que
funciona como uma senha e deve ser igual de cada um dos lados
do tnel.
Certificado: Utiliza certificados padro X.509 com um esquema de
chaves pblicas para a identificao dos firewalls. Este o mesmo
esquema utilizado por sites seguros na Internet, por exemplo.

Configurando usando interface texto


/aker/bin/firewall # fwipseccli ajuda
Aker Firewall - Versao 6.5 (HW)
Uso: fwipseccli ajuda
fwipseccli mostra
fwipseccli < habilita | desabilita > [ grupo ]
fwipseccli dns_1 < dns_server >
fwipseccli dns_2 < dns_server >
fwipseccli dns_3 < dns_server >
fwipseccli wins_1 < wins_server >
fwipseccli wins_2 < wins_server >
fwipseccli wins_3 < wins_server >
fwipseccli mensagem < mensagem >
fwipseccli inclui < conjunto | protegida > < rede >
fwipseccli remove < conjunto | protegida > < rede >
fwipseccli grupo < inclui | remove > < grupo >
Aker Security Solutions

332

fwipseccli ss < grupo > < segredo >


fwipseccli cert < grupo > < fqdn >
os parametros sao:
segredo
fqdn

: O segredo compartilhado IPSEC


: O nome dominio presente no certificado X.509
para autenticacao IPSEC

dns_server : Um servidor DNS (entidade) para os clientes de VPN


wins_server: Um servidor WINS (entidade) para os clientes de VPN
rede

: Entidade rede ou maquina para o conjunto de endercos IP dos


clientes de VPN ou a lista de redes protegidas

grupo

: O nome do grupo de clientes

mensagem : A mensagem de autenticacao dos usuarios

Configurando os Clientes
De modo genrico, as configuraes recomendadas para clientes de criptografia
so as seguintes:
Shared Secret
Fase
1
1

Configurao
Forma de autenticao
Forma de identificao

Credenciais de usurio Use usurio e senha que possam ser


(XAUTH)
verificados pelo subsistema de autenticao
do Aker Firewall, os mesmos que, por
exemplo, o Filtro Web aceita para
autenticao.
Algoritmos de criptografia 3DES / SHA-1 (pode ser modificado pela
e hash
Controle Center)
Grupo diffie-hellman
2 - MODP-1024 (pode ser modificado pela
Control Center)
Tempo de vida de SA
3600 segundos (pode ser modificado pela

1
1
1

Valor
secret + XAUTH
KEY_ID. Use o mesmo nome do grupo
criado no fwipseccli. Alguns clientes chamam
essa configurao de grupo mesmo.

Aker Security Solutions

333

2
2

Algortimos
PFS / Grupo diffie
hellman
Tempo de vida de SA

Control Center)
AES-256 / SHA-1 HMAC-96
No / 0
3600 segundos

Figura 224. Configuraes recomendadas para clientes de criptografia Shared Secret.

X.509
A configurao X.509 muito parecida:
Fase
1
1

Configurao
Forma de autenticao
Forma de identificao

Credenciais de usurio Use usurio e senha que possam ser


(XAUTH)
verificados pelo subsistema de autenticao
do Aker Firewall, os mesmos que, por
exemplo, o Filtro Web aceita para
autenticao.
Algoritmos de criptografia 3DES / SHA-1 (pode ser modificado pela
e hash
Controle Center)
Grupo diffie-hellman
2 - MODP-1024 (pode ser modificado pela
Control Center)
Tempo de vida de SA
3600 segundos (pode ser modificado pela
Control Center)
Algortimos
AES-256 / SHA-1 HMAC-96
PFS / Grupo diffie
No / 0
hellman
Tempo de vida de SA
3600 segundos

1
1
1
2
2
2

Valor
X.509 (RSA SIG) + XAUTH.
FQDN. Use o nome do Subject Alternative
Name do certificado. Alguns clientes exigem
que esse nome seja o mesmo do endereo IP
ou domnio de conexo.

Figura 225. Configuraes recomendadas para clientes de criptografia X.509.

Exemplos:
ShrewSoft VPN Client com com segredo compartilhado
Para a configurao deve ser preenchido os campos de acordo com as imagens
abaixo:

Aker Security Solutions

334

Figura 226. Configurao da VPN General.

Figura 227. Configurao da VPN Authentication.

Aker Security Solutions

335

Figura 228. Configurao da VPN Phase 1.

Figura 229. Configurao da VPN Phase 2.

Aker Security Solutions

336

Figura 230. Configurao da VPN Connect.

iPhone com certificado


Nesse caso, necessrio usar a feramenta de configurao para empresas do
iPhone, que pode ser obtida gratuitamente no site da Apple. Ateno ao fato que
necessrio incluir o certificado da CA (.CER) e o certificado com chaves do do
cliente (.PFX) no perfil de configurao. Para fazer isso, primeiro necessrio
incluir esses certificados nas configuraes do Windows.
Alm disso, ateno ao fato que o iPhone exige que o "Hostname or IP Address
for Server" seja igual ao Subject Alternative Name do firewall, sob pena de
recusar o certificado e impedir a conexo.

Aker Security Solutions

337

Figura 231. Configurao I-Phone certificado.

Aker Security Solutions

338

Figura 232. Configurao I-Phone estabelecendo VPN.

Aker Security Solutions

339

ShrewSoft VPN Client com certificado

Figura 233. Configurao VPN com certificado.

Figura 234. Configurao VPN - Authentication Local Identity.

Aker Security Solutions

340

Figura 235. Configurao VPN - Authentication Remote Identily.

Figura 236. Configurao VPN - Authentication Authentication Method.

Aker Security Solutions

341

VPN SSL

10.6.

A configurao do Portal VPN SSL e do Applet bastante simples, uma vez que
todos os detalhes de funcionamento do portal e do applet so responsabilidade do
firewall. Ao administrador cabe definir nome do portal, qual o certificado ser
utilizado pelo firewall e etc.
Todas estas configuraes so feitas na janela VPN SSL. Para acess-la, basta:

Figura 237. Janela de acesso VPN SSL.

Clicar no menu Criptografia da janela principal.


Escolher o item VPN SSL.
Ao selecionar a opo Enable VPN SSL, os campos de edio das configuraes do
portal e do applet so habilitados.
Portal

Aker Security Solutions

342

Figura 238. VPN SSL - Portais.

No portal web, o cliente se autentica no firewall e como resultado recebe o applet


que implementa o tnel SSL.
Ttulo do Portal: Este campo informa o nome do portal. Possui um limite mximo de
64 caracteres e somente aceita texto simples.
Certificado CN do Firewall: Este campo informa o nome do certificado aplicado ao
FW.
Ao clicar no cone
o certificado. O cone

carrega-se um arquivo com extenso *.p12/*.pfx que contm


mostra um resumo das informaes do certificado e o

cone
permite exportar um arquivo com extenso *.p12/*.pfx contendo um
certificado.
Aker Security Solutions

343

Autenticao: Este campo informa o tempo de expirao de autenticao no portal,


sendo o tempo mximo que pode levar para estabelecer a sesso, variando de 0 a
30 seg.
Mostrar campo Domnio: Ao selecionar essa opo permite mostrar o campo
domnio no formulrio de login do portal. A seleo desse campo opcional.
Usar o protocolo SSLv2: Ao selecionar essa opo, opta por utilizar a verso 2 do
protocolo SSL. Ele no utilizado por padro devido a existncia de um bug de
segurana.
Forar autenticao x.509: Esta opo permite forar uma autenticao x.509, pois
impede que o usurio se autentique sem ser por meio do certificado digital.
Permitir que um usurio tenha acesso por diferentes IPs ao mesmo tempo:
Esta opo permite ao usurio se logar no portal a partir de um ou mais IPs
diferentes simultneamente.
Informao de logon: Esse campo permite incluir o texto que ser apresentado no
portal com informaes bsicas sobre o seu funcionamento. No possui tamanho
definido e pode ser escrito usando o formato HTML.
Popup no aberto: Esse campo informativo. Caso o applet apresente erro ao
carregar, este texto ser mostrado ao usurio como resposta ao erro ocorrido.

Aker Security Solutions

344

Applet

Figura 239. VPN SSL - Applet.

Usar o logo customizado: Ao habilitar essa opo, permite ao usurio apresentar


o seu logotipo no applet.
Alterar arquivo: Este boto permite trocar o logotipo apresentado.
Porta: Esta opo permite definir a porta na qual o applet vai se conectar no firewall
para fazer o tnel SSL.
Timeout da Conexo: Este campo informa o tempo em segundos que pode ficar
sem trafegar nenhum dado no tnel SSL. Ao expirar esse tempo o tnel ser
fechado.

Aker Security Solutions

345

Usando a applet: Este campo mostra informaes gerais de utilizao do applet. O


texto no pode ser em formato HTML e no possui tamanho definido.
Visualizao: Nesta rea podem ser visualizadas todas as configuraes visuais
aplicadas ao applet, sendo incluso o ttulo e os logotipos da Aker e do Cliente.

Cliente
O cliente necessita de um browser e do Java virtual Machine instalado para ter
acesso, que realizado atravs da seguinte url:
https://<ip_do_firewall>
O usurio aps aceitar os certificados aparecer uma tela de autenticao, onde o
usurio e senha definir qual o perfil de acesso e quais portas de comunicao ter
permisso na VPN.

Figura 240. Perfil de acesso Permisso VPN.

Aps a auteticao ser realizada com sucesso teremos o Applet rodando com as
informaes que foram configuradas na sesso Applet que vimos a pouco:

Aker Security Solutions

346

Figura 241. VPN SSL Instrues gerais.

O acesso aos servios atrav da VPN so realizados atravs do IP:


127.0.0.1:<porta>
Esta porta de comunicao configurada em Configurao do Firewall, Perfis na
aba VPN-SSL (Proxy SSL).

Aker Security Solutions

347

Configurando o Proxy SSL

Aker Security Solutions

348

11.

Configurando criptografia Cliente-Firewall


Este captulo mostrar para que servem e como configurar a Proxy SSL no Aker
Firewall.

O que um Proxy SSL?


Um Proxy SSL uma VPN cliente-firewall, feita atravs do protocolo SSL, e que tem
como principal caracterstica a utilizao do suporte nativo a este protocolo que est
presente em vrias aplicaes: navegadores, leitores de e-mail, emuladores de
terminal, etc. Devido ao suporte nativo destas aplicaes, no necessria a
instalao de nenhum cliente para o estabelecimento da VPN.
O seu funcionamento simples: de um lado o cliente se conecta ao firewall atravs
do protocolo SSL, autenticando-se atravs de certificados X.509 (caso seja o desejo
do administrador que a autenticao seja demandada) e o firewall ento se conecta
em claro ao servidor interno. Dessa forma, o cliente enxerga uma conexo SSL com
o servidor e, este, enxerga uma conexo em claro (transparente) com o cliente.
Utilizando um Proxy SSL
Para utilizar um Proxy SSL em uma comunicao, necessrio executar uma
seqncia de 2 passos:
Criar um servio que ser interceptado pelo proxy SSL e edita-se os
parmetros do contexto a ser usado por este servio (para maiores
informaes, veja o captulo intitulado Cadastrando Entidades).
Acrescentar regras de filtragem de perfis SSL, permitindo o uso do servio
criado no passo 1, para as redes ou mquinas desejadas (para maiores
informaes, veja o item Configurando regras de Proxy SSL).

Aker Security Solutions

349

Figura 242. Utilizao do Proxy SSL.

11.1.

Editando os parmetros de um contexto SSL

A janela de propriedades de um contexto SSL ser mostrada quando a opo Proxy


SSL for selecionada. Atravs dela possvel definir o comportamento do proxy SSL
quando este for lidar com o servio em questo.
A janela de propriedades de um contexto SSL

Aker Security Solutions

350

Figura 243. Edio dos paramentros de um contexto SSL.

Na janela de propriedades so configurados todos os parmetros de um contexto


associado a um determinado servio. Ela consiste de duas abas distintas: a primeira
permite a configurao dos parmetros e a segunda a definio do certificado que
ser apresentado ao cliente no estabelecimento da VPN.
Aba Geral
Porta do servidor: Este campo indica a porta que o servidor estar esperando
receber a conexo, em claro, para o servio em questo.
Permitir autenticao de usurio: Este campo, se estiver marcado, indica que os
usurios podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja
desmarcado, somente sesses annimas sero autorizadas, o que implica na
utilizao do perfil de acesso padro sempre.
Forar autenticao de usurio: Se este campo estiver marcado, no sero aceitas
sesses de Proxy SSL nas quais o usurio no tenha apresentado um certificado
X.509 vlido.

Aker Security Solutions

351

Inatividade do cliente: Este campo indica o tempo mximo em segundos que o


firewall manter a sesso de Proxy SSL ativa (desde que a sesso j tenha sido
estabelecida) sem o recebimento de dados por parte do cliente.
Conexo: Este campo indica o tempo mximo em segundos que o firewall
aguardar pelo estabelecimento da conexo com o servidor.
Autenticao SSL: Este campo indica o tempo mximo em segundos que o firewall
aguardar para que o cliente realize, com sucesso, uma autenticao SSL.
Avanado: Este boto permite o acesso a parmetros de configurao que no so
normalmente
utilizados.
So eles:
Permitir um usurio acessar de IPs diferentes ao mesmo tempo: Este campo, se
estiver marcado, permite que um mesmo usurio estabelea sesses simultneas a
partir de mquinas diferentes. Caso esteja desmarcado, se um usurio j possuir
uma sesso em uma mquina, tentativas de abertura a partir de outras mquinas
sero recusadas.
Tempo de manuteno de sesso: Como no existe o conceito de sesso em uma
Proxy SSL, necessrio que o proxy simule uma sesso, mantendo um usurio
logado por algum tempo aps o fechamento da ltima conexo, caso seja
necessrio impedir que um mesmo usurio acesse simultaneamente de mquinas
diferentes. O que este campo especifica por quanto tempo, em segundos, o
firewall deve considerar um usurio como logado aps o fechamento da ltima
conexo.
Permitir o uso de SSL v2: Este campo indica se o firewall deve ou no aceitar uma
conexo SSL usando a verso 2 deste protocolo.
A verso 2 do protocolo SSL possui srios problemas de segurana e
recomenda-se que ela no seja utilizada, a no ser que isso seja estritamente
necessrio.

Aker Security Solutions

352

Aba Certificado

Figura 244. Exibio do certificado do proprietrio X.509.

Esta aba utilizada para especificar o certificado X.509 que ser apresentado ao
cliente quando ele tentar estabelecer uma Proxy SSL. possvel criar uma
requisio que posteriormente ser enviada para ser assinada por uma CA ou
importar um certificado X.509 j assinado, em formato PKCS#12.
Criar requisio:
Este boto permite que seja criada uma requisio que posteriormente ser enviada
a uma CA para ser assinada. Ao ser clicado, sero mostrados os campos do novo
certificado a ser gerado e que devem ser preenchidos.
Aps o preenchimento deve-se clicar no boto OK, que far com que a janela seja
alterada para mostrar os dados da requisio recm criada, bem como dois botes
para manipul-la: O boto Salvar em arquivo permite salvar a requisio em um
arquivo para que ela seja ento enviada a uma CA que ir assin-la. O boto
Instalar esta requisio permite importar o certificado j assinado pela CA.
Importar certificado PKCS#12:
Aker Security Solutions

353

Este boto provocar o aparecimento de um dilogo onde pode especificar o nome


do arquivo com o certificado X.509 que ser importado.

11.2.

Configurando regras de Proxy SSL

Aps a definio de um ou mais contextos SSL, mostrados no tpico anterior,


necessrio configurar os perfis de acesso dos usurios de modo a definir que
servios eles podem acessar atravs de sesses de VPN SSL. Esta configurao
fica na aba SSL, dentro de cada perfil de acesso.
Para maiores informaes de como realizar o cadastramento das regras, consultar o
tpico Cadastrando perfis de acesso.

Aker Security Solutions

354

Integrao dos Mdulos do


Firewall

Aker Security Solutions

355

12.

Integrao dos Mdulos do Firewall


Neste captulo ser mostrada a relao entre os trs grandes mdulos do Aker
Firewall: o filtro de pacotes, o conversor de endereos e o mdulo de criptografia e
autenticao. Ser mostrado tambm o fluxo pelo qual os pacotes atravessam
desde sua chegada no Firewall at o momento de serem aceitos ou rejeitados.

12.1.

O fluxo de pacotes no Aker Firewall

Nos captulos anteriores deste manual foram mostrados separadamente os trs


grandes mdulos do Aker Firewall e todos os detalhes pertinentes configurao de
cada um. Ser mostrado agora como um pacote os atravessam e quais alteraes
ele pode sofrer em cada um deles.
Basicamente, existem dois fluxos distintos: um para pacotes que so emitidos pela
rede interna e tem como destino alguma mquina da rede externa (fluxo de dentro
para fora) ou pacotes que so gerados na rede externa e tem como destino alguma
mquina da rede interna (fluxo de fora para dentro).
O fluxo de dentro para fora
Todo o pacote da rede interna ao atingir o firewall passa pelos mdulos na seguinte
ordem: mdulo de montagem, filtro de pacotes, conversor de endereos e mdulo
de encriptao.

Figura 245. Fluxo do pacote da rede interna ao atingir o firewall.

O mdulo de montagem
O mdulo de montagem o responsvel por armazenar todos os fragmentos de
pacotes IP recebidos at que estes possam ser montados e convertidos em um
pacote completo. Este pacote ser ento entregue para os demais mdulos.
O filtro de pacotes
O filtro de pacotes possui a funo bsica de validar um pacote de acordo com as
regras definidas pelo administrador, e a sua tabela de estados, e decidir se este
Aker Security Solutions

356

deve ou no ser autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode
trafegar, este ser repassado para os demais mdulos, caso contrrio ser
descartado e o fluxo terminado.
O conversor de endereos
O conversor de endereos recebe um pacote j autorizado a trafegar e verifica, de
acordo com sua configurao, se este deve ter o endereo de origem convertido.
Em caso positivo, ele o converte do contrrio o pacote no sofre quaisquer
alteraes.
Independente de ter sido convertido ou no, o pacote ser repassado para o mdulo
de criptografia.
O mdulo de encriptao
O mdulo de encriptao recebe um pacote validado e com os endereos
convertidos e decide baseado em sua configurao, se este pacote deve ser
encriptado ou autenticado antes de ser enviado ao destino. Em caso positivo, o
pacote ser autenticado, encriptado, e sofrer o acrscimo de cabealhos
especficos destas operaes.
Independentemente de ter sido encriptado/autenticado ou no, o pacote ser
enviado pela rede.
O fluxo de fora para dentro
Todo o pacote proveniente da rede externa, em direo rede interna, ao atingir o
firewall passa pelos mdulos na seguinte ordem: mdulo de montagem, mdulo de
decriptao, conversor de endereos e filtro de pacotes.

Figura 246. Fluxo do pacote da rede externa em direo a rede interna.

O mdulo de montagem
O mdulo de montagem o responsvel por armazenar todos os fragmentos de
pacotes IP recebidos at que estes possam ser montados e convertidos em um
pacote completo. Este pacote ser ento entregue para os demais mdulos.
O mdulo de decriptao

Aker Security Solutions

357

O mdulo de decriptao tem a funo de remover os cabealhos adicionados pelo


mdulo de encriptao, verificar a assinatura de autenticao do pacote e decriptlo. Caso a autenticao ou a criptografia apresentem erro, o pacote ser
descartado.
A outra funo deste mdulo assegurar que todos os pacotes que cheguem de
uma rede para a qual existe um canal seguro estejam vindo criptografados. Caso
um pacote venha de uma rede para a qual existe um canal de criptografia ou
autenticao e se este pacote no estiver autenticado ou criptografado, ele ser
descartado.
Caso o pacote tenha sido validado com sucesso, este ser repassado para o
conversor de endereos.
O conversor de endereos
O conversor de endereos recebe um pacote e verifica se o endereo destino deste
pacote um dos IP's virtuais. Em caso positivo, este endereo convertido para um
endereo real.
Independente de ter sido convertido ou no, o pacote ser repassado para o filtro de
pacotes.
O filtro de pacotes
O filtro de pacotes o ltimo mdulo do fluxo de fora para dentro. Ele possui a
funo bsica de validar os pacotes recebidos de acordo com as regras definidas
pelo administrador, e a sua tabela de estados, e decidir se este deve ou no ser
autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este
ser repassado para a mquina destino, caso contrrio ele ser descartado.

12.2.

Integrao do filtro com a converso de endereos

Quando vai configurar as regras de filtragem para serem usadas com mquinas
cujos endereos sero convertidos surge a seguinte dvida: Deve-se usar os
endereos reais das mquinas ou os endereos virtuais?
Esta dvida facilmente respondida ao analisar o fluxo dos pacotes:
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depois
possuem seus endereos convertidos (se for o caso), ou seja, o filtro recebe os
endereos reais das mquinas.
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversor
de endereos que converte os endereos destino dos IPs virtuais para os endereos
Aker Security Solutions

358

reais. Aps isso os pacotes so enviados para o filtro de pacotes, ou seja,


novamente o filtro de pacotes recebe os pacotes com os endereos reais.
Em ambos os casos, o filtro no sabe da existncia dos endereos virtuais, o que
nos leva a fazer a seguinte afirmao:
Ao criar regras de filtragem deve-se ignorar a converso de endereos. As
regras devem ser configuradas como se as mquinas origem e destino estivessem
conversando diretamente entre si, sem o uso de qualquer tipo de converso de
endereos
12.3.

Integrao do filtro com a converso e a criptografia

No tpico anterior, mostramos como configurar as regras de filtragem para


mquinas cujos endereos sero convertidos. A concluso foi de que deveria
trabalhar apenas com os endereos reais, ignorando a converso de endereos.
Agora, pode-se acrescentar mais uma pergunta: ao configurar os fluxos de
criptografia para mquinas que sofrero converso de endereos, deve-se usar os
endereos reais destas mquinas ou os endereos virtuais?
Para responder esta pergunta, novamente deve-se analisar o fluxo dos pacotes:
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro, depois
possuem seus endereos convertidos (se for o caso) e por fim so repassados para
o mdulo de encriptao. Devido a isso, o mdulo de encriptao recebe os pacotes
como se eles fossem originados dos endereos virtuais.
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo mdulo de
decriptao e so decriptados (se for o caso). A seguir so enviados para o
conversor de endereos, que converte os IP's virtuais para reais, e por fim so
enviados para o filtro de pacotes. O mdulo de decriptao recebe os pacotes antes
de eles terem seu endereo convertido e, portanto, com os endereos virtuais.
Em ambos os casos, o mdulo de criptografia recebe os pacotes como se eles
tivessem origem ou destino nos IP's virtuais, o que nos leva seguinte afirmao:
Ao se criar fluxos de criptografia, deve-se prestar ateno converso de
endereos. Os endereos de origem e destino devem ser colocados como se o fluxo
se originasse ou tivesse como destino IP's virtuais.

Aker Security Solutions

359

Configurando a Segurana

Aker Security Solutions

360

13.

Configurando a Segurana
Este captulo mostrar como configurar a proteo contra ataques no mdulo de
segurana do Aker Firewall.

13.1.

Proteo contra SYN Flood

O que um ataque de SYN flood?


SYN Flood um dos mais populares ataques de negao de servio (denial of
service). Esses ataques visam impedir o funcionamento de uma mquina ou de um
servio especfico. No caso do SYN Flood, possvel inutilizar quaisquer servios
baseados no protocolo TCP.
Para entender este ataque, necessrio primeiro entender o funcionamento do
protocolo TCP, no que diz respeito ao estabelecimento de conexes:
O protocolo TCP utiliza um esquema de 3 pacotes para estabelecer uma conexo:
1. A mquina cliente envia um pacote para a mquina servidora com um flag
especial, chamado de flag de SYN. Este flag indica que a mquina cliente deseja
estabelecer uma conexo.
2. A mquina servidora responde com um pacote contendo os flags de SYN e ACK.
Isto significa que ela aceitou o pedido de conexo e est aguardando uma
confirmao da mquina cliente para marcar a conexo como estabelecida.
3. A mquina cliente, ao receber o pacote com SYN e ACK, responde com um
pacote contendo apenas o flag de ACK. Isto indica para a mquina servidora que
a conexo foi estabelecida com sucesso.
Todos os pedidos de abertura de conexes recebidas por um servidor ficam
armazenadas em uma fila especial, que tem um tamanho pr-determinado e
dependente do sistema operacional, at que o servidor receba a comunicao da
mquina cliente de que a conexo est estabelecida. Caso o servidor receba um
pacote de pedido de conexo e a fila de conexes em andamento estiver cheia, este
pacote descartado.
O ataque consiste basicamente em enviar um grande nmero de pacotes de
abertura de conexo, com um endereo de origem forjado, para um determinado
servidor. Este endereo de origem forjado para o de uma mquina inexistente
(muitas vezes usa um dos endereos reservados descritos no captulo sobre
converso de endereos). O servidor, ao receber estes pacotes, coloca uma entrada
na fila de conexes em andamento, envia um pacote de resposta e fica aguardando
uma confirmao da mquina cliente. Como o endereo de origem dos pacotes
falso, esta confirmao nunca chega ao servidor.
Aker Security Solutions

361

O que acontece que em um determinado momento, a fila de conexes em


andamento do servidor fica lotada. A partir da, todos os pedidos de abertura de
conexo so descartados e o servio inutilizado. Esta inutilizao persiste durante
alguns segundos, pois o servidor ao descobrir que a confirmao est demorando
demais, remove a conexo em andamento da lista. Entretanto, se o atacante
persistir em mandar pacotes seguidamente, o servio ficar inutilizado enquanto ele
assim o fizer.
Nem todas as mquinas so passveis de serem atingidas por ataques de SYN
Flood. Implementaes mais modernas do protocolo TCP possuem mecanismos
prprios para inutilizarem ataques deste tipo.
Como funciona a proteo contra SYN flood do Aker Firewall?

O Aker Firewall possui um mecanismo que visa impedir que um ataque de SYN
flood seja bem sucedido. Seu funcionamento baseia-se nos seguintes passos:
1. Ao chegar um pacote de abertura de conexo (pacote com flag de SYN,
mostrado no tpico acima) para uma mquina servidora a ser protegida, o
firewall registra isso em uma tabela e deixa o pacote passar (evidentemente, ele
s deixar o pacote passar se este comportamento for autorizado pelas regras
de filtragem configuradas pelo administrador. Para maiores detalhes veja o
captulo intitulado O filtro de estados);
2. Quando chegar a resposta do servidor dizendo que a conexo foi aceita (pacote
com os flags SYN e ACK), o firewall imediatamente enviar um pacote para o
servidor em questo confirmando a conexo e deixar o pacote de resposta
passar em direo mquina cliente. A partir deste momento, ser acionado um
relgio interno no firewall que marcar o intervalo de tempo mximo em que o
pacote de confirmao do cliente dever chegar;
3. Se a abertura de conexo for uma abertura normal, dentro de um intervalo de
tempo menor que o mximo permitido, a mquina cliente responder com um
pacote confirmando o estabelecimento da conexo. Este pacote far o firewall
considerar vlido o pedido de abertura de conexo e desligar o relgio interno;
4. Caso a mquina cliente no responda dentro do tempo mximo permitido, o
firewall mandar um pacote especial para a mquina servidora que far com que
a conexo seja derrubada.
Com estes procedimentos, o firewall consegue impedir que a fila de conexes em
andamento na mquina servidora fique cheia, j que todas as conexes pendentes
sero estabelecidas to logo os pacotes de reposta atinjam o firewall. O ataque de
SYN flood, portando, no ser efetivado.
Cabe enfatizar que todo o funcionamento desta proteo baseia-se no intervalo
de tempo mximo de espera pelos pacotes de confirmao dos clientes. Se o
intervalo de tempo for muito pequeno, conexes vlidas podem ser recusadas. Se o
intervalo for muito grande, a mquina servidora, no caso de um ataque, ficar com
Aker Security Solutions

362

um grande nmero de conexes abertas o que poder provocar problemas ainda


maiores.
13.2.

Utilizando a interface grfica para Proteo contra SYN Flood

Para ter acesso a janela de configurao dos parmetros de proteo contra SYN
Flood, basta:

Figura 247. Janela de acesso - SYN Flood.

Clicar no menu Segurana na janela do Firewall que deseja administrar.


Escolher o item SYN Flood.

Aker Security Solutions

363

A janela de configurao da proteo contra SYN flood

Figura 248. SYN Flood Ativao de proteo SYN Flood.

O boto OK far com que os parmetros de configurao sejam atualizados e a


janela fechada.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela fechada.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta.
Significado dos campos da janela:
Ativar proteo SYN flood: Esta opo deve estar marcada para ativar a
proteo contra SYN flood e desmarcada para desativ-la. (ao desabilitar a
proteo contra SYN flood, as configuraes antigas continuam
armazenadas, mas no podem ser alteradas).
Durao mxima do handshake do TCP: Esta opo define o tempo
mximo, em unidades de 500 ms, que o firewall espera por uma confirmao
do fechamento das conexes por parte do cliente. Se este intervalo de tempo
for atingido, ser enviado um pacote para as mquinas servidoras derrubando
a conexo.

Aker Security Solutions

364

O valor ideal deste campo pode variar para cada instalao, mas sugere-se
valores entre 3 e 10, que correspondem a intervalos de tempo entre 1,5 e 5
segundos.
A lista de mquinas e redes a proteger
Esta lista define as mquinas ou redes que sero protegidos pelo firewall.
Para incluir uma nova entidade na lista de proteo, deve-se proceder de um dos
seguintes modos:
Executar uma operao de drag-n-drop (arrastar e soltar) da janela de entidades
diretamente para a lista de hosts e redes a proteger
Abrir o menu de contexto na janela na lista de hosts e redes a proteger com o
boto direito do mouse ou com a tecla correspondente no teclado e seleciona-se
Adicionar entidades, para ento escolher aquelas que sero efetivamente
includas na lista.
Para remover uma entidade da lista de proteo, deve-se marc-la e pressionar a
tecla delete, ou escolher a opo correspondente no menu de contexto, acionado
com o boto direito do mouse ou com a tecla correspondente:
Deve-se colocar na lista de entidades a serem protegidas todas as mquinas
servidoras de algum servio TCP passvel de ser utilizado por mquinas externas.
No se deve colocar o endereo do prprio firewall nesta lista, uma vez que o
sistema operacional Linux no suscetvel a ataques de SYN flood.
13.3.

Proteo de Flood

O que um ataque de Flood?


Os ataques de Flood se caracterizam por existir um elevado nmero de conexes
abertas e estabelecidas contra servidores web, ftp, smtp e etc, a partir de outras
mquinas existentes na Internet que foram invadidas e controladas para perpetrar
ataques de negao de servio (DoS).
A proteo tambm til para evitar abuso do uso de determinados servios (sites
de download, por exemplo) e evitar estragos maiores causados por vrus, como o
NIMDA, que fazia com que cada mquina infectada abrisse centenas de conexes
simultaneamente.
Como funciona a proteo contra Flood do Aker Firewall?
O Aker Firewall possui um mecanismo que visa impedir que um ataque de Flood
seja bem sucedido. Seu funcionamento baseia na limitao de conexes que
Aker Security Solutions

365

possam ser abertas simultaneamente a partir de uma mesma mquina para uma
entidade que est sendo protegida.
O administrador do firewall deve estimar este limite dentro do funcionamento
cotidiano de cada servidor ou rede a ser protegida.
13.4.

Utilizando a interface grfica para Proteo de Flood

Figura 249. Janela de acesso - Proteo de Flood.

Clicar no menu Segurana na janela do Firewall.


Escolher o item Proteo de Flood.

Aker Security Solutions

366

A janela de configurao da proteo de Flood

Figura 250. Proteo de Flood - Configurao.

O boto OK far com que os parmetros de configurao sejam atualizados e a


janela fechada.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela fechada.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta.
Significado dos campos da janela:
Nmero: Corresponde ao nmero da regra de Proteo de Flood.
Origem: Neste campo pode ser uma rede ou mquina de onde poder ser
originado um ataque de DDoS.
Destino: Incluir neste campo mquinas ou redes que deseja proteger.
Servios: Portas de servios que desejam-se proteger. Poder ser includo
no campo mais de uma entidade.
Conexes Mximas: Campo numrico onde deve informar o nmero
mximo de conexes que a entidade pode receber a partir de uma mesma
origem.
A quantidade mxima de conexes nas regras de proteo de flood no a
quantidade agregada de conexes a partir da origem especificada, mas sim a
quantidade, por endereo IP nico que encaixa na origem informada, de conexes
simultneas. Desta forma, por exemplo, havendo a necessidade de limitar o nmero
de downloads simultneos por usurio em 2, esse nmero dever ser 2,
independentemente do nmero de usurios que faam os downloads.
Aker Security Solutions

367

13.5.

Proteo Anti Spoofing

O que um Spoofing?
O spoofing do IP envolve o fornecimento de informaes falsas sobre uma pessoa
ou sobre a identidade de um host para obter acesso no-autorizado a sistemas e/ou
aos sistemas que eles fornecem. O spoofing interfere na forma como um cliente e
um servidor estabelecem uma conexo. Apesar do spoofing poder ocorrer com
diversos protocolos especficos, o spoofing do IP o mais conhecido dentre todos
os ataques de spoofing.
A primeira etapa de um ataque de spoofing identificar duas mquinas de destino,
que chamaremos de A e B. Na maioria dos casos, uma mquina ter um
relacionamento confivel com a outra. esse relacionamento que o ataque de
spoofing tentar explorar. Uma vez que os sistemas de destino tenham sido
identificados, o violador tentar estabelecer uma conexo com a mquina B de
forma que B acredite que tem uma conexo com A, quando na realidade a conexo
com a mquina do violador, que chamaremos de X. Isso feito atravs da criao
de uma mensagem falsa (uma mensagem criada na mquina X, mas que contm o
endereo de origem de A) solicitando uma conexo com B. Mediante o recebimento
dessa mensagem, B responder com uma mensagem semelhante que reconhece a
solicitao e estabelece nmeros de seqncia.
Em circunstncias normais, essa mensagem de B seria combinada a uma terceira
mensagem reconhecendo o nmero de seqncia de B. Com isso, o "handshake"
seria concludo, e a conexo poderia prosseguir. No entanto, como acredita que
est se comunicando com A, B envia sua resposta a A, e no para X. Com isso, X
ter de responder a B sem conhecer os nmeros de seqncia gerados por B.
Portanto, X dever adivinhar com preciso nmeros de seqncia que B utilizar.
Em determinadas situaes, isso mais fcil do que possa imaginar.
No entanto, alm de adivinhar o nmero de seqncia, o violador dever impedir
que a mensagem de B chegue at A. Se a mensagem tivesse de chegar a A, A
negaria ter solicitado uma conexo, e o ataque de spoofing falharia. Para alcanar
esse objetivo, normalmente o intruso enviaria diversos pacotes mquina A para
esgotar sua capacidade e impedir que ela respondesse mensagem de B. Essa
tcnica conhecida como "violao de portas". Uma vez que essa operao tenha
chegado ao fim, o violador poder concluir a falsa conexo.
O spoofing do IP, como foi descrito, uma estratgia desajeitada e entediante. No
entanto, uma anlise recente revelou a existncia de ferramentas capazes de
executar um ataque de spoofing em menos de 20 segundos. O spoofing de IP
uma ameaa perigosa, cada vez maior, mas, por sorte, relativamente fcil criar
mecanismos de proteo contra ela. A melhor defesa contra o spoofing configurar
roteadores de modo a rejeitar qualquer pacote recebido cuja origem alegada seja
um host da rede interna. Essa simples precauo impedir que qualquer mquina
externa tire vantagem de relacionamentos confiveis dentro da rede interna.
Aker Security Solutions

368

Como funciona a proteo contra Spoofing do Aker Firewall?


O Aker Firewall possui um mecanismo que visa impedir que um ataque de Spoofing
seja bem sucedido. Seu funcionamento baseia-se no cadastramento das redes que
esto sendo protegidas pelo firewall ou seja, atrs de cada interface de rede do
firewall.
Nas redes internas, s sero aceitos pacotes das entidades cadastradas e, das
externas, somente pacotes cujo IP origem no se encaixe em nenhuma entidade
cadastrada nas redes internas (todas).
O administrador do firewall deve ento fazer o levantamento destas redes, criar as
entidades correspondentes e utilizar a interface grfica para montar a proteo.

13.6.

Utilizando a interface grfica para Anti Spoofing

Figura 251. Janela de acesso - Anti Spoofing.

Aker Security Solutions

369

Clicar no menu Segurana na janela do Firewall.


Escolher o item Anti Spoofing.

A janela de configurao de Anti Spoofing

Figura 252. Anti Spoofing Ativao do controle.

O boto OK far com que os parmetros de configurao sejam atualizados e a


janela fechada.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela fechada.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta.
Significado dos campos da janela:
Ativao do controle anti-spoofing: A marcao da caixa ativa a proteo
Anti Spoofing.
Interface: Corresponde a interface cadastrada no firewall pelo administrador.
Status: Neste campo mostrado o estado da interface, ou seja, se est ativa
ou no. Este campo no pode ser editado.
Tipo: Por padro este campo marcado como Externa. Ao clicar com o
boto direito do mouse poder ser trocado o tipo para Protegida, passando o
campo Entidades para a condio de editvel.
Aker Security Solutions

370

Protegida significa que a interface est conectada a uma rede interna e somente
sero aceitos pacotes com endereos IP originados em alguma das entidades
especificadas na regra. Externa significa que uma interface conectada a Internet
da qual sero aceitos pacotes provenientes de quaisquer endereos origem, exceto
os pertencentes a entidades listadas nas regras de interfaces marcadas como
Protegidas.
Entidades: Ao definir uma interface Protegida, deve-se incluir neste campo a lista
de todas as redes e/ou mquinas que encontram-se conectadas a esta interface.

13.7.

Utilizando a interface texto - Syn Flood

A interface texto de configurao da proteo contra SYN flood bastante simples


de ser usada e tem as mesmas capacidades da interface grfica.
Localizao do programa:/aker/bin/firewall/fwflood
Sintaxe:
Firewall Aker - Verso 6.5
fwflood - Configura parametros de protecao contra SYN Flood
Uso: fwflood [ativa | desativa | mostra | ajuda]
fwflood [inclui | remove] <nome>
fwflood tempo <valor>
Ajuda do programa:
Firewall Aker - Verso 6.5
fwflood - Configura parametros de protecao contra SYN Flood
Uso: fwflood [ativa | desativa | mostra | ajuda]
fwflood [inclui | remove] <nome>
fwflood tempo <valor>
ativa
= ativa protecao contra SYN Flood
desativa = desativa protecao contra SYN Flood
mostra
= mostra a configuracao atual
inclui
= inclui uma entidade a ser protegida
remove
= remove uma das entidades a serem protegidas
tempo
= configura o tempo maximo de espera para fechar conexao
ajuda
= mostra esta mensagemPara inclui / remove temos:
nome
= nome da entidade a ser protegida ou removida da protecaoPara
tempo temos:
valor
= tempo maximo de espera em unidades de 500ms
Aker Security Solutions

371

Exemplo 1: (visualizando a configurao)


#/aker/bin/firewall/fwflood mostraParametros de configuracao:
------------------------------------Protecao contra SYN Flood: ativada
Tempo limite de espera : 6 (x 500 ms)
Lista de entidades a serem protegidas:
------------------------------------NT1
(Maquina)
NT3
(Maquina)

13.8.

Utilizando a interface texto - Proteo de Flood

Localizao do programa:/aker/bin/firewall/fwmaxconn
Sintaxe:
Firewall Aker - Versao 6.5
Uso: fwmaxconn ajuda
fwmaxconn mostra
fwmaxconn inclui <pos> <origem> <destino> <servico> <n_conns>
fwmaxconn remove <pos>
fwmaxconn < habilita | desabilita > <pos>
os parametros sao:
pos: posicao da regra na tabela
origem: maquina/rede de onde se origina as conexoes
destino: maquina/rede a que se destinam as conexoes
servico: servico de rede para o qual existe a conexao
n_conns: numero maximo de conexoes simultaneas de mesma origem
Exemplo 1: (visualizando a configurao)
#/aker/bin/firewall/fwmaxconn mostraRegra 01
-------Origem: Rede_Internet
Destino: NT1
Servicos: HTTP
Conexoes: 5000
Regra 02
-------Origem: Rede_Internet
Destino: NT3
Servicos: FTP
Conexoes : 10000
Aker Security Solutions

372

Regra 03
-------Origem: Rede_Internet
Destino: Rede_Interna
Servicos: Gopher
Conexoes: 100

13.9.

Utilizando a interface texto - Anti Spoofing

Localizao do programa:/aker/bin/firewall/fwifnet
Firewall Aker - Verso 6.5
Uso: fwifnet [ajuda | mostra]
fwifnet inclui interface <nome_if> [externa]
fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ...
fwifnet remove [-f] interface <nome_if>
fwifnet remove rede <nome_if> <endereco_IP> <mascara>
fwifnet <habilita | desabilita>
Ajuda do programa:
Uso: fwifnet [ajuda | mostra]
fwifnet inclui interface <nome_if> [externa]
fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ...
fwifnet remove [-f] interface <nome_if>
fwifnet remove rede <nome_if> <endereco_IP> <mascara>
para inclui/remove temos:
interface: o nome da interface de rede a ser controlada
externa: se esta palavra estiver presente, a interface ser considerada externa
pelo firewall
rede: uma rede permitida em uma interface nao externa
Exemplo 1: (visualizando a configurao)
#/aker/bin/firewall/fwifnet mostra
Firewall Aker - Versao 6.5
Status do modulo anti-spoofing: habilitado
Interface cadastrada: Interf_DMZ
Rede permitida: Rede_DMZInterface
cadastrada: Interf_externa (externa)
Interface cadastrada: Interf_interna
Rede permitida: Rede_Interna

Aker Security Solutions

373

13.10.

Bloqueio por excesso de tentativas de login invlidas

Figura 253. Bloqueio de excesso de tentativas de login invlidas - Eventos.

O firewall, por padro, vem com bloqueio de excesso de tentativas de login invlidas
via control center. Caso um IP realize trs tentativas de conexes com usrios e/ou
senhas invlidos, o firewall no permite mais conexes por um perodo de tempo.
So criados eventos de log que podem ser vistos na janela de log, eles contm
informaes sobre o horrio do bloqueio e o IP que realizou a tentativa.

Aker Security Solutions

374

Configurando as Aes do
Sistema

Aker Security Solutions

375

14.

Configurando Aes de Sistema


Este captulo mostrar como configurar as respostas automticas do sistema para
situaes pr-determinadas.

O que so as aes do sistema?


O Aker Firewall possui um mecanismo que possibilita a criao de respostas
automticas para determinadas situaes. Estas respostas automticas so
configuradas pelo administrador em uma srie de possveis aes independentes
que sero executadas quando uma situao pr-determinada ocorrer.
Para que servem as aes do sistema?
O objetivo das aes possibilitar um alto grau de interao do Firewall com o
administrador. Com o uso delas, possvel, por exemplo, que seja executado um
programa capaz de cham-lo atravs de um pager quando a mquina detectar que
um ataque est em andamento. Desta forma, o administrador poder tomar uma
ao imediata, mesmo que ele no esteja no momento monitorando o
funcionamento do Firewall.

14.1.

Utilizando a interface grfica

Para ter acesso a janela de configurao das aes deve-se:

Aker Security Solutions

376

Figura 254. Janela de acesso - Aes.

Expandir o item Configuraes do Sistema;


Selecionar o item Aes.
A janela de configurao das aes
Ao selecionar esta opo ser mostrada a janela de configurao das aes a
serem executadas pelo sistema. Para cada mensagem de log e de eventos e para
os pacotes que no se enquadrarem em nenhuma regra possvel determinar
aes independentes. A janela mostrada ter a seguinte forma:

Aker Security Solutions

377

Figura 255. Aes Mensagens de logs.

Para selecionar as aes a serem executadas para as mensagens mostradas na


janela, deve-se clicar com o boto direito do mouse sobre as mensagens. A cada
opo selecionada aparecer um cone correspondente.

Figura 256. Aes a serem executadas para mensagens exibidas.

Se a opo estiver marcada com o cone aparente, a ao correspondente ser


executada pelo Firewall quando a mensagem ocorrer. So permitidas as seguintes
aes:
Logar: Ao selecionar essa opo, todas as vezes que a mensagem
correspondente ocorrer, ela ser registrada pelo firewall;
Enviar email: Ao selecionar essa opo, ser enviado um e-mail todas as vezes
que a mensagem correspondente ocorrer (a configurao do endereo de e-mail
ser mostrada no prximo tpico);
Executar programa: Ao marcar essa opo, ser executado um programa
definido pelo administrador todas as vezes que a mensagem correspondente
Aker Security Solutions

378

ocorrer (a configurao do nome do programa a ser executado ser mostrada no


prximo tpico);
Disparar mensagens de alarme: Ao selecionar essa opo, o firewall mostrar
uma janela de alerta todas as vezes que a mensagem correspondente ocorrer.
Esta janela de alerta ser mostrada na mquina onde a interface grfica remota
estiver aberta e, se a mquina permitir, ser emitido tambm um aviso sonoro.
Caso a interface grfica no esteja aberta, no ser mostrada nenhuma
mensagem e esta opo ser ignorada (esta ao particularmente til para
chamar a ateno do administrador quando ocorrer uma mensagem importante);
Enviar trap SNMP: Ao selecionar essa opo, ser enviada uma Trap SNMP
para o gerente SNMP todas as vezes que a mensagem correspondente ocorrer
(a configurao dos parmetros de configurao para o envio das traps ser
mostrada no prximo tpico).
No possvel alterar as aes para a mensagem de inicializao do firewall
(mensagem nmero 43). Esta mensagem sempre ter como aes configuradas
apenas a opo Loga.
Significado dos botes da janela de aes
O boto OK far com que a janela de aes seja fechada e as alteraes
efetuadas aplicadas;
O boto Cancelar far com que a janela seja fechada porm as alteraes
efetuadas no sero aplicadas;
O boto Aplicar far com que as alteraes sejam aplicadas sem que a janela
feche.
A janela de configurao dos parmetros
Para que o sistema consiga executar as aes deve-se configurar certos
parmetros (por exemplo, para o Firewall enviar um e-mail, o endereo tem que ser
configurado). Estes parmetros so configurados atravs da janela de configurao
de parmetros para as aes.
Esta janela mostrada ao selecionar Parmetros na janela de Aes. Ela tem o
seguinte formato:

Aker Security Solutions

379

Figura 257. Aes: Parametros.

Significado dos parmetros:


Parmetros para executar um programa
Arquivo de Programa: Este parmetro configura o nome do programa que ser
executado pelo sistema quando ocorrer uma ao marcada com a opo
Programa. Deve ser colocado o nome completo do programa, incluindo o
caminho. Deve-se atentar para o fato de que o programa e todos os diretrios do
caminho devem ter permisso de execuo pelo usurio que ir execut-lo (que
configurado na prxima opo).
O programa receber os seguintes parmetros pela linha de comando (na ordem
em que sero passados):
1. Nome do prprio programa sendo executado (isto um padro do sistema
operacional Unix);
2. Tipo de mensagem (1 - para log ou 2- para evento);
3. Prioridade (7 - depurao, 6 - informao, 5 - notcia, 4 - advertncia ou 3
- erro);
4. Nmero da mensagem que provocou a execuo do programa ou 0 para
indicar a causa no foi uma mensagem. (neste caso, a execuo do
programa foi motivada por uma regra);
5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta
cadeia de caracteres pode conter o caractere de avano de linha no meio
dela).
Aker Security Solutions

380

No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de


um programa. Isto pode causar confuso para quem estiver acostumado com o
ambiente DOS/Windows, que usa a barra invertida "\".
Nome efetivo do usurio: Este parmetro indica a identidade com a qual o
programa externo ser executado. O programa ter os mesmos privilgios deste
usurio.
Este usurio deve ser um usurio vlido, cadastrado no Linux. No se deve
confundir com os usurios do Aker Firewall, que servem apenas para a
administrao do Firewall.
Parmetros para enviar traps SNMP
Endereo IP do servidor SNMP: Este parmetro configura o endereo IP da
mquina gerente SNMP para a qual o firewall deve enviar as traps.
Comunidade SNMP: Este parmetro configura o nome da comunidade SNMP
que deve ser enviada nas traps.
As traps SNMP enviadas tero o tipo genrico 6 (enterprise specific) e o tipo
especfico 1 para log ou 2 para eventos. Elas sero enviadas com o nmero de
empresa (enterprise number) 2549, que o nmero designado pela IANA para a
Aker Consultoria e Informtica.
Parmetros para enviar e-mail
Endereo de e-mail: Este parmetro configura o endereo de e-mail do usurio
para o qual devem ser enviados os e-mails. Este usurio pode ser um usurio da
prpria mquina ou no (neste caso deve-se colocar o endereo completo, por
exemplo user@aker.com.br).
Caso queira enviar e-mails para vrios usurios, pode-se criar uma lista e
colocar o nome da lista neste campo.
importante notar que caso algum destes parmetros esteja em branco, a ao
correspondente no ser executada, mesmo que ela esteja marcada para tal.

Aker Security Solutions

381

14.2.

Utilizando a interface texto

A interface texto para a configurao das aes possui as mesmas capacidades da


interface grfica, porm, de fcil uso.
Localizao do programa: /aker/bin/firewall/fwaction
Sintaxe:
fwaction ajuda
fwaction mostra
fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta]
fwaction <programa | usuario | comunidade> [nome]
fwaction ip [endereco IP]
fwaction e-mail [endereco]
Ajuda do programa:
fwaction - Interface texto para a configuracao das acoes do sistema
Uso: fwaction ajuda
fwaction mostra
fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta]
fwaction <programa | usuario | comunidade> [nome]
fwaction ip [endereco IP]
fwaction e-mail [endereco]
ajuda = mostra esta mensagem
mostra = lista as mensagens e as acoes configuradas para cada uma
atribui = configura as acoes para uma determinada mensagem
programa = define o nome do programa a ser executado
usuario = define o nome do usuario que executara o programa
comunidade = define o nome da comunidade SNMP para o envio das traps
ip = define o endereco IP do servidor SNMP que recebera as traps
e-mail = define o nome do usuario que recebera os e-mails
Para atribui temos:
numero = numero da mensagem a atribuir as acoes
(o numero de cada mensagem aparece na esquerda ao se
selecionar a opcao mostra)
loga = Loga cada mensagem que for gerada
mail = Manda um e-mail para cada mensagem que for gerada
trap = Gera trap SNMP para cada mensagem que for gerada
Aker Security Solutions

382

programa = Executa programa para cada mensagem que for gerada


alerta = Abre janela de alerta para cada mensagem que for gerada
Exemplo 1: (configurando os parmetros para envio de e-mail e execuo de
programa)
#fwaction e-mail root
#fwaction programa /aker/bin/pager
#fwaction usuario nobody
Exemplo 2: (mostrando a configurao completa das aes do sistema)
#fwaction mostra
Condicoes Gerais:
00 - Pacote fora das regras
>>>> Loga
Mensagens do log:
01 - Possivel ataque de fragmentacao
>>>> Loga
02 - Pacote IP direcionado
>>>> Loga
03 - Ataque de land
>>>> Loga
04 - Conexao nao consta na tabela dinamica
>>>> Loga
05 - Pacote proveniente de interface invalida
>>>> Loga
06 - Pacote proveniente de interface nao determinada
>>>> Loga
07 - Conexao de controle nao esta aberta
>>>> Loga
(...)
237 - O Secure Roaming encontrou um erro
>>>> Loga
238 - O Secure Roaming encontrou um erro fatal
>>>> Loga
239 - Usuarios responsaveis do Configuration Manager
>>>> Loga
Aker Security Solutions

383

Parametros de configuracao:
programa: /aker/bin/pager
usuario: nobody
e-mail: root
comunidade:
ip:
Devido ao grande nmero de mensagens, s esto sendo mostradas as
primeiras e as ltimas. O programa real mostrar todas ao ser executado.
Exemplo 3: (atribuindo as aes para os Pacotes fora das regras e mostrando as
mensagens)
#fwaction atribui 0 loga mail alerta
#fwaction mostra
Condicoes Gerais:
00 - Pacote fora das regras
>>>> Loga Mail Alerta
Mensagens do log:
01 - Possivel ataque de fragmentacao
>>>> Loga
02 - Pacote IP direcionado
>>>> Loga
03 - Ataque de land
>>>> Loga
04 - Conexao nao consta na tabela dinamica
>>>> Loga
05 - Pacote proveniente de interface invalida
>>>> Loga
06 - Pacote proveniente de interface nao determinada
>>>> Loga
07 - Conexao de controle nao esta aberta
>>>> Loga
(...)
237 - O Secure Roaming encontrou um erro
>>>> Loga
238 - O Secure Roaming encontrou um erro fatal
Aker Security Solutions

384

>>>> Loga
239 - Usuarios responsaveis do Configuration Manager
>>>> Loga

Parametros de configuracao:
programa : /aker/bin/pager
usuario : nobody
e-mail : root
comunidade:
ip :
Devido ao grande nmero de mensagens, s esto sendo mostradas as
primeiras e as ltimas. O programa real mostrar todas as mensagens, ao ser
executado.
Exemplo 4: (cancelando todas as aes para a mensagem de Pacote IP
direcionado e mostrando as mensagens)
#fwaction atribui 2
#fwaction mostra
Condicoes Gerais:
00 - Pacote fora das regras
>>>> Loga Mail Alerta
Mensagens do log:
01 - Possivel ataque de fragmentacao
>>>> Loga Mail
02 - Pacote IP direcionado
>>>>
03 - Ataque de land
>>>> Loga
04 - Conexao nao consta na tabela dinamica
>>>> Loga
05 - Pacote proveniente de interface invalida
>>>> Loga
06 - Pacote proveniente de interface nao determinada
>>>> Loga
07 - Conexao de controle nao esta aberta
>>>> Loga
Aker Security Solutions

385

(...)
237 - O Secure Roaming encontrou um erro
>>>> Loga
238 - O Secure Roaming encontrou um erro fatal
>>>> Loga
239 - Usuarios responsaveis do Configuration Manager
>>>> Loga

Parametros de configuracao:
programa: /aker/bin/pager
usuario: nobody
e-mail: root
comunidade:
ip:
Devido ao grande nmero de mensagens, s esto sendo mostradas as
primeiras e as ltimas. O programa real mostrar todas ao ser executado.

Aker Security Solutions

386

Visualizando o Log do Sistema

Aker Security Solutions

387

15.

Visualizando o log do Sistema


Este captulo mostrar como visualizar o log do sistema, um recurso imprescindvel
na deteco de ataques, no acompanhamento e monitoramento do firewall e na fase
de configurao do sistema.

O que o log do sistema?


O log o local onde o firewall guarda todas as informaes relativas aos pacotes
recebidos. Nele podem aparecer registros gerados por qualquer um dos trs
grandes
mdulos:
filtro
de
pacotes,
conversor
de
endereos
e
criptografia/autenticao. O tipo de informao guardada no log depende da
configurao realizada no firewall, mas basicamente ele inclui informaes sobre os
pacotes que foram aceitos, descartados e rejeitados, os erros apresentados por
certos pacotes e as informaes sobre a converso de endereos.
De todos estes dados, as informaes sobre os pacotes descartados e rejeitados
so possivelmente as de maior importncia, j que so atravs delas que se pode
determinar possveis tentativas de invaso, tentativa de uso de servios no
autorizados, erros de configurao, etc.
O que um filtro de log?
Mesmo que o sistema tenha sido configurado para registrar todo o tipo de
informao, muitas vezes est interessado em alguma informao especfica (por
exemplo, suponha que queira ver as tentativas de uso do servio POP3 de uma
determinada mquina que foram rejeitadas em um determinado dia, ou ainda, quais
foram aceitas). O filtro de log um mecanismo oferecido pelo Aker Firewall para se
criar vises do conjunto total de registros, possibilitando que se obtenham as
informaes desejadas facilmente.
O filtro s permite a visualizao de informaes que tiverem sido registradas no
log. Caso queira obter uma determinada informao, necessrio inicialmente
configurar o sistema para registr-la e ento utilizar um filtro para visualiz-la.

Aker Security Solutions

388

15.1.

Utilizando a interface grfica

Para ter acesso a janela de visualizao do log basta:

Figura 258. Janela de acesso - Log.

Clicar no menu Auditoria do firewall que se deseja ver o log;


Selecionar a opo Log.
A barra de ferramentas do Log
Todas as vezes que a opo Log for selecionada mostrada automaticamente a
barra de ferramentas de Log. Esta barra, que estar ao lado das outras barras,
poder ser arrastada e ficar flutuando acima das informaes do Log. Ela tem o
seguinte formato:

Figura 259. Barra de ferramentas de log.

Aker Security Solutions

389

Significado dos cones:


Abre a janela de filtragem do firewall;
Este cone somente ir aparecer quando o firewall estiver fazendo uma
procura no Log. Ele permite interromper a busca do firewall;
Exporta o log para diversos formatos de arquivos;
Apaga o Log do firewall;
Realiza uma resoluo reversa dos IP que esto sendo mostrados pelo
Log;
Permite fazer uma atualizao da tela de logs dentro de um
determinado perodo definido no campo seguinte;
Define o tempo que o firewall ir atualizar a janela com informaes de
log;
Percorre o Log para frente e para trs;
Expande as mensagens de Log, mostrando as mesmas com o mximo
de informao;
Ao clicar no cone de filtro a janela abaixo ir aparecer:

Aker Security Solutions

390

A Janela de Filtragem de Log

Figura 260. Filtro de log.

Na parte superior da janela, encontram-se os botes Salvar, Remover e Novo.


Permite gravar um perfil de pesquisa que poder ser usado posteriormente pelo
administrador.
Para salvar um filtro de log, deve-se proceder da seguinte forma:
1. Preencher todos os seus campos da forma desejada.
2. Definir, no campo Filtros, o nome pelo qual ele ser referenciado.
3. Clicar no boto Salvar.
Para aplicar um filtro salvo, basta selecionar seu nome no campo Filtros e todos os
campos sero automaticamente preenchidos com os dados salvos.
Aker Security Solutions

391

Para excluir um filtro, deve-se proceder da seguinte forma:


1. Selecionar o filtro a ser removido, no campo Filtros.
2. Clicar no boto Remover.
O filtro padro configurado para mostrar todos os registros do dia atual. Para
alterar a visualizao para outros dias, na janela Data/Hora, pode-se configurar os
campos De e At para os dias desejados (a faixa de visualizao compreende os
registros da data inicial data final, inclusive).
Caso queira ver os registros cujos endereos origem e/ou destino do pacote
pertenam a um determinado conjunto de mquinas, pode-se utilizar os campos IP /
Mscara ou Entidade para especific-lo.
O boto
permite a escolha do modo de filtragem a ser realizado: caso o boto
esteja selecionado, sero mostrados na janela os campos, chamados de IP,
Mscara (para origem do pacote) e IP, Mscara (para Destino do pacote). Estes
campos podero ser utilizados para especificar o conjunto origem e/ou o conjunto
destino. Neste caso, pode-se selecionar uma entidade em cada um destes campos
e estas sero utilizadas para especificar os conjuntos origem e destino. O boto
pode ser usado independente um do outro, ou seja pode-se optar que seja
selecionado pela entidade na origem e por IP e Mscara para o destino.

Aker Security Solutions

392

Figura 261. Filtro de log.

Para monitorar um servio especfico deve-se colocar seu nmero no campo Porta.
A partir deste momento s sero mostradas entradas cujo servio especificado for
utilizado. importante tambm que seja selecionado o protocolo correspondente ao
servio desejado no campo protocolo, mostrado abaixo.
No caso dos protocolos TCP e UDP, para especificar um servio, deve-se
colocar o nmero da porta destino, associada ao servio, neste campo. No caso do
ICMP deve-se colocar o tipo de servio. Para outros protocolos, coloca-se o nmero
do protocolo desejado.
Alm destes campos, existem outras opes que podem ser combinadas para
restringir ainda mais o tipo de informao mostrada:
Ao:
Representa qual ao o sistema tomou ao lidar com o pacote em questo. Existem
as seguintes opes possveis, que podem ser selecionadas independentemente:
Aceito: Mostra os pacotes que foram aceitos pelo firewall.
Aker Security Solutions

393

Rejeitado: Mostra os pacotes que foram rejeitados pelo firewall.


Descartado: Mostra os pacotes que foram descartados pelo firewall.
Convertido: Mostra as mensagens relacionadas converso de endereos.

Prioridade:
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for a
prioridade associada a um determinado registro, mais importncia deve-se dar a ele.
Abaixo est a lista com todas as prioridades possveis, ordenada da mais importante
para a menos (caso tenha configurado o firewall para mandar uma cpia do log para
o syslogd, as prioridades com as quais as mensagens sero geradas no syslog so
as mesmas apresentadas abaixo):
Aviso
Os registros que se enquadram nesta prioridade normalmente indicam que
algum tipo de ataque ou situao bastante sria (como por exemplo, um erro na
configurao dos fluxos de criptografia) est ocorrendo. Este tipo de registro
sempre vem precedido de uma mensagem que fornece maiores explicaes
sobre ele.
Nota
Normalmente se enquadram nesta prioridade os pacotes que foram rejeitados ou
descartados pelo sistema, em virtude destes terem se encaixado em uma regra
configurada para rejeit-los ou descart-los ou por no terem se encaixado em
nenhuma regra. Em algumas situaes eles podem ser precedidos por
mensagens explicativas.
Informao
Os registros desta prioridade acrescentam informaes teis mas no to
importantes para a administrao do Firewall. Estes registros nunca so
precedidos por mensagens explicativas. Normalmente se enquadram nesta
prioridade os pacotes aceitos pelo firewall.
Depurao
Os registros desta prioridade no trazem nenhuma informao realmente til,
exceto quando se est configurando o sistema. Se enquadram nesta prioridade
as mensagens de converso de endereos.
Mdulo:

Aker Security Solutions

394

Esta opo permite visualizar independentemente os registros gerados por cada


um dos trs grandes mdulos do sistema: filtro de pacotes, conversor de
endereos, mdulo de criptografia, IPSEC e Clustering.

Protocolo:
Este campo permite especificar o protocolo dos registros a serem mostrados. As
seguintes opes so permitidas:
TCP
Sero mostrados os registros gerados a partir de pacotes TCP. Se esta
opo for marcada, a opo TCP/SYN ser automaticamente desmarcada.
TCP/SYN
Sero mostrados os registros gerados a partir de pacotes TCP de abertura de
conexo (pacotes com o flag de SYN ativo). Se esta opo for marcada, a
opo TCP ser automaticamente desmarcada.
UDP
Sero mostrados os registros gerados a partir de pacotes UDP.
ICMP
Sero mostrados os registros gerados a partir de pacotes ICMP.
Outro
Sero mostrados registros gerados a partir de pacotes com protocolo diferente de
TCP, UDP e ICMP. Pode-se restringir mais o protocolo a ser mostrado,
especificando seu nmero atravs do campo Porta destino ou Tipo de Servio.
O boto OK aplicar o filtro escolhido e mostrar a janela de log, com as
informaes selecionadas.
O boto Cancelar far com que a operao de filtragem seja cancelada e a
janela de log mostrada com as informaes anteriores.
A janela de log

Aker Security Solutions

395

Figura 262. Lista com vrias entradas de log.

A janela de log ser mostrada aps a aplicao de um filtro novo. Ela consiste de
uma lista com vrias entradas. Todas as entradas possuem o mesmo formato,
entretanto, dependendo do protocolo do pacote que as gerou, alguns campos
podem estar ausentes. Alm disso, algumas entradas sero precedidas por uma
mensagem especial, em formato de texto, que trar informaes adicionais sobre o
registro (o significado de cada tipo de registro ser mostrado no prximo tpico).

Observaes importantes:
Os registros sero mostrados de 100 em 100.
S sero mostrados os primeiros 10.000 registros que se enquadrem no filtro
escolhido. Os demais podem ser vistos exportando o log para um arquivo ou
utilizando um filtro que produza um nmero menor de registros.
No lado esquerdo de cada mensagem, ser mostrado um cone colorido
simbolizando sua prioridade. As cores tm o seguinte significado:
Azul

Depurao

Verde

Informao

Amarelo

Nota

Aker Security Solutions

396

Vermelho

Aviso

Ao clicar com o boto esquerdo sobre uma mensagem, aparecer na parte


inferior da tela uma linha com informaes adicionais sobre o registro.
Ao se apagar todo o log, no existe nenhuma maneira de recuperar as
informaes anteriores. A nica possibilidade de recuperao a restaurao de
uma cpia de segurana.
Se a opo Expande mensagens estiver marcada e se tiver escolhido a opo
de exportao em formato texto, o log ser exportado com as mensagens
complementares; caso contrrio, o log ser exportado sem elas.
Esta opo bastante til para enviar uma cpia do log para alguma outra pessoa,
para guardar uma cpia em formato texto de informaes importantes ou para
importar o log por um analisador de log citados acima. Ao ser clicado, ser mostrada
a seguinte janela:

Figura 263. Exportador de log.

Figura 264. Barra de exportao de log porcentagem realizada.

Aker Security Solutions

397

Para exportar o contedo do log, basta fornecer o nome do arquivo a ser criado,
escolher seu formato e clicar no boto Salvar. Para cancelar a operao, clique em
Cancelar.
Se j existir um arquivo com o nome informado ele ser apagado.
O boto Prximos, representado como uma seta para a direita na barra de
ferramentas, mostrar os prximos 100 registros selecionados pelo filtro. Se no
existirem mais registros, esta opo estar desabilitada.
O boto ltimos, representado como uma seta para a esquerda na barra de
ferramentas, mostrar os 100 registros anteriores. Se no existirem registros
anteriores, esta opo estar desabilitada.
O boto Ajuda mostrar a janela de ajuda especfica para a janela de log.
15.2.

Formato e significado dos campos dos registros do log

Abaixo segue a descrio do formato de cada registro, seguido de uma descrio de


cada um dos campos. O formato dos registros o mesmo para a interface grfica e
para a interface texto.
Registros gerados pelo filtro de pacotes ou pelo mdulo de criptografia
Qualquer um destes registros pode vir precedido de uma mensagem especial. A
listagem completa de todas as possveis mensagens especiais e seus significados
se encontra no apndice A.
Protocolo TCP
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> TCP <Status> <IP origem> <Porta
origem> <IP destino> <Porta destino> <Flags> <Interface>

Aker Security Solutions

398

Descrio dos campos:


Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este
campo mostrado entre parnteses na interface texto.
Status: Este campo, que aparece entre parnteses na interface texto, consiste de
uma a trs letras, independentes, que possuem o significado abaixo:
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ao: Este campo indica qual foi a ao tomada pelo firewall com relao ao
pacote. Ele pode assumir os seguintes valores:
A: Indica que o pacote foi aceito pelo firewall
D: Indica que o pacote foi descardado
R: Indica que o pacote foi rejeitado
IP origem: Endereo IP de origem do pacote que gerou o registro.
Porta origem: Porta de origem do pacote que gerou o registro.
IP destino: Endereo IP destino do pacote que gerou o registro.
Porta destino: Porta destino do pacote que gerou o registro.
Flags: Flags do protocolo TCP presentes no pacote que gerou o registro. Este
campo consiste de uma a seis letras independentes. A presena de uma letra,
indica que o flag correspondente a ela estava presente no pacote. O significado das
letras o seguinte:
S: SYN
F: FIN
A: ACK
P: PUSH
R: RST (Reset)
U: URG (Urgent Pointer)
Interface: Interface de rede do firewall por onde o pacote foi recebido.
Protocolo UDP
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> UDP <Status> <IP origem> <Porta origem>
<IP destino> <Porta destino> <Interface>
Descrio dos campos:
Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Aker Security Solutions

399

Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este


campo mostrado entre parnteses na interface texto.
Status: Este campo, que aparece entre parnteses na interface texto, consiste de
uma a trs letras, independentes, que possuem o significado abaixo:
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ao: Este campo indica qual foi a ao tomada pelo firewall com relao ao
pacote. Ele pode assumir os seguintes valores:
A: Indica que o pacote foi aceito pelo firewall
D: Indica que o pacote foi descartado
R: Indica que o pacote foi rejeitado
IP origem: Endereo IP de origem do pacote que gerou o registro.
Porta origem: Porta de origem do pacote que gerou o registro.
IP destino: Endereo IP destino do pacote que gerou o registro.
Porta destino: Porta destino do pacote que gerou o registro.
Interface: Interface de rede do firewall por onde o pacote foi recebido.
Protocolo ICMP
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> ICMP <Status> <IP origem> <IP destino>
<Tipo de servio> <Interface>
Descrio dos campos:
Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este
campo mostrado entre parnteses na interface texto.
Status: Este campo, que aparece entre parnteses na interface texto, consiste de
uma a trs letras, independentes, que possuem o significado abaixo:
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ao: Este campo indica qual foi a ao tomada pelo firewall com relao ao
pacote. Ele pode assumir os seguintes valores:
A: Indica que o pacote foi aceito pelo firewall
D: Indica que o pacote foi descartado
R: Indica que o pacote foi rejeitado
Aker Security Solutions

400

IP origem: Endereo IP de origem do pacote que gerou o registro.


IP destino: Endereo IP destino do pacote que gerou o registro.
Tipo de servio: Tipo de servio ICMP do pacote que gerou o registro.
Interface: Interface de rede do firewall por onde o pacote foi recebido.
Outros procotolos
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> <Protocolo> <Status> <IP origem> <IP
destino> <Interface>
Descrio dos campos:
Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este
campo mostrado entre parnteses na interface texto.
Status: Este campo, que aparece entre parnteses na interface texto, consiste de
uma a trs letras, independentes, que possuem o significado abaixo:
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ao: Este campo indica qual foi a ao tomada pelo firewall com relao ao
pacote. Ele pode assumir os seguintes valores:
A: Indica que o pacote foi aceito pelo firewall
D: Indica que o pacote foi descardado
R: Indica que o pacote foi rejeitado
Protocolo: Nome do protocolo do pacote que gerou o registro (caso o firewall no
consiga resolver o nome do protocolo, ser mostrado o seu nmero).
IP origem: Endereo IP de origem do pacote que gerou o registro.
IP destino: Endereo IP destino do pacote que gerou o registro.
Interface: Interface de rede do firewall por onde o pacote foi recebido.
Registros gerados pelo conversor de endereos
Formato do registro:
<Data> <Hora> - <Repetio> C <Protocolo> <IP origem> <Porta origem> <IP
convertido> <Porta convertida>
Descrio dos campos dos registros
Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Aker Security Solutions

401

Repetio: Nmero de vezes que o registro se repetiu seguidamente. Este campo


mostrado entre parnteses na interface texto.
Protocolo: o protocolo do pacote que gerou o registro. Pode ser TCP ou UDP.
IP origem: Endereo IP de origem do pacote que gerou o registro.
Porta origem: Porta de origem do pacote que gerou o registro.
IP convertido: Endereo IP para o qual o endereo de origem do pacote foi
convertido.
Porta convertida: Porta para qual a porta de origem do pacote foi convertida.

15.3.

Utilizando a interface texto

A interface texto para o acesso ao log tem funcionalidade similar da interface


grfica, porm possui opes de filtragem bem mais limitadas. Alm disso, atravs
da interface texto, no se tem acesso s informaes complementares que so
mostradas quando se seleciona uma entrada do log na interface grfica ou quando
se ativa a opo Expande mensagens.
Localizao do programa: /aker/bin/firewall/fwlog
Sintaxe:
Firewall Aker - Verso 6.5
fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>]
[prioridade]
Ajuda do programa:
Uso: fwlog ajuda
fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>]
[prioridade]

fwlog - Interface texto para visualizar log e eventos


mostra = lista o conteudo do log ou dos eventos. Ele pode mostra
apenas o log local ou todo o log do cluster
apaga = apaga todos os registro do log ou dos eventos
ajuda = mostra esta mensagem
Para "mostra" temos: data_inicio = data a partir da qual os registros sero
mostrados
data_fim = data ate onde mostrar os registros
(As datas devem estar no formato dd/mm/aaaa
Aker Security Solutions

402

(Se nao forem informadas as datas, mostra os registros de


hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes
valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO
(Ao selecionar uma prioridade, somente sero listados
registros cuja prioridade for igual a informada)
Exemplo 1: (mostrando o log do dia 07/07/2003)
#fwlog mostra log 07/07/2003 07/07/2003
07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0
07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0
07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0
07/07/2003 19:06:22 (01) A TCP 10.4.1.24 1027 10.5.1.1 23 de0
07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0
07/07/2003 19:06:21 (01) A ICMP 10.5.1.134 10.4.1.12 8 de1
07/07/2003 19:06:20 (01) A ICMP 10.4.1.12 137 10.5.1.134 0 de0
07/07/2003 19:06:02 (01) A UDP 10.4.1.59 1050 10.7.1.25 53 de0
Exemplo 2: (mostrando o log do dia 07/07/2003, apenas prioridade notcia)
#fwlog mostra log 07/07/2003 07/07/2003 noticia
07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0
07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0
07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0
07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0
Exemplo 3: (apagando o arquivo de log)
#fwlog apaga log 21/10/2003 23/10/2003 Remocao dos registros foi solicitada ao
servidor de log

Aker Security Solutions

403

Visualizando Eventos do
Sistema

Aker Security Solutions

404

16.

Visualizando Eventos do Sistema


Este captulo mostrar como visualizar os eventos do sistema, um recurso muito til
para acompanhar o funcionamento do firewall e detectar possveis ataques e erros
de configurao.
O que so os eventos do sistema?
Eventos so as mensagens do firewall de nvel mais alto, ou seja, no relacionadas
diretamente a pacotes (como o caso do log). Nos eventos, podem aparecer
mensagens geradas por qualquer um dos trs grandes mdulos (filtro de pacotes,
conversor de endereos e autenticao/criptografia) e por qualquer outro
componente do firewall, como por exemplo, os proxies e os processos servidores
encarregados de tarefas especficas.
Basicamente, o tipo de informao mostrada varia desde mensagens teis para
acompanhar o funcionamento do sistema (uma mensagem gerada todas as vezes
que a mquina reiniciada, todas as vezes que algum estabelece uma sesso
com o firewall, etc) at mensagens provocadas por erros de configurao ou de
execuo.
O que um filtro de eventos?
Mesmo que o sistema tenha sido configurado para registrar todos os possveis
eventos, muitas vezes est interessado em alguma informao especfica (por
exemplo, suponha que queira ver todas as mensagens do dia de ontem). O filtro de
eventos um mecanismo oferecido pelo Aker Firewall para criar vises do conjunto
total de mensagens, possibilitando que obtenha as informaes desejadas
facilmente.
O filtro s permite a visualizao de informaes que tiverem sido registradas nos
eventos. Caso queira obter uma determinada informao deve-se inicialmente
configurar o sistema para registr-la e ento utilizar um filtro para visualiz-la.

16.1.

Utilizando a interface grfica

Para ter acesso a janela de eventos deve-se:

Aker Security Solutions

405

Figura 265. Janela de acesso - Eventos.

Clicar no menu Auditoria do firewall que se deseja visualizar os eventos;


Selecionar a opo Eventos.
A barra de ferramentas de Eventos
Todas as vezes que a opo Eventos selecionada, mostrada automaticamente a
barra de ferramentas de Eventos. Esta barra, que estar ao lado das outras barras,
poder ser arrastada e ficar flutuando acima das informaes dos Eventos. Ela tem
o seguinte formato:

Figura 266. Barra de ferramentas: Eventos.

Significado dos cones:


Abre a janela de filtragem dos Eventos;
Este cone somente ir aparecer quando o firewall estiver fazendo uma
procura no Evento. Ele permite interromper a busca do firewall;
Aker Security Solutions

406

Exporta os Eventos para diversos formatos de arquivos;


Apaga os Eventos do firewall;
Permite fazer uma atualizao da tela de eventos dentro de um
determinado perodo definido no campo seguinte;
Define o tempo que o firewall ir atualizar a janela com informaes de
eventos;
Percorre os Eventos para frente e para trs;
Expande as mensagens de Evento, mostrando as mesmas com o
mximo de informao;
Ao clicar no cone de filtragem a seguinte janela ser mostrada:

A janela de filtro de eventos

Figura 267. Filtro de eventos.

Aker Security Solutions

407

Na parte superior da janela, encontram-se os botes Salvar, Remover e Novo. O


boto Salvar permite que seja salvo os campos de um filtro de forma a facilitar sua
aplicao posterior e o boto excluir permite que seja excludo um filtro salvo no
mais desejado.
Para salvar um filtro de eventos, deve-se proceder da seguinte forma:
1. Preencher todos os seus campos da forma desejada.
2. Definir, no campo Filtros, o nome pelo qual ele ser referenciado.
3. Clicar no boto Salvar.
Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos
os campos sero automaticamente preenchidos com os dados salvos.
Para excluir um filtro que no mais seja desejado, deve-se proceder da seguinte
forma:
1. Selecionar o filtro a ser removido, no campo Filtros.
2. Clicar no boto Excluir.
O filtro padro configurado para mostrar todos as mensagens do dia atual. Para
alterar a visualizao para outros dias, pode-se configurar a Data Inicial e a Data
Final para os dias desejados (a faixa de visualizao compreende os registros da
data inicial data final, inclusive).
Alm de especificar as datas, possvel tambm determinar quais mensagens
devem ser mostradas. A opo Filtrar por permite escolher entre a listagem de
mensagens ou de prioridades.
Filtragem por mensagens
Ao selecionar filtragem por mensagens, seram mostrados na lista do lado
esquerdo da janela os nomes de todos os mdulos que compem o firewall. Ao
clicar em um destes mdulos, seram mostradas na lista direita as diferentes
mensagens que podem ser geradas por ele.
Dica: Para selecionar todas as mensagens de um mdulo, deve-se clicar sobre a
caixa esquerda do nome do mdulo.
Filtragem por prioridade
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for
a prioridade associada a um determinado registro, mais importncia deve-se dar
a ele.
Ao selecionar filtragem por prioridade, ser mostrado na lista do lado esquerdo
da janela o nome de todos os mdulos que compem o firewall. Ao clicar em um
destes mdulos, seram mostradas na lista direita as diferentes prioridades das
mensagens que podem ser geradas por ele.
Aker Security Solutions

408

Abaixo, est a lista com todas as prioridades possveis, ordenadas das mais
importantes para as menos importantes (caso tenha configurado o firewall para
mandar uma cpia dos eventos para o syslog, as prioridades com as quais as
mensagens sero geradas no syslog so as mesmas apresentadas abaixo):
Erro
Os registros que se enquadrem nesta prioridade indicam algum tipo de erro de
configurao ou de operao do sistema (por exemplo, falta de memria).
Mensagens desta prioridade so raras e devem ser tratadas imediatamente.
Alerta
Os registros que se enquadrarem nesta prioridade indicam que algum tipo de
situao sria e no considerada normal ocorreu (por exemplo, uma falha na
validao de um usurio ao estabelecer uma sesso de administrao remota).
Aviso
Enquadram-se nesta prioridade os registros que trazem informaes que so
consideradas importantes para o administrador do sistema, mas esto
associadas a uma situao normal (por exemplo, um administrador iniciou uma
sesso remota de administrao).
Informao
Os registros desta prioridade acrescentam informaes teis mas no to
importantes para a administrao do Firewall (por exemplo, uma sesso de
administrao remota foi finalizada).
Depurao
Os registros desta prioridade no trazem nenhuma informao realmente
importante, exceto no caso de uma auditoria. Nesta prioridade se encaixam as
mensagens geradas pelo mdulo de administrao remota todas as vezes que
feita uma alterao na configurao do firewall e uma mensagem gerada todas
as vezes que o firewall reinicializado.
Como ltima opo de filtragem, existe o campo Filtrar no complemento por.
Este campo permite que seja especificado um texto que deve existir nos
complementos de todas as mensagens para que elas sejam mostradas. Desta
forma, possvel, por exemplo, visualizar todas as pginas WWW acessadas por
um determinado usurio, bastando para isso colocar seu nome neste campo.
O boto OK aplicar o filtro escolhido e mostrar a janela de eventos, com as
informaes selecionadas.
O boto Cancelar far com que a operao de filtragem seja cancelada e a
janela de eventos ser mostrada com as informaes anteriores.
Aker Security Solutions

409

A janela de eentos

Figura 268. Descrio dos Eventos.

A janela de eventos ser mostrada aps a aplicao de um novo filtro. Ela consiste
de uma lista com vrias mensagens. Normalmente, cada linha corresponde a uma
mensagem distinta, porm existem mensagens que podem ocupar 2 ou 3 linhas. O
formato das mensagens ser mostrado na prxima seo.

Observaes importantes:
As mensagens sero mostradas de 100 em 100.
S sero mostradas as primeiras 10.000 mensagens que so enquadradas no
filtro escolhido. As demais podem ser vistas exportando os eventos para um
arquivo ou utilizando um filtro que produza um nmero menor de mensagens.
No lado esquerdo de cada mensagem, ser mostrado um cone colorido
simbolizando sua prioridade. As cores tm o seguinte significado:

Aker Security Solutions

410

Azul

Depurao

Verde

Informao

Amarelo

Notcia

Vermelho

Advertncia

Preto

Erro

Ao clicar com o boto esquerdo sobre uma mensagem, aparecer na parte


inferior da tela uma linha com informaes adicionais sobre ela.
Ao apagar todos os eventos, no existe nenhuma maneira de recuperar as
informaes anteriores. A nica possibilidade de recuperao a restaurao de
uma cpia de segurana.
O boto Salvar, localizado na barra de ferramentas, gravar todas as
informaes selecionadas pelo filtro atual em um arquivo em formato texto ou em
formatos que permitem sua importao pelos analisadores de log da Aker e da
WebTrends(R). Os arquivos consistiro de vrias linhas de contedo igual ao
mostrado na janela.
Se a opo Expande mensagens estiver marcada e se tiver escolhido a opo
de exportao em formato texto, os eventos sero exportados com as mensagens
complementares; caso contrrio, os eventos sero exportados sem elas.
Esta opo bastante til para enviar uma cpia do log para alguma outra pessoa,
para guardar uma cpia em formato texto de informaes importantes ou para
importar os eventos por um analisador de log citado acima. Ao ser clicado, ser
mostrada a seguinte janela:

Figura 269. Exportar log de eventos.

Aker Security Solutions

411

Para exportar o contedo dos eventos, basta fornecer o nome do arquivo a ser
criado, escolher seu formato e clicar no boto Salvar. Para cancelar a operao,
clique em Cancelar.
Se j existir um arquivo com o nome informado ele ser apagado.
O boto Prximos 100, representado como uma seta para a direita na barra de
ferramentas mostrar as ltimas 100 mensagens selecionadas pelo filtro. Se no
existirem mais mensagens, esta opo estar desabilitada.
O boto ltimos 100, representado como uma seta para a esquerda na barra de
ferramentas mostrar as 100 mensagens anteriores. Se no existirem
mensagens anteriores, esta opo estar desabilitada.
O boto Ajuda mostrar a janela de ajuda especfica para a janela de eventos.
16.2.

Formato e significado dos campos das mensagens de eventos

Abaixo segue a descrio do formato das mensagens, seguido de uma descrio de


cada um de seus campos. A listagem completa de todas as possveis mensagens e
seus significados se encontra no apndice A.
Formato do registro:
<Data> <Hora> <Mensagem> [Complemento]
[Mensagem complementar 1]
[Mensagem complementar 2]
Descrio dos campos:
Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Mensagem: Mensagem textual que relata o acontecimento.
Complemento: Este campo traz informaes complementares e pode ou no
aparecer, dependendo da mensagem. Na interface texto, caso ele aparea, vir
entre parnteses.
Mensagem complementar 1 e 2: Estes complementos s existem no caso de
mensagens relacionadas s conexes tratadas pelos proxies transparentes e notransparentes e so mostrados sempre na linha abaixo da mensagem a que se
referem. Nestas mensagens complementares, se encontram o endereo origem da
conexo e, no caso dos proxies transparentes, o endereo destino.
16.3.

Utilizando a interface texto

A interface texto para o acesso aos eventos tem funcionalidade similar da


interface grfica. Todas as funes da interface grfica esto disponveis, exceto a
opo de filtragem de mensagens e o fato de que atravs da interface texto no tem
acesso s informaes complementares que so mostradas quando selecionada
uma mensagem de eventos na interface grfica ou quando se ativa a opo
Expande mensagens.
Aker Security Solutions

412

O programa que faz a interface texto com os eventos o mesmo usado para a
interface com o log e foi mostrado tambm no captulo anterior.
Localizao do programa: /aker/bin/firewall/fwlog
Sintaxe:
Firewall Aker - Verso 6.5
fwlog apaga [log | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]
Ajuda do programa:
Uso: fwlog ajuda
fwlog apaga [log | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]

fwlog - Interface texto para visualizar log e eventos


mostra = lista o conteudo do log ou dos eventos. Ele pode mostra
apenas o log local ou todo o log do cluster
apaga = apaga todos os registro do log ou dos eventos
ajuda = mostra esta mensagem
Para mostra temos: data_inicio = data a partir da qual os registros serao mostrados
data_fim = data ate onde mostrar os registros
(As datas devem estar no formato dd/mm/aaaa
(Se nao forem informadas as datas, mostra os registros de
hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes
valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO
(Ao selecionar uma prioridade, somente sero listados
registros cuja prioridade for igual a informada)
Exemplo 1: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006)
#fwlog mostra eventos 05/01/2006 06/01/2006
06/01/2006 11:39:35 Sessao de administracao finalizada
06/01/2006 09:13:09 Sessao de administracao estabelecida (administrador, CF CL
GU)
06/01/2006 09:13:09 Pedido de conexao de administracao (10.4.1.14)
06/01/2006 09:09:49 Operacao sobre o arquivo de log (Compactar)
05/01/2006 10:27:11 Aker Firewall v6.0 - Inicializacao completa
05/01/2006 08:57:11 Tabela de converso UDP cheia
Aker Security Solutions

413

Exemplo 2: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006, apenas


prioridade depurao)
#fwlog mostra eventos 05/01/2006 06/01/2006 depuracao
06/01/2006 09:09:49 Operacao sobre o arquivo de log (Compactar)
05/01/2006 10:27:11 Aker Firewall v6.0 - Inicializacao completa
Exemplo 3: (removendo todo o contedo do arquivo de eventos)
#fwlog apaga eventos 21/01/2006 23/01/2006
Remocao dos registros foi solicitada ao servidor de log

Aker Security Solutions

414

Visualizando Estatsticas

Aker Security Solutions

415

17.

Visualizando Estatsticas
Este captulo mostrar sobre o que a janela de estatstica e suas caractersticas.

O que a janela de estatsticas do Aker Firewall?


No Firewall, a estatstica um mtodo de medir o trfego de dados atravs de suas
interfaces. Este trfego traduzido em nmeros que mostram a quantidade de
pacotes enviados ou recebidos, alm do tamanho total de bytes trafegados.
Utilizando-se destas informaes, o administrador consegue verificar o fluxo de
dados de seus servios podendo, assim saber se o ambiente fsico da rede precisa
ser melhorado ou expandido.
Outra utilizao para este tipo de informao a realizao de bilhetagem da rede.
Tendo-se conhecimento da quantidade de bytes que cada mquina transferiu na
rede, calcula-se o quanto que cada uma deve ser taxada.
Para realizar bilhetagem de rede, deve ser criado uma regra de filtragem com um
acumulador diferente para cada mquina a ser taxada. Todos os acumuladores
devem ter regras de estatsticas associados a eles. Estas regras so configuradas
na janela de visualizao de estatstica.
Como funcionam as estatsticas do Aker Firewall?
O funcionamento das estatsticas do Aker Firewall baseado em trs etapas
distintas:
Criao de Acumuladores:
Nesta etapa, cadastramos os acumuladores que sero associados a regras de
filtragem. Eles servem apenas como totalizadores de uma ou mais regras de
filtragem. Para maiores informaes sobre a criao de acumuladores e sua
associao com regras de filtragem, vejam os captulos Cadastrando Entidades
e O Filtro de Estados.
Criao de regras de estatstica:
Aps a criao dos acumuladores e sua associao com as regras de filtragem
desejadas, devemos criar regras de estatstica que definem os intervalos de
coleta e quais acumuladores sero somados para gerar o valor da estatstica em
um dado momento. Esta etapa ser explicada neste captulo.
Visualizao das estatsticas:

Aker Security Solutions

416

Aps a criao das regras de estatsticas, podemos ver os valores associados a


cada uma delas, export-los ou traar grficos. Esta etapa tambm ser
mostrada neste captulo.

17.1.

Utilizando a interface grfica

Para ter acesso a janela de configurao de estatstica deve-se:

Figura 270. Janelas de eventos - Estatstica.

Clicar no menu Auditoria da janela do firewall que queira administrar.


Selecionar o item Estatsticas.

Aker Security Solutions

417

A janela de regras de estatstica

Figura 271. Regras de estatstica.

A janela de estatsticas contm todas as regras de estatstica definidas no Aker


Firewall. Cada regra ser mostrada em uma linha separada, composta de diversas
clulas. Caso uma regra esteja selecionada, ela ser mostrada em uma cor
diferente:
O boto OK far com que o conjunto de estatsticas seja atualizado e passe a
funcionar imediatamente.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta.
Aker Security Solutions

418

A barra de rolagem do lado direito serve para visualizar as regras que no


couberem na janela.
Cada regra de estatstica composta dos seguintes campos:
Nome: Nome da estatstica, utilizada para facilitar a sua referncia. Deve possuir
um nome nico entre o conjunto de regras;
Intervalo: Corresponde ao intervalo de tempo que far a totalizao da regra, ou
seja, a soma dos valores de todos os acumuladores presentes na regra;
Acumulador: Este campo define quais os acumuladores faro parte da regra;
Hora: Esta tabela define as horas e dias da semana em que a regra aplicvel.
As linhas representam os dias da semana e as colunas as horas. Caso queira
que a regra seja aplicvel em determinada hora o quadrado deve ser
preenchido, caso contrrio o quadrado deve ser deixado em branco.
Para interagir com a janela de regras, utilize a barra de ferramentas localizada na
parte superior da janela ou clicar com o boto direito sobre ela.

Figura 272. Barra de ferramentas - Regras de estatstica.

Inserir: Permite a incluso de uma nova regra na lista.


Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Excluir: Remover da lista a regra selecionada.
Habilitar/Desabilitar: Ativar ou desativar a regra selecionada da lista.
Visualizao: Exibe a janela de visualizao de estatsticas relativa a regra
selecionada.
Visualizando estatsticas
Ao clicar no boto Visualizao ou clicar duas vezes sobre uma regra de
estatstica, a seguinte janela ser mostrada:
Aker Security Solutions

419

Figura 273. Visualizar estatsticas.

Nesta janela, os dados computados para a estatstica selecionada sero mostrados

em formato grfico
ou texto
. Estas informaes so relativas a data de
incio e fim especificadas na parte superior da janela. Para alterar esta data deve-se
escolher os campos de Data, colocando as datas de incio e de finalizao da
pesquisa.
Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro refere a
contabilizao dos acumuladores da estatstica em um determinado tempo.
O boto Remover
especificado.

desta pasta ir remover o conjunto de registros com o tempo

Aker Security Solutions

420

Grfico: Representa os dados contidos na pasta Leitura em formato grfico. O

grfico gerado ao ser pressionado o boto


na barra de ferramentas.
Este grfico tambm permite que o usurio selecione qual linha deve ser
mostrada pressionando-se os rtulos dos mesmos.

Figura 274. Visualizar estatsticas Grfico.

Ao pressionar o boto de salvar estatsticas


a janela abaixo ir aparecer de
modo a escolher o nome do arquivo. Este arquivo gravado no formato CSV que
permite sua manipulao atravs de planilhas de clculo.

Aker Security Solutions

421

Figura 275. Exportar estatstica.

A barra de ferramentas da visualizao das estatsticas


A barra de ferramentas da visualizao das estatsticas ter as seguintes funes:

Figura 276. Barra de ferramentas: visualizao das estatsticas.

O boto salvar registros permite a exportao dos dados gerados


pelos contadores;
Este boto ir excluir os registros selecionados gerados pelos
contadores;
Este o boto de navegao dos dados registrados pelos
contadores e que esto sendo exibidos pelas estatsticas.

17.2.

Utilizando a interface texto

A interface texto para o acesso s estatsticas tem funcionalidade similar da


interface grfica. Todas as funes da interface grfica esto disponveis, exceto a
opo de verificar os dados atravs de grfico e de se verificar em quais regras os
acumuladores de uma determinada estatstica esto presentes.
Aker Security Solutions

422

A tabela de horrio visualizada da seguinte forma:


O smbolo : (dois pontos) informa que a regra valida para os dois dias da
semana que aparecem separados por / .Ex: Dom/Seg

O smbolo . (ponto) informa que a regra so vlida para o dia da semana que
segue o caractere / .Ex: Dom/Seg - Seg
O smbolo ' (acento) informa que a regra so vlida para o dia da semana que
antecede o caractere / .Ex: Dom/Seg - Dom
Localizao do programa: /aker/bin/firewall/fwstat
Sintaxe:
fwstat ajuda
mostra [[-c] <estatistica> [<data inicial> <data final>]]
inclui <estatistica> <periodo> [<acumulador1> [acumulador2] ...]
remove <estatistica>
desabilita <estatistica> [<dia> <hora>]
habilita <estatistica> [<dia> <hora>]
Ajuda do programa:
Firewall Aker - Verso 6.5
Uso: fwstat ajuda mostra [[-c] <estatistica> [<data inicial> <data final>]]
inclui <estatistica> <periodo> [<acumulador1> [acumulador2] ...]
remove <estatistica>
desabilita <estatistica> [<dia> <hora>]
habilita <estatistica> [<dia> <hora>]

ajuda = mostra esta mensagem


mostra = sem parametros, mostra as estatisticas cadastradas com, mostra os dados
coletados para estatistica = nome da estatistica
-c = resultado no formato CSV (comma separated value) (util para importar dados
em planilhas eletronicas) datas = dadas limite para mostrar dados
inclui = adiciona uma estatistica de nome "estatistica"
remove = remove uma estatistica de nome "estatistica"
periodo = periodo de captura dos dados (segundos)
acumulador_ = nome das entidades acumulador para ler
desabilita = desabilita uma estatistica
habilita = habilita uma estatistica dia
hora = se especificado (sempre ambos), habilita ou desabilita apenas para a hora
especificada. 'dia' pertence a {dom, seg, ter, ...} e 'hora' a {0..23}
Aker Security Solutions

423

Exemplo 1: (mostrando as estatsticas)


#fwstat mostra
Nome : estatistica1
(habilitada)
---Periodo : 17400 segundo(s)
Acumuladores: a1
Horario :
Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
------------------------------------------------------------------------------Dom/Seg |: :
: : : : : : : : : : : : : :
Ter/Qua |: :
: : : : : : : : : : : : : :
Qui/Sex |: :
: : : : : : : : : : : : : :
Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' '
Nome : estatistica2
(habilitada)
---Periodo : 100 segundo(s)
Acumuladores: a1 a11
Horario :
Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
------------------------------------------------------------------------------Dom/Seg |: : : : : : : : : : : : : : : : : : : : : : : :
Ter/Qua |: : : : : : : : : : : : : : : : : : : : : : : :
Qui/Sex |: : : : : : : : : : : : : : : : : : : : : : : :
Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' '
Exemplo 2: (mostrando a estatstica do dia 28/10/2001 ao dia 29/10/2001)
#fwstat mostra estatistica 28/10/2001 29/10/2001
Dia
Hora Enviados (bytes/pacotes) Recebidos (bytes/pacotes)
----------------------------------------------------------------------29/10/2001 17:24:54
320/1
321/1
29/10/2001 17:23:14
652/6
654/6
29/10/2001 17:21:34
234/2
980/9
29/10/2001 17:19:54
324/3
650/6
29/10/2001 17:18:14
325/3
150/1
29/10/2001 17:16:34
985/9
240/2
29/10/2001 17:14:54
842/8
840/8
29/10/2001 17:13:14
357/3
289/2
29/10/2001 16:58:14
786/7
261/2

Aker Security Solutions

424

Visualizando e Removendo
Conexes

Aker Security Solutions

425

18.

Visualizando e Removendo conexes


Neste captulo mostrar como visualizar e remover conexes TCP e sesses UDP
em tempo real.

O que so conexes ativas?


Conexes ativas so conexes TCP ou sesses UDP que esto ativas atravs do
firewall. Cada uma destas conexes foi validada atravs de uma regra do filtro de
estados, acrescentada pelo administrador do sistema, ou por uma entrada na tabela
de estados, acrescentada automaticamente pelo Aker Firewall.
Para cada uma destas conexes, o firewall mantm diversas informaes em suas
tabelas de estado. Algumas destas informaes so especialmente teis para o
administrador e podem ser visualizadas a qualquer momento atravs da janela de
conexes ativas. Dentre estas informaes, pode-se citar a hora exata do
estabelecimento da conexo e o tempo em que ela se encontra parada, isto , sem
que nenhum pacote trafegue por ela.

18.1.

Utilizando a interface grfica

Para ter acesso a janela de conexes ativas deve-se:

Aker Security Solutions

426

Figura 277. Janela de acesso - Conexes TCP.

Clicar no menu Informao do firewall que queira visualizar.


Selecionar Conexes TCP ou Conexes UDP.
A janela de conexes ativas
A janela de conexes ativas onde so mostradas todas as conexes IPv4 e IPv6,
que esto passando pelo firewall em um determinado instante. As janelas para os
protocolos TCP e UDP so exatamente iguais, com a exceo do campo chamado
Status que somente existe na janela de conexes TCP.
Para simplificar o entendimento, fala-se de conexes TCP e UDP, entretanto, isto
no totalmente verdadeiro devido ao protocolo UDP ser um protocolo no
orientado conexo. Na verdade, quando se fala em conexes UDP refere-se s
sesses onde existe trfego nos dois sentidos. Cada sesso pode ser vista como
um conjunto dos pacotes de requisio e de resposta que fluem atravs do firewall
para um determinado servio provido por uma determinada mquina e acessado por
outra.
Essa janela composta de quatro pastas: nas duas primeiras so mostradas
uma lista com as conexes ativas tanto IPv4 como IPv6 e as duas ltimas permitem
Aker Security Solutions

427

visualizar grficos em tempo real das mquinas e servios mais acessados, das
conexes IPv4e IPv6.
Pasta de conexes IPv4

Figura 278. Conexes TCP Conexes IPv4.

Aker Security Solutions

428

Pasta de conexes IPV6

Figura 279. Conexes TCP Conexes IPv6.

As pastas, conexo IPv4 e conexo IPv6, consistem de uma lista com uma entrada
para cada conexo ativa. Na parte inferior da janela mostrada uma mensagem
informando o nmero total de conexes ativas em um determinado instante. As
velocidades, total e mdia, so exibidas na parte inferior da janela.
O boto OK faz com que a janela de conexes ativas seja fechada.
Caixa Filtro exibe as opes de filtragem sendo possvel selecionar os
endereos origem ou destino e/ou portas para serem exibidos na janela.
A opo Mostrar itens selecionados no topo coloca as conexes selecionadas
no topo da janela para melhor visualizao.
A opo Remover, que aparece ao clicar com o boto direito sobre uma
conexo, permite remover uma conexo.
Aker Security Solutions

429

Ao remover uma conexo TCP, o firewall envia pacotes de reset para as


mquinas participantes da conexo, efetivamente derrubando-a, e remove a entrada
de sua tabela de estados. No caso de conexes UDP, o firewall simplesmente
remove a entrada de sua tabela de estados, fazendo com que no sejam mais
aceitos pacotes para a conexo removida.

Figura 280. Barra de ferramentas: conexes TCP.

Todas as alteraes efetuadas na barra de ferramentas, quando a opo conexo


ipv4 ou a opo grfico ipv4, estiverem selecionadas, tambm sero realizados nas
opes, conexo ipv6 ou grfico ipv6, e assim respectivamente.
O boto Atualizar, localizado na barra de ferramentas faz com que as
informaes mostradas sejam atualizadas periodicamente de forma automtica
ou no. Ao clicar sobre ele permite alternar entre os dois modos de operao. O
intervalo de atualizao pode ser configurado mudando o valor logo direita
deste campo.
O boto DNS, localizado na barra de ferramentas, acionar o servio de nomes
(DNS) para resolver os nomes das mquinas cujos endereos IP's aparecem
listados. Cabe ser observado, os seguintes pontos:
1. A resoluo de nomes muitas vezes um servio lento e, devido a isso, a
traduo dos nomes feita em segundo plano.
2. Muitas vezes, devido aos problemas de configurao do DNS reverso
(que o utilizado para resolver nomes a partir de endereos IP), no ser
possvel a resoluo de certos endereos. Neste caso, os endereos no
resolvidos sero mantidos na forma original e ser indicado ao seu lado
que eles no possuem DNS reverso configurado.
A opo Desabilitar grficos desabilita o desenho do grfico de conexes,
sendo indicada para mquinas especialmente lentas.
A opo Mostrar velocidade das conexes, se ativa, faz com que a interface
calcule e mostre a velocidade de cada conexo em bits/s.
possvel ordenar a lista das conexes por qualquer um de seus campos,
bastanto para isso clicar no ttulo do campo. O primeiro click produzir uma
ordenao ascendente e o segundo uma ordenao descendente.

Pasta Grfico de Conexes IPv4 e IPv6


As pastas, grfico IPv4 e grfico IPv6, consistem de dois grficos: o grfico superior
mostram os servios mais utilizados e o grfico inferior mostram as mquinas que
Aker Security Solutions

430

mais acessam servios ou que mais so acessadas. No lado direito existe uma
legenda mostrando qual mquina ou servio correspondem a qual cor do grfico.

Figura 281. Conexes TCP Grfico de conexes IPv4.

O intervalo de tempo no qual o grfico atualizado o mesmo configurado na


pasta de conexes.
Significado dos campos de uma conexo ativa IPv6 e IPv4
Cada linha presente na lista de conexes ativas representa uma conexo. O
significado de seus campos mostrado a seguir:
IP origem: Endereo IP da mquina que iniciou a conexo.
Porta origem: Porta usada pela mquina de origem para estabelecer a conexo.
Aker Security Solutions

431

IP destino: Endereo IP da mquina para a qual a conexo foi efetuada.


Porta destino: Porta para qual a conexo foi estabelecida. Esta porta normalmente
est associada a um servio especfico.
Incio: Hora de abertura da conexo.
Inativo: Nmero de minutos e segundos de inatividade da conexo.
Estado Atual: Este campo s aparece no caso de conexes TCP. Ele representa o
estado da conexo no instante mostrado e pode assumir um dos seguintes valores:
SYN Enviado: Indica que o pacote de abertura de conexo (pacote com flag de
SYN) foi enviado, porm a mquina servidora ainda no respondeu.
SYN Trocados: Indica que o pacote de abertura de conexo foi enviado e a
mquina servidora respondeu com a confirmao de conexo em andamento.
Estabelecida: Indica que a conexo est estabelecida.
Escutando Porta: Indica que a mquina servidora est escutando na porta
indicada, aguardando uma conexo a partir da mquina cliente. Isto s ocorre no
caso de conexes de dados FTP.
Bytes Enviados/Recebidos: Estes campos s aparecem no caso de conexes
TCP, e indicam o nmero de bytes trafegados por esta conexo em cada um dos
dois sentidos.
Pacotes Enviados/Recebidos: Estes campos s aparecem no caso de conexes
TCP, e indicam o nmero de pacotes IP trafegados por esta conexo em cada um
dos dois sentidos.

18.2.

Utilizando a interface texto

A interface texto para acesso lista de conexes ativas possui as mesmas


capacidades da interface grfica. O mesmo programa trata as conexes TCP e
UDP.
Localizao do programa: /aker/bin/firewall/fwlist
Sintaxe:
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino
fwlist remove sessao IP_origem
Aker Security Solutions

432

Ajuda do programa:
fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino
fwlist remove sessao IP_origem
ajuda = mostra esta mensagem
mostra = lista as conexoes ou sessoes ativas
remove = remove uma conexao ou sessao ativa
Exemplo 1: (listando as conexes ativas TCP)
#fwlist mostra TCP
Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado
------------------------------------------------------------------------------10.4.1.196:1067 10.4.1.11:23 15:35:19 00:00 Estabelecida
10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida
Exemplo 2: (listando as conexes ativas UDP)
#fwlist mostra UDP
Origem (IP:porta) Destino (IP:porta) Inicio Inativo
----------------------------------------------------------10.4.1.1:1099 10.4.1.11:53 15:35:19 00:00
10.4.1.18:1182 10.5.2.1:111 15:36:20 00:10
Exemplo 3: (removendo uma conexo TCP e listando as conexes)
#fwlist remove tcp 10.4.1.196 1067 10.4.1.11 23
#fwlist mostra TCP
Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado
------------------------------------------------------------------------------10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida

Aker Security Solutions

433

Utilizando o Gerador de
Relatrios

Aker Security Solutions

434

19.

Utilizando o Gerador de Relatrios


Este captulo mostrar para que serve e como configurar os Relatrios no Aker
Firewall.
Visando disponibilizar informaes a partir de dados presentes nos registros de log
e eventos, bem como apresentar uma viso sumarizada dos acontecimentos para a
gerncia do Firewall, foi desenvolvida mais esta ferramenta. Neste contexto
trataremos dos relatrios que nutriro as informaes gerenciais.
Os relatrios so gerados nos formatos HTML, TXT ou PDF, publicados via FTP em
at trs sites distintos ou enviados atravs de e-mail para at trs destinatrios
distintos. Podem ser agendados das seguintes formas: "Dirio", "Semanal",
"Quinzenal", "Mensal", "Especfico" e tambm em tempo real de execuo.

19.1.

Acessando Relatrios

Para ter acesso janela de Relatrios deve-se:

Figura 282. Janela de acesso - Relatrio.


Aker Security Solutions

435

Clicar no menu Auditoria da janela de administrao do firewall.


Selecionar o item Relatrio.
19.2.

Configurando os Relatrios

Figura 283. Configurando relatrio - Dirio.

Esta janela composta pelos tipos de agendamentos: "Dirio", "Semanal", "Mensal",


"Quinzenal", "Especfico" e em tempo real. Em todos ser necessrio escolher quais
sub-relatrios sero includos.
Para executar qualquer relatrio, deve-se clicar com o boto direito do mouse sobre
ele. Aparecer o seguinte menu: (este menu ser acionado sempre que for
pressionado o boto direito, mesmo que no exista nenhum relatrio selecionado.
Neste caso, somente as opo Inserir estar habilitada); inclusive podendo ser
executada a partir da barra de ferramentas.
Inserir: Esta opo permite incluir um novo relatrio.
Ao tentar inserir um novo relatrio constar trs abas:
Aba geral
Nesta aba sero configurados os seguintes campos:
Aker Security Solutions

436

Figura 284. Configurao do relatrio - geral.

Ttulo do Relatrio: Atribuir nome ao relatrio.


Agendamento: Definir hora que ser gerado o relatrio.
Formato do Relatrio: Define em qual formato ser gerado o relatrio. As
opes de formato so:
TXT: Ao selecionar esta opo gerado um arquivo chamado report.txt
que contm o relatrio.
HTML: Ao selecionar esta opo gerado um arquivo chamado
index.html que contm o relatrio.
PDF: Ao selecionar esta opo gerado um arquivo chamado report.pdf
que contm o relatrio.
Em ambos os casos, o navegador ser aberto automaticamente, exibindo o
contedo do arquivo correspondente ao relatrio.
Aba Sub-relatrio
Aker Security Solutions

437

Um sub-relatrio oferecido para que os nveis de detalhamento possam ser


evidenciados e a informao que compe o relatrio seja mais objetiva.

Figura 285. Configurao do relatrio sub-relatrio.

Esta aba composta por duas colunas, onde ser necessrio indicar filtros para
ambas.
Na coluna de "Sub-relatrio" dever ser includo qual tipo de sub-relatrio e como
ser agrupado, por exemplo: "No agrupar", "Quota", "Usurio". Esta opo varia
conforme o tipo de sub-relatrio selecionado. possvel definir relacionamentos
com lgica "E" ou "OU" e um limite para TOP.
Na coluna de "Filtros" haver mais uma possibilidade de filtro de acordo com o tipo
de dado.

Aker Security Solutions

438

Mtodos de Publicao
Mtodo FTP
Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os
relatrios via ftp.
Como utilizar:
Selecione o(s) servidor (es);
Digite o usurio;
Digite a senha de acesso;
Digite o caminho de destino do relatrio.

Figura 286. Configurao do relatrio mtodo de publicao.

Aker Security Solutions

439

Mtodo SMTP
Nesta aba o usurio poder indicar at trs destinatrios, para onde sero enviados
os relatrios atravs de e-mail.
Como utilizar:
Digite o endereo do remetente ("De");
Digite o endereo do destinatrio ("Para");
Digite o "Assunto";
Caso deseje possvel incluir uma mensagem, no campo "Mensagem".

Figura 287. Configurao do relatrio mtodo de SMTP.

Aker Security Solutions

440

Mtodo Tempo Real


Esta opo permite a gerao de relatrio em tempo real, ou seja, o administrador
do firewall pode gerar relatrios no momento em que desejar. O produto continuar
funcionando normalmente. Quando o relatrio estiver pronto, salve-o em um
diretrio conforme desejado, logo em seguida ser exibido uma janela mostrando o
relatrio.

19.3.

Lista dos Relatrios disponveis

Abaixo segue os tipos de relatrios possveis de serem gerados:


1.
2.
3.
4.
5.
6.

Quantidade de acessos web por usurios do autenticador;


Quantidade de acessos web por grupos do autenticador;
Quantidade de acessos web por perfis de acesso;
Quantidade de acessos web por endereo IP origem;
Quantidade de acessos web por endereo IP destino;
Quantidade de acessos TCP e UDP (cada servio) por grupos do
autenticador;
7. Quantidade de acesso por pginas Web (domnio), com possibilidade de
seleo das N pginas mais acessadas;
8. Quantidade de acesso por pginas Web (domnio), com possibilidade de
seleo das N pginas mais acessadas por grupos do autenticador;
9. Quantidade de acesso, relacionando conjunto de usurios e respectivas
pginas web mais acessadas;
10. Quantidade de acessos bloqueados por usurios, com possibilidade de
seleo dos N usurios com maior nmero de requisies a pginas
proibidas;
11. Quantidade de downloads realizados (HTTP e FTP), com possibilidade de
seleo dos N arquivos mais baixados;
12. Volume de trfego (kbps ou Mbps) processado pelo Firewall, em mdias de
perodos de cinco minutos;
13. Categoria dos sites;
14. Downloads;
15. Sites bloqueados;
16. Categorias bloqueadas;
17. Downloads bloqueados;
18. IPs web;
19. IPs web bloqueados;
20. IPs destino;
21. IPs destino bloqueados;
22. IPs e Servios;
23. IPs e Servios bloqueados;
24. Servios;
25. Servios bloqueados;
26. Trfego que entrou;
27. Trfego que saiu;
Aker Security Solutions

441

28. Destinatrios de e-mails entregues;


29. Destinatrios de e-mails rejeitados;
30. Endereo IP de e-mails entregues;
31. Endereo IP de e-mails rejeitados;
32. Domnios dos destinatrios de e-mails entregues;
33. Domnios dos destinatrios de e-mails bloqueados;
34. Quota - consumo de bytes;
35. Quota - consumo de tempo;
36. MSN - durao do chat;
37. MSN chat log;
38. Contabilidade de trfego web - upload consumido;
39. Contabilidade de trfego web - download consumido;
40. Contabilidade de trfego web - tempo consumido;
41. Contabilidade de trfego de downloads - upload consumido;
42. Contabilidade de trfego de downloads - download consumido;
43. Contabilidade de trfego de downloads - tempo consumido;
44. Contabilidade de trfego de FTP - upload consumido;
45. Contabilidade de trfego de FTP - download consumido;
46. Usurios que acessaram um site;
47. Usurios que foram bloqueados tentando acessar um site.

Aker Security Solutions

442

Exportao Agendada de Logs


e Eventos

Aker Security Solutions

443

20.

Exportao Agendada de Logs e Eventos


Este captulo mostrar como configurar a Exportao Agendada de Logs e Eventos.
Os registros de Logs e/ou Eventos so exportados nos formatos TXT ou CSV,
publicados via FTP em at trs sites distintos ou localmente em uma pasta do
prprio Firewall. Podem ser agendados das seguintes formas: "Dirio", "Semanal"
e/ou Mensal.

20.1.

Acessando a Exportao Agendada de Logs e Eventos

Para ter acesso janela de Exportao Agendada de Logs e Eventos deve-se:

Figura 288. Janela de acesso - Exportao Agendada de Logs e Eventos..

Clicar no menu Auditoria da janela de administrao do Aker Firewall;


Selecionar o item Exportao Agendada de Logs e Eventos.

Aker Security Solutions

444

20.2.

Configurando a Exportao Agendada de Logs e Eventos

Figura 289. Exportao Agendada de Logs e Eventos - dirio.

Esta janela composta pelos tipos de agendamentos: "Dirio", "Semanal" e


"Mensal".
Para executar qualquer exportao, deve-se clicar com o boto direito do mouse
sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre que for
pressionado o boto direito, mesmo que no exista nenhum relatrio selecionado.
Neste caso, somente as opo Inserir estar habilitada); inclusive podendo ser
executada a partir da barra de ferramentas.
Inserir: Esta opo permite incluir um novo relatrio.
Ao tentar inserir um novo relatrio constar duas abas:
Aba Geral
Nesta aba sero configurados os seguintes campos:

Aker Security Solutions

445

Figura 290. Configurao da Exportao Agendada de Logs e Eventos - geral.

Ttulo: Atribuir nome a exportao.


Formato do Relatrio: Define em qual formato ser gerado o relatrio. As
opes de formato so:
TXT;
CSV.
Tipo: Define qual informao ser exportada:
Logs;
Eventos.
Agendamento: Definir hora que ser realizada a exportao.

Aker Security Solutions

446

Aba Mtodo de Publicao


FTP:
Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os
dados via ftp.
Como utilizar:
Selecione o(s) servidor (es);
Digite o usurio;
Digite a senha de acesso;
Digite o caminho de destino do relatrio

Figura 291. Configurao da Exportao Agendada de Logs e Eventos mtodo de publicao.

Aker Security Solutions

447

Local:
Nesta aba, o usurio poder indicar em qual pasta local do Aker Firewall deseja
salvar os dados exportados.

Figura 292. Configurao da Exportao Agendada de Logs e Eventos tipo de publicao.

Aker Security Solutions

448

Trabalhando com proxies

Aker Security Solutions

449

21.

Trabalhando com Proxies


Neste captulo mostrar toda a base de conhecimento necessria, para entender o
funcionamento dos proxies do Aker Firewall. Os detalhes especficos de cada proxy
sero mostrados nos prximos captulos.

21.1.

Planejando a instalao

O que so proxies?
Proxies so programas especializados que geralmente rodam em firewalls e que
servem como ponte entre a rede interna de uma organizao e os servidores
externos. Seu funcionamento simples: eles ficam esperando por uma requisio
da rede interna, repassam esta requisio para o servidor remoto na rede externa, e
devolvem sua resposta de volta para o cliente interno.
Na maioria das vezes os proxies so utilizados por todos os clientes de uma subrede e devido a sua posio estratgica, normalmente eles implementam um
sistema de cache para alguns servios. Alm disso, como os proxies trabalham com
dados das aplicaes, para cada servio necessrio um proxy diferente.
Proxies tradicionais
Para que uma mquina cliente possa utilizar os servios de um proxy necessrio
que a mesma saiba de sua existncia, isto , que ela saiba que ao invs de
estabelecer uma conexo com o servidor remoto, ela deve estabelecer a conexo
com o proxy e repassar sua solicitao ao mesmo.
Existem alguns clientes que j possuem suporte para proxies embutidos neles
prprios (como exemplo de clientes deste tipo, pode-se citar a maioria dos browsers
existentes atualmente). Neste caso, para utilizar as funes de proxy, basta
configur-los para tal. A grande maioria dos clientes, entretanto, no est preparada
para trabalhar desta forma. A nica soluo possvel neste caso, alterar a pilha
TCP/IP em todas as mquinas clientes de modo a fazer com que transparentemente
as conexes sejam repassadas para os proxies.
Esta abordagem traz inmeras dificuldades, j que alm de ser extremamente
trabalhoso alterar todas as mquinas clientes, muitas vezes no existe forma de
alterar a implementao TCP/IP de determinadas plataformas, fazendo com que
clientes nestas plataformas no possam utilizar os proxies.
Um outro problema dos proxies tradicionais, que eles s podem ser utilizados para
acessos de dentro para fora (no pode solicitar para que clientes externos repassem
suas solicitaes para o seu proxy para que este repasse para seu servidor interno).
Aker Security Solutions

450

A figura abaixo ilustra o funcionamento bsico de um proxy tradicional:

Figura 293. Funcionamento bsico de um Proxy tradicional.

Proxies transparentes
O Aker Firewall introduz um novo conceito de firewall com a utilizao de proxies
transparentes. Estes proxies transparentes so capazes de serem utilizados sem
nenhuma alterao nas mquinas clientes e nas mquinas servidoras,
simplesmente porque nenhuma delas sabe de sua existncia.
Seu funcionamento simples, todas as vezes que o firewall decide que uma
determinada conexo deve ser tratada por um proxy transparente, esta conexo
desviada para o proxy em questo. Ao receber a conexo, o proxy abre uma nova
conexo para o servidor remoto e repassa as requisies do cliente para este
servidor.
A grande vantagem desta forma de trabalho, que torna possvel oferecer uma
segurana adicional para certos servios sem perda da flexibilidade e sem a
necessidade de alterao de nenhuma mquina cliente ou servidora. Alm disso,
possvel utilizar proxies transparentes em requisies de dentro para fora e de fora
para dentro, indiferentemente.

Aker Security Solutions

451

Figura 294. Funcionamento bsico de um Proxy trasparnte.

Proxies transparentes e contextos


O Aker Firewall introduz uma novidade com relao aos proxies transparentes: os
contextos. Para entend-los, vamos inicialmente analisar uma topologia de rede
onde sua existncia necessria.
Suponha que exista um Aker Firewall conectado a trs redes distintas, chamadas de
redes A, B e C, e que as redes A e B sejam redes de dois departamentos de uma
mesma empresa e a rede C a Internet. Suponha ainda que na rede A exista um
servidor SMTP que seja utilizado tambm pela rede B para enviar e receber correio
eletrnico. Isto est ilustrado no desenho abaixo:

Aker Security Solutions

452

Figura 295. Proxie transparentes e contextos.

Suponha agora que queira configurar o firewall para desviar todas as conexes
SMTP para o proxy SMTP, de modo a assegurar uma maior proteo e um maior
controle sobre este trfego.
importante que exista um meio de tratar diferentemente as conexes para A com
origem em B e C: a rede B utilizar o servidor SMTP de A como relay ao enviar seus
e-mails, entretanto este mesmo comportamento no deve ser permitido a partir da
rede C. Pode-se tambm querer limitar o tamanho mximo das mensagens
originadas na rede C, para evitar ataques de negao de servio baseados em falta
de espao em disco, sem ao mesmo tempo querer limitar tambm o tamanho das
mensagens originadas na rede B.
Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos.
Contextos nada mais so que configuraes diferenciadas para os proxies
transparentes de modo a possibilitar comportamentos diferentes para conexes
distintas.
No exemplo acima, poderia criar dois contextos: um para ser usado em conexes de
B para A e outro de C para A.
Os proxies do Aker Firewall
O Aker Firewall implementa proxies transparentes para os servios FTP, Telnet,
SMTP, POP3, HTTP, HTTPS, RPC, DCE-RPC, SIP, H323, MSN e proxies no
transparentes para os servios acessados atravs de um browser WWW (FTP,
Gopher, HTTP e HTTPS) e para clientes que suportem o protocolo SOCKS. Para
utilizar os proxies no transparentes necessrio um cliente que possa ser
configurado para tal. Dentre os clientes que suportam este tipo de configurao,
pode-se citar o Mozilla Firefox (Tm) e o Internet Explorer(Tm).
Os proxies transparentes podem ser utilizados tanto para controlar acessos
externos s redes internas quanto acessos de dentro para fora. Os proxies no
transparentes somente podem ser usados de dentro para fora.
O Aker Firewall permite ainda implementar Proxies criados pelo usurio que so
proxies criados por terceiros utilizando a API de desenvolvimento que a Aker
Security Solutions prov. O objetivo possibilitar que instituies que possuam
protocolos especficos possam criar suporte no firewall para estes protocolos.
Os autenticadores do Aker Firewall
Os proxies SOCKS, Telnet e WWW do Aker Firewall suportam autenticao de
usurios, isto , podem ser configurados para s permitir que uma determinada
sesso seja estabelecida caso o usurio se identifique para o firewall, atravs de um
nome e uma senha, e este tenha permisso para iniciar a sesso desejada.

Aker Security Solutions

453

O grande problema que surge neste tipo de autenticao como o firewall ir


validar os nomes e as senhas recebidas. Alguns produtos exigem que todos os
usurios sejam cadastrados em uma base de dados do prprio firewall ou que
sejam usurios vlidos da mquina que o firewall estiver rodando. Ambos os
mtodos possuem o grande inconveniente de no aproveitar a base de usurios
normalmente presente em uma rede local.
No Aker Firewall, optou-se por uma soluo mais verstil e simples de ser
implantada: ao invs de exigir um cadastramento de usurios no firewall, estes so
validados nos prprios servidores da rede local, sejam estes Unix ou Windows
Server tm.
Para que seja possvel ao firewall saber em quais mquinas ele deve autenticar os
usurios, e tambm para possibilitar uma comunicao segura com estas mquinas,
foi criado o conceito de autenticadores. Autenticadoras so mquinas Unix ou
Windows Servertm, que rodam um pequeno programa chamado de Agente de
autenticao. Este programa distribudo como parte do Firewall Aker e tem como
funo bsica servir de interface entre o firewall e a base de dados remota.
Para que o Aker Firewall utilize uma base de dados em um servidor remoto, deve-se
efetuar os seguintes procedimentos:
1. Instalar e configurar o agente de autenticao na mquina onde reside a
base de dados de usurios (este procedimento ser descrito nos tpicos
intitulados Instalando o agente de autenticao no Unix e Instalando o
agente de autenticao no Windows Servertm).
2. Cadastrar uma entidade do tipo autenticador com o endereo da mquina
onde o agente foi instalado e com a senha de acesso correta (para maiores
informaes de como cadastrar entidades, veja o captulo intitulado
Cadastrando Entidades).
3. Indicar para o firewall que ele deve utilizar o autenticador cadastrado no
passo 2 para realizar a autenticao de usurios (este procedimento ser
descrito no captulo intitulado Configurando parmetros de autenticao).
O Aker Firewall 6.1 incompatvel com verses anteriores 4.0 dos agentes de
autenticao. Caso tenha feito upgrade de uma verso anterior e esteja utilizando
autenticao, necessrio reinstalar os autenticadores.
possvel tambm realizar autententicaes atravs dos protocolos LDAP e
RADIUS. Neste caso, no existe a necessidade de instalao dos autenticadores
nas mquinas servidoras, bastando-se criar os autenticadores dos tipos
correspondentes e indicar ao firewall que eles devem ser utilizados, de acordo com
os passos 2 e 3 listados acima.

Aker Security Solutions

454

21.2.

Instalando o agente de autenticao em plataformas Unix

Para instalar o agente de autenticao necessrio efetuar o download do Agente


de autenticao adequado ao seu sistema no site da Aker (http://www.aker.com.br),
aps o download descompacte o arquivo e execute o seguinte comando:
#/ ./aginst
O smbolo # representa o prompt do shell quando executado como root, ele no
deve ser digitado como parte do comando.
O programa de instalao copiar o executvel do agente (fwagaut) para o diretrio
/usr/local/bin e copiar um modelo do arquivo de configurao (fwagaut.cfg) para o
diretrio /etc/. Aps a instalao, necessrio personalizar este arquivo, como
descrito na prxima seo.
Caso tenha respondido "Sim" quando o programa de instalao perguntou se o
agente deveria ser iniciado automaticamente, uma chamada ser criada em um
arquivo de inicializao da mquina de modo a carregar automaticamente o agente.
O nome deste arquivo de inicializao dependente da verso de Unix utilizada.

A sintaxe do arquivo de configurao do agente de autenticao


Aps instalar o agente de autenticao necessrio criar um arquivo de
configurao com o endereo dos firewalls que podero utiliz-lo e a senha de
acesso de cada um. Este arquivo em formato texto e pode ser criado por qualquer
editor.
O arquivo de configurao do agente de autenticao deve ter seus direitos
configurados de forma que s o usurio root possa ler ou alterar seu contedo. Para
fazer isso, pode-se usar o comando chmod, com a seguinte sintaxe: # chmod 600
nome_do_arquivo.
A sua sintaxe a seguinte:
Cada linha deve conter o endereo IP de um Aker Firewall que ir utilizar o
agente, um ou mais espaos em branco ou caracteres tab e a senha de acesso
que o firewall ir utilizar para a comunicao.
Linhas comeadas pelo caractere #, bem como linhas em branco, so ignoradas.
Um exemplo de um possvel arquivo de configurao mostrado a seguir:
# Arquivo de configuracao do agente de autenticacao do Firewall Aker 6.1
#
# Sintaxe: Endereco IP do Firewall e senha de acesso (em cada linha)
#
Aker Security Solutions

455

# Obs: A senha no pode conter espaos e deve ter at 31 caracteres


#
# Linhas comeadas pelo caractere '#' sao consideradas comentrios
# Linhas em branco so permitidas
10.0.0.1 teste_de_senha
10.2.2.2 123senha321
O local padro para o arquivo de configurao do agente /etc/fwagaut.cfg,
entretanto possvel cri-lo com qualquer outro nome ou em outro diretrio, desde
que seja informado isso ao agente no momento de sua execuo. Isto ser
mostrado no tpico abaixo.
Sintaxe de execuo do agente de autenticao
O agente de autenticao para Unix possui a seguinte sintaxe de execuo:
fwagaut [-?] [-c NOME_ARQUIVO] [-s <0-7>] [-q]
Onde:
-? Mostra esta mensagem retorna ao prompt do shell
-c Especifica o nome de um arquivo de configuracao alternativo
-s Especifica a fila do syslog para onde devem ser enviadas as
mensagens do autenticador. 0 = local0, 1 = local1, ...
-r Aceita validacao do usuario root
-e Aceita usuarios com senhas em branco
-q Nao mostra mensagem na hora da entrada
Suponha que o agente esteja localizado no diretrio /usr/local/bin e que se tenha
criado o arquivo de configurao com o nome /usr/local/etc/fwagaut.cfg. Neste caso,
para executar o agente, a linha de comando seria:
/usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg
Caso queira executar o agente com o arquivo de configurao no local padro, no
necessrio a utilizao da opo -c , bastando simplesmente execut-lo com o
comando:
/usr/local/bin/fwagaut
O agente de autenticao deve ser executado pelo o usurio root
Quando for feito alguma alterao no arquivo de configurao necessrio informar
isso ao agente, se ele estiver rodando. Para tal, deve-se executar o seguinte
comando:
#kill -1 pid
Aker Security Solutions

456

Onde pid o nmero do processo do agente de autenticao. Para ser obtido este
nmero, pode-se executar o comando.

#ps -ax | grep fwagaut , em mquinas baseadas em Unix BSD, ou


#ps -ef | grep fwagaut, em mquinas baseadas em Unix System V.
O agente de autenticao escuta requisies na porta 1021/TCP. No pode
existir nenhuma outra aplicao utilizando esta porta enquanto o agente estiver
ativo.
21.3.

Instalando o agente de autenticao em Windows Servertm

A instalao do agente de autenticao para Windows Servertm bastante simples.


Efetue o download do Agente de Autenticao adequado ao seu sistema no site da
Aker (http://www.aker.com.br), Para instal-lo, clique duas vezes no arquivo salvo.
O programa inicialmente mostrar uma janela pedindo uma confirmao para
prosseguir com a instalao. Deve-se responder Sim para continuar com a
instalao. A seguir ser mostrada uma janela com a licena e por fim a janela onde
pode especificar o diretrio de instalao. Essa janela possui o formato mostrado
abaixo:

Figura 296. Instalao do agente de autenticao do Windows Server pasta de destino.

Aker Security Solutions

457

Aps selecionar o diretrio de instalao, deve-se pressionar o boto Copiar


arquivos, que realizar toda a instalao do agente. Esta instalao consiste na
criao de um diretrio chamado de fwntaa, dentro do diretrio Arquivos de
Programas, com os arquivos do agente, a criao de um grupo chamado de
Firewall Aker com as opes de configurao e remoo do agente e a criao de
um servio chamado de Agente de autenticao do Aker Firewall. Este servio
um servio normal do Windows Servertm e pode ser interrompido ou iniciado atravs
do Painel de Controle, no cone servios.
O agente de autenticao escuta requisies nas portas 1016/TCP e 1021/TCP.
No pode existir nenhuma outra aplicao utilizando estas portas enquanto o agente
estiver ativo.
21.4.

Configurao do agente de autenticao para Windows Servertm

Aps realizada a instalao do agente, necessrio proceder com a sua


configurao. Esta configurao permite fazer o cadastramento de todos os
firewalls que iro utiliz-lo, bem como a definio de quais mensagens sero
produzidas pelo agente, durante seu funcionamento. Ao contrrio do agente de
autenticao para Unix, esta configurao feita atravs de um programa separado.
Para ter acesso ao programa de configurao, deve-se clicar no menu Iniciar,
selecionar o grupo Firewall Aker e dentro deste grupo a opo Configurar agente de
autenticao. Ao ser feito isso, ser mostrada a janela de configurao do agente,
que est distribuda em trs pastas:

Pasta de configurao dos firewalls

Aker Security Solutions

458

Figura 297. Agente de autenticao - Aker.

Esta pasta consiste em todas as opes de configurao do agente. Na parte


superior existem dois botes que permitem testar a autenticao de um determinado
usurio, a fim de verificar se o agente est funcionando corretamente. Na parte
inferior da pasta existe uma lista com os firewalls autorizados a se conectarem ao
agente de autenticao.
Para incluir um novo firewall na lista, basta clicar no boto Incluir, localizado na
barra de ferramentas. Para remover ou editar um firewall, basta selecionar o firewall
a ser removido ou editado e clicar na opo correspondente da barra de
ferramentas.
No caso das opes Incluir ou Editar ser mostrada a seguinte janela:

Aker Security Solutions

459

Figura 298. Agente de autenticao Firewall Aker.

IP: o endereo IP do firewall que se conectar ao agente.


Descrio: um campo livre, utilizado apenas para fins de documentao.
Senha: a senha utilizada para gerar as chaves de autenticao e criptografia
usadas na comunicao com o firewall. Esta senha deve ser igual configurada
na entidade do firewall. Para maiores informaes, veja o captulo intitulado
Cadastrando Entidades.
Confirmao: Este campo utilizado apenas para verificar se a senha foi
digitada corretamente. Deve-se digit-la exatamente como no campo Senha.
Autenticao de usurios suportada: Esse campo indica quais formas de
autenticao de usurios sero permitidas. Ela consiste de duas opes que
podem ser selecionadas independentemente:
Domnio Windows NT/2000: Se essa opo estiver marcada, o agente realizar
autenticao de usurios utilizando a base de usurios do Windows NT/2000.
SecurID ACE/Server: Se essa opo estiver marcada, o agente realizar
autenticao de usurios consultando o servidor SecurID.

Pasta de log

Aker Security Solutions

460

Figura 299. Agente de autenticao - Log.

Esta pasta muito til para acompanhar o funcionamento do agente de


autenticao. Ela consiste de uma lista com diversas mensagens ordenadas pela
hora. Ao lado de cada mensagem existe um cone colorido, simbolizando sua
prioridade. As cores tm o seguinte significado:
Verde

Depurao

Azul

Informao

Amarelo

Notcia

Vermelho

Advertncia

Preto

Erro

Caso no queira que uma determinada prioridade de mensagens seja gerada, basta
desmarcar a opo a sua esquerda.
A opo Usar visualizador de eventos, se estiver marcada, faz com que as
mensagens sejam enviadas para o visualizador de eventos do Windows.
Aker Security Solutions

461

Pasta de sobre

Figura 300. Agente de autenticao - Sobre.

Esta uma pasta meramente informativa e serve para obter algumas informaes
do cliente. Dentre as informaes teis se encontram sua verso e release.
Remoo do agente de autenticao para Windows Servertm
Para facilitar a remoo do agente de autenticao para NT, existe um utilitrio que
a realiza automaticamente. Para inici-lo, deve-se clicar no menu Iniciar, selecionar
o grupo Firewall Aker e dentro deste grupo a opo Remover agente de
autenticao. Ao ser feito isso, ser mostrada uma janela de confirmao.
Caso deseje desinstalar o agente, deve-se clicar no boto Sim, caso contrrio,
deve-se clicar no boto No, que cancelar o processo de remoo.

Aker Security Solutions

462

Configurando parmetros de
autenticao

Aker Security Solutions

463

22.

Configurando parmetros de autenticao


Este captulo mostrar quais so e como devem ser configurados os parmetros de
autenticao, essenciais para que seja possvel a autenticao de usurios pelo
firewall.

O que so os parmetros de autenticao?


Os parmetros de autenticao servem para informar ao firewall quais as formas de
autenticao que so permitidas, quais autenticadores devem ser pesquisados na
hora de autenticar um determinado usurio e em qual ordem. Alm disso, eles
controlam a forma com que a pesquisa feita, permitindo uma maior ou menor
flexibilidade para as autenticaes.
22.1.

Utilizando a interface grfica

Para ter acesso a janela de parmetros de autenticao deve-se:

Figura 301. Janela de acesso - Autenticao.


Aker Security Solutions

464

Clicar no menu Configurao do Firewall da janela Firewalls.


Selecionar o item Autenticao.
Essa janela consiste de cinco partes distintas: a primeira aba corresponde ao
Controle de Acesso onde os usurios e grupos de autenticadores so associados
com perfis de acesso. A configurao desta aba ser vista em detalhes em Perfis
de Acesso de Usurios, na segunda aba escolhe-se os Mtodos de autenticao
onde se determina os parmetros relativos autenticao de usurios por meio de
nomes/senhas e se configuram os parmetros de autenticao por token (SecurID)
e Autoridade Certificadora (PKI), a terceira aba configura-se a Autenticao para
Proxies. Na quarta aba "Autenticao local", na quinta e ltima aba so
configuradas o Controle de Acesso por IP que tambm ser visto com mais detalhes
em Perfis de Acesso de Usurios.
O boto OK far com que a janela de configurao de parmetros seja fechada e
as alteraes efetuadas aplicadas.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta
O boto Cancelar far com que a janela seja fechada porm as alteraes
efetuadas no sejam aplicadas.
Aba de Controle de Acesso

Figura 302. Autenticao de acesso: Controle de acesso.

Aker Security Solutions

465

A janela de controle de acesso permite que seja criada a associao de


usurios/grupos com um perfil de acesso.
Na parte inferior da janela existe um campo chamado Perfil Padro onde possvel
selecionar o perfil que ser associado aos usurios, que no se enquadrem em
nenhuma regra de associao.
A ltima coluna, quando preenchida, especifica redes e mquinas onde a
associao vlida. Se o usurio se encaixar na regra, mas estiver em um
endereo IP fora das redes e mquinas cadastradas, ento a regra ser pulada,
permitindo a atribuio de outro perfil ao usurio. Esse tipo de restrio muito til
para permitir acesso reas sensveis da rede apenas de alguns locais fsicos com
segurana aumentada.
Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se
proceder da seguinte maneira:
1. Clicar com o boto direito do mouse na lista de regras e selecionar a opo
Inserir;
2. Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos,
clicando-se com o boto direito no campo Autenticador;
3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecionar entre
listagem de usurios ou grupos e sua lista ser montada automaticamente a
partir do autenticador selecionado. A partir da lista selecionar o usurio ou grupo
desejado.

Aker Security Solutions

466

Figura 303. Autenticao de acesso: Listagem de grupos ou usurios.

4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu abaixo:

Figura 304. Autenticao de acesso: Escolha do perfil desejado.

5. Caso queira, arraste algumas entidades mquina, rede ou conjuntos para o


campo entidades. Se o usurio estiver fora dessas entidades, a regra ser
pulada.
Para remover uma regra entre um usurio/grupo e um perfil, deve-se proceder da
seguinte maneira:
1. Clicar na regra a ser removida, na lista da janela;
2. Clicar no boto Apagar.
Aker Security Solutions

467

Para alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte
forma:
1. Clicar na regra a ser movida de posio;
2. Arrastar para a posio desejada.
A ordem das associaes na lista de fundamental importncia. Quando um
usurio se autenticar, o Aker Firewall pesquisar a lista a partir do incio procurando
pelo nome desse usurio ou por um grupo de que ele faa parte. To logo um
desses seja encontrado, o perfil associado ao mesmo ser utilizado.
Aba Mtodos

Figura 305. Autenticao de acesso: Mtodos.

Habilita autenticao usurio/senha: Essa opo indica se o firewall aceitar ou


no autenticao de usurios por meio de nomes/senhas. Caso ela esteja ativa,
deve-se configurar os demais parmetros relativos a esse tipo de autenticao:
Pesquisar todos autenticadores: Este parmetro indica se o firewall deve tentar
validar um usurio nos prximos autenticadores da lista no caso de um autenticador
retornar uma mensagem de senha invlida.
Se esta opo estiver marcada, o firewall percorre todos os autenticadores da lista,
um a um, at receber uma resposta de autenticao correta ou at a lista terminar.
Aker Security Solutions

468

Caso ela no esteja marcada, a pesquisa ser encerrada no primeiro autenticador


que retornar uma mensagem de autenticao correta ou de senha invlida.
Esta opo s usada para respostas de senha invlida. Caso um autenticador
retorne uma resposta indicando que o usurio a ser validado no est cadastrado
na base de dados de sua mquina, o firewall continuar a pesquisa no prximo
autenticador da lista, independentemente do valor desta opo.
Pesquisar autenticador interno: Este parmetro indica se a base de usurios
locais do firewall - definida na pasta Autenticao Local - deve ser consultada para
validar a senha dos usurios. Se sim, tambm deve escolher no combo box ao lado
se essa base deve ser consultada antes ou depois dos demais autenticadores.
Permitir domnios especificados pelo usurio: Este parmetro indica se o
usurio na hora de se autenticar pode informar ao firewall em qual autenticador ele
deseja ser validado.
Se esta opo estiver marcada, o usurio pode acrescentar juntamente ao seu
nome, um sufixo formado pelo smbolo / e um nome de autenticador, fazendo com
que a requisio de autenticao seja enviada diretamente para o autenticador
informado. Caso ela no esteja marcada, a autenticao ser feita na ordem dos
autenticadores configurada pelo administrador.
O uso desta opo no obriga que o usurio informe o nome do autenticador,
apenas permite que ele o faa, se desejar. Caso o usurio no informe, a
autenticao seguir na ordem normal.
Para ilustrar a especificao de domnio, pode-se tomar como base um sistema no
qual existam dois autenticadores configurados, chamados de Unix e Windows
Server. Neste sistema, se um usurio chamado administrador desejar se autenticar
na mquina Windows Server, ento ele dever entrar com o seguinte texto, quando
lhe for solicitado seu login ou username: administrador/Windows Server. Caso ele
no informe o sufixo, o Aker Firewall tentar autentic-lo inicialmente pela mquina
Unix e caso no exista nenhum usurio cadastrado com este nome ou a opo
Pesquisa em todos os autenticadores estiver marcada, ele ento tentar autenticar
pela mquina Windows Server.
O nome do autenticador informado pelo usurio deve estar obrigatoriamente na
lista de autenticadores a serem pesquisados.
Autenticadores a pesquisar
Para incluir um autenticador na lista de autenticadores a serem consultados, devese proceder da seguinte forma:

Aker Security Solutions

469

1. Clicar com o boto direito do mouse onde aparecer um menu suspenso


(figura abaixo) ou arrastando a entidade autenticador para o local
indicado;

Figura 306. Autenticao de acesso: Adicionar entidades.

2. Seleciona-se o a opo Adicionar entidades e o autenticador a ser


includo, na lista mostrada direita.
Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinte
forma:
1. Selecionar o autenticador a ser removido e apertar a tecla delete ou;
2. Clicar no boto direito do mouse e selecionar no menu suspenso o item
Apagar

Figura 307. Autenticao de acesso: Remover entidades.

Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte


forma:
1. Selecionar o autenticador a ser mudado de posio na ordem de
pesquisa;
Aker Security Solutions

470

2. Clicar em um dos botes direita da lista: o boto com o desenho da seta


para cima far com que o autenticador selecionado suba uma posio na
lista. O boto com a seta para baixo far com que ele seja movido uma
posio para baixo na lista.
Dica: A adio ou remoo dos autenticadores pode ser feita diretamente com o
mouse, bastando clicar e arrastar os mesmos para a janela correspondente,
soltando em seguida.
Os autenticadores sero pesquisados na ordem que se encontram na lista, de
cima para baixo.
Habilitar autenticao PKI: Essa opo indica se o firewall aceitar ou no a
autenticao de usurios por meio de smart cards. Caso ela esteja ativa, deve-se
configurar as autoridades certificadoras nas quais o firewall confia.

Figura 308. Autenticao de acesso: Mtodos.

Autoridades Certificadoras Confiveis


Para incluir uma autoridade certificadora na lista de autoridades certificadoras
confiveis, deve-se proceder da seguinte forma:
1. Clicar com o boto direito do mouse e escolher a opo Incluir Entidades;
2. Selecionar a autoridade a ser includa;
Aker Security Solutions

471

3. Clique em Incluir;
4. Pode-se tambm clicar em uma autoridade certificadora e arrast-la para
posio desejada
Para remover uma autoridade certificadora da lista de autoridades confiveis, devese proceder da seguinte forma:
1. Selecionar a autoridade a ser removida e apertar a tecla delete ou
2. Clicar no boto direito do mouse sobre a entidade a ser removida e escolher
a opo Apagar
Habilitar autenticao por token: Essa opo indica se o firewall aceitar ou no a
autenticao de usurios por meio de tokens. Caso ela esteja ativa, deve-se configurar o
nome do autenticador token a ser consultado para validar os dados recebidos.

Figura 309. Autenticao de acesso: Mtodos (habilitar autenticao do Token).

Autenticador token a pesquisar: Este campo indica o autenticador token para o


qual os dados a serem validados sero repassados.

Aker Security Solutions

472

Aba Autenticao para Proxies

Figura 310. Autenticao de acesso: Autenticao para proxies.

Estes parmetros indicam que tipos de autenticao sero aceitas nos proxies e em
que ordem sero validadas. Isso importante pois quando um usurio autenticado
atravs de um browser, por exemplo, no possvel que ele especifique se est
utilizando token ou usurio/senha. As opes possveis de configurao so:
Autenticao Token antes da autenticao usurio/senha;
Autenticao usurio/senha antes da autenticao Token;
Autenticao Token somente;
Autenticao usurio/senha somente;

Aker Security Solutions

473

Aba Autenticao Local

Figura 311. Autenticao de acesso: Autenticao local.

Nessa pasta, pode cadastrar uma srie de usurios e associar um grupo a cada um
deles. Se a opo de usar a base local de usurios estiver habilitada, ento esses
usurios tambm sero verificados como se estivessem em um autenticador
remoto. Eles compem o autenticador local.
Para incluir um usurio, clique com o boto da direita e escolha inserir, ou ento use
o toolbar e clique no boto inserir. Pode-se usar o boto Inserir no seu teclado.

Figura 312. Aba para incluso de usurio.

Para alterar o nome do usurio e seu nome completo, basta dar um duplo clique no
campo correspondente:

Aker Security Solutions

474

Figura 313. Autenticao Autenticao local.

Para alterar a senha ou o grupo a que est associado o usurio, use o menu de
contexto sobre o item, clicando com o boto direito do mouse.

Figura 314. Autenticao alterao de senha ou grupo.

Aker Security Solutions

475

Para criar ou remover grupos, o procedimento o mesmo, mas na lista lateral


direita.

Figura 315. Autenticao local criar ou remover grupos.

Grupos vazios no sero mantidos pelo firewall, apenas aqueles que contiverem
ao menos um usurio.

Aker Security Solutions

476

Aba Controle de acesso por IP

Figura 316. Controle de acesso por IP.

O Aker Firewall pode controlar os acessos por intermdio de endereos IP


conhecidos juntamente com perfis criados para este fim. Esta aba permite a habilitar
e a desabilitar individual das regras que configuram a autenticao por Ip, no
sendo mais necessrio ter que remov-las para desabilit-las, podendo ser
habilitada ou desabilitada por meio da opo no menu suspenso ou por meio do
boto

localizado na barra de tarefas.

preciso escolher uma entidade rede ou uma entidade mquina, que definiro a
origem do trfego e associ-las ao perfil, de forma que o trfego originrio dessas
entidades no precisar de autenticao por usurio.
O Acesso por IP estar habilitado sempre que houver pelo menos uma regra
habilitada nesta aba.

Aker Security Solutions

477

Aba NTLM

Figura 317. Configurao NTLM.

A janela acima tem a funo de configurar a integrao do Aker Firewall ao


Microsoft Active Directory (AD) e utilizar o login automaticamente, sem que seja
solicitada a digitao no browser.
Esta integrao realizada atravs do Kerberos, Winbind e Samba e o
comportamento deste autenticador ser idntico aos outros tipos de autenticaes
suportadas pelo Aker Firewall podendo listar os usurios e grupos para a vinculao
com os perfis de acesso.
Habilitar NTLM: ativando esta opo, uma entidade com o nome NTLM_Auth,
estar disponvel para a configurao na Aba Mtodos da janela de Autenticao.
Active directory:
Endereo IPv4: endereo IP do servidor com o Microsoft Active Directory;
Hostname: nome netbius do servidor com o Microsoft Active Directory, obtido
a partir do comando hostname executado neste servidor.

Aker Security Solutions

478

Autenticao
Usurio: usurio com privilgios de administrao do domnio para
integrao.
Senha: senha do usurio citado acima.
Status/Atualizar status: Informa o status da integrao e logs em caso de falhas.

Para o bom funcionamento da integrao o Aker Firewall e o servidor com o


Microsoft Active Directory devem estar com a data e horas sincronizados atravs de
um servidor NTP.
Para que a integrao funcione o domnio configurado no Aker Firewall na janela
Configurao do Sistema, TCP/IP, aba DNS, deve ser o mesmo domnio do
Microsoft Active Directory.
Esta integrao est disponvel somente para o Filtro Web, em prximas verses
a integrao se estender para todas as funcionalidades do Aker Firewall.
Os usurios que no estiverem cadastrados no domnio do Microsoft Active
Directory a autenticao ser realizada atravs de um POP-UP no browser do
usurio que ser solicitada a cada 15 minutos. A janela que ser apresentada a
estes usurios:

Figura 318. Segurana do Window solicitao de usurio e senha.

Aker Security Solutions

479

A autenticao transparente est disponvel somente para o Filtro Web e Modo


PROXY ATIVO, em prximas verses a integrao se estender para todas as
funcionalidades do Aker Firewall.

22.2.

Utilizando a interface texto

A interface texto permite configurar qual o tipo de autenticao ser realizada e a


ordem de pesquisa dos autenticadores.
Localizao do programa: /aker/bin/firewall/fwauth
Sintaxe:
Uso: fwauth [mostra | ajuda]
fwauth [inclui | remove] [ca | token | autenticador] <entidade>
fwauth [dominio | pesquisa_todos] [sim | nao]
fwauth proxy [token | senha] [sim | nao]
fwauth proxy primeiro [token | senha]
Ajuda do programa:
Firewall Aker - Verso 6.5
fwauth - Configura parametros autenticacao
Uso: fwauth [mostra | ajuda]
fwauth [inclui | remove] [ca | token | autenticador] <entidade>
fwauth [dominio | pesquisa_todos] [sim | nao]
fwauth proxy [token | senha] [sim | nao]
fwauth proxy primeiro [token | senha]
mostra = mostra a configuracao atual
ajuda = mostra esta mensagem
inclui = inclui entidade na lista de autenticadores ativos
remove = remove entidade da lista de autenticadores ativos
dominio = configura se o usuario pode ou nao especificar dominio
pesquisa_todos = configura se deve pesquisar em todos os autenticadores
proxy senha = habilita autenticacao por proxies do tipo usuario/senha
proxy token = habilita autenticacao por proxies do tipo Token
proxy primeiro = configura qual o primeiro tipo de autenticacao a ser usado
Exemplo 1: (mostrando os parmetros de autenticao)
#fwauth mostraAUTENTICACAO USUARIO/SENHA:
--------------------------Pesquisa em todos autenticadores: sim
Aker Security Solutions

480

Usuario pode especificar dominio: nao


Autenticadores cadastrados:
aut_local
AUTENTICACAO PKI:
----------------Nao ha autenticadores cadastrados
AUTENTICACAO SECURY ID:
----------------------Nao ha autenticadores cadastrados
Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos)
#fwauth inclui autenticador "agente 10.0.0.12"
Autenticador includo

Aker Security Solutions

481

Perfis de acesso de Usurios

Aker Security Solutions

482

23.

Perfis de acesso de Usurios


Neste captulo mostrar para que servem e como configurar perfis de acesso no
Aker Firewall.

23.1.

Planejando a instalao

O que so perfis de acesso?


Firewalls tradicionais baseiam suas regras de proteo e controle de acesso a partir
de mquinas, atravs de seus endereos IP. Alm do Aker Firewall permitir este tipo
de controle, ele tambm permite definir o controle de acesso por usurios. Desta
forma, possvel que determinados usurios tenham seus privilgios e restries
garantidos, independentemente de qual mquina estejam utilizando em um
determinado momento. Isso oferece o mximo em flexibilidade e segurana.
Para possibilitar este controle de acesso em nvel de usurios, o Aker Firewall
introduziu o conceito de perfis de acesso. Perfis de acesso representam os direitos
a serem atribudos a um determinado usurio no firewall. Estes direitos de acesso
englobam todos os servios suportados pelo firewall, o controle de pginas WWW e
o controle de acesso atravs do proxy SOCKS. Desta forma, a partir de um nico
local, consegue definir exatamente o que pode e no pode ser acessado.
Como funciona o controle com perfis de acesso?
Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados e
posteriormente associa-se estes perfis com usurios e grupos de um ou mais
autenticadores. A partir deste momento, todas as vezes que um usurio se logar no
firewall com o Aker Client ou outro produto que oferea funcionalidade equivalente,
o firewall identificar o perfil de acesso correspondente a este usurio e configurar
as permisses de acesso de acordo com este perfil. Tudo feito de forma
completamente transparente para o usurio final.
Para que seja possvel o uso de perfis de acesso necessrio que o Aker Client
estejam instalado em todas as mquinas clientes ou que se use a opo de
autenticao por Java no Filtro Web. Caso contrrio, s ser possvel a utilizao de
controle de acesso a pginas WWW ou a servios atravs do proxy SOCKS. A
autenticao de usurios atravs do Filtro Web (sem Java) e SOCKS so possveis
na medida em que eles solicitaro um nome de usurio e uma senha e pesquisaro
o perfil correspondente quando no identificarem uma sesso ativa para uma
determinada mquina.
23.2.

Cadastrando perfis de acesso

Os perfis de acesso do Aker Firewall definem quais pginas WWW podem ser
visualizadas e quais tipos de servio podem ser acessados. Para cada pgina
Aker Security Solutions

483

WWW ou servio, existe uma tabela de horrios associada, atravs da qual


possvel definir os horrios nos quais o servio ou pgina podem ser acessados.
Para ter acesso janela de perfis de acesso deve-se:

Figura 319. Janela de acesso - Perfis.

Clicar no menu Configurao do Firewall da janela de administrao do firewall.


Selecionar o item Perfis.

Aker Security Solutions

484

A janela de Perfis

Figura 320. Perfis Aker Firewall.

A janela de perfis contm todos os perfis de acesso definidos no Firewall. Ela


consiste de uma lista onde cada perfil mostrado em uma linha separada.
O boto OK far com que a janela de perfis seja fechada;
O boto Aplicar enviar para o firewall todas as alteraes feitas, porm
manter a janela aberta;
Para executar qualquer operao sobre um determinado perfil, deve-se clicar sobre
ele e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes
opes esto disponveis:

Figura 321. Janela de configurao de perfil (inserir e excluir).

Aker Security Solutions

485

Inserir perfil filho: Incluir um novo perfil que filho do perfil atual, i.e.,
estabelece uma hierarquia de perfis.
Inserir: Permitir a incluso de um novo perfil na lista.
Copiar: Copiar o perfil selecionado para uma rea temporria.
Colar: Copiar o perfil da rea temporria para a lista.
Excluir: Remover da lista o perfil selecionado.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas, bem como a opo de relatrio dos Perfis, todos localizados logo
acima da lista. Neste caso, primeiro selecionam-se os itens para relatrio, e em
seguida indica o caminho e clique no boto Gerar.
Relatrio dos perfis: Gera relatrio da lista de perfis em um documento HTML.
Recomenda-se a no utilizao de caracteres especiais (espaos, traos, sinais,
acentos, aspas e etc..) na criao ou edio dos "perfis de acesso" do Firewall,
exemplo: "Perfil Administrao", a forma correta "Perfil_Administracao.
Para excluir um perfil de acesso, ele no poder estar associado a nenhum
usurio (para maiores informaes veja o tpico Associando Usurios com Perfis
de Acesso)
O perfil filho, criado com a opo Inserir perfil filho herdar automaticamente as
configuraes do perfil pai.
Na parte superior de ambas as pastas se encontram o campo Nome, que serve
para especificar o nome que identificar unicamente o perfil de acesso. Este nome
ser mostrado na lista de perfis e na janela de controle de acesso. No podem
existir dois perfis com o mesmo nome.
Cada perfil de acesso composto de sete tpicos diferentes. Dependendo do tpico
selecionado em um momento, a parte direita da janela mudar de modo a mostrar
as diferentes opes. Os tpicos de configurao so:

Aker Security Solutions

486

23.3.

Regras

Figura 322. Regras: regras de filtragem para o perfil de acesso.

A pasta de regras permite especificar regras de filtragem para o perfil de acesso.


Seu formato exatamente igual janela de regras de filtragem com a nica
exceo de que no se devem especificar entidades origem para a regra. Aqui
tambm possvel trabalhar com Polticas de Regras de Filtragem. (para maiores
informaes, consulte o captulo intitulado O Filtro de Estados).
As regras de filtragem para os perfis de acesso consideram como origem a
mquina na qual a sesso foi estabelecida. Devido a isso, necessrio apenas
especificar as entidades destino e servios que podem ser acessados.

Aker Security Solutions

487

23.4.

Regras SOCKS

Figura 323. Perfis: Socks.

A pasta de regras SOCKS permite especificar regras de filtragem para o acesso


atravs do proxy SOCKS. Seu formato exatamente igual janela de regras de
filtragem com a nica exceo de que no se deve especificar entidades origem
para a regra (para maiores informaes, consulte o captulo intitulado Filtro de
Estados).
As regras de filtragem para o proxy SOCKS consideram como origem a mquina
na qual a sesso foi estabelecida. Devido a isso necessrio apenas especificar as
entidades destino e servios que podem ser acessados.

Aker Security Solutions

488

23.5.

Geral

Figura 324. Perfis: Geral.

As opes gerais de filtragem so definidas pelos seguintes campos:


Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as
regras de seus perfis filhos.
Configura a prioridade para as regras dos perfis filhos: Se esta opo
estiver marcada, as regras dos perfis filhos iro aparecer acima das regras
dos perfis pais, isto , elas tero prioridade sobre as regras do pai. Caso
contrrio, as regras do perfil pai tero prioridade sobre as regras dos seus
perfis filhos. Ou seja, nos perfis filhos, as regras herdadas do pai iro
aparecer acima de suas regras.
Horrio padro: Esta tabela define o horrio padro para as regras de filtragem
WWW. Posteriormente, ao se incluir regras de filtragem WWW, existe a opo de se
utilizar este horrio padro ou especificar um horrio diferente.
As linhas representam os dias da semana e as colunas as horas. Caso queria que a
regra seja aplicvel em determinada hora ento o quadrado deve ser preenchido,
caso contrrio o quadrado deve ser deixado em branco. Para facilitar sua
configurao, pode-se clicar com o boto esquerdo do mouse sobre um quadrado e
a seguir arrast-lo, mantendo o boto pressionado. Isto faz com que o a tabela seja
alterada na medida em que o mouse se move.
Aker Security Solutions

489

23.6.

FTP e GOPHER

Figura 325. Perfis: FTP e Gopher.

A pasta de filtragem FTP e GOPHER permitem a definio de regras de filtragem de


URLs para os protocolos FTP e Gopher. Ela consiste de uma lista onde cada regra
mostrada em uma linha separada.
Na parte inferior da pasta existe um grupo que define a ao a ser executado caso o
endereo que o cliente desejou acessar no se encaixe em nenhuma regra de
filtragem. Este grupo chamado de Ao padro para o protocolo e consiste de
trs opes.
Permitir: Se esta opo for a selecionada, ento o firewall aceitar as URLs que
no se enquadrarem em nenhuma regra.
Bloquear: Se esta opo for a selecionada, ento o firewall rejeitar as URLs que
no se enquadrarem em nenhuma regra.
Para executar qualquer operao sobre uma determinada regra, basta clicar sobre
ela e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes
opes esto disponveis:

Aker Security Solutions

490

Figura 326. Janela de acesso - perfis (inseir e desabilitar).

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Excluir: Remover da lista a regra selecionada.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Desabilitar: Ativar ou desativar a regra selecionada na lista.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posio desejada, soltando em seguida. Observe que o cursor
de indicao do mouse ir mudar para uma mo segurando um basto.
A ordem das regras na lista de regras de filtragem de fundamental importncia.
Ao receber uma solicitao de acesso a um endereo, o firewall pesquisar a lista a
partir do incio, procurando por uma regra na qual o endereo se encaixe. To logo
uma seja encontrada, a ao associada a ela ser executada.
Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa
ser feita e, o texto a ser pesquisado. As seguintes opes operao esto
disponveis:
CONTM: A URL deve conter o texto informado em qualquer posio.
NO CONTM: A URL no pode conter o texto informado.
: O contedo da URL deve ser exatamente igual ao texto informado.
NO : O contedo da URL deve ser diferente do texto informado.
COMEA COM: O contedo da URL deve comear com o texto informado.
NO COMEA COM: O contedo da URL no pode comear com o texto
informado.
TERMINA COM: O contedo da URL deve terminar com o texto informado.
NO TERMINA COM: O contedo da URL no pode terminar com o texto
informado.
EXPRESSO REGULAR: O campo a ser pesquisado dever ser uma expresso
regular.
Seguem as definies dos campos da janela:
N: Nmero da regra de filtragem.
Aker Security Solutions

491

Limite de busca: Esse campo permite escolher em qual parte da URL ser feito a
busca, sendo que os parmetros a serem pesquisados foram definidos no campo
Text Patterns.
Padres de texto: Ao clicar com o boto direito do mouse nesse campo, permite
selecionar uma entidade lista de padres criada
anteriormente. Com isso, ser
possvel associar a regra uma entidade padro de pesquisa, permitindo definir
qual ser a string ou
os parmetros que sero pesquisados na URL acessada e
qual operao a ser efetuada.
Ao: Define a ao a ser executado caso o endereo que o usurio desejou
acessar no se encaixe em nenhuma regra de filtragem.
Consiste em
duas opes.
Permitir: Se esta opo for a selecionada, ento o firewall aceitar as URLs que
no se enquadrarem em nenhuma regra.
Bloquear: Se esta opo for a selecionada, ento o firewall rejeitar as URLs que
no se enquadrarem em nenhuma regra.
Categorias: Nesse campo, permite associar alguma entidade categoria regra que
est sendo criada.
Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de
determinados servios, mquinas, redes e/ou usurios.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos pelos
funcionrios, com acesso sites da WEB. Assim as quotas so os limites em
termos de tempo de acesso e volume de dados, por usurio. Nessa opo permite
associar ao usurio alguma entidade quota criada.
Time: Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo:
Permite definir que nas segundas-feiras e nas quartas-feiras o usurio ter acesso a
internet somente das 12:00 s 14:00.
Perodo de Validade: Perodo de validade e aplicao da regra. definido em ms
e ano.

Aker Security Solutions

492

23.7.

HTTP/HTTPS

Aba Geral

Figura 327. Geral: HTTP e HTTPS.

Bloquear: Este campo define as opes de bloqueio em sites WWW. So elas:


URLs com endereo IP: Se esta opo estiver marcada, no ser permitido o
acesso a URLs com endereos IP ao invs de nome (por exemplo,
http://10.0.1.6), ou seja, somente ser possvel se acessar URLs por nomes.
Caso tenha configurado o Filtro Web para fazer filtragem de URLs, deve-se
configurar esta opo de modo que o usurio no possa acessar atravs de
endereos IP, caso contrrio, mesmo com o nome bloqueado, o usurio continuar
podendo acessar a URL atravs de seu endereo IP. possvel acrescentar
endereos IP nas regras de filtragem WWW do perfil (caso queria realizar filtragem
com esta opo ativa), entretanto, devido a estes sofrerem mudanas e ao fato de
muitos servidores terem mais de um endereo IP, isto se torna extremamente difcil.
Por outro lado, muitos administradores percebem que sites mal configurados
(especialmente os de webmail) utilizam redirecionamento para servidores pelo seu
endereo IP, de forma que, com esta opo desmarcada, tais sites ficam
inacessveis.
Java, Javascript e Activex: Este campo permite definir uma filtragem especial
para pginas WWW, bloqueando, ou no, tecnologias consideradas perigosas ou
Aker Security Solutions

493

incmodas para alguns ambientes. Ela possui quatro opes que podem ser
selecionadas independentemente: Javascript, Java e ActiveX.
A filtragem de Javascript, Java e ActiveX feita de forma com que a pgina
filtrada seja visualizada como se o browser da mquina cliente no tivesse suporte
para a(s) linguagem(ns) filtrada(s). Em alguns casos, isto pode fazer com que as
pginas percam sua funcionalidade.
Bloqueio de Banners: Esta opo realiza o bloqueio de banners publicitrios
em pginas Web. Caso ela esteja marcada, o firewall substituir os banners por
espaos vazios na pgina, diminuindo o seu tempo de carga.
Uma vez configurado que se deve realizar o bloqueio, o mesmo ser feito atravs
de regras globais, iguais para todos os perfis. Para configurar estas regras de
bloqueio de banners, basta:

Figura 328. Janela de acesso - Bloqueio de Banners.

Clicar no menu Aplicao da janela principal.


Selecionar o item Bloqueio de banners.
Aker Security Solutions

494

A janela abaixo ir ser mostrada:

Figura 329. Bloqueio de Banners (URL de banners).

Esta janela formada por uma srie de regras no formado de expresso regular.
Caso uma URL se encaixe em qualquer regra, a mesma ser considerada um
banner e ser bloqueada.
A pasta de filtragem HTTP/HTTPS permite a definio de regras de filtragem de
URLs para os protocolos HTTP/HTTPS. Ela consiste de uma lista onde cada regra
mostrada em uma linha separada.
O protocolo HTTPS, para a URL inicial filtrado como se fosse o protocolo HTTP.
Alm disso, uma vez estabelecida comunicao no mais possvel para o
firewall filtrar qualquer parte de seu contedo, j que a criptografia realizada
diretamente entre o cliente e o servidor.

Aker Security Solutions

495

Aba Filtro de URL

Figura 330. Perfis: bloqueio de URL.

Na parte inferior da pasta existe um grupo que define a ao a ser executado caso o
endereo que o cliente desejou acessar no se encaixe em nenhuma regra de
filtragem. Este grupo chamado de Ao padro para o protocolo e consiste de
trs opes.
Permitir: Se esta opo for a selecionada, ento o firewall aceitar as URLs que
no se enquadrarem em nenhuma regra.
Bloquear: Se esta opo for a selecionada, ento o firewall rejeitar as URLs que
no se enquadrarem em nenhuma regra.
Para executar qualquer operao sobre uma determinada regra, basta clicar sobre
ela e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes
opes esto disponveis:

Figura 331. Barra de ferramentas (inserir ou desabilitar).

Aker Security Solutions

496

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Excluir: Remover da lista a regra selecionada.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Desabilitar: Ativar ou desativar a regra selecionada na lista.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posio desejada, soltando em seguida. Observe que o cursor
de indicao do mouse ir mudar para uma mo segurando um basto.
A ordem das regras na lista de regras de filtragem WWW de fundamental
importncia. Ao receber uma solicitao de acesso a um endereo, o firewall
pesquisar a lista a partir do incio, procurando por uma regra na qual o endereo se
encaixe. To logo uma seja encontrada, a ao associada a ela ser executada.
Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa
ser feita e, o texto a ser pesquisado. As seguintes opes operao esto
disponveis:
CONTM: A URL deve conter o texto informado em qualquer posio.
NO CONTM: A URL no pode conter o texto informado.
: O contedo da URL deve ser exatamente igual ao texto informado.
NO : O contedo da URL deve ser diferente do texto informado.
COMEA COM: O contedo da URL deve comear com o texto informado.
NO COMEA COM: O contedo da URL no pode comear com o texto
informado.
TERMINA COM: O contedo da URL deve terminar com o texto informado.
NO TERMINA COM: O contedo da URL no pode terminar com o texto
informado.
EXPRESSO REGULAR: O campo a ser pesquisado dever ser uma expresso
regular.
Seguem as definies dos campos da janela:
N: Nmero da regra de filtragem.
Limite de busca: Esse campo permite escolher em qual parte da URL ser feito
a busca, sendo que os parmetros a serem
pesquisados foram definidos
no campo Text Patterns.
Padres de texto: Ao clicar com o boto direito do mouse nesse campo, permite
selecionar uma entidade lista de padres criada anteriormente. Com isso, ser
possvel associar a regra uma entidade padro de pesquisa, permitindo definir
qual ser a string ou os parmetros que sero pesquisados na URL acessada
e qual operao a ser efetuada.
Ao: Define a ao a ser executado caso o endereo que o usurio desejou
acessar no se encaixe em nenhuma regra de filtragem.
Consiste em
duas opes.
Aker Security Solutions

497

Permitir: Se esta opo for a selecionada, ento o firewall aceitar as URLs que
no se enquadrarem em nenhuma regra.
Bloquear: Se esta opo for a selecionada, ento o firewall rejeitar as URLs
que no se enquadrarem em nenhuma regra.
Categorias: Nesse campo, permite associar alguma entidade categoria regra
que est sendo criada.
Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de
determinados servios, mquinas, redes e/ou usurios.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos
pelos funcionrios, com acesso sites da WEB. Assim as quotas so os
limites em termos de tempo de acesso e volume de dados, por usurio. Nessa
opo permite associar ao usurio alguma entidade quota criada.
Time:Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo:
Permite definir que nas segundas-feiras e nas
quartas- feiras o usurio
ter acesso a internet somente das 12:00 s 14:00.
Perodo de Validade: Perodo de validade e aplicao da regra. definido em
ms e ano.
Aba Arquivos Bloqueados

Figura 332. Perfis: Arquivos bloqueados.

Aker Security Solutions

498

Especificar os arquivos que sero bloqueados pelo perfil juntamente com o Filtro
Web.
possvel utilizar dois critrios complementares para decidir se um arquivo
transferido deve ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um
destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre
aqueles a serem bloqueados, ento o arquivo dever ser bloqueado pelo firewall.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo
e o segundo indica o subtipo. O navegador usa esta informao para decidir como
mostrar a informao que ele recebeu do mesmo modo como o sistema operacional
usa a extenso do nome do arquivo.
Sites Excludos:
Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se
enquadrarem na lista de excludos no sero analisados.
As escolhas dos operadores podem ser vistas abaixo:

Figura 333. Escolhas de operadores.

Aker Security Solutions

499

URL Bloqueada:
Permitir a configurao de qual ao deve ser executada pelo firewall quando um
usurio tentar acessar uma URL no permitida. Ela consiste das seguintes: opes:
Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo, o
firewall mostrar uma mensagem de erro informando que a URL que se
tentou acessar se encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opo, o firewall
redirecionar todas as tentativas de acesso a URLs bloqueadas para uma
URL especificada pelo administrador. Nesse caso, deve-se especificar a URL
para quais os acessos bloqueados sero redirecionados (sem o prefixo
http://) no campo abaixo.
Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio,
quando a tentativa de acesso a uma URL for bloqueada. Ento pode-se optar
em mostrar a pgina padro ou redirecionar para a pgina escolhida, que
ser personalizada de acordo com os chekboxs selecionados. Segue abaixo
a descrio de cada opo e o detalhamento das variveis criadas.
Cada um desses checkbox selecionado, um parmetro. Isso utilizado para
identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina
foi bloqueada porque caiu em alguma categoria, passar por parmetro qual a
categoria que causou o bloqueio da pgina.
Domnio: Ao selecionar essa opo ser mostrada o domnio da URL.
Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br.
Ao selecionar o domnio, criada a varivel domain.
Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT,
POST. Ao selecionar o Mtodo criada a varivel method.
Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar
essa opo criada a varivel perfil.
Ip do usurio: Endereo IP do usurio que tentou acessar a URL que foi
bloqueada. Ao selecionar o Mtodo criada a varivel ip.
Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa
opo ser mostrada a razo do bloqueio do site. Por exemplo, temos as
seguintes razes:
"categoria da URL",
"regra de bloqueio",
"quota bytes excedidos",
"quota bytes insuficientes",
"quota tempo excedido",
Aker Security Solutions

500

"tipo de objeto nao permitido",


"tipo de arquivo nao permitido globalmente",
"tipo de arquivo nao permitido no perfil",
"connect para a porta especificada nao permitido"
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao
selecionar a Categoria criada a varivel cats.
Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao
selecionar o nome do usurio criada a varivel user.
Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou.
Ao selecionar o nmero da regra criada a varivel rule.
Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi
bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url.
No preview, aparece como ser a URL e o que ser enviado via mtodo GET.

Aker Security Solutions

501

23.8.

Secure Roaming

Aba Configurao

Figura 334. Perfis: Security Roaming.

Essa pasta permite que sejam configuradas as opes de acesso do Secure


Roaming que variam de acordo com as permisses do cliente que est conectado.
Para as demais configuraes, veja o captulo Configuraes do Secure
Roaming.
Permite Secure Roaming: Habilita a fazer uso do secure roaming do
Firewall.
Permite o envio de pacotes broadcast aos clientes: Pacotes broadcast
so utilizados por protocolos que precisam, em algum ponto de seu
funcionamento, uma comunicao entre um hosts e todos os outros de
uma sub-rede de modo eficiente. Esse o caso do protocolo Netbios
sobre IP. Infelizmente, o abuso no uso desse tipo de pacote pode causar o
congestionamento de um link lento, como uma conexo dial-up.
Alterar o gateway padro durante a sesso VPN: Ao alterar a rota
padro dos hosts que se conectam via Secure Roaming, eles passam a
Aker Security Solutions

502

no conseguir acessar outros destinos na Internet sem passar por dentro


da rede com os endereos virtuais do Secure Roaming. Isso significa que,
para conexes bidirecionais, eles ficam protegidos pelo firewall
coorporativo e tambm sujeitos s polticas nele definidas.
Servidores DNS: Configura at trs servidores DNS a serem usados
durante a sesso criptogrfica. Usado para o caso de haver um servidor
de DNS interno na corporao.
Servidores WINS: Configura at trs servidores WINS a serem usados
durante a sesso criptogrfica. Da mesma forma, essa configurao ser
til no caso de a corporao usar servidores WINS internos. ignorada
pelos clientes que no sejam Windows.
Domnio: Acrescenta um domnio s configuraes de nomes da mquina
cliente durante a sesso criptogrfica. Geralmente usado em conjunto
com a alterao dos servidores DNS.
Rotas: Durante a sesso do cliente, algumas rotas podem ser
necessrias para acessar diversos servios da rede interna. Elas se
cadastram uma a uma nesse campo.

Aker Security Solutions

503

Aba Conjunto de Endereos

Figura 335. Perfis: Security Roaming (conjunto de endereos).

Permite definir um IP ou um range de IPs aos clientes que se conectarem ao


Firewall e estiverem vinculados a este perfil. Caso no tenha uma configurao
nesta Aba, ser utilizado as configuraes padres do Secure Roaming.

Aker Security Solutions

504

23.9.

VPN SSL (Proxy SSL)

Figura 336. Perfis: VPN-SSL (Proxy SSL).

Esta pasta permite configurar os servios para que possam ser acessados atravs
de Proxy SSL e/ou VPN SSL pelos usurios que se enquadrarem neste perfil de
acesso. Seu formato exatamente igual janela de regras de filtragem com as
excees de que no se deve especificar entidades origem para a regra e de que
nem todas as opes esto disponveis (acumulador, canal, etc). Aqui tambm
possvel trabalhar com Polticas de Regras de Filtragem. (para maiores informaes,
consulte o captulo intitulado O Filtro de Estados).
N.: Nmero da regra de filtragem.
Destino: Nesta coluna pode-se controlar o destino da conexo.
Servios: Permite indicar a porta de comunicao do protocolo.
Tipo: Indica o tipo de conexo SSL. Pode ser direta ou por meio do applet.
A conexo direta denominada Proxy Reverso SSL, que possibilita a utilizao de
certificados X.509 com tamanhos de chaves 1024, 2048 ou 4096 bits. O Cliente abre
uma conexo SSL com o Firewall e o Firewall abre uma conexo normal com o
servidor.

Aker Security Solutions

505

Figura 337. Conexo Direta: Proxy Reverso SSL.

Na conexo via applet o cliente abre uma conexo via SSL com o Firewall por meio
de uma pgina WEB. O Firewall disponibiliza um applet de redirecionamento que o
cliente ir baix-lo em sua mquina. Esse applet inicia uma conexo com o Firewall
via SSL e o Firewall inicia uma conexo com o servidor.

Figura 338. Conexo Via Apllet.

Figura 339. Conexo Cliente Applet / SSL / Normal.

Aker Security Solutions

506

Servio de Bind: Permite indicar a porta de comunicao onde o applet (dar um


bind) iniciar o servio. Para isso deve-se inserir uma ou mais entidades do tipo
servio.
Ao: Este campo define qual a ao a ser tomada para todos os pacotes que se
encaixem nesta regra. Ela consiste nas seguintes opes:
Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem
atravs do firewall;
Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram
nesta regra. Assim ser enviado um pacote ICMP para a mquina de
origem do pacote dizendo que o destino inatingvel. Esta opo no
funciona para alguns tipos de servio ICMP, devido a uma caracterstica
inerente a este protocolo.
Log: Definir quais tipos de aes sero executadas pelo sistema quando um pacote
se encaixar na regra. Ele consiste em vrias opes que podem ser selecionadas
independentemente uma das outras.
Hora: Definir as horas e dias da semana em que a regra ser aplicvel. As linhas
representam os dias da semana e as colunas representam as horas. Caso queira
que a regra seja aplicvel em determinada hora o quadrado deve ser preenchido,
caso contrrio o quadrado deve ser deixado em branco.
As regras de filtragem para os perfis de acesso consideram como origem a
mquina na qual a sesso foi estabelecida. Devido a isso necessrio apenas
especificar as entidades destino e servios que podem ser acessados.

Aker Security Solutions

507

23.10.

MSN Messenger

Figura 340. Perfis MSN Messenger.

Essa pasta permite configurar as opes de uso do MSN Messenger e seus


servios. Para mais informaes, veja o captulo Configurando o Proxy MSN. As
seguintes opes esto disponveis:
Permite Messenger: Se esta opo estiver desmarcada, os usurios que
pertencerem a este perfil no podero acessar o Messenger, mesmo que exista
uma regra de filtragem permitindo este acesso.
fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP,
caso contrrio poder ser possvel acessar o Messenger atravs deste servio. Esta
opo de bloqueio j vem configurada como padro, mas importante atentar a isso
caso se realize configuraes no proxy HTTP.
No Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger
esteja ativa. Ela indica que o usurio poder usar MSN Messenger, sem nenhum
tipo de filtragem (ex: tempo de conversao, etc.).
Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger esteja
ativa. Ela indica que o usurio poder usar o MSN Messenger, porm de forma
controlada, ou seja, definida atravs das regras de filtragem para este servio.

Aker Security Solutions

508

Permite notificaes do Hotmail: Esta opo (que s estar ativa caso o acesso
filtrado ao MSN Messenger tenha sido selecionado) permite que o usurio receba
notificaes de mensagens disponveis no Hotmail.
Incluir conversas nos registros de log: Esta opo registrar todas as conversas
entre os usurios.
Bloquear verso: Estas opes permitem que sejam bloqueadas as verses
especficas do cliente MSN Messenger.
Caso tenha selecionado a opo de acesso controlado ao Messenger, necessrio
criar uma ou mais regras para definir que tipo de acesso ser permitido. Para
executar qualquer operao sobre uma regra, basta clicar sobre ela com o boto
direito e a seguir escolher a opo desejada no menu que ir aparecer. As
seguintes opes esto disponveis:

Figura 341. Menu (inserir/desabilitar) para executar qualquer operao sobre a regra.

Inserir: Permitir a incluso de uma nova regra na lista.


Excluir: Remover da lista a regra selecionada.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista.
Desabilitar: Ativar ou desativar a regra selecionada na lista.
Cada regra MSN consiste das seguintes opes:
Origem: Endereo de e-mail do usurio que enviou a mensagem, ou seja que
iniciou a conversa.
Destino: Nesta coluna pode-se controlar com quem os usurios internos iro
conversar, para isso deve-se inserir uma ou mais entidades do tipo Lista de e-mails
(para maiores informaes veja o captulo (Cadastrando entidades), contendo a
lista de e-mails ou domnios liberados.
Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos
podem ser enviados/recebidos atravs do Messenger. Para isso deve-se inserir uma
ou mais entidades do tipo Lista de Tipo de Arquivo (para maiores informaes veja o
captulo Cadastrando entidades), contendo a lista de tipos de arquivos permitidos.
Servios Permitidos: Nesta coluna pode-se especificar quais servios adicionais
podem ser utilizados atravs do Messenger. A definio dos tipos de servios
Aker Security Solutions

509

possveis feita dentro da configurao do proxy MSN. Para maiores informaes


veja o captulo Configurando o proxy MSN.
Log: Se estiver marcado, informao sobre as conversas de todos os usurios
sero registradas. Os seguintes dados estaro disponveis no log: logon/logoff de
usurio, transferncia de arquivos, utilizao de servio adicional e incio e fim de
conversa.
Pastas compartilhadas: Nesta opo opta por permitir ou no que o usurio
compartilhe pastas no MSN.
Tabela de Horrios: Horrio em que o usurio poder utilizar o servio Messenger,
dividido nas 24 horas do dia. Caso seja desejado possvel copiar o horrio padro
do perfil de acesso, clicando-se com o boto direito sobre a tabela de horrios e
selecionando-se a opo Usar tabela de horrio padro do perfil.
Ao: Define a ao a ser executado caso o endereo que o usurio desejou
acessar no se encaixe em nenhuma regra de filtragem. Consiste em duas opes.
Permitir: Se esta opo for a selecionada, ento o firewall aceitar as URLs que
no se enquadrarem em nenhuma regra.
Bloquear: Se esta opo for a selecionada, ento o firewall rejeitar as URLs que
no se enquadrarem em nenhuma regra.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gasto pelos
funcionrios, com acesso sites da WEB. Assim as quotas so os limites em
termos de tempo de acesso e volume de dados, por usurio. Nessa opo permite
associar ao usurio alguma entidade quota criada.

Aker Security Solutions

510

23.11.

Filtros de Aplicao

Figura 342. Perfis: Filtragem de aplicao.

Essa pasta permite configurar as regras para filtros de aplicao. Estas regras
permitem, por exemplo, que determinados tipos de arquivos sejam bloqueados de
acordo com seu tipo real, independentemente de sua extenso ou protocolo que
esteja sendo utilizado para envi-los. possvel tambm ao invs de bloquear,
simplesmente mudar a prioridade de um servio ou tipo de arquivo sendo
transmitido.
Uma das grandes utilizaes destes filtros para otimizar o acesso Internet.
possvel, por exemplo, que todos os usurios tenham um acesso rpido a Internet,
porm quando estes tentarem baixar arquivos cujos tipos no sejam considerados
importantes, i.e, mp3, vdeos, etc, a conexo sendo utilizada para transferir estes
arquivos automaticamente fique com uma largura de banda bastante reduzida.
Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o
boto direito e a seguir escolher a opo desejada no menu que ir aparecer. As
seguintes opes esto disponveis:

Figura 343. Menu (inserir/desabilitar) para executar qualquer operao sobre a regra.
Aker Security Solutions

511

Inserir: Permitir a incluso de uma nova regra na lista.


Excluir: Remover da lista a regra selecionada.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista.
Desabilitar: Ativar ou desativar a regra selecionada na lista.
Cada regra consiste dos seguintes campos:
Destino: Especificar os destinos da comunicao que o filtro estar inspecionando,
para isso deve-se inserir uma ou mais entidades do tipo mquinas, redes ou
conjuntos (para maiores informaes veja o captulo Cadastrando entidades).
Servio: Especificar os servios da comunicao que o filtro estar inspecionando,
para isso deve-se inserir uma ou mais entidades do tipo servio (para maiores
informaes veja o captulo Cadastrando entidades).
Filtros de Aplicao: Indicar quais os filtros que estaro ativos para as conexes
que forem em direo a um dos destinos especificados na regra e utilizando um dos
servios tambm especificados. A definio dos filtros feita na janela de Filtragem
de Aplicaes. Para maiores informaes veja o captulo Configurando Filtragem
de Aplicaes.
Ao: Esta coluna indica a ao que ser tomada pelo firewall caso um dos filtros
especificados seja aplicado. Ela consiste das seguintes opes:
Aceita: Significa que a conexo ser autorizada a passar atravs do firewall.
Rejeita: Significa que a conexo no passar pelo firewall e ser enviado um
pacote de reset para a mquina originria da comunicao.
Descarta: Significa que a conexo no passar pelo firewall, mas no ser enviado
nenhum pacote para a mquina de origem.
Mudar prioridade: Indica que a conexo ser aceita, porm com uma prioridade
diferente, que dever ser especificada na coluna Canal.
Bloqueia origem: Indica que a mquina que originou a conexo dever ser
bloqueada por algum tempo (isso significa que todas as conexes originadas nela
sero recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto
tempo a mquina permanecer bloqueada.
Canal: Esta coluna s estar habilitada caso a ao Mudar prioridade tenha sido
selecionada. Ela indica qual a nova prioridade que ser atribuda conexo. Devese inserir uma entidade do tipo canal (para maiores informaes veja o captulo
Cadastrando entidades).
Tempo de bloqueio: Esta coluna s estar habilitada caso a ao Bloqueia
origem tenha sido selecionada. Ela indica por quanto tempo a mquina origem ser
bloqueada.
Aker Security Solutions

512

23.12.

Associando Usurios com Perfis de Acesso

Uma vez que os perfis de acesso esto criados, torna-se necessrio associ-los
com usurios e grupos de um ou mais autenticadores ou autoridades certificadoras
do firewall. Isto feito atravs da janela de controle de acesso.
Para ter acesso a janela de controle de acesso deve-se:

Figura 344. Janela de acesso - Autenticao.

Clicar no menu Configuraes do Firewall da janela principal.


Selecionar o item Autenticao.
Selecionar a pasta Controle de Acesso.

Aker Security Solutions

513

A pasta de Controle de Acesso

Figura 345. Autenticao: Controle de acesso.

A janela de controle de acesso permite que seja criada a associao de


usurios/grupos com um perfil de acesso.
Na parte inferior da janela existe um campo chamado Perfil Padro onde se pode
selecionar o perfil que ser associado aos usurios que no se enquadrem em
nenhuma regra de associao.
A ltima coluna, quando preenchida, especifica redes e mquinas onde a
associao vlida. Se o usurio se encaixar na regra, mas estiver em um
endereo IP fora das redes e mquinas cadastradas, ento a regra ser pulada,
permitindo a atribuio de outro perfil ao usurio. Esse tipo de restrio muito til
para permitir acesso reas sensveis da rede apenas de alguns locais fsicos com
segurana aumentada.
Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se
proceder da seguinte maneira:
1. Clicar com o boto direito do mouse na lista de regras e selecionar a opo
Inserir;
Aker Security Solutions

514

2. Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos,


clicando-se com o boto direito no campo Autenticador. Para maiores
informaes sobre os autenticadores, veja o captulo intitulado Configurando
parmetros de autenticao.
3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecionar entre
listagem de usurios ou grupos e sua lista ser montada automaticamente a
partir do autenticador selecionado. A partir da lista selecionar o usurio ou grupo
desejado.

Figura 346. Menu de escolha do usurio.

4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu abaixo:

Figura 347. Menu de escolha do perfil.

5. Caso deseje, arraste algumas entidades mquina, rede ou conjuntos para o


campo entidades. Se o usurio estiver fora dessas entidades, a regra ser
pulada.

Aker Security Solutions

515

Para remover uma regra entre um usurio/grupo e um perfil, deve-se proceder da


seguinte maneira:
1. Clicar na regra a ser removida, na lista da janela.
2. Clicar no boto Apagar.
Para alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte
forma:
1. Clicar na regra a ser movida de posio.
2. Arrastar para a posio desejada.
A ordem das associaes na lista de fundamental importncia. Quando um
usurio se autenticar, o firewall pesquisar a lista a partir do incio procurando pelo
nome desse usurio ou por um grupo de que ele faa parte. To logo um desses
seja encontrado, o perfil associado ao mesmo ser utilizado.
A aba Controle de Acesso por IP

Figura 348. Controle de acesso por IP.

Aker Security Solutions

516

O firewall pode controlar os acessos por intermdio de endereos IP conhecidos


juntamente com perfis criados para este fim. Basta o administrador cadastrar a rede
conhecida e arrastar para a posio Entidades de Origem, em seguida incluir na
coluna Perfil o perfil ou perfis necessrios na regra.
A caixa Ativar controle de acesso por endereo IP origem dever estar
marcada para que o firewall use esta facilidade.

Aker Security Solutions

517

Autenticao de Usurios

Aker Security Solutions

518

24.

Autenticao de Usurios
Este captulo mostrar o que o Cliente de Autenticao Aker e para que serve
essa ferramenta que propicia grande nvel de segurana.

24.1.

Visualizando e Removendo Usurios Conectados no Firewall

possvel visualizar a qualquer momento os usurios que possuem sesso


estabelecida com o firewall, atravs do cliente de autenticao, e remover uma
destas sesses. Isto feito atravs da janela de usurios logados.
Para ter acesso a janela de usurios logados deve-se:

Figura 349. Janela de acesso - usurios conectados.

Clicar no menu Informao da janela de administrao do firewall.


Selecionar Usurios Conectados.

Aker Security Solutions

519

A janela de Usurios Conectados

Figura 350. Usurios conectados (mquina, nome, domnio, perfil, inicio, TPC e n de usurios

conectados.)

Esta janela consiste de uma lista com uma entrada para cada usurio. Na parte
inferior da janela mostrada uma mensagem informando o nmero total de usurios
com sesses estabelecidas um determinado instante. Para os usurios logados via
Secure Roaming, sero mostrados tambm os dados da conexo (endereo IP e
portas) junto com o estado de estabelecimento da mesma.
O boto OK faz com que a janela de usurios seja fechada.
O boto Cancelar fecha a janela.
A caixa Itens selecionados no topo coloca os itens que foram selecionados
para o topo da janela de usurios conectados.
Barra de Ferramentas de Usurios Conectados:

Figura 351. Barra de ferramentas: usurios conectados.

Aker Security Solutions

520

O boto Atualiza faz com que as informaes mostradas sejam atualizadas


periodicamente de forma automtica ou no. Clicando-se sobre ele, alterna-se
entre os dois modos de operao. O intervalo de atualizao pode ser
configurado mudando-se o valor logo a direita deste campo.
O boto Buscar, localizado na barra de ferramentas, permite remover uma
sesso de usurio. Para tal deve-se primeiro clicar sobre a sesso que deseja
remover e a seguir clicar neste boto (ele estar desabilitado enquanto no
existir nenhuma sesso selecionada).
O boto DNS, localizado na barra de ferramentas, acionar o servio de nomes
(DNS) para resolver os nomes das mquinas cujos endereos IPs aparecem
listados. Cabem ser observados os seguintes pontos:
1. A resoluo de nomes muitas vezes um servio lento e, devido a isso, a
traduo dos nomes feita em segundo plano.
2. Muitas vezes, devido a problemas de configurao do DNS reverso (que
o utilizado para resolver nomes a partir de endereos IP), no ser
possvel a resoluo de certos endereos. Neste caso, os endereos no
resolvidos sero mantidos na forma original e ser indicado ao seu lado
que eles no possuem DNS reverso configurado.
possvel ordenar a lista das sesses por qualquer um de seus campos,
bastanto para isso clicar no ttulo do campo. O primeiro click produzir uma
ordenao ascendente e o segundo uma ordenao descendente.
Significado dos campos de uma sesso de usurio ativa
Cada linha presente na lista de sesses de usurios representa uma sesso. O
significado de seus campos mostrado a seguir:
cone: mostrado a esquerda do nome de cada usurio e pode assumir trs formas
distintas:
Cadeado: Este cone indica que o usurio se logou atravs do cliente de criptografia
apenas.
Usurio: Este cone indica que o usurio se logou atravs do cliente de
autenticao apenas.
Usurio dentro do cadeado: Este cone indica que o usurio se logou atravs do
cliente de autenticao e de criptografia.
Mquina: Endereo IP ou nome (caso o DNS esteja ativo) da mquina na qual a
sesso foi estabelecida.
Nome: Nome do usurio que estabeleceu a sesso.
Domnio: Nome do domnio, i.e. autenticador, no qual o usurio se autenticou. Caso
o usurio no tenha especificado domnio ao se logar, este campo aparecer em
branco.
Aker Security Solutions

521

Perfil: Qual o perfil de acesso correspondente a esta sesso. Se este campo est
em branco, o usurio se autenticou antes de a tabela de perfis ser alterada, de
forma que ele est utilizando um perfil que no existe mais.
Incio: Hora de abertura da sesso.
24.2.

Utilizando a Interface Texto

A interface texto para acesso lista de usurios logados possui as mesmas


capacidades da interface grfica e simples de ser utilizado. Ele o mesmo
programa que produz a lista de conexes ativas TCP e UDP, mostrado
anteriormente.
Localizao do programa: /aker/bin/firewall/fwlist
Sintaxe:
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino
fwlist remove sessao IP_origem
Ajuda do programa:
Firewall Aker - Verso 6.5
fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino
fwlist remove sessao IP_origem
ajuda = mostra esta mensagem
mostra = lista as conexoes ou sessoes ativas
remove = remove uma conexao ou sessao ativa
Exemplo 1: (listando as sesses de usurios logados no firewall)
#fwlist mostra sessoes
Nome/Dominio Perfil IP origem Inicio
------------------------------------------------------------------------------administrador/BSB Admin 10.20.1.1 08:11:27
jose.silva/GOA Padrao5 10.45.1.1 07:39:54
joao.souza/POA Padrao3 10.57.1.1 07:58:10
josemaria/GRU Padrao3 10.78.1.1 08:01:02
angelam/BSB 1 Restrito 10.22.1.1 08:48:31
marciam/POA Restrito 10.235.1.1 10:49:44
Aker Security Solutions

522

antonioj/POA Especial 10.42.2.1 06:02:19


operador/BSB Padrao 10.151.2.1 20:44:34
Exemplo 2: (removendo a sesso do usurio logado a partir da mquina 10.19.1.1)
#fwlist remove sessao 10.19.1.1

A remoo da sesso foi solicitada ao servidor de usurios.

Aker Security Solutions

523

Configurando o Proxy SMTP

Aker Security Solutions

524

25.

Configurando o Proxy SMTP


Este captulo mostrar quais as funes oferecidas pelo proxy SMTP e como
realizar sua configurao.

O que o proxy SMTP?


O proxy SMTP um programa especializado do Aker Firewall feito para trabalhar
com correio eletrnico (SMTP um anagrama para Simple Mail Transfer Protocol,
que o nome completo do servio de transferncia de correio eletrnico na
Internet). Este proxy possibilita que sejam realizadas filtragens de e-mails baseadas
em seu contedo ou em qualquer campo de seu cabealho. Ele tambm atua como
uma barreira protegendo o servidor SMTP contra diversos tipos de ataques.
Ele um proxy transparente (para maiores informaes veja o captulo intitulado
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de
sua existncia.
Descrio de uma mensagem SMTP
Para entender o funcionamento da filtragem de campos do proxy SMTP,
necessrio algumas informaes sobre as mensagens de correio eletrnico.
Uma mensagem de e-mail formada por trs partes distintas: envelope, cabealho
e corpo. Cada uma destas partes possui um papel especfico:
Envelope
O envelope chamado desta forma por ser anlogo a um envelope de uma carta
comum. Nele se encontram as informaes do emissor e dos destinatrios de
uma mensagem. Para cada recipiente de um domnio diferente gerado um
novo envelope. Desta forma, um servidor SMTP recebe no envelope de uma
mensagem o nome de todos os recipientes da mensagem que se encontram no
seu domnio.
O envelope no visto pelos destinatrios de uma mensagem. Ele somente
usado entre os servidores SMTP.
Cabealho
No cabealho da mensagem se encontram informaes sobre a mensagem,
como o assunto, data de emisso, nome do emissor, etc. O cabealho
normalmente mostrado ao destinatrio da mensagem.
Corpo
Aker Security Solutions

525

O corpo composto pela mensagem propriamente dita, da forma com que foi
produzida pelo emissor.
Ataques contra um servidor SMTP
Existem diversos ataques passveis de serem realizados contra um servidor SMTP.
So eles:
Ataques explorando bugs de um servidor
Neste caso, o atacante procura utilizar um comando ou parmetros de um
comando que conhecidamente provocam falhas de segurana.
O proxy SMTP do Aker Firewall impede estes ataques na medida em que s
permite a utilizao de comandos considerados seguros e validando os
parmetros de todos os comandos.
Ataques explorando estouro de reas de memria (buffer overflows)
Estes ataques consistem em enviar linhas de comando muito grandes, fazendo
com que um servidor que no tenha sido corretamente desenvolvido apresente
falhas de segurana.
O proxy SMTP do Aker Firewall impede estes ataques na medida em que limitam
o tamanho mximo das linhas de comando que podem ser enviadas para o
servidor.
Ataques de relay
Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar
suas mensagens de correio eletrnico. Desta forma, utiliza-se os recursos
computacionais que deveriam estar disponveis para requisies vlidas.
O proxy SMTP do AkerFirewall impede ataques de relay desde que corretamente
configurado.
Utilizando o proxy SMTP

Para se utilizar o proxy SMTP em uma comunicao, necessrio executar uma


seqncia de 2 passos:
1. Criar um servio que ser desviado para o proxy SMTP e editar os
parmetros do contexto a ser usado por este servio (para maiores
informaes, veja o captulo intitulado Cadastrando Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no
passo 1, para as redes ou mquinas desejadas (para maiores informaes,
veja o captulo intitulado O Filtro de Estados).
Aker Security Solutions

526

25.1.

Editando os parmetros de um contexto SMTP

A janela de propriedades de um contexto SMTP ser mostrada quando a opo


Proxy SMTP for selecionada. Atravs dela possvel definir o comportamento do
proxy SMTP quando este for lidar com o servio em questo.
A janela de propriedades de um contexto SMTP.

Figura 352. Servio: relay.

Na janela de propriedades so configurados todos os parmetros de um contexto


associado a um determinado servio. Ela consiste de diversas pastas, cada uma
responsvel por uma das diferentes caractersticas de proteo.

Aker Security Solutions

527

Aba Geral

Figura 353. Servio: geral.

Tamanho mximo da mensagem: Este campo indica o tamanho mximo, em


bytes ou kbytes, de uma mensagem para que ela possa ser aceita pelo proxy. Caso
no queira definir um tamanho mximo, basta marcar a opo Sem Limite,
localizada direita deste campo.
Registrar na lista de eventos: Este campo indica se as mensagens que no se
enquadrarem em nenhuma regra SMTP deste contexto devem ser registradas na
lista de eventos.
Envia cpia de todas as mensagens: Independente de uma mensagem ter sido
aceita ou rejeitada, possvel enviar uma cpia completa dela para um endereo de
e-mail qualquer. Este campo indica se deve ou no ser enviada esta cpia.
Checagem de DNS reverso habilitada: O firewall far a checagem para determinar
a existncia do DNS reverso cadastrado para o servidor SMTP para aceitar a
mensagem baseado nas regras da pasta DNS.

Aker Security Solutions

528

E-mail padro: Indica o endereo de e-mail padro, para o qual sero enviadas as
cpias das mensagens que no se enquadrarem em nenhuma regra SMTP deste
contexto (se a opo Envia Cpia de todas as mensagens estiver marcada). Este email tambm pode ser referenciado em qualquer regra de filtragem do contexto.
Aba de Relay

Figura 354. Servio: relay.

Esta pasta serve para especificar uma lista de domnios vlidos para recebimento
de e-mails. E-mails destinados a quaisquer domnios no listados sero rejeitados
antes mesmo que se comece sua transmisso.
Caso a lista de domnios esteja em branco o firewall no far controle de relay,
ou seja, aceitar e-mails destinados a quaisquer domnios.
Diferentemente do controle de relay de servidores SMTP, o firewall apenas pode
basear seu controle no destinatrio dos e-mails, e no no remetente, uma vez que
no possui a lista de usurios vlidos do servidor SMTP protegido.

Aker Security Solutions

529

Aba de Regras

Figura 355. Servio: regras.

Nesta pasta so mostradas todas as regras de filtragem para o contexto. Estas


regras possibilitam que o administrador configure filtros de e-mails baseados em seu
contedo.
Para executar qualquer operao sobre uma determinada regra, basta clicar com o
boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser
acionado sempre que pressionar o boto direito, mesmo que no exista nenhuma
regra selecionada. Neste caso, somente as opes Incluir e Colar estaro
habilitadas).

Figura 356. Menu (inserir, copiar, editar, excluir ou renomear).


Aker Security Solutions

530

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Editar: Abrir a janela de edio para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a
regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
A ordem das regras na lista de regras de filtragem SMTP de fundamental
importncia. Ao receber uma mensagem, o firewall pesquisar a lista a partir do
incio procurando uma regra na qual a mensagem se enquadre. To logo uma seja
encontrada, a ao associada a ela ser executada.
No caso de incluso ou edio de regras, ser mostrada a janela de edio,
mostrada abaixo:

Aker Security Solutions

531

A janela de edio de regras SMTP

Figura 357. Edio de regra: SMTP.

Nesta janela so configurados todos os parmetros relativos a uma regra de


filtragem para um contexto SMTP. Cada regra consiste basicamente de 3 condies
independentes que podem ou no estar preenchidas (ou seja, possvel criar
regras com apenas uma ou duas condies).
Para criar uma regra, necessrio preencher os seguintes campos:
Nome: Nome que define unicamente a regra dentro do contexto. Este nome ser
mostrado na lista de regras do contexto SMTP. No podem existir duas regras com
o mesmo nome.

Aker Security Solutions

532

Campo: Definir o nome do campo dentro da mensagem SMTP onde ser feita a
pesquisa. Ele pode assumir um dos seguintes valores (alguns valores so
mostrados em ingls devido ao fato de serem nomes de campos fixos de uma
mensagem):
NENHUM: No ser feita pesquisa.
PARA (Todos): A pesquisa feita no endereo de destino da mensagem (todos
os recipientes devem se encaixar na regra).
PARA (Qualquer): A pesquisa feita no endereo de destino da mensagem
(pelo menos um recipiente deve se encaixar na regra).
DE: A pesquisa feita no endereo de origem da mensagem.
CC: A pesquisa realizada sobre a lista de endereos que iro receber uma
cpia da mensagem.
REPLY-TO: A pesquisa feita no campo REPLY-TO, que indica o endereo
para o qual a mensagem deve ser respondida.
ASSUNTO: A pesquisa feita no campo que define o assunto da mensagem.
CABEALHO: A pesquisa realizada sobre todos os campos que compem o
cabealho da mensagem.
CORPO: A pesquisa feita no corpo da mensagem (onde existe efetivamente a
mensagem).
Os campos TO e CC so tratados de forma diferente pelo proxy SMTP: o campo
TO tratado com uma lista dos vrios recipientes da mensagem, retirados do
envelope da mensagem. O campo CC tratado como um texto simples, retirado do
cabealho da mensagem, e sua utilidade bastante limitada.
Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. So elas:
CONTM: O campo a ser pesquisado deve conter o texto informado em
qualquer posio.
NO CONTM: O campo a ser pesquisado no pode conter o texto informado.
: O contedo do campo a ser pesquisado deve ser exatamente igual ao texto
informado.
NO : O contedo do campo a ser pesquisado deve ser diferente do texto
informado.
COMEA COM: O contedo do campo a ser pesquisado deve comear com o
texto informado.
NO COMEA COM: O contedo do campo a ser pesquisado no pode
comear com o texto informado.
TERMINA COM: O contedo do campo a ser pesquisado deve terminar com o
texto informado
NO TERMINA COM: O contedo do campo a ser pesquisado no pode
terminar com o texto informado.
CONTM PALAVRAS: Neste tipo de pesquisa, o texto informado considerado
como formado por palavras individuais (separadas por espaos), ao invs de um
texto contnuo. Para se enquadrar na pesquisa, o campo em questo deve
conter todas as palavras informadas, independente de sua posio.
Aker Security Solutions

533

Texto: Texto a ser pesquisado. Este campo tratado como um texto contnuo que
ser comparado com o campo especificado, exceto no caso da pesquisa CONTM
PALAVRAS, quando ele tratado como diversas palavras separadas por espaos.
Em ambos os casos, letras maisculas e minsculas so consideradas como
sendo iguais.
Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma,
possvel definir at 3 condies distintas que uma mensagem deve cumprir para que
seja enquadrada pela regra. Caso no queira especificar trs condies, basta
deixar as demais com o valor NENHUM no parmetro campo.
Ativao dos filtros: Este campo s tem sentido quando especifica mais de uma
condio. Ele indica que tipo de operao ser usada para relacion-las:
Somente se todos so verdadeiros: Para que uma mensagem enquadre na
regra, necessrio que ela satisfaa todas as condies.
Se qualquer um for verdadeiro: Para que uma mensagem enquadre na regra,
basta ela satisfazer uma das condies.
Ao: Este campo indica se as mensagens que se enquadrarem na regra devem
ser aceitas ou rejeitadas pelo proxy SMTP.
Registrar na lista de eventos: Este campo indica se as mensagens que se
enquadrarem na regra devem ou no ser registradas na lista de eventos.
Enviar cpia: Para toda mensagem que se enquadrar na regra,
independentemente de ter sido aceita ou rejeitada, possvel enviar uma cpia
completa dela para um endereo de e-mail qualquer. Este campo indica se deve ou
no ser enviada esta cpia. Caso ele esteja marcado, deve-se escolher uma das
seguintes opes de envio:
Padro: A cpia da mensagem enviada para o e-mail padro.
e-mail: A cpia da mensagem enviada para o endereo especificado no campo
direita.

Aker Security Solutions

534

Aba de DNS

Figura 358. Servio: DNS.

Nesta pasta so mostradas todas as regras de filtragem de DNS para o contexto.


Estas regras possibilitam que o administrador configure filtros de e-mails baseados
no nome retornado pelo DNS reverso do servidor SMTP que estiver enviando a
mensagem.
Para executar qualquer operao sobre uma determinada regra, basta clicar com o
boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser
acionado sempre que se pressionar o boto direito, mesmo que no exista nenhuma
regra selecionada. Neste caso, somente as opes Incluir e Colar estaro
habilitadas).

Aker Security Solutions

535

Figura 359. Menu (inserir, copiar, editar, excluir ou renomear)..

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Editar: Abrir a janela de edio para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a
regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
No caso de incluso ou edio de regras, ser mostrada a janela de edio,
mostrada abaixo:
A janela de edio de regras DNS reverso

Aker Security Solutions

536

Figura 360. Servio: DNS.

Para criar uma regra deve-se preencher os seguintes campos:


Nome: Nome que define unicamente a regra dentro do contexto. Este nome ser
mostrado na lista de regras do contexto SMTP. No podem existir duas regras com
o mesmo nome.
Operador de pesquisa: Os mesmos operadores utilizados nas regras de filtragem
SMTP podem ser utilizados para a filtragem do DNS reverso.
Texto: Definir o texto a ser pesquisado.
Registrar na lista de eventos: Registrar no log de eventos do firewall caso a regra
tenha sido executada.
Verificar alias: Se esta opo estiver marcada, o firewall comparar todos os
nomes retornados pelo DNS para verificar se algum deles se encaixa na regra.
Ao: Ao a ser executada pelo firewall caso a regra seja atendida. Ela pode ser
Aceita ou Rejeitada.
Aba de Anexos

Aker Security Solutions

537

Figura 361. Servio: anexos.

Nessa pasta so especificadas as regras de tratamento de arquivos anexados.


Essas regras permitem que, caso uma mensagem tenha sido aceita, ela tenha seus
arquivos anexados removidos ou checados contra vrus. Elas permitem tambm que
se rejeite uma mensagem por completo, caso ela contenha um arquivo anexo
inaceitvel (com vrus, por exemplo).
Agente de antivrus para checagem dos arquivos: Esse campo indica o agente
antivrus que ser utilizado para checar vrus dos arquivos anexados a mensagens
de e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Para
maiores informaes veja o captulo intitulado Cadastrando entidades.
Permitir a passagem de anexos mal codificados: Se esta opo estiver marcada,
anexos que apresentem erros de codificao sero aceitos pelo firewall, caso
contrrio a mensagem ser recusada.
Para executar qualquer operao sobre uma determinada regra, basta clicar com o
boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser
acionado sempre que se pressionar o boto direito, mesmo que no exista nenhuma

Aker Security Solutions

538

regra selecionada. Neste caso, somente as opes Incluir e Colar estaro


habilitadas).

Figura 362. Menu (inserir, copiar, editar, excluir ou renomear)..

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Editar: Abrir a janela de edio para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a
regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
A ordem das regras na lista de regras de filtragem de arquivos anexados de
fundamental importncia. Para cada arquivo anexado de uma mensagem, o firewall
pesquisar a lista a partir do incio procurando uma regra na qual ele se enquadre.
To logo uma seja encontrada, a ao associada a ela ser executada.
No caso de incluso ou edio de regras, ser mostrada a janela de edio,
mostrada abaixo:

Aker Security Solutions

539

A janela de edio de regras de anexos

Figura 363. Regra: edio de regras e anexos.

Nesta janela so configurados todos os parmetros relativos a uma regra de


filtragem de arquivos para um contexto SMTP. Ela consiste dos seguintes campos:
Nome: Definir unicamente a regra dentro do contexto. Este nome ser mostrado na
lista de regras de arquivos. No podem existir duas regras com o mesmo nome.
Filtrar por tipo MIME: Permitir a definio de uma regra de filtragem de arquivos
baseando-se em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu
subtipo.

Aker Security Solutions

540

Filtrar por nome: Permitir a realizao de filtragens a partir (de parte) do nome, do
arquivo anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser
efetuada e o texto a ser pesquisado. Estes campos so anlogos aos campos de
mesmo nome da regra de filtragem SMTP, descrita acima.
Operador de pesquisa: Este campo anlogo ao campo de mesmo nome da regra
de filtragem SMTP, descrita acima.
Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se
enquadrar na regra. Ela consiste de trs opes:
Aceita o anexo: Se essa opo for selecionada o firewall ir manter o arquivo
anexado na mensagem.
Remove o anexo: Se essa opo for selecionada o firewall ir remover o arquivo
anexado da mensagem.
Descarta mensagem: Se essa opo for selecionada o firewall recusar a
mensagem completa.
Remove anexo infectado: Se essa opo for selecionada o firewall ir verificar
o arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall
tomar uma das seguintes aes: se o arquivo puder ser desinfectado, o vrus
ser removido e o arquivo re-anexado mensagem. Caso o arquivo no possa
ser desinfectado, o firewall o remover e acrescentar uma mensagem
informando ao destinatrio desse fato.
Descarta mensagem infectada: Se essa opo for selecionada o firewall ir
verificar o arquivo anexado da mensagem contra vrus. Caso exista vrus o
firewall tomar uma das seguintes aes: se o arquivo puder ser desinfectado, o
vrus ser removido e o arquivo re-anexado mensagem. Caso o arquivo no
possa ser desinfectado, o firewall recusar a mensagem.
Recomenda-se utilizar as aes que removem os arquivos anexados nos emails
recebidos pela companhia e as que bloqueiam a mensagem por completo nas
regras aplicadas aos emails que saem.
Remove arquivos encriptados: Se essa opo estiver marcada, o firewall
remover os arquivos anexados que estejam cifrados, de forma que no possam ser
checados quanto a presena de vrus.
Remove arquivos corrompidos: Se essa opo estiver marcada, o firewall
remover os arquivos anexados que estejam corrompidos.
Notifica emissor no caso de remoo do arquivo anexado: Se essa opo
estiver marcada, o firewall enviar uma mensagem para o emissor de um e-mail
todas as vezes que um ou mais de seus arquivos anexados for removido.
Envia cpia para o administrador do arquivo anexado for removido: Se essa
opo estiver marcada, o firewall enviar uma cpia de todos os arquivos removidos

Aker Security Solutions

541

para o administrador. Caso ela esteja marcada, deve-se escolher uma das
seguintes opes de envio:
Padro: A cpia da mensagem enviada para o e-mail padro.
E-mail: A cpia da mensagem enviada para o endereo especificado no
campo direita.
Aba RBL (Real-time Black List)

Figura 364. Servio: RBL.

Esta pasta contm opes de bloqueio de sites considerados fontes de SPAM. O


bloqueio feito em tempo real, mediante consulta a uma ou mais listas de bloqueio
dinmicas, mantidas por terceiros. Ela consiste das seguintes opes:
Black list padro: So cinco listas negras que contm vrios relays acusados de
fazer SPAM (envio de mensagem no desejada). Elas so gerenciadas por
organizaes e o firewall simplesmente consultam-nas, antes de aceitar os e-mails.
Marque as opes correspondentes se desejar utilizar esta facilidade.
SBL: Para saber mais acesse o endereo http://www.mail-abuse.org/rbl/
Aker Security Solutions

542

CBL: Para saber mais acesse o endereo http://www.orbs.org/


ORBL Brasil: Para saber mais acesse o endereo http://www.orbl.org/
DSBL: Para saber mais acesse o endereo http://www.ordb.org/
Black list do usurio: So listas negras configurveis pelo administrador do
firewall. Ela consiste de uma lista de listas negras, cada uma com os seguintes
campos:
Nome: Nome pelo qual deseja chamar a blacklist.
URL: URL explicativa para ser mostrada para o usurio que tiver seus e-mails
recusados.
Zona de DNS: a zona completa de DNS que dever ser consultada pelo firewall.
Caso um endereo IP esteja presente nessa zona, e-mails vindos dele sero
recusados.
Alguns servios de black list costumam ter seu funcionamento interrompido
temporariamente devido aos problemas de natureza judicial. Quando isto acontece, ou
eles se tornam inefetivos ou bloqueiam mais e-mails do que deveriam. Por favor
verifique o funcionamento correto da black-list desejada antes de coloc-la em uso.

Aker Security Solutions

543

Aba de Spam Meter

Figura 365. Servio: Spam Meter.

Esta aba contm as opes de configurao da comunicao do firewall com o


Spam Meter, um produto criado pela Aker Security Solutions com o objetivo de
atribuir notas a mensagens de e-mail, de acordo com a probabilidade destas serem
ou no SPAM. Ela consiste das seguintes opes:
Habilitar Spam Meter: Habilita o uso do Spam Meter pelo firewall.
Agente de Spam Meter a usar: Esse campo indica o Spam Meter que ser
utilizado para se atribuir notas a mensagens de e-mail. Esse agente deve ter sido
previamente cadastrado no firewall. Para maiores informaes veja o captulo
intitulado Cadastrando entidades.
Base a usar: O Spam Meter permite a utilizao de diversas bases para realizar a
classificao de mensagens. A idia por trs disso permitir que cada pessoa ou
grupo de pessoas com caractersticas semelhantes possam ter suas mensagens
classificadas por uma base que melhor reflita sua definio de SPAM. O Aker
Firewall no permite a utilizao de bases distintas por pessoas ou grupos, porm
possvel utilizar uma base distinta para cada contexto SMTP. Este campo serve
para especificar o nome da base que ser utilizada por este contexto.
Aker Security Solutions

544

Nveis de Spam: Este controle permite a definio de dois limites de notas (entre 0
e 100) para a filtragem de mensagens: Limite 1 e Limite 2.
Limite 1: Define o limite, faixa verde, at o qual as mensagens so consideradas
como no SPAM.
Limite 2: Define, junto com o Limite 1, as faixas amarelas e vermelhas. A faixa
amarela indica e-mails que potencialmente so SPAM mas que o SPAM Meter no
tem certeza suficiente. A faixa vermelha indica mensagens que foram consideradas
SPAM.
Deteco de SPAM aprimorada: Se esta opo estiver selecionada o Spam Meter
tentar detectar a maior quantidade possvel de mensagens SPAM, com o
inconveniente de eventualmente poder gerar mais falsos positivos, ou seja,
mensagens que seriam vlidas classificadas como potenciais SPAM.
Reduo de Falso-positivo: Se esta opo estiver selecionada, o Spam Meter
tentar reduzir ao mximo os falsos positivos, com o inconveniente de
eventualmente classificar como inofensiva uma mensagem que seria SPAM.
Ao: Este campo indica as aes que devem ser executadas pelas mensagens
que se enquadrarem em cada uma das reas definidas pelos limites 1 e 2. As
seguintes opes esto disponveis:
Aceitar: As mensagens que se enquadrarem nesta faixa sero aceitas sem
qualquer modificao. Normalmente esta ao associada faixa verde.
Descartar: As mensagens que se enquadrarem nesta faixa sero descartadas pelo
firewall, isto , elas sero recebidas por ele e o servidor que as enviou ser
informado do sucesso no envio, no entanto elas nunca sero reenviadas aos
usurios que as deveriam receber. Esta ao deve ser utilizada apenas na faixa
vermelha e seu objetivo impedir que potenciais emissores de SPAM saibam se
conseguiram ou no enviar suas mensagens.
Rejeitar: As mensagens que se enquadrarem nesta faixa sero rejeitadas pelo
firewall, isto , o servidor que as enviou ser informado que elas foram recusadas e
que ele no deve tentar envi-las novamente. Esta ao deve ser utilizada apenas
na faixa vermelha.
Adicionar assunto: As mensagens que se enquadrarem nesta faixa sero aceitas
porm tero seu assunto precedido de um texto qualquer definido pelo
administrador. O campo direita serve para o administrador definir o texto que ser
adicionado ao assunto. Esta ao normalmente utilizada na faixa amarela, mas
pode tambm ser utilizada na vermelha. A idia configurar um filtro, para o texto a
ser adicionado, nos leitores de e-mail de modo a fazer com que as mensagens
suspeitas ou consideradas SPAM sejam automaticamente separadas em uma outra
caixa postal.
Aker Security Solutions

545

Enviar cpia: Para toda mensagem, independentemente de ter sido aceita ou


rejeitada, possvel enviar uma cpia completa dela para um endereo de e-mail
qualquer. Este campo indica se deve ou no ser enviada esta cpia. Caso ele esteja
marcado, deve-se escolher uma das seguintes opes de envio:
Padro: A cpia da mensagem enviada para o e-mail padro.
E-mail: A cpia da mensagem enviada para o endereo especificado no
campo direita.
Modificar mensagem para treinamento: Uma das caractersticas fundamentais do
Spam Meter sua possibilidade de aprender novas caractersticas de SPAM, de
modo a sempre oferecer um timo nvel de acerto. Os campos contidos nesta opo
indicam quais usurios podem realizar treinamento da base de dados do contexto e
de que forma as mensagens devem ser modificadas para possibilitar este
treinamento. As seguintes opes esto disponveis:
Usar plugin: Esse campo indica os destinatrios que treinaro mensagens atravs
do plugin de treinamento disponibilizado pela Aker (disponvel inicialmente para
Outlook e Thunderbird). Neste caso, as mensagens no sero modificadas em
nenhuma forma, apenas alguns campos novos sero acrescentados no cabealho.
Ele especifica uma entidade do tipo de e-mails que deve ter sido previamente
cadastrada no firewall (para maiores informaes veja o captulo intitulado
Cadastrando entidades).
Usar sub-mensagens (.eml): Os destinatrios que estiverem neste campo
recebero suas mensagens originais encapsuladas em outra, que conter botes
que os possibilitar de realizar o treinamento (a mensagem inicial vir sem nenhuma
modificao, porm em alguns leitores de e-mail ser necessrio clicar sobre ela
para pode visualiz-la). Ele especifica uma entidade do tipo de e-mail que deve ter
sido previamente cadastrada no firewall (para maiores informaes veja o captulo
intitulado Cadastrando entidades).
Usar layout HTML: Os destinatrios que estiverem neste campo recebero suas
mensagens originais acrescidas de um novo layout HTML, que conter botes que
os possibilitar de realizar o treinamento. Ele especifica uma entidade do tipo de emails que deve ter sido previamente cadastrada no firewall (para maiores
informaes veja o captulo intitulado Cadastrando entidades).
Ajustar mensagens: Se umas das opes Usar sub-mensagens ou Usar Layout
HTML for selecionada, este boto ser habilitado e permitir a definio das
mensagens que sero mostradas aos usurios para que eles possam realizar o
treinamento.
Endereo para treinamento: Este campo deve ser preenchido com o nome ou
endereo IP da mquina na qual o firewall est rodando, de modo a que os leitores
de e-mails dos clientes saibam para onde enviar o resultado do treinamento.

Aker Security Solutions

546

As listas sero pesquisadas pelo firewall na ordem em que aparecem, isto , se


um destinatrio estiver em duas ou mais listas, a mensagem ser modificada de
acordo com a lista superior.
Caso um usurio no aparea em nenhuma lista ele no poder realizar
treinamento da base.

Aker Security Solutions

547

Aba Avanado

Figura 366. Servio: Avanado.

Esta pasta permite o acesso s opes de configurao avanadas do proxy SMTP.


Elas permitem um ajuste fino do funcionamento do proxy. As opes so:
Permite cabealho incompleto: Se esta opo estiver marcada como NO, no
sero aceitas mensagens cujos cabealhos no contenham todos os campos
obrigatrios de uma mensagem SMTP.
Nmero de processos: Este campo indica o nmero mximo de cpias do proxy
que podero estar ativas em um determinado momento. Como cada processo trata
uma conexo, este nmero tambm representa o nmero mximo de mensagens
que podem ser enviadas simultaneamente para o contexto em questo. Caso o
nmero de conexes ativas atinja este limite, os clientes que tentarem enviar novas
mensagens sero informados que o servidor se encontra temporariamente
impossibilitado de aceitar novas conexes e que devem tentar novamente mais
tarde.

Aker Security Solutions

548

possvel utilizar este nmero de processos como uma ferramenta para


controlar o nmero mximo de mensagens simultneas passando pelo link, de
forma a no satur-lo.
Tempo limite de resposta do cliente: Este parmetro indica o tempo mximo, em
segundos, que o proxy espera entre cada comando do cliente que est enviando a
mensagem SMTP. Caso este tempo seja atingido, sem receber nenhum comando
do cliente, o proxy assume que este caiu e derruba a conexo.
Tempo limite de resposta para servidor: Para cada um dos possveis comandos
vlidos do protocolo SMTP, existe um tempo mximo de espera por uma resposta
do servidor. Caso no receba nenhuma resposta dentro deste perodo, o proxy
assume que o servidor caiu e derruba a conexo. Neste grupo possvel configurar
o tempo mximo de espera, em segundos, para cada um destes comandos.
Todos os demais parmetros se referem aos tempos limites de resposta para cada
comando SMTP e no devem ser modificados a no ser que haja uma razo
especfica para faz-lo.

Aker Security Solutions

549

Configurando o Proxy Telnet

Aker Security Solutions

550

26.

Configurando o Proxy Telnet


Este captulo mostrar como configurar o proxy telnet para realizar autenticao de
usurios.

O que o proxy Telnet?


O proxy Telnet um programa especializado do Aker Firewall feito para trabalhar
com o protocolo Telnet, que o protocolo utilizado para emulao de terminais
remotos. A sua funo bsica possibilitar a realizao de uma autenticao a nvel
de usurio para as sesses telnet a serem estabelecidas. Este tipo de autenticao
permite uma grande flexibilidade e um elevado nvel de segurana.
Ele um proxy transparente (para maiores informaes veja o captulo intitulado
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de
sua existncia.
Utilizando o proxy Telnet
Para utilizar o proxy Telnet para realizar autenticaes em uma comunicao,
necessrio executar uma seqncia de 2 passos:
1. Criar um servio que ser desviado para o proxy Telnet e editar os parmetros
do contexto a ser usado por este servio (para maiores informaes, veja o
captulo intitulado Cadastrando Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo
1, para as redes ou mquinas desejadas (para maiores informaes, veja o
captulo intitulado O Filtro de Estados).
A partir deste momento, todas as vezes que uma sesso telnet enquadrar na regra
criada que foi estabelecida, o firewall solicitar uma identificao do usurio e uma
senha. Se a identificao e a senha forem vlidas e o usurio em questo tiver
permisso, a sesso ser estabelecida. Caso contrrio o usurio ser informado do
erro e a sesso cancelada.
26.1.

Editando os parmetros de um contexto Telnet

A janela de propriedades de um contexto Telnet ser mostrada quando a opo


Proxy Telnet for selecionada. Atravs dela possvel definir o comportamento do
proxy Telnet quando este for lidar com o servio em questo.

Aker Security Solutions

551

A janela de propriedades de um contexto Telnet

Figura 367. Servio: propriedade de um contexto Telnet.

Na janela de propriedades so configurados todos os parmetros de um contexto


associado a um determinado servio. Ela consiste dos seguintes campos:
Somente aceita conexes de mquinas com DNS reverso vlido: Ao selecionar
essa opo, somente sero aceitas conexes de mquinas cujo DNS reverso esteja
configurado e aponte para um nome vlido.
Permisso Padro: Indicar a permisso que ser aplicada a todos os usurios que
no estiverem presentes e que no faam parte de nenhum grupo presente na lista
de permisses. O valor aceita permite que a sesso de telnet seja estabelecida e o
valor rejeita impede sua realizao.
Nmero mximo de sesses simultneas: Definir o nmero mximo de sesses
telnet que podem estar ativas simultaneamente neste contexto. Caso o nmero de
sesses abertas atinja este limite, os usurios que tentarem estabelecer novas
conexes sero informados que o limite foi atingido e que devem tentar novamente
mais tarde.

Aker Security Solutions

552

Tempo limite de inatividade: Definir o tempo mximo, em segundos, que o proxy


pode ficar sem receber dados da sesso Telnet e ainda consider-la ativa.
O valor deste campo deve ser menor ou igual ao valor configurado no campo
Tempo limite TCP, nos parmetros de configurao globais. (para maiores
informaes, veja o captulo intitulado Configurando os parmetros do sistema)
Lista de permisses: Definir de forma individual, as permisses de acesso para
usurios ou grupos.
Para executar qualquer operao sobre um usurio ou grupo na lista de permisses,
basta clicar com o boto direito do mouse sobre ele. Aparecer o seguinte menu:
(este menu ser acionado sempre que se pressionar o boto direito, mesmo que
no exista nenhum usurio/grupo selecionado. Neste caso, somente as opes
Incluir e Colar estaro habilitadas).

Figura 368. Menu (inserir).

Inserir: Permitir a incluso de um novo usurio/grupo na lista. Se algum


usurio/grupo estiver selecionado, o novo ser inserido na posio selecionada.
Caso contrrio, o novo usurio/grupo ser includo no final da lista.
Editar: Permite alterar a permisso de acesso do usurio/grupo selecionado.
Excluir: Remover da lista o usurio/grupo selecionado.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se o
usurio/grupo, clicando-o com o boto esquerdo, e em seguida clica-se na opo
desejada.
A ordem dos usurios e grupos na lista de permisses de fundamental
importncia. Quando um usurio se autenticar, o firewall pesquisar a lista a partir
do incio procurando pelo nome desse usurio ou por um grupo de que ele faa
parte. To logo um desses seja encontrado, a permisso associada ao mesmo ser
utilizada.
Para alterar a posio de um usurio ou grupo dentro da lista, deve-se proceder da
seguinte forma:
1. Selecionar o usurio ou grupo a ser movido de posio.
Aker Security Solutions

553

2. Clicar em um dos botes em formato de seta, localizados a direita da lista. O


boto com o desenho da seta para cima far com que o usurio/grupo
selecionado seja movido uma posio para cima. O boto com a seta para baixo
far com que este seja movido uma posio para baixo.
No caso de incluso de usurios/grupos, ser mostrada a seguinte janela:
A janela de incluso de usurios/grupos

Figura 369. Janela de incluso de usurios ou grupos.

A janela de incluso permite definir a permisso de acesso para um usurio ou um


grupo de um determinado autenticador. Para faz-lo, deve-se proceder da seguinte
forma:
Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos,
clicando-se com o boto esquerdo sobre seu nome na lista superior da janela (se o
autenticador desejado no aparecer na lista, necessrio acrescent-lo na lista de
autenticadores a serem pesquisados. Para maiores informaes, veja o captulo
intitulado Configurando parmetros de autenticao).
1. Selecionar entre listagem de usurios ou grupos, clicando-se nos botes
correspondentes localizados entre as duas listas.
2. Clicar com o boto esquerdo sobre o nome do usurio ou grupo que queira
incluir, na lista inferior da janela.
3. Definir a permisso de acesso para o usurio ou grupo, escolhendo entre os
valores aceita (que possibilitar o estabelecimento da sesso) ou rejeita (que
impedir seu estabelecimento).
Aker Security Solutions

554

4. Clicar no boto OK, o que provocar o fechamento da janela e a incluso do


usurio ou grupo na lista de permisses da janela de propriedades do contexto.

Aker Security Solutions

555

Configurando o Proxy FTP

Aker Security Solutions

556

27.

Configurando o Proxy FTP


Este captulo mostrar como configurar o proxy FTP, de forma a bloquear
determinados comandos da transferncia de arquivos.

O que o proxy FTP?


O proxy FTP um programa especializado do Aker Firewall feito para trabalhar com
o protocolo FTP, que o protocolo utilizado para a transferncia de arquivos pela
Internet. A sua funo bsica possibilitar que o administrador defina os comandos
que podem ser aceitos e impedir, por exemplo, a criao de novos arquivos ou de
diretrios.
Ele um proxy transparente (para maiores informaes veja o captulo intitulado
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de
sua existncia.
Utilizando o proxy FTP
Para utilizar o proxy FTP para realizar o controle de uma transferncia de arquivos
necessrio executar uma seqncia de 2 passos:
1. Criar um servio que ser desviado para o proxy FTP e editar os parmetros do
contexto a ser usado por este servio (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1,
para as redes ou mquinas desejadas (para maiores informaes, veja o captulo
intitulado O Filtro de Estados).
O proxy FTP no realiza autenticao de usurios. Para possibilitar que certos
usurios tenham privilgios diferentes necessrio criar servios do proxy FTP com
contextos distintos e associar cada um destes servios com um perfil de acesso. Para
maiores informaes sobre perfis de acesso, verifique o captulo chamado Perfis de
acesso de usurios.

27.1.

Editando os parmetros de um contexto FTP

A janela de propriedades de um contexto FTP ser mostrada quando selecionar a


opo Proxy FTP, na janela de edio de servios. Atravs dela possvel definir o
comportamento do proxy FTP quando este for lidar com o servio em questo.

Aker Security Solutions

557

A janela de propriedades de um contexto FTP

Figura 370. Servios: propriedades de um contexto SMTP.

Na janela de propriedades so configurados todos os parmetros de um contexto


associado a um determinado servio. Ela consiste dos seguintes campos:
Somente aceita conexes de mquinas com DNS reverso vlido: Ao selecionar
essa opo, somente sero aceitas conexes de mquinas cujo DNS reverso esteja
configurado e aponte para um nome vlido.
Permitir que o servidor abra conexes em qualquer porta com o cliente: Esta
opo permite que o servidor FTP comunique-se com o cliente por uma porta
diferente da padro que TCP 20.
Habilitar logs de downloads e uploads: Esta opo far com que seja gerado um
evento informando dados sobre os downloads e uploads realizados passando pelo
proxy.
Nmero mximo de conexes simultneas: Definir o nmero mximo de sesses
FTP que podem estar ativas simultaneamente neste contexto. Caso o nmero de
sesses abertas atinja este limite, os usurios que tentarem estabelecer novas
Aker Security Solutions

558

conexes sero informados que o limite foi atingido e que devem tentar novamente
mais tarde.
Tempo limite de inatividade: Definir o tempo mximo, em segundos, que o proxy
pode ficar sem receber dados da sesso FTP e ainda consider-la ativa.
O valor deste campo deve ser menor ou igual ao valor configurado no campo
Tempo limite TCP, nos parmetros de configurao globais. (para maiores
informaes, veja o captulo intitulado Configurando os parmetros do sistema.
Esta janela permite a criao de uma lista de regras que podero ser aceitas ou
no, de acordo com cone na coluna Ao que tero as opes Aceita ou Rejeita.
Para poder inserir um comando na coluna FTP necessrio clicar com o boto
direito dentro do componente e selecionar a opo inserir, assim depois de inserida
a regra, deve-se clicar na coluna FTP e selecionar a opo desejada ou digitar outro
comando.

Figura 371. Janela de lista de regras (aceitas ou no)..

Abaixo segue a descrio de todas as opes:


mkd - Criar diretrio: Ao selecionar essa opo, ser possvel a criao de
diretrios atravs das conexes FTP que se encaixarem neste contexto.
xmkd - Criar diretrio Estendido: Ao selecionar essa opo, ser possvel a
criao de diretrios estendidos por meio das conexes FTP que se encaixarem
neste contexto.
&rmd - Apagar diretrio: Ao selecionar essa opo, ser possvel a remoo de
diretrios atravs das conexes FTP que se encaixarem neste contexto.
xrmd - Apaga um diretrio estendido: Ao selecionar essa opo, ser possvel
remover diretrios atravs das conexes FTP que se encaixarem neste contexto.
Aker Security Solutions

559

list - Listar diretrio: Ao selecionar essa opo ser possvel a visualizao do


contedo de diretrios (comandos DIR ou LS) atravs das conexes FTP que se
encaixarem neste contexto.
nlst - Listar nomes dos diretrios: Ao selecionar essa opo ser possvel a
visualizao dos nomes dos diretrios, atravs das conexes FTP que se
encaixarem neste contexto.
retr - Download de arquivos: Ao selecionar essa opo, ser possvel fazer
download de arquivos atravs das conexes FTP que se encaixarem neste
contexto.
stor - Upload de arquivos: Ao selecionar essa opo, ser possvel fazer upload
de arquivos atravs das conexes FTP que se encaixarem neste contexto.
stou - Upload de arquivos: Ao selecionar essa opo, ser possvel fazer upload
de um arquivo com o nome nico no diretrio corrente.
appe - Concatenar Dados: Ao selecionar essa opo, ser possvel concatenar os
dados no fim de um arquivo. Caso o arquivo no exista ele ser criado.
rest - Recomear download/upload: Ao selecionar essa opo, ser possvel
recomear o download ou upload do ponto de onde foi interrompido.
dele - Apagar arquivos: Ao desmarcar essa opo, no ser possvel remover
arquivos atravs das conexes FTP que se encaixarem neste contexto.
rnfr - Renomear arquivos: Se esta opo estiver desmarcada, no ser possvel
renomear arquivos atravs das conexes FTP que se encaixarem neste contexto.
As regras que no forem listadas obedecero a "ao padro".

Aker Security Solutions

560

Configurando o Proxy POP3

Aker Security Solutions

561

28.

Configurando o Proxy POP3


Este captulo mostrar quais as funes oferecidas pelo proxy POP3 e como
realizar a sua configurao.

O que o proxy POP3?


O proxy POP3 um programa especializado do Aker Firewall feito para trabalhar
com correio eletrnico. Este proxy possibilita realizar filtragens de e-mails baseadas
em seus arquivos anexos. Ele tambm atua como uma barreira protegendo o
servidor POP3 contra diversos tipos de ataques.
Ele um proxy transparente (para maiores informaes veja o captulo intitulado
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de
sua existncia.
POP3 um anagrama para Post Office Protocol, que o nome completo do
servio de download de mensagens de correio eletrnico na Internet.
Ataques contra um servidor POP3
Existem diversos ataques passveis de serem realizados contra um servidor POP3.
So eles:
Ataques explorando bugs de um servidor
Neste caso, o atacante procura utilizar um comando ou parmetros de um
comando que conhecidamente provocam falhas de segurana.
O proxy POP3 do Aker Firewall impede estes ataques na medida em que s
permitem a utilizao de comandos considerados seguros e validando os
parmetros de todos os comandos.
Ataques explorando estouro de reas de memria (buffer overflows)
Estes ataques consistem em enviar linhas de comando muito grandes, fazendo
com que um servidor que no tenha sido corretamente desenvolvido apresente
falhas de segurana.
O proxy POP3 do Aker Firewall impede estes ataques na medida em que limita o
tamanho mximo das linhas de comando que podem ser enviadas para o
servidor.

Aker Security Solutions

562

Utilizando o proxy POP3


Para utilizar o proxy POP3 em uma comunicao, necessrio executar uma
seqncia de 2 passos:
1. Criar um servio que ser desviado para o proxy POP3 e editar os parmetros
do contexto a ser usado por este servio (para maiores informaes, veja o
captulo intitulado Cadastrando Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo
1, para as redes ou mquinas desejadas (para maiores informaes, veja o
captulo intitulado O Filtro de Estados).

28.1.

Editando os parmetros de um contexto POP3

A janela de propriedades de um contexto POP3 ser mostrada quando a opo


Proxy POP3 for selecionada. Atravs dela possvel definir o comportamento do
proxy POP3 quando este for lidar com o servio em questo.
A janela de propriedades de um contexto POP3

Figura 372. Propriedades de um contexto POP3.


Aker Security Solutions

563

Na janela de propriedades so configurados todos os parmetros de um contexto


associado a um determinado servio. So eles:
Configuraes: formado por diversos campos que indicam as aes a serem
executadas pelo proxy POP3:
Agente de antivrus: Indicar o agente antivrus que ser utilizado para
checar vrus dos arquivos anexados a mensagens de e-mail. Esse agente
deve ter sido previamente cadastrado no firewall. Para maiores informaes
veja o captulo intitulado Cadastrando entidades.
E-mail padro: Indicar o endereo de e-mail padro, para o qual sero
enviadas as cpias das mensagens que no se enquadrarem em nenhuma
regra deste contexto (se a opo Envia Cpia estiver marcada). Este e-mail
tambm pode ser referenciado em qualquer regra de filtragem do contexto.
Nmero mximo de processos: Indicar o nmero mximo de cpias do
proxy que podero estar ativas em um determinado momento. Como cada
processo trata uma conexo, este nmero tambm representa o nmero
mximo de mensagens que podem ser transmitidas simultaneamente para o
contexto em questo. Caso o nmero de conexes ativas atinja este limite, os
clientes que tentarem enviar novas mensagens devero repetir a tentativa
posteriormente.
Tempo limite de resposta: Indicar o tempo mximo, em segundos, que o
proxy espera a conexo em inatividade. Caso este tempo seja atingido o
proxy encerra a conexo.
Permitir a passagem de anexos mal codificados: Permitir que anexos que
estejam mal codificados passem pelo firewall e sejam entregues aos clientes
de email.
Lista de regras: Nessa lista so especificadas as regras de tratamento de arquivos
anexados que permitem que uma mensagem tenha seus arquivos anexados
removidos ou checados contra vrus.
Para executar qualquer operao sobre uma determinada regra, deve-se clicar com
o boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser
acionado sempre que pressionar o boto direito, mesmo que no exista nenhuma
regra selecionada. Neste caso, somente as opes Incluir e Colar estaro
habilitadas).

Figura 373. Operaes sobre determinada regra.

Aker Security Solutions

564

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra


estiver selecionada, a nova ser inserida na posio da regra selecionada.
Caso contrrio, a nova regra ser includa no final da lista.
Editar: Abrir a janela de edio para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a
regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
A ordem das regras na lista de regras de filtragem de arquivos anexados de
fundamental importncia. Para cada arquivo anexado de uma mensagem, o firewall
pesquisar a lista a partir do incio procurando uma regra na qual ele se enquadre.
To logo uma seja encontrada, a ao associada a ela ser executada.
No caso de incluso ou edio de regras, ser mostrada a janela de edio,
mostrada abaixo:

Aker Security Solutions

565

A janela de edio de regras de arquivos

Figura 374. Edio de regras de arquivos.

Nesta janela so configurados todos os parmetros relativos a uma regra de


filtragem de arquivos para um contexto POP3. Ela consiste dos seguintes campos:
Nome: Definir unicamente a regra dentro do contexto. Este nome ser mostrado na
lista de regras de arquivos. No podem existir duas regras com o mesmo nome.
Filtrar por tipo MIME: Permitir definir uma regra de filtragem de arquivos baseandose em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo.

Aker Security Solutions

566

Filtrar por nome: Permitir realizar filtragens a partir (de parte) do nome, do arquivo
anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o
texto a ser pesquisado. As seguintes opes de pesquisa esto disponveis:
CONTM: O nome deve conter o texto informado em qualquer posio.
NO CONTM: O nome no pode conter o texto informado.
: O contedo do nome deve ser exatamente igual ao texto informado.
NO : O contedo do nome deve ser diferente do texto informado.
COMEA COM: O contedo do nome deve comear com o texto informado.
NO COMEA COM: O contedo do nome no pode comear com o texto
informado.
TERMINA COM: O contedo do nome deve terminar com o texto informado.
NO TERMINA COM: O contedo do nome no pode terminar com o texto
informado.
CONTM PALAVRAS: Neste tipo de pesquisa, o texto informado considerado
como formado por palavras individuais (separadas por espaos), ao invs de um
texto contnuo. Para enquadrar na pesquisa, o nome deve conter todas as
palavras informadas, independente de sua posio.
Ativao do filtro: Caso tenha especificado filtragem por tipo MIME e por nome,
esse campo permite especificar se a regra deve ser aplicada Somente se ambos
so verdadeiros (valor E) ou Se qualquer um for verdadeiro (valor OU).
Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se
enquadrar na regra. Ela consiste em trs opes:
Aceita o anexo: Ao selecionar essa opo o firewall ir manter o arquivo
anexado na mensagem.
Remove o anexo: Ao selecionar essa opo o firewall ir remover o arquivo
anexado da mensagem.
Remove anexo infectado: Ao selecionar essa opo o firewall ir verificar o
arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall tomar
uma das seguintes aes: se o arquivo puder ser desinfectado, o vrus ser
removido e o arquivo re-anexado mensagem. Caso o arquivo no possa ser
desinfectado, o firewall o remover e acrescentar uma mensagem informando o
destinatrio desse fato.
Caso a caixa Registrar na lista de eventos estiver marcado, quando a regra for
atendida a mesma ser registrada no log de eventos.
Remover arquivos encriptados: Ao selecionar essa opo, o firewall remover os
arquivos anexados que estejam compactados e cifrados, porque no poder
examin-los para testar a presena de vrus.
Remover arquivos corrompidos: Ao selecionar essa opo, o firewall remover os
arquivos anexados que estejam compactados, porm corrompidos, porque no
poder examin-los para testar a presena de vrus.

Aker Security Solutions

567

Notifica emissor no caso de remoo do arquivo anexado: Ao selecionar essa


opo, o firewall enviar uma mensagem para o emissor de um e-mail todas as
vezes que um ou mais de seus arquivos anexados for removido.
Envia cpia para o administrador se o arquivo anexado for removido: Ao
marcar essa opo, o firewall enviar uma cpia de todos os arquivos removidos
para o administrador. Caso ela esteja marcada, deve-se escolher uma das
seguintes opes de envio:
E-mail Padro: A cpia da mensagem enviada para o e-mail padro, definido
na janela de propriedades do contexto.
outro: A cpia da mensagem enviada para o endereo especificado no campo
direita.

Aker Security Solutions

568

Utilizando as Quotas

Aker Security Solutions

569

29.

Utilizando as Quotas
Este captulo mostrar como so utilizadas as quotas.

O que so quotas?
A produtividade dos funcionrios de fundamental importncia para o
desenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos de
rede devem ser utilizados de forma racional. A partir dessa necessidade, o Aker
Firewall tornou-se uma ferramenta indispensvel para o controle de acesso s
pginas web, que so visitadas pelos empregados de uma corporao. Com o uso
desse produto, os usurios s tero acesso sites dentro dos limites estabelecidos
pelas quotas de acesso. As Quotas so utilizadas para controlar e racionalizar o
tempo gasto pelos funcionrios, com acesso sites da WEB. Assim as quotas so
os limites em termos de tempo de acesso e volume de dados, por usurio. Estes
limites so definidos na seguinte forma:
Quanto periodicidade de acesso, pode ser definido diariamente, semanalmente
e mensalmente;
Quanto quantidade de horas e de dias disponveis;
Quanto ao volume de dados de bytes trafegados.
Observao 1: A contagem do tempo funciona da seguinte forma: quando o usurio
acessa uma pgina, conta um relgio de 31 segundos, se o usurio acessar uma
outra pgina, comea a contar do zero, mas no deixar de contar, por exemplo, os
10 segundos que o usurio gastou ao acessar a pgina anterior.
Observao 2: Para o consumo de quota, funciona da seguinte forma: no MSN,
para cada janela de conversao, o tempo contato separadamente, j na WEB ser
tiver acessando 10 sites, ser contato somente o tempo de um.

Aker Security Solutions

570

29.1.

Editando os parmetros do Uso de Quota

Figura 375. Janela de acesso - Uso de quotas.

Clicar no menu Informao da janela do firewall.


Selecionar o item Uso de Quotas.

Aker Security Solutions

571

Visualizao do Usurio

Figura 376. Uso de quotas: viasualizao do usurio.

Esta janela permite mostrar todas as informaes de quota de acesso, especificadas


por usurio.
Reiniciar o tempo do usurio: Ao clicar com o boto direito do mouse em cima do
usurio e ao selecionar essa opo zera toda a quota de tempo de acesso para
todas as quotas desse usurio. Caso clique em cima da quota, s ser zerado
aquela quota especfica referente a esse usurio.
Reiniciar o trfego do usurio: Ao clicar com o boto direito do mouse em cima do
usurio e ao selecionar essa opo opta em zerar todas as quotas de volume de
dados desse usurio. Caso clique em cima da quota, s ser zerado aquela quota
especfica referente a esse usurio.
Reiniciar hora e trfego do usurio: Ao clicar com o boto direito do mouse em
cima do usurio e ao selecionar essa opo opta em zerar toda quota de tempo de
acesso e a quota de volume, para esse usurio.Caso clique em cima da quota, s
ser zerado aquela quota especfica referente a esse usurio.
Usurio: Usurio para qual foi aplicado a quota.
Aker Security Solutions

572

Quota: Nome da quota criada.


Time: Tempo gasto da quota.
Volume: Quantidade de bytes trafegados.
Regularidade: Perodo que a quota vai ser aplicada se diariamente,
semanalmente ou mensalmente.
Mostra valores relativos: Mostra os valores das quotas gastas em forma de
porcentagem.
Visualizao da Quota

Figura 377. Uso de quotas: viasualizao da quota.

Esta janela permite mostrar todas as informaes de quota de acesso, especificados


por quota.
Reinicia o tempo do usurio: Ao clicar com o boto direito do mouse em cima do
usurio e ao selecionar essa opo zera toda a quota de tempo de acesso para
todas as quotas desse usurio. Caso clique em cima da quota, s ser zerado
aquela quota especfica referente a esse usurio.
Aker Security Solutions

573

Reinicia o trfego do usurio: Ao clicar com o boto direito do mouse em cima do


usurio e ao selecionar essa opo opta em zerar todas as quotas de volume de
dados desse usurio. Caso clique em cima da quota, s ser zerado aquela quota
especfica referente a esse usurio.
Reinicia hora e trfego do usurio: Ao clicar com o boto direito do mouse em
cima do usurio e ao selecionar essa opo opta em zerar toda quota de tempo de
acesso e a quota de volume, para esse usurio. Caso clique em cima da quota, s
ser zerado aquela quota especfica referente a esse usurio.
Mostra valores relativos: Mostra os valores das quotas em forma de porcentagem.
Quota: Nome da quota criada.
Usurio: Usurio para qual foi aplicado quota.
Tempo: Tempo gasto da quota.
Volume: Quantidade de bytes trafegados.
Regularidade: Perodo que a quota vai ser aplicada se diariamente,
semanalmente ou mensalmente.

Aker Security Solutions

574

Configurando o Filtro Web

Aker Security Solutions

575

30.

Configurando o Filtro Web


Este captulo mostrar para que serve e como configurar o Filtro Web.

30.1.

Planejando a instalao

O que o Filtro Web do Aker Firewall?


O filtro web um programa especializado do Aker Firewall feito para trabalhar com
os protocolos que compem a chamada WWW (World Wide Web). Dentre entre
estes protocolos, esto o HTTP, HTTPS, FTP e Gopher.
Este produto possui como principal funo controlar o acesso dos usurios internos
Internet, definindo quais pginas os usurios podero acessar e se podem ou no
transferir arquivos, por exemplo. Alm disso, ele pode bloquear tecnologias
consideradas perigosas para algumas instalaes como o Active-XTM, scripts
(JavaScript) e at applets JavaTM. Mais ainda, ele possibilita a remoo dos banners
das pginas, de forma a aumentar a sua velocidade de carga e reduzir a utilizao
do link.
Ele um proxy simultaneamente transparente (apenas para HTTP) e no
transparente (para maiores informaes, veja o captulo intitulado Trabalhando
com proxies), facilitando a instalao do sistema.
Quando utilizado da forma transparente, o proxy normalmente mais rpido do
que quando utilizado como um proxy normal, alm de no necessitar configurao
extra nos clientes. Por outro lado, a capacidade de filtrar URLs para os protocolos
HTTPS, FTP e GOPHER s existe no proxy normal.
Para que o proxy no transparente tenha a mesma performance do transparente,
necessrio que os browsers suportem o envio de requisies HTTP 1.1 via
proxies.
O que um servidor de cache WWW?
Um servidor de cache um programa que visa aumentar a velocidade de acesso s
pginas da Internet. Para conseguir isso, ele armazena internamente as pginas
mais utilizadas pelas diversas mquinas clientes e todas as vezes que recebe uma
nova solicitao, ele verifica se a pgina desejada j se encontra armazenada. Caso
a pgina esteja disponvel, ela retornada imediatamente, sem a necessidade de
consultar o servidor externo, caso contrrio a pgina carregada normalmente do
servidor desejado e armazenada, fazendo com que as prximas requisies a esta
pgina sejam atendidas rapidamente.
Aker Security Solutions

576

O filtro web do Aker Firewall trabalhando com um servidor de cache


O Aker Firewall implementa por si s um servidor de cache no seu Filtro Web,
entretanto ele pode ser configurado para trabalhar com qualquer um que siga os
padres de mercado. Este servidor de cache pode estar rodando na prpria
mquina onde o firewall se encontra ou em uma mquina separada.
Caso utilize-se de um servidor de cache em uma mquina separada (modo de
instalao recomendado), esta mquina deve ficar em uma sub-rede diferente de
onde esto as mquinas clientes, caso contrrio, todo o controle de segurana pode
ser facilmente ultrapassado. Este tipo de configurao pode ser visualizado na
seguinte figura:

Figura 378. Conexo (internet, rede interna, firewall e DMZ).

Neste tipo de instalao, para assegurar uma total proteo, basta configurar o filtro
de estados (para maiores informaes, veja o captulo intitulado O Filtro de
Estados) de forma a permitir que a mquina com o cache seja a nica que possa
acessar os servios ligados ao WWW, e que as mquinas clientes no possam abrir
nenhuma conexo em direo mquina onde se encontra o cache. Feito isso,
configura-se todas as mquinas clientes para utilizarem o Filtro Web do firewall e
configura-se o firewall para utilizar o cache na mquina desejada.

Aker Security Solutions

577

Utilizando o Filtro Web


Para se utilizar o filtro web do Aker Firewall no modo no transparente (normal),
necessria a seguinte seqncia de passos:
1. Criar os perfis de acesso desejados e os associar com os usurios e grupos
desejados. (Isso foi descrito no captulo chamado Perfis de acesso de
usurios);
2. Editar os parmetros de configurao do Filtro Web (isso ser mostrado no
tpico chamado Editando os parmetros do filtro web);
3. Criar uma regra de filtragem possibilitando que as mquinas clientes tenham
acesso ao proxy (para maiores informaes, veja o captulo intitulado O Filtro
de Estados).
O filtro web no transparente escuta conexes na porta 80, utilizando o protocolo
TCP. Caso seja necessrio, pode-se alterar este valor para qualquer porta,
bastando para isso acrescentar o parmetro -p porta, onde porta o nmero da
porta que queira que ele escute, na hora de inici-lo. Esta chamada se encontra no
arquivo /aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall
/fwhttppd para /aker/bin/firewall/fwhttppd -p 8080, por exemplo.
Para utilizar o filtro web no modo transparente necessrio executar uma seqncia
de 2 passos:
1. Criar um servio que ser desviado para o Filtro Web transparente (HTTP
e/ou HTTPS) e editar os parmetros do contexto a ser usado por este servio
(para maiores informaes, veja o captulo intitulado Cadastrando
Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no
passo 1, para as redes ou mquinas desejadas (para maiores informaes,
veja o captulo intitulado O Filtro de Estados).

30.2.

Editando os parmetros de Filtro Web

Para utilizar o filtro web, necessria a definio de alguns parmetros que


determinaro caractersticas bsicas de seu funcionamento. Esta definio feita
na janela de configurao do Filtro Web. Para acess-la, deve-se:

Aker Security Solutions

578

Figura 379. Janela de acesso - filtro web.

Clicar no menu Aplicao da janela do firewall.


Selecionar o item Filtro Web.

Aker Security Solutions

579

A janela de configurao de parmetros do Filtro Web


Aba geral

Figura 380. Configurao dos parmetros do filtro web (geral).

O boto OK far com que a janela de configurao do Filtro Web seja fechada e
as alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas, porm
manter a janela aberta.
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
Aker Security Solutions

580

O boto Retornar Configurao Inicial - Desconsidera as configuraes


personalizadas e retorna ao padro; aplicvel em todas as abas e encontra-se na
barra de ferramentas do Firewall, bem como o boto Assistente.
Cache
Habilitar cache: Esta opo permite definir se o Filtro Web ir redirecionar suas
requisies para um servidor de cache. Caso esta opo esteja habilitada, todas
as requisies recebidas sero repassadas para o servidor de cache, no
endereo IP e porta especificada. Caso contrrio, o Filtro Web atender todas as
requisies.
IP: Este campo especifica o endereo IP do servidor de cache para onde as
requisies sero redirecionadas, caso a opo habilita cache estiver ativa.
Porta: Este campo especifica a porta na qual o servidor de cache espera receber
conexes, caso a opo habilita cache estiver ativa.
Parmetros
Esta pasta possibilita ajustar o funcionamento do Filtro Web para situaes
especiais. Ela consiste dos seguintes campos:
Autentica usurios WWW: Este campo ativa ou no a autenticao de usurios
do Filtro Web. Caso ele esteja marcado, ser solicitada ao usurio uma
identificao e uma senha todas as vezes que ele tentar iniciar uma sesso e
esta somente ser iniciado caso ele seja autenticado por algum dos
autenticadores.
Utiliza cliente de autenticao em Java: Esta opo instrui o proxy a utilizar o
cliente de autenticao em Java, mesmo quando operando de modo no
transparente. A vantagem deste cliente permitir que a autenticao do usurio
seja completa (como quando se usa o cliente de autenticao para Windows, e
no apenas para o Filtro Web).
Caso o usurio esteja utilizando o Cliente de Autenticao Aker para Windows
e esteja com uma sesso estabelecida com o Firewall, ento no ser solicitado
nome nem senha, ou seja, o proxy se comportar como se no estivesse
realizando autenticao de usurios, mas ele est de fato fazendo-o. Se a
sesso do Cliente de Autenticao for finalizada, ento o proxy solicitar um
nome de usurio e senha no prximo acesso. Para maiores informaes sobre o
Cliente de Autenticao Aker, leia o captulo (Autenticao de usurios).
Para o cliente de autenticao em Java funcionar em seu browser, ele deve
ter o suporte o Java instalado e habilitado, alm de permitir o uso do protocolo
UDP para applets Java.

Aker Security Solutions

581

Forar autenticao: Se esta opo estiver marcada o proxy obrigar a


autenticao do usurio, ou seja, somente permitir acesso para usurios
autenticados. Se ela estiver desmarcada e um usurio desejar se autenticar, ele
poder faz-lo (para ganhar um perfil diferente do padro), mas acessos no
identificados sero permitidos.
Tempos Limites
Leitura: Definir o tempo mximo, em segundos, que o proxy aguarda por uma
requisio do cliente, a partir do momento que uma nova conexo for
estabelecida. Caso este tempo seja atingido sem que o cliente faa uma
requisio, a conexo ser cancelada.
Resposta: Definir o tempo mximo, em segundos, que o proxy aguarda por uma
resposta de uma requisio enviado para o servidor WWW remoto ou para o
servidor de cache, caso a opo habilita cache esteja ativa. Caso este tempo
seja atingido sem que o servidor comece a transmitir uma resposta, a conexo
com o servidor ser cancelada e o cliente receber uma mensagem de erro.
HTTPS: Definir o tempo mximo, em segundos, que o proxy pode ficar sem
receber dados do cliente ou do servidor em uma conexo HTTPS, sem que ele
considere a conexo inativa e a cancele.
Manter ativo: Definir quanto tempo um usurio pode manter uma conexo keepalive (HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o
processo para outro usurio. Recomenda-se manter este tempo bastante baixo,
para evitar o uso desnecessrio de todos os processos do sistema.
Timeout das sesses web: Indica quanto tempo uma sesso web vai ficar
sendo monitorada, permitindo ao administrador do firewall saber quais so as
sesses web ativas do seu firewall.
Exemplo: Se for marcado 30 segundos nesse campo, a janela de sesses web
(Informao -> Sesses Web) s vai mostrar as sesses ativas dos ltimos 30
segundos.
Performance
Nmero de processos: Definir o nmero de processos do Filtro Web que vo
permanecer ativos aguardando conexes. Como cada processo atende uma
nica conexo, este campo tambm define o nmero mximo de requisies que
podem ser atendidas simultaneamente.
No permitir a transferncia de arquivos comprimidos: Permite que o
Firewall no aceite transferncias do filtro Web que tenham dados compactados.
Em uma requisio HTTP e ou HTTPS, pode ser especificado que os dados
venham compactados. Caso os dados venham comprimidos e caso exista
activex, java ou javascript compactados, o firewall precisa descompact-los para
Aker Security Solutions

582

fazer a anlise dos dados, por isso que nesses casos, essa opo bastante
importante. O mais aconselhado deixar esta opo desmarcada, pois o
padro da janela.
Logar toda URL aceita: Permite que o Firewall logue todas as URL que so
realizadas um mtodo (GET, POST e etc), sendo assim teremos um volume de
logs muito maior para gerao de relatrios e contabilizao de Quotas.
Exemplo: com esta opo desmarcado o acesso ao endereo
http://www.terra.com.br ser gerado apenas um log informando o acesso ao
portal, j com a opo marcada ser gerado logs para cada GET que o browser
faz para receber todo o site.

Por razes de performance, os processos do Filtro Web ficaro ativos sempre,


independente de estarem ou no atendendo requisies. Isto feito com o
objetivo de aumentar a performance.
Normalmente, deve-se trabalhar com valores entre 5 e 60 neste campo,
dependendo do nmero de mquinas clientes que utilizaro o proxy (cabe
ressaltar que uma nica mquina costuma abrir at 4 conexes simultneas ao
acessar uma nica pgina WWW). O valor 0 inviabiliza a utilizao do proxy.

Quotas
Interromper a transferncia quando a quota for excedida: Essa opo
permite interromper a transferncia dos arquivos caso a quota tenha excedido.
Caso essa opo no esteja marcada o firewall vai verificar a quota do usurio
antes dele comear a fazer o download.
Exemplo: Se o usurio tiver 50 MB de quota, e quer fazer um download de um
arquivo de 100 MB, com certeza ele no ir
conseguir finalizar
essa transferncia. Todas s vezes que essa opo estiver marcada, e for mais
de um download simultneo ou um download que no foi informado o seu
tamanho, o firewall permite o download, mas ir interromper antes do trmino.

Contabilizar durao do download: Permite que o tempo da quota seja "gasto"


enquanto durar o tempo do download, por exemplo, se o usurio quiser fazer o
download de um arquivo de 100 MB e esse download levar 30 minutos, vo ser
gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opo
no esteja marcada, s vo ser gastos 100 MB, e no os 30 minutos.

Aker Security Solutions

583

Normalmente o tempo de quota s utilizado quando o usurio fica navegando,


mandando mensagens pelo MSN e etc. Quando ele est fazendo o download de
um arquivo grande, no gasto o tempo de sua quota, somente o volume de
bytes.
Arquivos
Permitir retomada de transferncia: Est opo dever ser selecionada caso o
usurio queira permitir, que um download continue de onde havia parado.
Aba Cliente de Autenticao

Figura 381. Filtro Web: cliente de autenticao.

Aker Security Solutions

584

Esta aba serve para compor o Layout da janela de autenticao do Aker Firewall.
Crie um ttulo para a janela de autenticao.
Autenticao - Este campo composto por duas opes que sero disponibilizadas
para o usurio quando do logon no Firewall; e poder se conectar habilitando:
Mostrar boto S/Key - Esta opo permite que os usurios se autentiquem
usando S/Key.
Mostrar campo domnio - O usurio informar o domnio para logar-se no Filtro
Web.
Logotipo
Usar logo personalizada. Neste caso ao marcar esta opo, ser preciso indicar
o caminho que se encontra a logotipo.
E possvel acompanhar as mudanas na Visualizao.
Mostrar tela de splash antes da janela de autenticao: Esta opo exibe uma
janela com a URL especificada antes de solicitar a autenticao do usurio atravs
do cliente de autenticao em Java.

Aker Security Solutions

585

Aba controle de contedo

Figura 382. Filtro Web: controle de contedo.

Analisador de URL: Especificar o agente analisador de URLs que ser utilizado


para categorizar as pginas da Internet. Esse agente deve ter sido previamente
cadastrado no firewall. Para maiores informaes veja o captulo intitulado
Cadastrando entidades.
URL Bloqueada: Permitir a configurao de qual ao deve ser executado pelo
firewall quando um usurio tentar acessar uma URL no permitida. Ela consiste das
seguintes: opes:
Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo, o
firewall mostrar uma mensagem de erro informando que a URL que se
tentou acessar se encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opo, o firewall
redirecionar todas as tentativas de acesso a URLs bloqueadas para uma
URL especificada pelo administrador. Nesse caso, deve-se especificar a URL
para quais os acessos bloqueados sero redirecionados (sem o prefixo
http://) no campo abaixo.
Aker Security Solutions

586

Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio,
quando a tentativa de acesso a uma URL for bloqueada. Ento pode optar em
mostrar a pgina padro ou redirecionar para a pgina escolhida, que
ser personalizada de acordo com os chekboxs selecionados. Segue abaixo a
descrio de cada opo e o detalhamento das variveis criadas.
Cada um desses checkbox selecionado um parmetro. Isso utilizado para
identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi
bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria
que causou o bloqueio da pgina.
Domnio: Ao selecionar essa opo ser mostrado o domnio da URL.
Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br.
Ao selecionar o domnio, criada a varivel domain.
Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET,
PUT, POST. Ao selecionar o Mtodo criada a varivel method.
Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar
essa opo criada a varivel perfil.
IP do usurio: Endereo IP do usurio que tentou acessar a URL que foi
bloqueada. Ao selecionar o Mtodo criada a varivel IP.
Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa
opo ser mostrada a razo do bloqueio do site. Por exemplo, temos as
seguintes razes:
"categoria da URL",
"regra de bloqueio",
"quota bytes excedidos",
"quota bytes insuficientes",
"quota tempo excedido",
"tipo de objeto no permitido",
"tipo de arquivo no permitido globalmente",
"tipo de arquivo no permitido no perfil",
"connect para a porta especificada no permitida
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao
selecionar a Categoria criada a varivel cats.
Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao
selecionar o nome do usurio criada a varivel user.
Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou.
Ao selecionar o nmero da regra criada a varivel rule.
Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi
bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url.

No preview, aparece como ser a URL e o que ser enviado via mtodo GET.

Aker Security Solutions

587

Aba tipos de arquivos

Figura 383. Filtro Web: tipo de arquivo.

Arquivos Bloqueados
Especificar os arquivos que sero bloqueados pelo Filtro Web.
possvel utilizar dois critrios complementares para decidir se um arquivo
transferido deve ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um
destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre
aqueles a serem bloqueados, ento o arquivo dever ser bloqueado pelo firewall.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo
e o segundo indica o subtipo. O navegador usa esta informao para decidir como
mostrar a informao que ele recebeu do mesmo modo como o sistema operacional
usa a extenso do nome do arquivo.

Aker Security Solutions

588

URL Bloqueada: Permitir a configurao de qual ao deve ser executado pelo


firewall quando um usurio tentar acessar uma URL no permitida. Ela consiste das
seguintes: opes:
Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo,
o firewall mostrar uma mensagem de erro informando que a URL que se
tentou acessar se encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opo, o firewall
redirecionar todas as tentativas de acesso a URLs bloqueadas para uma
URL especificada pelo administrador. Nesse caso, deve-se especificar a
URL para quais os acessos bloqueados sero redirecionados (sem o
prefixo http://) no campo abaixo.
Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio,
quando a tentativa de acesso a uma URL for bloqueada. Ento pode optar em
mostrar a pgina padro ou redirecionar para a pgina escolhida, que
ser personalizada de acordo com os chekboxs selecionados. Segue abaixo a
descrio de cada opo e o detalhamento das variveis criadas.
Cada um desses checkbox selecionado um parmetro. Isso utilizado para
identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi
bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria
que causou o bloqueio da pgina.
Domnio: Ao selecionar essa opo ser mostrado o domnio da URL.
Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br.
Ao selecionar o domnio, criada a varivel domain.
Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET,
PUT, POST. Ao selecionar o Mtodo criada a varivel method.
Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao
selecionar essa opo criada a varivel perfil.
IP do usurio: Endereo IP do usurio que tentou acessar a URL que foi
bloqueada. Ao selecionar o Mtodo criada a varivel IP.
Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar
essa opo ser mostrada a razo do bloqueio do site. Por exemplo,
temos as seguintes razes:
"categoria da URL",
"regra de bloqueio",
"quota bytes excedidos",
"quota bytes insuficientes",
"quota tempo excedido",
"tipo de objeto no permitido",
"tipo de arquivo no permitido globalmente",
"tipo de arquivo no permitido no perfil",
"connect para a porta especificada no permitido"

Aker Security Solutions

589

Nome da Categoria: Nome da Categoria que a URL foi associada. Ao


selecionar a Categoria criada a varivel cats.
Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao
selecionar o nome do usurio criada a varivel user.
Nmero da regra: Nmero da Regra de Filtragem que a URL se
enquadrou. Ao selecionar o nmero da regra criada a varivel rule.
Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi
bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url.

No preview, aparece como ser a URL e o que ser enviado via mtodo
GET.
Downloads
Especificar os arquivos que sero analisados contra vrus pelo Download manager
do Aker Firewall, ou seja, para os quais o firewall mostrar ao usurio uma pgina
web com o status do download do arquivo e realizar seu download em background.
Esta opo interessante para arquivos potencialmente grandes (arquivos
compactados, por exemplo) ou para arquivos que normalmente no so
visualizveis de forma on-line pelo navegador.
possvel utilizar dois critrios complementares para decidir se um arquivo
transferido deve ser analisado: a extenso do arquivo ou seu tipo MIME. Se um
destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre
aqueles a serem analisados, ento o arquivo dever ser analisado pelo firewall.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo
e o segundo indica o subtipo. O navegador usa esta informao para decidir como
mostrar a informao que ele recebeu do mesmo modo como o sistema operacional
usa a extenso do nome do arquivo.
Sites Excludos:
Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se
enquadrarem na lista de excludos no sero analisados.
As escolhas dos operadores podem ser vistas abaixo:

Aker Security Solutions

590

Figura 384. Escolhas dos operadores.

Configuraes:
Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo
encriptado.
Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo
corrompido.
Online
Da mesma maneira que em downloads o administrador do firewall deve escolher os
tipos MIME e as extenses.

Aker Security Solutions

591

Aba Antivrus

Figura 385. Filtro Web: antivrus.

Habilitar antivrus: Ao selecionar essa caixa, permitir que o firewall faa a


verificao antivrus dos contedos que tiverem sendo baixados.
O boto Retornar configurao padro restaura a configurao original do
firewall para esta pasta.
Agente antivrus utilizado: Permitir a escolha de um agente antivrus
previamente cadastrado para realizar a verificao de vrus. Esse agente
deve ter sido previamente cadastrado no firewall. Para maiores
informaes veja o captulo intitulado Cadastrando entidades.
Ignorar erros online do antivrus (podem permitir a passagem de
anexos contaminados): Quando este campo estiver selecionado, se
houver um erro de anlise do antivrus no trfego on-line, o mesmo no
Aker Security Solutions

592

bloquear o contedo, permitindo a transferncia dos dados. Caso o


campo no esteja marcado, a transferncia de dados ser bloqueada.
Ignorar erros de download do antivrus (pode permitir a passagem de
anexos contaminados): Quando este campo estiver selecionado, se
houver erro de anlise do antivrus no trfego on-line, o mesmo no
bloquear o download, permitindo a transferncia dos dados. Caso o
campo no esteja marcado, o download ser bloqueado.
Habilitar janela de progresso do antivrus: Esta opo permite
desabilitar o Download manager do Aker Firewall.
Intervalo de atualizao do status: Esta opo determina o tempo em a
pgina de download exibida pelo firewall deve ser atualizada.
Nmero de tentativas: Nmero mximo de tentativas de download para
cada arquivo, caso seja necessrio tentar mais de uma vez.
Nmero mximo de downloads simultneos: Configura o nmero
mximo de downloads simultneos que o firewall ir permitir.
Analise de Vrus: Opo para mostrar uma pgina caso seja encontrado um vrus
durante a anlise do antivrus. A pgina poder ser a do prprio firewall ou
personalizada pelo usurio. possvel personalizar a mensagem para cada tipo de
vrus encontrado, bastando utilizar a string {VIR} que ser substituda pelo nome do
vrus.

Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo,


o firewall mostrar uma mensagem de erro informando que a URL que se
tentou acessar se encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opo, o firewall
redirecionar todas as tentativas de acesso a URLs bloqueadas para uma
URL especificada pelo administrador. Nesse caso, deve-se especificar a
URL para quais os acessos bloqueados sero redirecionados (sem o
prefixo http://) no campo abaixo.

Aker Security Solutions

593

O Aker Antivirus Module suporta diversas opes de varredura de vrus, worms,


dialers, hoax, cavalo de troia e analise heursticas, abaixo segue uma lista de
opes suportadas:
Opes de anlise: Utilizado para selecionar quais os tipos de bloqueio que devem
ser realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se ser ou no
utilizado um mtodo de deteco heurstico (caso seja marcado, poder ser utilizado
s opes baixo, mdio ou alto);
Habilitar anlise heurstica: A Heurstica um conjunto de regras e
mtodos que podem levar o parceiro instalado a detectar um vrus sem a
necessidade de uma base de assinaturas de vrus, ou seja, um algoritmo
capaz de detectar programas maliciosos baseando-se em seu
comportamento;
Detectar Malware: Habilita a analise de programas maliciosos e ferramentas
hackers.
Varredura de Arquivos:
Habilitado: Permite habilitar a anlise do contedo de arquivos
compactados;
Nvel Mximo de profundidade: Define o nvel mximo de recurso ao
analisar um arquivo compactado;
Tamanho mximo do Arquivo: Define o tamanho mximo permitido de um
arquivo a ser analisado dentro de um arquivo compactado;
Nmero Mximo de Arquivos: Define a quantidade mxima de arquivos a
serem analisados dentro de um arquivo compactado.
O Aker Antivirus Module suporta a analise de arquivos compactados das
seguintes extenses: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR,
BZIP2, UPX, AsPack, PEPack, Petite, Telock, FSG, Crunch, WWWPack32, DOC,
PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO, Gzip, MS OLE2, MS Cabinet Files (+
SFX), MS SZDD compression format, BinHex, SIS (SymbianOS packages), AutoIt,
NSIS, InstallShield.
Aba SSL
O proxy HTTPS a parte do Filtro Web que trata as conexes TCP pela porta 443.
O princpio de funcionamento o de um ataque man-in-the-middle: as mquinas
clientes que fazem o acesso atravs do Aker Firewall, e este com o servidor remoto,
de forma transparente.

Aker Security Solutions

594

Entendendo um pouco de certificados


O que um certificado digital?
Certificado digital um documento fornecido pela Entidade Certificadora para cada
uma das entidades que ir realizar uma comunicao, de forma a garantir sua
autenticidade.
Para os certificados utilizados na comunicao HTTPS o padro utilizado o X.509.
Este comumente utiliza-se das extenses pem, cer e crt.
Formato PKCS#12
O formato PKCS#12 foi criado pela RSA Laboratories para armazenamento do
certificado X.509 acompanhado da chave privada. Esse arquivo geralmente tem a
extenso pfx e p12.
Comunicao HTTPS
A comunicao HTTPS utiliza-se do sistema de certificao digital.
Quando o cliente acessa um site com HTTPS o servidor envia ao cliente o
certificado X.509 (que contm sua chave pblica).
De posse deste certificado o navegador (cliente) faz algumas validaes:
Validade do certificado;
Se o CN (Common Name) do certificado o host da url;
Se a autoridade certificadora que assinou o certificado uma autoridade
confivel.

Aps a validao ocorrer com sucesso o cliente efetua o processo de comunicao


de requisies e respostas HTTP.
Vejam o diagrama abaixo:

Aker Security Solutions

595

Figura 386. Diagrama de certificados envolvidos no acesso.

O diagrama mostra os certificados envolvidos no acesso:


Certificado do servidor remoto: certificado original de onde alguns
dados como data de expirao e common name so copiados para os
certificados gerados no firewall.
Certificado do proxy: certificado criado a cada requisio, que contm
cpia daqueles dados do certificado original que identificam o site.
Assinado pela CA inserida pelo administrador.
Os clientes precisam confiar nessa CA inserida no Aker Firewall para que seu
browser no detecte o ataque. Logo, dois certificados so necessrios, um para os
clientes e outro para o Aker Firewall.
Outros certificados que aparecem so os utilizados pelo Aker Firewall para validar
os sites remotos.
Gerando certificado para utilizao do Firewall
Para o firewall poder gerar certificados ele atua como uma Autoridade certificadora
(CA), ou seja, ele gera os certificados para os sites no qual acessado atravs do
Proxy. Para poder realizar este processo alguns pr-requisitos so necessrios:
O firewall necessita de um certificado digital no formato PKCS#12, pois somente
este tem a chave privada;
Aker Security Solutions

596

O Certificado X.509 contido no PKCS#12 necessita ser um certificado com


prerrogativas especficas para que este certificado possa assinar novos
certificados, ou seja, atuar como uma CA.

Para o processo de gerao do certificado h vrias possibilidades, neste FAQ


sero explicadas duas delas. Para o correto funcionamento do firewall no
necessrio realizar estas duas formas, portanto escolha uma delas e realize
somente ela.
1. Gerando um certificado auto-assinado com o OpenSSL;
2. Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows.

Ao final de qualquer um dos dois processos escolhidos haver dois arquivos que
sero utilizados no processo do Proxy HTTPS:
1. Arquivo no formato X.509, com extenso .cer;
2. Arquivo no formato PKCS#12, com extenso .pfx.

O Arquivo PKCS#12 ser utilizado na configurao do Proxy HTTPS. O arquivo


X.509 precisa ser importado na seo de autoridades certificadoras raiz
confiveis dos navegadores conforme demonstrado posteriormente.

Aker Security Solutions

597

Configurao

Figura 387. Filtro web: configurao.

O proxy HTTPS ativo habilitado por padro e tem como opo a filtragem do
servio para determinadas portas e entidades.
Controle SSL (proxy Ativo): Permitir a definio das portas de conexo segura
(HTTPS) que sero aceitas pelo firewall. Caso um cliente tente abrir uma conexo
para uma porta no permitida, o firewall mostrar uma mensagem de erro e no
possibilitar o acesso.
Permite HTTPS apenas para a porta padro (443): caso queira utilizar
apenas a porta padro (443), deve-se selecionar a primeira opo. Essa
a configurao a ser utilizada na grande maioria dos firewalls.
Permite HTTPS para todas as portas: indica ao firewall que ele deve
aceitar conexes HTTPS para quaisquer portas. Essa configurao no
recomendada para nenhum ambiente que necessite de um nvel de
segurana razovel, j que possvel para um usurio utilizar o proxy
para acessar servios no permitidos simulando uma conexo HTTPS.
Permite HTTPS para as entidades abaixo: que possibilita ao
administrador definir exatamente quais portas ser permitido. Nesse caso
Aker Security Solutions

598

devem ser cadastradas as entidades correspondentes aos servios


desejados. Para maiores informaes, veja o captulo intitulado
Cadastrando Entidades.
Para habilitar o proxy HTTPS transparente, crie uma regra de filtragem para o
servio HTTPS e habilite o proxy no combobox da entidade de servio (da mesma
forma como se faz para o proxy HTTP). Nesta janela, marque a caixa Certificado
local proxy transparente.
Lista de exceo HTTPS: aqui vo entidades do novo tipo Listas de
Common Name SSL, que ficam na aba listas no widget de entidades.
Devem ser cadastrados os Common Names dos sites que no devem
passar pelo proxy.
A lista de Common Names no to simples. Por exemplo, www.gmail.com e
mail.google.com, precisam estar na lista pra liberar o Gmail do proxy. Uma lista com
www.bb.com.br tambm no suficiente para proteger o Banco do Brasil, visto que j
ao logar um novo certificado apresentado, para www2.bancobrasil.com.br.
Certificados utilizados para validao remota: como o proxy faz manin-the-middle, ele tambm precisa validar os certificados remotos como faz
o browser, para detectar ataques de phishing, certificados expirados, etc.
Neste campo devem ser inseridos certificados de CA (que no so
entidades, por enquanto, para evitar lentido).
Utilizar um certificado customizado em caso de erro: caso o proxy
detecte que o certificado da outra ponta no vlido, deve avisar o
usurio, como faz o browser. Caso esta checkbox esteja marcada o Filtro
Web assina o certificado da comunicao com uma CA de erro importada
pelo administrador, para que seja possvel adicionar excees ao proxy
em nvel de usurio. Com a checkbox desmarcada o acesso bloqueado,
um evento gerado e uma pgina de erro vai para o usurio.

Aker Security Solutions

599

Figura 388. Certificado de errro do Firefox.

Erro do Firefox ao detectar certificado assinado pela CA de erro.

Aker Security Solutions

600

Figura 389. Certificado assinado pela CA de erro.

Certificado assinado pela CA de erro.

Figura 390. Erro de acesso.

Aker Security Solutions

601

Sem a CA de erro o acesso bloqueado.


Certificado da CA do proxy: aqui possvel importar/exportar a CA utilizada para
assinar os certificados gerados. Siga os passos abaixo para gerar este certificado
corretamente:
Utilizando Open SSL
1.
2.
3.
4.
5.

Efetue a instalao do OpenSSL;


Crie um diretrio para utilizaes durante este processo;
Crie um arquivo, dentro deste diretrio, vazio, com o nome database.txt;
Crie um arquivo, dentro deste diretrio, vazio, com o nome serial.txt;
Crie um arquivo nomeado autoassinado.conf e adicione o seguinte
contedo:
RANDFILE

= .rnd

[ ca ]
default_ca

= CA_default

[ CA_default ]
certs
= certs
crl_dir
= crl
database
= database.txt
new_certs_dir
= certs
certificate = cacert.pem
serial
= serial.txt
crl
= crl.pem
private_key = private\cakey.pem
RANDFILE
= private\private.rnd
default_days
= 365
default_crl_days= 3
default_md = sha1
preserve
= no
policy
= policy_match
[ policy_match ]
commonName
= supplied
emailAddress
= optional
countryName
= optional
stateOrProvinceName
= optional
localityName
= optional
organizationName = optional
organizationalUnitName = optional
[ req ]
default_bits
= 1024
default_keyfile
= privkey.pem
distinguished_name
= req_distinguished_name
[ req_distinguished_name ]
Aker Security Solutions

602

commonName
= Common Name (eg, your website's domain
name)
commonName_max
= 64
emailAddress
= Email Address
emailAddress_max
= 40
countryName
= Country Name (2 letter code)
countryName_min
= 2
countryName_max
= 2
countryName_default
= BR
stateOrProvinceName
= State or Province Name (full name)
localityName
= Locality Name (eg, city)
0.organizationName
= Organization Name (eg, company)
organizationalUnitName
= Organizational Unit Name (eg,
section)
countryName_default
= BR
[ v3_ca ]
certificatePolicies=2.5.29.32.0
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints=critical,CA:TRUE
keyUsage = critical,cRLSign, keyCertSign, digitalSignature

6. Crie a chave privada que ser utilizada:


openssl genrsa -des3 -out ca.key 1024

Neste momento ser solicitada a senha para armazenamento da chave, est


senha ser utilizada posteriormente para abertura da chave privada.
Loading 'screen' into random state - done
Generating RSA private key, 1024 bit long modulus
..............++++++
...............++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:

7. Crie o certificado X.509. Este o arquivo que ser utilizado futuramente para
instalao nos clientes:
openssl req -extensions v3_ca -config autoassinado.conf -new -x509 days 3650 -key ca.key -out firewall.cer

Neste momento algumas informaes sero solicitadas, a primeira delas a


senha da chave privada criada no passo anterior.
Enter pass phrase for ca.key:
Aker Security Solutions

603

Agora sero solicitados os dados do certificado, o nico item obrigatrio o


Common Name (CN), nele adicione o nome como deseja que a sua CA seja
identificada.
Aps a finalizao deste processo temos o nosso certificado conforme
imagem abaixo:

Figura 391. Certificado de informao.

Porm temos dois arquivos, um para a chave privada e outro para o certificado,
desta forma ser necessrio coloc-los em um nico arquivo no formato PKCS#12,
que o formato reconhecido pelo firewall.

8. Crie o arquivo PKCS#12 com a chave privada e o certificado


openssl pkcs12 -export -out firewall.pfx -in firewall.cer -inkey
ca.key

Aker Security Solutions

604

Neste processo sero solicitadas duas senhas, a primeira para abertura da


chave privada e a segunda para a exportao do arquivo PKCS#12. Esta
segunda senha ser utilizada no momento da importao do arquivo
PKCS#12 no firewall.
Enter pass phrase for ca.key:
Enter Export Password:
Verifying - Enter Export Password:

Utilizando CA Microsoft:
Este item no demonstra como efetuar a instalao de uma autoridade certificadora
(CA) no Windows, e sim como utilizar uma j instalada, sendo a instalao desta um
pr-requisito para continuidade deste processo.
1. Abra a console de gerenciamento de autoridade certificadora em Start >
Administrative Tools > Certification Authority (Iniciar > Ferramentas
Administrativas > Autoridade de certificao)

Figura 392. Certificado de informao como utilizar autoridade certificadora j cadastrada.


Aker Security Solutions

605

2. Selecione a sua CA

Figura 393. Certificado CA tela de acesso.

3. Nestes prximos passos iremos exportar o certificado X.509 da CA.


Clique com o boto direito do mouse e clique em Properties (Propriedades)

Figura 394. Certificado CA properties.

4. Selecione o ltimo certificado da CA e clique em View Certificate (Exibir


certificado)

Aker Security Solutions

606

Figura 395. Certificado CA General.

5. Na tela de visualizao do certificado clique em Details (detalhes) e depois


em Copy to file (Copiar para arquivo)

Aker Security Solutions

607

Figura 396. Certificado CA Details..

6. Selecione um local para salvar o arquivo. Este o arquivo que ser utilizado
futuramente para instalao nos clientes.
7. Nestes prximos passos iremos Exportar o arquivo no formato PKCS#12
para a utilizao no firewall.
8. Volte para a tela principal da autoridade certificadora. Clique com o boto
direito do mouse no nome da CA e clique em All Tasks (Todas as tarefas) e
clique em Back up CA (Fazer Backup da autoridade de cert...)

Aker Security Solutions

608

Figura 397. Certificado CA All tasks / Back up Ca.

9. Na prxima tela clique em Avanar. Na tela subseqente selecione somente


o item Private key and CA certificate (Chave particular e certificado de
autoridade de certificao), indique o diretrio onde ser salvo o arquivo,
clique em avanar.

Figura 398. Certificado Authority Backup Wizard.

Aker Security Solutions

609

10. Nesta tela (baixo) indique a senha de proteo do arquivo PKCS#12. Esta
senha ser utilizada no momento da importao do arquivo PKCS#12 no
firewall.

Figura 399. Certificado Authority Backup Wizard senha e confirmao.

Aps este processo ser gerado o arquivo PKCS#12 com a chave privada e o
certificado desta CA.
Usar um certificado de CA personalizado em caso de erro no proxy: aqui
possvel importar/exportar CA utilizada quando h erro na validao do certificado
remoto. Quando a opo de utilizar CA de erro desmarcada, a opo de visualizar
a CA de erro fica desabilitada.
Importando certificado X.509 no Windows
A importao deste certificado na base do Windows tem efeito em todos os
aplicativos que consultam esta base como base dos certificados confiveis desta
forma os certificados gerados pelo Filtro Web sero validados nas estaes de
trabalho filtradas, sem apresentar as mensagens de segurana mostradas acima.
Na lista destes aplicativos esto:
Internet Explorer;
Google Chrome;
Windows live messager (MSN).
Aker Security Solutions

610

1. Abra a Microsoft Managment Console. Acesse: Iniciar > Executar e digite


mmc e clique em OK.

Figura 400. Microsoft Management Console.

2. Na tela do MMC clique em File (Arquivo) depois clique em Add/Remove


snap-in... (Adicionar/remover snap-in...).
3. Selecione a opo Certificates (Certificados) e clique em Add (Adicionar)

Aker Security Solutions

611

Figura 401. Adicionar ou remover Snap-is.

4. Selecione a opo Computer account (Conta de computador), selecione a


opo Local Computer (Computador local).

Aker Security Solutions

612

5. Na opo Certificates > Trusted Root Certification Authorities >


Certificates (Certificados > Autoridade de certificao raiz confiveis >
Certificados) clique com o boto direito e clique em All tasks > Import
(Todas as tarefas > Importar).

Figura 402. Microsoft Management Console certificates, all taks, import).

Aker Security Solutions

613

6. Selecione o arquivo X.509, ou seja, o arquivo com a extenso .cer.

Figura 403. Escolha do diretrio onde deseja importar o relatrio.

Importando certificado X.509 no Mozilla Firefox


1. Clique em Ferramentas > Opes

Figura 404. Mozila Firefox (importar certificado).


Aker Security Solutions

614

2. Selecione a opo Avanado > Criptografia

Figura 405. Mozila Firefox (criptografia).

Aker Security Solutions

615

3. Selecione a opo Certificados, na tela de certificados selecione a aba


Autoridades e clique no boto Importar.

Figura 406. Gerenciador de certificados autoridades.

Aker Security Solutions

616

4. Selecione o arquivo X.509, ou seja, o arquivo com a extenso .cer.


Aba Avanado

Figura 407. Filtro Web: avanado.

Aker Security Solutions

617

30.3.

Editando os parmetros de Sesses Web

Sesses Web

Figura 408. Sesses Web.

Esta janela permite ao administrador do Firewall, visualizar as sesses ativas,


verificando o que foi acessado e por quem, no tempo definido na janela de Filtro
Web, opo Timeout das sesses web.
As informaes sero visualizadas e distribudas nos seguintes campos:
Tempo: Indica o dia e horrio e a URL que foi acessada.
Host: Indica a mquina de onde foi acessada a URL.
Usurio: Indica o usurio que acessou a URL.
Perfil: Indica qual o perfil de acesso que o usurio caiu quando tentou acessar a
URL.
Aker Security Solutions

618

Regra: Indica qual a regra de acesso que a URL se enquadrou.


Categoria: Indica qual a categoria que a URL se enquadrou.
Ao: Indica se as sesses web que passaram pelo firewall foram aceitas ou
rejeitadas.

Aker Security Solutions

619

Configurando o Proxy Socks

Aker Security Solutions

620

31.

Configurando o Proxy Socks


Este captulo mostrar para que serve e como configurar o Proxy Socks.

31.1.

Planejando a instalao

O que o proxy SOCKS do Aker Firewall?


O proxy SOCKS um programa especializado do Aker Firewall feito para trabalhar
com programas que suportem o protocolo SOCKS nas verses 4 ou 5.
Este proxy possui como funo principal prover uma melhor segurana para
protocolos passarem atravs do firewall, principalmente protocolos complexos que
utilizam mais de uma conexo. possvel atravs do uso do SOCKS 5 realizar
autenticao de usurios para quaisquer servios que passem pelo firewall, mesmo
sem o uso do cliente de autenticao.
Ele um proxy no transparente (para maiores informaes, veja o captulo
intitulado Trabalhando com proxies), desta forma, os clientes que forem utiliz-lo
devem ter suporte para trabalhar com proxies e devem ser configurados para us-lo.
Utilizando o proxy SOCKS
Para utilizar o proxy SOCKS do Aker Firewall, necessrio a seguinte seqncia de
passos:
1. Criar os perfis de acesso desejados e associ-los aos usurios e grupos
desejados. (isso foi descrito no captulo chamado Perfis de acesso de
usurios);
2. Editar os parmetros de configurao do proxy SOCKS (isso ser mostrado no
tpico chamado Editando os parmetros do proxy SOCKS);
3. Criar uma regra de filtragem possibilitando que as mquinas clientes tenham
acesso ao proxy (para maiores informaes, veja o captulo intitulado O Filtro de
Estados).
O proxy SOCKS do Aker Firewall escuta conexes na porta 1080, utilizando o
protocolo TCP. Caso seja necessrio, pode-se alterar este valor para qualquer
porta, bastando para isso acrescentar o parmetro -p porta, onde porta o nmero
da porta que queira que ele escute, na hora de inici-lo. Esta chamada se encontra
no
arquivo
/aker/bin/firewall/rc.aker,
e
deve
ser
alterada
de
/aker/bin/firewall/fwsocksd para /aker/bin/firewall/fwsocksd -p 8080, por
exemplo.

Aker Security Solutions

621

31.2.

Editando os parmetros do Proxy SOCKS

Para utilizar o Proxy SOCKS, necessrio a definio de alguns parmetros que


determinaro caractersticas bsicas de seu funcionamento. Esta definio feita
na janela de configurao do proxy SOCKS. Para acess-la, deve-se:

Figura 409. Janela de acesso - Proxy Socks

Clicar no menu Aplicao da janela de administrao.


Selecionar o item Proxy Socks.

Aker Security Solutions

622

A janela de configurao de parmetros do proxy SOCKS

Figura 410. Autenticao dos usurios Socks.

O boto OK far com que a janela de configurao do proxy SOCKS seja


fechada e as alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta.
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
Significado dos parmetros:
Autentica usurios SOCKS: Este campo ativa ou no a autenticao de usurios
do proxy SOCKS. Caso ele esteja marcado, ser solicitada ao usurio uma
identificao e uma senha todas as vezes que ele tentar iniciar uma sesso e esta
somente ser iniciado caso ele seja autenticado por algum dos autenticadores.
Caso o usurio esteja utilizando o Cliente de Autenticao Aker e esteja com uma
sesso estabelecida com o Firewall, ento no ser solicitado nome nem senha, ou
seja, o proxy se comportar como se no estivesse realizando autenticao de
usurios, mas ele est de fato fazendo-o. Se a sesso do Cliente de Autenticao
for finalizada, ento o proxy solicitar um nome de usurio e senha no prximo
acesso. Para maiores informaes sobre o Cliente de Autenticao Aker, leia o
captulo Autenticao de Usurios).
A verso 4 do protocolo SOCKS no permite realizar autenticao de usurios,
dessa forma, a nica maneira de autenticar clientes utilizando essa verso do
protocolo com o uso do cliente de autenticao. Caso essa opo esteja marcada,
a verso suportada pelo cliente for a 4 e no existir uma sesso de perfil de acesso
ativa, ento o firewall no permitir acessos para o cliente.
Tempo limite de resposta: Este parmetro define o tempo mximo, em segundos,
que o proxy aguarda por dados do cliente, a partir do momento que uma nova
conexo for estabelecida. Caso este tempo seja atingido sem que o cliente envie os
dados necessrios, a conexo ser cancelada.
Aker Security Solutions

623

Nmero mximo de processos: Este campo define o nmero mximo de


processos do proxy SOCKS que podero estar ativos simultaneamente. Como cada
processo atende uma nica conexo, este campo tambm define o nmero mximo
de requisies que podem ser atendidas simultaneamente.

Aker Security Solutions

624

Configurando o Proxy RPC e o


Proxy DCE-RPC

Aker Security Solutions

625

32.

Configurando o Proxy RPC e o proxy DCE-RPC


Este captulo mostrar como configurar o proxy RPC e o proxy DCE-RPC.

O que o proxy RPC?


O proxy RPC um programa especializado do Aker Firewall feito para trabalhar com
o protocolo RPC, mais especificamente, o SUN RPC, descrito na RFC1050. A sua
funo bsica fazer chamadas a funes remotas (Remote Procedure Call), ou
seja, funes disponibilizadas por outras mquinas acessveis atravs do firewall.
Exemplos de protocolos que usam o RPC so os portmapper e o NFS.
Quando um cliente deseja realizar uma chamada RPC para um determinado
nmero de processo, o firewall verifica a ao relacionada quele processo. Se
permitir, o proxy insere as regras de liberao de portas direta e automaticamente
no kernel. Caso contrrio, o firewall bloqueia o processo como se ele estivesse
indisponvel.
Ele um proxy transparente (para maiores informaes veja o captulo intitulado
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da
sua existncia.
Utilizando o proxy RPC
Para utilizar o proxy RPC, necessrio executar uma seqncia de 2 passos:
Criar um servio que ser desviado para o proxy RPC e editar os parmetros
do contexto a ser usado por este servio (para maiores informaes, veja o
captulo intitulado Cadastrando Entidades);
Acrescentar uma regra de filtragem permitindo o uso do servio criado no
passo 1, para as redes ou mquinas desejadas (para maiores informaes,
veja o captulo intitulado Filtro de Estados).
O que o proxy DCE-RPC?
O proxy DCE-RPC um programa especializado do Aker Firewall feito para
trabalhar com o protocolo RPC, mais especificamente, o DCE- RPC. A sua funo
bsica fazer chamada s funes remotas (Remote Procedure Call), ou seja,
funes disponibilizadas por outras mquinas acessveis atravs do firewall.
Exemplos de protocolos que usam o DCE- RPC so os Transmission Control
Protocol (TCP) e o HTTP.
Quando um cliente deseja realizar uma chamada DCE-RPC para um determinado
nmero de processo, o firewall verifica a ao relacionada quele processo. Se
permitir, o proxy insere as regras de liberao de portas direta e automaticamente
Aker Security Solutions

626

no kernel. Caso contrrio, o firewall bloqueia o processo como se ele estivesse


indisponvel.
Ele um proxy transparente (para maiores informaes veja o captulo intitulado
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da
sua existncia.
Utilizando o proxy DCE-RPC
Para utilizar o Proxy RPC, necessrio executar uma seqncia de 2 passos:
Criar um servio que ser desviado para o proxy DCE-RPC e editar os parmetros
do contexto a ser usado por este servio (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades).

Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1,


para as redes ou mquinas desejadas (para maiores informaes, veja o captulo
intitulado O Filtro de Estados).
32.1.

Editando os parmetros de um contexto RPC

A janela de propriedades de um contexto DCE-RPC ser mostrada quando for


selecionado o protocolo UDP e a opo Proxy RPC na janela de edio de
servios. Atravs dela possvel definir o comportamento do proxy RPC quando
este for lidar com o servio em questo.

Aker Security Solutions

627

A janela de propriedades de um contexto RPC

Figura 411. Propriedades de um contexto RCP.

Na janela de propriedades so configurados todos os parmetros de um contexto


associado a um determinado servio. Ela consiste dos seguintes campos:
Ao padro: Indicar a ao que ser aplicada a todos os servios remotos que
no estiverem presentes na lista de permisses. O valor aceita permite que o
servio seja utilizado e o valor rejeita impede sua utilizao.
Lista de permisses: Definir, de forma individual, as permisses de acesso aos
servios remotos.
Para executar qualquer operao sobre um servio na lista de permisses, basta
clicar com o boto direito do mouse sobre ele na coluna RPC. Aparecer o seguinte
menu (Caso no exista nenhum servio selecionado, somente as opes Inserir e
Apagar estaro presentes):

Aker Security Solutions

628

Figura 412. Menu de execuo da janela RPC.

Inserir: Permitir a incluso de um novo servio na lista. Se algum servio estiver


selecionado, o novo ser inserido na posio selecionada. Caso contrrio, o novo
servio ser includo no final da lista.
Excluir: Remover da lista o servio selecionado.
Lista de servios: Contm uma lista pr-definida de servios e seus respectivos
nmeros. possvel acrescentar servios que no estejam presentes nessa lista.
Para isso, basta clicar no campo logo abaixo da opo Apagar e digitar o cdigo do
novo servio.
Para alterar a ao aplicada a um servio, deve-se clicar com o boto direito do
mouse sobre ele na coluna Ao e escolher uma das opes, Aceita ou Rejeita,
que aparecero no menu seguinte:

Figura 413. Menu de execuo da janela RPC (inseir, apagar, rejeitar ou aceitar).

Editando os parmetros de um contexto DCE-RPC


A janela de propriedades de um contexto RPC ser mostrada quando for selecionado o
protocolo TCP e a opo Proxy DCE-RPC na janela de edio de servios. Atravs
dela possvel definir o comportamento do proxy DCE-RPC quando este for lidar com o
servio em questo.

Aker Security Solutions

629

A janela de propriedades de um contexto DCE-RPC

Figura 414. Propriedades de um contexto DCE-RPC.

Na janela de propriedades so configurados todos os parmetros de um contexto


associado a um determinado servio. Ela consiste dos seguintes campos:
Ao padro: Indicar a ao que ser aplicada a todos os servios remotos que
no estiverem presentes na lista de permisses. O valor aceita permite que o
servio seja utilizado e o valor rejeita impede sua utilizao.
Lista de permisses: Definir, de forma individual, as permisses de acesso aos
servios remotos.
Para executar qualquer operao sobre um servio na lista de permisses, basta
clicar com o boto direito do mouse sobre ele na coluna RPC. Aparecer o seguinte
menu (Caso no exista nenhum servio selecionado, somente as opes Inserir e
Apagar estaro presentes):

Aker Security Solutions

630

Figura 415. Menu de execuo da janela DCE-RPC.

Inserir: Permitir a incluso de um novo servio na lista. Se algum servio estiver


selecionado, o novo ser inserido na posio selecionada. Caso contrrio, o novo
servio ser includo no final da lista.
Excluir: Remover da lista o servio selecionado.
Lista de servios: Contm uma lista pr-definida de servios e seus respectivos
nmeros. possvel acrescentar servios que no estejam presentes nessa lista.
Para isso, basta clicar no campo logo abaixo da opo Apagar e digitar o cdigo do
novo servio.
Para alterar a ao aplicada a um servio, deve-se clicar com o boto direito do
mouse sobre ele na coluna Ao e escolher uma das opes, Aceita ou Rejeita,
que aparecero no menu seguinte:

Figura 416. Menu de execuo da janela DCE-RPC (inseir, apagar, rejeitar ou aceitar).

Aker Security Solutions

631

Configurando o Proxy MSN

Aker Security Solutions

632

33.

Configurando o Proxy MSN


Este captulo mostrar para que serve e como configurar o proxy MSN.

33.1.

Planejando a instalao

O que o MSN Messenger?


MSN Messenger, ou apenas MSN, um programa de mensagens instantneas
criado pela Microsoft Corporation. O programa permite que um usurio da Internet
converse com outro que tenha o mesmo programa em tempo real por meio de
conversas de texto, voz ou at com vdeo. Ele uma ferramenta gratuita com um
grande nmero de funcionalidades, algumas potencialmente prejudiciais ao
ambiente coorporativo como a transferncia de arquivos on-line, fazendo com que
as empresas busquem solues para melhor trabalhar com este servio.
O que o proxy MSN - Messenger do Aker Firewall?
Este proxy possui como funo principal controlar um importante canal de trnsito
de informaes que o MSN Messenger, possibilitando que no se abra mo de
seu uso, ao mesmo tempo em que se evita a perda de produtividade. Integrado ao
sistema de perfis de acesso, esse sistema se adaptar realidade das corporaes,
onde cada usurio ter privilgios distintos.
As funcionalidades do produto baseiam-se em:
Estar integrado ao sistema de perfil de acesso (permitindo controle por usurios
e grupos).
Definir white-lists e black-lists, por perfil.
Controlar o horrio de uso.
Controlar o tempo de uso por dia (configurado no perfil) para cada usurio.
Controlar o envio/recebimento de arquivo (inclusive por tipo).
Controlar convites para outros servios (vdeo, udio, games, etc..).
Realizar um log de sesses.
Utilizando o proxy MSN
O MSN Messenger por padro trabalha na porta TCP 1863, porm tambm pode se
conectar aos servidores atravs do protocolo HTTP e SOCKS. O Proxy MSN da
Aker controla os dados que trafegaro atravs de um proxy transparente (ver mais
detalhes em Trabalhando com proxies).
Para utilizar o proxy MSN do Aker Firewall necessrio a seguinte seqncia de
passos:
Aker Security Solutions

633

1. Definir os parmetros genricos do proxy MSN.


2. Criar os perfis de acesso desejados e associ-los aos usurios e grupos
desejados. (Isso foi descrito no captulo chamado Perfis de acesso de
usurios).
3. Associar a uma regra de filtragem possibilitando que os usurios possam utilizar
o servio MSN (para maiores informaes, veja o captulo intitulado O Filtro de
Estados).
33.2.

Editando os parmetros do Proxy MSN

Para utilizar o proxy MSN necessrio a definio de alguns parmetros que


determinaro caractersticas bsicas de seu funcionamento. Esta definio feita
na janela de configurao do proxy MSN. Para acess-la, deve-se:

Figura 417. Janela de acesso - Proxy Messenger.

Clicar no menu Aplicao da janela de administrao do Firewall


Selecionar o item Proxy Messenger

Aker Security Solutions

634

A janela de configurao de parmetros do proxy MSN


O boto OK far com que a janela de configurao do proxy MSN seja fechada e
as alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas, porm
manter a janela aberta.
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
Esta janela composta por quatro abas:
Aba Tipos de Servios

Figura 418. Proxy Messenger Aba Tipo Servio.

Esta aba define os servios adicionais que podero ser utilizados atravs de uma
conexo MSN. Estes servios podero posteriormente ser controlados a partir das
regras dos perfis de cada usurio.
Para inserir um novo tipo de servio, deve-se clicar com o boto direito e selecionar
a opo Novo.
Para remover um tipo de servio, deve-se clicar com o boto direito sobre o servio
a ser removido e escolher a opo Remover.

Aker Security Solutions

635

Para editar qualquer um dos campos de um servio, basta clicar com o boto direito
sobre a coluna cujo valor se deseja alterar e modificar o dado diretamente no menu
que ir aparecer.
possvel adicionar automaticamente vrios servios pr-configurados, bastando
para isso clicar no boto Adicionar Servios Padro, localizado na barra de
tarefas.
Aba Mensagens

Figura 419. Proxy Messenger Aba Mensagens.

Esta aba permite configurar as mensagens que sero mostradas aos usurios
internos e externos quando eles no tiverem permisso de executar uma
determinada ao atravs do proxy messenger.

Aker Security Solutions

636

Aba Controle de Acesso

Figura 420. Proxy Messenger Controle de acesso.

Essa aba controla o acesso dos usurios, por meio da vinculao de um passport a
um perfil.
No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa
entidade ser associada a algum perfil definido no Firewall.
Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usurios
que tiverem o login no MSN terminando por @aker.com.br ir automaticamente cair
no perfil teste.

Aker Security Solutions

637

Aba Configuraes

Figura 421. Proxy Messenger Configuraes.

Essa aba permite configurar a quantidade mxima de descritores (socket) e/ou


arquivos que o processo do proxy MSN pode abrir. O valor padro de 1024, mas
pode chegar a at 8192 no mximo.
O Aker Firewall 6.1 conta com a anlise de vrus para arquivos transferidos. Para
ativar essa verificao marque a opo Habilitar Antivrus no MSN caso deseje
que o firewall analise os arquivos.
A opo Permitir a passagem de arquivos se ocorrer erro no Antivrus permite
transferncia de arquivos infectados, caso o servidor de antivrus estiver
indisponvel.
Marque "Usar Antivrus Local" para que o firewall utilize o antivrus j includo nele,
caso contrrio, inclua a autenticao e o endereo de IP do seu servidor Antivrus.

Aker Security Solutions

638

Configurando a Filtragem de
Aplicaes

Aker Security Solutions

639

34.

Configurando a Filtragem de Aplicaes


Este captulo mostrar para que serve e como configurar a Filtragem de Aplicaes.

34.1.

Planejando a instalao

O que a Filtragem de Aplicaes?


Esta filtragem baseia-se no controle dos dados que esto passando atravs do Aker
Firewall. possvel analisar o contedo de protocolos e tipos reais de arquivos que
esto trafegando, independentemente de que porta de comunicao esteja
utilizando e automaticamente bloque-los ou coloc-los em uma prioridade de
trfego mais baixa, evitando o consumo de banda com recursos desnecessrios.
Esta filtragem pode ser realizada de forma global, tratando qualquer pacote que
passe pelo firewall ou por perfis de acesso. Em especial, os seguintes tipos de
trfego podem ser identificados:
Download de tipos de arquivos especficos via FTP, HTTP e aplicativos peer-topeer.
Conexes de controle de aplicativos peer-to-peer (GNUTELLA, Napster, Kazaa,
etc) e de comunicao (Messenger, ICQ, etc.) sobre qualquer mdia (TCP ou
UDP direto e proxy HTTP).
Utilizando as regras de Filtragem de Aplicao
Para utilizar a Filtragem de Aplicao do Aker Firewall deve-se seguir a seguinte
seqncia de passos:
1. Criar os filtros desejados, o que est descrito no tpico Criando Filtros de
Aplicaes.
2. Criar regras de filtragem de aplicaes globais ou para os perfis de acesso
desejados.
34.2.

Criando Regras de Filtragem de Aplicaes

Para acessar a janela de filtragem de aplicaes deve-se:

Aker Security Solutions

640

Figura 422. Janela de acesso - Filtragem de aplicaes.

Clicar no menu Aplicao da janela de administrao do Firewall.


Selecionar o item Filtragem de Aplicaes.

Aker Security Solutions

641

A janela de regras de Filtragem de Aplicaes

Figura 423. Filtragem de aplicaes Regras de filtragem de aplicaes.

Esta janela composta por duas abas, uma com a definio das regras globais da
filtragem de aplicaes e outra que permite a criao dos filtros que sero utilizados
nestas regras e nas regras de filtragem dos perfis de acesso.
O boto OK far com que a janela seja fechada e as alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas, porm
manter a janela aberta.
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
Regras de Filtragem de Aplicao
Esta aba disponibiliza as regras de aplicao que sero utilizadas pelo firewall de
forma global. possvel tambm criar regras especficas para os perfis de acesso
(para maiores informaes veja Cadastrando perfis de acesso).
Estas regras permitem, por exemplo, que determinados tipos de arquivos sejam
bloqueados de acordo com seu tipo real, independentemente de sua extenso ou
protocolo que esteja sendo utilizado para envi-los. possvel tambm ao invs de
bloque-lo, simplesmente mudar a prioridade de um servio ou tipo de arquivo
sendo transmitido.
Aker Security Solutions

642

Uma das grandes utilizaes destes filtros para otimizao do acesso Internet.
possvel, por exemplo, que todos os usurios tenham um acesso rpido a Internet,
porm quando estes tentarem baixar arquivos cujos tipos no sejam considerados
importantes, i.e, mp3, vdeos, etc, a conexo sendo utilizada para transferir estes
arquivos automaticamente fique com uma largura de banda bastante reduzida.
Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o
boto direito e a seguir escolher a opo desejada no menu que ir aparecer. As
seguintes opes esto disponveis:

Figura 424. Menu de operao sobre uma regra.

Inserir: Permitir a incluso de uma nova regra na lista.


Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista.
Excluir: Remover da lista a regra selecionada.
Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo
com seu estado atual.
Cada regra consiste dos seguintes campos:
Origem: Especificar as origens da comunicao que o filtro estar inspecionando,
para isso deve-se inserir uma ou mais entidades do tipo mquinas, redes ou
conjuntos (para maiores informaes veja o captulo Cadastrando entidades).
Destino: Especificar os destinos da comunicao que o filtro estar inspecionando,
para isso deve-se inserir uma ou mais entidades do tipo mquinas, redes ou
conjuntos (para maiores informaes veja o captulo Cadastrando entidades).
Servio: Especificar os servios da comunicao que o filtro estar inspecionando,
para isso deve-se inserir uma ou mais entidades do tipo servio (para maiores
informaes veja o captulo Cadastrando entidades).

Aker Security Solutions

643

Filtros de Aplicao: Indicar quais os filtros que estaro ativos para as conexes
que forem em direo a um dos destinos especificados na regra e utilizando um dos
servios tambm especificados. A definio dos filtros feita na janela de Filtragem
de Aplicaes. Para maiores informaes veja o captulo Configurando Filtragem
de Aplicaes.
Ao: Indicar a ao que ser tomada pelo firewall caso um dos filtros especificados
seja aplicado. Ela consiste das seguintes opes:
Aceita: Significa que a conexo ser autorizada a passar atravs do firewall.
Rejeita: Significa que a conexo no passar pelo firewall e ser enviado um
pacote de reset para a mquina originria da comunicao.
Descarta: Significa que a conexo no passar pelo firewall, mas no ser enviado
nenhum pacote para a mquina de origem.
Mudar prioridade: Indica que a conexo ser aceita, porm com uma prioridade
diferente, que dever ser especificada na coluna Canal.
Bloqueia origem: Indica que a mquina que originou a conexo dever ser
bloqueada por algum tempo (isso significa que todas as conexes originadas nela
sero recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto
tempo a mquina permanecer bloqueada.
Canal: Esta coluna s estar habilitada caso a ao Mudar prioridade tenha sido
selecionada. Ela indica qual a nova prioridade que ser atribuda conexo. Devese inserir uma entidade do tipo canal (para maiores informaes veja o captulo
Cadastrando entidades).
Tempo de bloqueio: Esta coluna s estar habilitada caso a ao Bloqueia
origem tenha sido selecionada. Ela indica por quanto tempo a mquina origem ser
bloqueada.
34.3.

Criando Filtros de Aplicaes

Os filtros de aplicaes informam ao firewall o que deve ser buscado em uma


comunicao para possibilitar a identificao de um determinado protocolo ou tipo
de arquivo. O produto j vem com vrios filtros pr-configurados, porm possvel
que o administrador configure novos filtros para atender s suas necessidades.
Para acessar a janela de criao dos Filtros de Aplicaes deve-se:

Aker Security Solutions

644

Figura 425. Janela de acesso - Filtragem de aplicaes.

Clicar no menu Aplicao da janela de administrao do Firewall.


Selecionar o item Filtragem de Aplicaes.
Clicar na aba Filtros de Aplicaes.

Aker Security Solutions

645

A janela de criao de Filtros de Aplicaes

Figura 426. Filtragem de aplicaes Filtros de Aplicaes.

Esta janela est dividida em duas partes. Na parte superior aparece uma lista dos
filtros atualmente criados. Ao selecionar um filtro, sero mostrados na parte inferior
da janela as operaes de pesquisa relacionadas a ele.
Para executar qualquer operao sobre um filtro, basta clicar sobre ele com o boto
direito e a seguir escolher a opo desejada no menu que ir aparecer. As
seguintes opes esto disponveis:

Figura 427. Menu de operao sobre um filtro.

Inserir: Permite a incluso de um novo filtro na lista.


Copiar: Copiar o filtro selecionado para uma rea temporria.
Colar: Copiar o filtro da rea temporria para a lista.
Excluir: Remover da lista o filtro selecionada.

Aker Security Solutions

646

Para alterar o nome do filtro ou a forma de concatenao das operaes do mesmo,


basta clicar com o boto direito sobre a coluna correspondente. Para incluir, editar
ou excluir operaes de um determinado filtro, deve-se selecion-lo na parte
superior da janela e a seguir clicar com o boto direito sobre qualquer uma das
operaes. O seguinte menu aparecer:

Figura 428. Menu de operao para acessar o nome do filtro ou forma de concatenao.

Inserir: Permite a incluso de uma nova operao para o filtro selecionado.


Editar: Abrir a janela de edio para modificar a operao selecionada.
Remover: Remover da lista a operao selecionada.
Ao editar uma operao, a seguinte janela ser mostrada:

Figura 429. Operaes de filtragem.

O que filtrar: Neste campo deve-se colocar a seqncia de bytes que deve ser
pesquisada na conexo.
Seqncia de bytes: Especificar se a procura deve ser a partir do incio do arquivo
ou da comunicao ou em um ponto qualquer do mesmo.
Iniciar em: Caso se tenha escolhido que a pesquisa deve ser feita a partir do meio
do arquivo ou comunicao, este campo serve para especificar em que posio
deve-se comear a pesquisa.

Aker Security Solutions

647

Profundidade da procura (bytes): Indicar a quantidade de bytes que ser


analisada a partir da posio de incio de pesquisa.
Direo: Direo em que os dados sero analisados para verificar a existncia da
seqncia definida em O que filtrar.
Onde pesquisar: Definir a seqncia de dados que ser pesquisada nos dados do
arquivo/protocolo ou nos metadados (cabealho).

Aker Security Solutions

648

Configurando IDS/IPS

Aker Security Solutions

649

35.

Configurando IDS/IPS
Este captulo mostrar as funes oferecidas pelo conjunto IPS/IDS e como realizar
sua configurao.

Sobre o mdulo de IPS/IDS


O mdulo de IPS/IDS do Aker Firewall rene diversas funes para identificao e
bloqueio de ataques em tempo real. Este mdulo trabalha de forma integrada com o
firewall e consegue, com isso, oferecer um alto grau de proteo. O mdulo interno
vem com vrios ataques pr-configurados, sendo possvel sua atualizao atravs
da Internet. Alm do mdulo interno, possvel tambm utilizar um IDS externo, de
forma a complementar ainda mais o nvel de segurana da soluo.
35.1.

Acessando IPS/IDS

Para ter acesso a janela de configurao dos parmetros de IPS/IDS, deve-se:

Figura 430. Janela de acesso - IPS/IDS.

Aker Security Solutions

650

Clicar no menu Segurana na janela do Firewall que queira administrar.


Escolher o item IPS/IDS.
A janela de configurao do IDS/IPS
Esta janela composta por quatro abas, cada uma responsvel por um aspecto
distinto da configurao do mdulo de IDS.
O boto OK far com que a janela seja fechada e as alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta.
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
Regras IDS

Figura 431. IPS/IDS Regras IDS.

Aker Security Solutions

651

Esta aba contm todas as regras de IDS definidas no Aker Firewall. Cada regra ser
mostrada em uma linha separada, composta de diversas clulas. Caso uma das
regras esteja selecionada, ela ser mostrada em uma cor diferente.
Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o
boto direito e a seguir escolher a opo desejada no menu que ir aparecer. As
seguintes opes esto disponveis:

Figura 432. Menu para execuo de operao de regras..

Inserir: Permitir a incluso de uma nova regra na lista.


Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista.
Excluir : Remover da lista a regra selecionada.
Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo com
seu estado atual.
Cada regra consiste dos seguintes campos:
Origem: Especificar as origens da comunicao que o filtro estar inspecionando,
para isso deve-se inserir uma ou mais entidades do tipo mquinas, redes ou
conjuntos (para maiores informaes veja o captulo Cadastrando entidades).
Destino: Especificar os destinos da comunicao que o filtro estar inspecionando,
para isso deve-se inserir uma ou mais entidades do tipo mquinas, redes ou
conjuntos (para maiores informaes veja o captulo Cadastrando entidades).
Servio: Especificar os servios da comunicao que o filtro estar inspecionando,
para isso deve-se inserir uma ou mais entidades do tipo servio (para maiores
informaes veja o captulo Cadastrando entidades).
Filtros IDS: Nesta coluna deve-se inserir os filtros IDS que estaro ativos para esta
comunicao. Deve-se escolher um dos grupos de filtros disponveis e

Aker Security Solutions

652

posteriormente, caso seja desejado, habilitar individualmente os filtros dentro de


cada grupo. Os seguintes grupos esto disponveis:
FTP: composto de filtros contra ataques que visam servidores FTP.
HTTP: composto de filtros contra ataques que visam servidores WEB.
HTTP Client: composto de filtros contra ataques que visam
navegadores.
POP3: composto de filtros contra ataques que visam leitores de e-mail.
IMAP: composto de filtros contra ataques que visam leitores de e-mail.
SMTP: composto de filtros contra ataques que visam servidores de email.
TCP: composto de filtros contra ataques genricos utilizando o protocolo
TCP.
UDP: composto de filtros contra ataques genricos utilizando o
protocolo UDP.
Uma vez inseridos os filtros, possvel clicar sobre esta mesma coluna com o boto
direito, escolher o nome do grupo de filtros desejado e indicar se os ataques
pertencentes a este grupo devem ser selecionados automaticamente, opo
Selecionar todo o grupo, ou manualmente atravs da opo Seleo manual.
Ao: Esta coluna indica a ao que ser tomada pelo firewall caso um dos filtros
especificados seja aplicado. Ela consiste das seguintes opes:
Ignora: Significa que o ataque ser ignorado pelo firewall.
Bloqueia: Indica que a mquina que originou a conexo dever ser bloqueada por
algum tempo (isso significa que todas as conexes originadas nela sero
recusadas).
Tempo de Bloqueio: Esta coluna indica por quanto tempo uma mquina atacante
permanecer bloqueada.

Aker Security Solutions

653

Filtros IDS

Figura 433. IPD/IDS Filtros IDS.

Esta janela serve para se ver os filtros de IDS que esto disponveis no firewall bem
como criar novos filtros. Ela consiste de uma lista com os filtros atualmente criados.
possvel ver esta lista de trs maneiras distintas: por grupo de filtros (conforme
mostrado no tpico anterior), por classe de ameaa ou uma lista linear com todos os
filtros. O campo Organizar por, localizado na parte superior da janela permite a
escolha da forma de visualizao mais adequada.
Classes de ameaa:
Ataque: ataques diretos que exploram bugs ou vulnerabilidades de
aplicativos ou sistemas operacionais.
Malware: ataques originados de vrus e cavalos-de-tria.
Sondagem: varredura de portas ou identificao de vulnerabilidades.

Aker Security Solutions

654

Grupos dos filtros:


FTP: composto de filtros contra ataques que visam servidores FTP.
HTTP: composto de filtros contra ataques que visam servidores WEB.
HTTP Client: composto de filtros contra ataques que visam navegadores.
POP3: composto de filtros contra ataques que visam leitores de e-mail.
SMTP: composto de filtros contra ataques que visam servidores de e-mail.
TCP: composto de filtros contra ataques genricos utilizando o protocolo
TCP.
UDP: composto de filtros contra ataques genricos utilizando o protocolo
UDP.

Ao selecionar um filtro mostrada na parte inferior da janela uma URL de


referncia, que permite ao administrador obter maiores informaes sobre o ataque.
Para inserir um novo filtro, deve-se clicar com o boto direito sobre a lista de filtros e
selecionar a opo Novo filtro. A seguinte janela ser mostrada:

Figura 434. Filtros IDS Configurao do filtro.

A janela de criao/edio de filtros


O boto OK far com que a janela seja fechada e as alteraes salvas.
O boto OK e novo far com que a janela seja fechada, as alteraes salvas
porm a janela permanea aberta. Isso particularmente til quando se deseja
cadastrar vrios ataques seguidamente.
O boto Cancelar, far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.

Aker Security Solutions

655

Esta janela permite criar um novo filtro ou alterar os parmetros de um filtro j


existente. Ela consiste dos seguintes parmetros:
Nome do filtro: Nome pelo qual o filtro ser referenciado no restante do firewall.
Url de referncia: URL que permite obter maiores informaes sobre o ataque (este
campo puramente informativo).
O que filtrar: Neste campo deve-se colocar a seqncia de bytes que identifica o
ataque.
Iniciar em: Este campo serve para especificar em que posio do fluxo de dados
deve-se comear a pesquisa.
Profundidade da procura (bytes): Este campo indica a quantidade de bytes que
ser analisada a partir da posio de incio de pesquisa.
Direo: Direo em que os dados sero analisados para verificar a existncia da
seqncia definida em O que filtrar.
Protocolo: Indica em que protocolo o ataque ser pesquisado. As seguintes opes
esto disponveis:
UDP: Procura dados diretamente no protocolo UDP.
TCP: Procura dados diretamente no protocolo TCP.
Cabealho HTTP: Procura dados no cabealho do protocolo HTTP.
URL HTTP: Procura dados em URLs do protocolo HTTP.
Corpo do HTTP: Procura dados no corpo do protocolo HTTP.
Comando SMTP: Procura dados em comandos do protocolo SMTP.
Dados do SMTP: Procura dados no corpo do protocolo SMTP.
Comando FTP: Procura dados em comandos do protocolo FTP.
Dados do FTP: Procura dados no corpo do protocolo FTP.
Comando POP3: Procura dados em comandos do protocolo POP3.
Dados do POP3: Procura dados no corpo do protocolo POP3.
Grupo: Este campo informa ao firewall em que grupo este ataque deve ser
colocado.
Classe de ameaa: Este campo informa ao firewall em que classe de ameaa este
ataque deve ser colocada.

Aker Security Solutions

656

Portscan

Figura 435. IPD/IDS - Portscan.

Esta aba serve para configurar a proteo contra ataques de varreduras de portas.
Estes ataques consistem em tentar acessar todas ou vrias portas de comunicao
em uma ou mais mquinas de uma rede. Ele normalmente o primeiro ataque feito
por um hacker, j que objetiva determinar quais os servios e mquinas que esto
ativos em uma rede.
Para configurar a proteo contra varredura de portas, os seguintes parmetros
devem ser preenchidos:
Deteco de portscan ativada: Esta opo deve estar marcada para ativar o
suporte deteco de varreduras de portas e desmarcada para desativ-lo.
Nmero permitido de portas varridas: Este campo indica o nmero mximo de
portas que podem ser acessadas em uma mesma mquina. Tentativas de acesso
de um nmero maior de portas faro que a mquina origem seja bloqueada.

Aker Security Solutions

657

Nmero permitido de mquinas x portas: Este campo indica o nmero mximo de


portas que podem ser acessadas em uma ou mais mquinas. Para este parmetro
a mesma coisa se um potencial atacante acessa duas portas em uma mquina ou
uma porta em duas mquinas. Tentativas de acesso de um nmero maior de portas
faro que a mquina origem seja bloqueada.
Exemplo: Se o valor deste parmetro for 12, uma pessoa qualquer poderia acessar
as seguintes combinaes sem ser considerado um ataque:
12 portas por mquina em uma mquina
6 portas por mquina em 2 mquinas
4 portas por mquina em 3 mquinas
3 portas por mquina em 4 mquinas
1 porta por mquina em 12 mquinas
Tempo limite de deteco: Este campo indica o tempo em que as informaes de
acesso sero mantidas pelo firewall. Valores muito baixos possibilitaro varreduras
de portas muito lentas (por exemplo, 1 porta por hora). Valores muito altos ocuparo
memria desnecessariamente.
Bloquear a mquina do ataque por: No caso de deteco de um ataque de
varredura de portas, esta coluna indica por quanto tempo a mquina atacante
permanecer bloqueado, sem poder iniciar nenhuma conexo atravs do firewall.
Entidades protegidas: Esta lista indica as entidades (mquinas, redes ou
conjuntos) que estaro protegidas contra ataques de varreduras de portas.
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes
modos:
Executar uma operao de drag-n-drop (arrastar e soltar) da janela de
entidades diretamente para a lista.
Abrir o menu de contexto na lista entidades protegidas com o boto direito do
mouse ou com a tecla correspondente no teclado e selecionar Adicionar
entidades , para ento escolher aquelas que sero efetivamente includas na
lista.
Para remover uma entidade da lista, deve-se marc-la e pressionar a tecla delete ,
ou escolher a opo correspondente no menu de contexto, acionado com o boto
direito do mouse ou com a tecla correspondente:
Entidades que podem fazer portscan: Esta lista indica as entidades (mquinas,
redes ou conjuntos) que podero executar ataques de varreduras de portas. Esta
lista serve basicamente para liberar acesso a ferramentas de deteco de
vulnerabilidades ou de monitorao.
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes
modos:
Aker Security Solutions

658

Executar uma operao de drag-n-drop (arrastar e soltar) da janela de


entidades diretamente para a lista.
Abrir o menu de contexto na lista entidades que podem fazer portscan com o
boto direito do mouse ou com a tecla correspondente no teclado e
selecionar Adicionar entidades , para ento escolher aquelas que sero
efetivamente includas na lista.
Para remover uma entidade da lista, deve-se marc-la e pressionar a tecla delete ,
ou escolher a opo correspondente no menu de contexto, acionado com o boto
direito do mouse ou com a tecla correspondente:
IDS Externo

Figura 436. IPD/IDS IDS Externo.

Nessa aba so configurados todos os parmetros que propiciam que agentes de


IDS Externo acrescentem regras de bloqueio no Firewall. Os seguintes parmetros
esto disponveis:

Aker Security Solutions

659

Habilitar agente de IDS: Esta opo deve estar marcada para ativar o suporte a
agentes IDS externos e desmarcada para desativ-lo. (ao se desabilitar o suporte a
agentes IDS, as configuraes antigas continuam armazenadas, mas no podem
ser alteradas).
Agente IDS a ser usado: Esse campo indica o agente IDS que estar habilitado a
incluir regras de bloqueio no firewall. Esse agente deve ter sido previamente
cadastrado no firewall. Para maiores informaes veja o captulo intitulado
Cadastrando entidades.
Status permite ao administrador verificar o status da conexo com o agente IDS.
Um valor verde, com a palavra Conectados, indica que o firewall conseguiu
autenticar-se e estabelecer com sucesso a comunicao com o agente.
O boto Atualizar far com que o status da conexo seja renovado.
O boto Remover far com que todas as regras cadastradas pelo agente IDS sejam
excludas do firewall.
35.2.

Visualizando os IPs bloqueados

possvel a qualquer momento visualizar a lista de IPs que esto bloqueados no


firewall, devido incluso de uma regra de bloqueio temporria do mdulo de
IDS/IPS.
Para ter acesso a janela de IPs bloqueados, deve-se:

Aker Security Solutions

660

Figura 437. Janela de acesso - IPs bloquados.

Clicar no menu Informao na janela do Firewall que queira administrar.


Escolher o item IPs bloqueados.

Aker Security Solutions

661

A janela de IPs bloqueados

Figura 438. IPs bloquados.

Esta janela consiste de uma lista onde cada IP bloqueado mostrado em uma linha,
com as seguintes informaes:
IP Bloqueado: Endereo IP de uma mquina que foi bloqueada;
Inserido por: Mdulo que inseriu a regra de bloqueio temporria;
Data de expirao: At quando este IP permanecer bloqueado;
Para remover um IP da lista, basta selecion-lo e ento clicar com o boto direito.
Ao ser mostrado o menu pop-up , basta selecionar a opo Remover IP;
Para atualizar a lista de IPs, basta clicar com o boto direito e selecionar a opo
Atualizar no menu pop-up.

35.3.

Configurando a atualizao de assinaturas

fundamental que qualquer IDS esteja sempre atualizado com as assinaturas dos
ataques mais recentes, caso contrrio, em pouco tempo ele se torna obsoleto. O
Aker Firewall permite que configurar o seu IDS interno para automaticamente baixar
Aker Security Solutions

662

as novas assinaturas que forem disponibilizadas pela Aker, diretamente de nosso


site web.
Para ter acesso a janela de atualizao de assinaturas deve-se:

Figura 439. Janela de Acesso atualizao de assinaturas.

Clicar no menu Configuraes do sistema na janela do Firewall que queira


administrar.
Escolher o item Atualizao de assinaturas.
A janela de configurao de atualizao de assinaturas:

Aker Security Solutions

663

Figura 440. Atualizao de assinaturas.

Esta janela consiste de duas partes: no lado esquerdo pode configurar os dias da
semana em que o download de assinaturas ser realizado e em que horrio. No
lado direito, pode visualizar informaes sobre a ltima atualizao de assinaturas
realizada: seu horrio, se foi bem sucedida ou no, entre outras informaes.
O boto OK far com que a janela seja fechada e as alteraes salvas.
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter
a janela aberta.
O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.

35.4.

Instalando o Plugin para IDS Externo no Windows

No caso de se desejar utilizar um IDS externo, alm da configurao mostrada em


IDS Externo, faz-se necessrio a instalao do plugin para possibilitar a
comunicao deste IDS externo com o firewall. A instalao do plugin para IDS
bastante simples. Efetue o download no site da Aker (http://www.aker.com.br), inicie
o programa que acabou de efetuar o download.
O programa inicialmente mostrar uma janela pedindo uma confirmao para
prosseguir com a instalao. Deve-se clicar no boto Continuar para prosseguir
com a instalao. A seguir ser mostrada uma janela com a licena de uso do
produto e pedindo uma confirmao para continuar. Deve-se clicar no boto Eu
Concordo para continuar com a instalao.
Aker Security Solutions

664

Configurao do plugin do Aker Firewall para IDS Externo


Aps realizada a instalao do plugin necessrio proceder com a sua
configurao. Esta configurao permite fazer o cadastramento de todos os firewalls
que sero notificados, bem como a definio de que regras sero acrescentadas.
Para ter acesso ao programa de configurao deve-se clicar no menu Iniciar, e
selecionar o grupo Aker Firewall. Dentro deste selecionar o grupo Deteco de
Intruso e ento a opo Deteco de Intruso. A seguinte janela ser mostrada:

Figura 441. Configurao IDS configurao.

Esta janela consiste de 4 pastas. Na primeira, que est sendo mostrada acima,
onde feita a configurao do plugin. Ela consiste de uma lista com o nome das
diversas configuraes criadas pelo administrador e que depois sero mostradas
como opo de ao no console de administrao do Real Secure. Pode-se
Aker Security Solutions

665

especificar o nome de uma das configuraes quando na execuo de um evento


ou utilizar o boto Default para especificar uma configurao que ser executada
por padro, isto , quando no for especificada o nome de nenhuma configurao.
Para criar uma nova configurao, basta clicar no boto Inserir , localizado na parte
esquerda superior da janela. Fazendo isso, uma configurao em branco ser
criada. Para editar os parmetros desta ou de qualquer outra configurao basta
clicar sobre seu nome e a seguir modificar os parmetros desejados.
Significado dos parmetros
Nome da configurao: Este o nome que ser mostrado no console de
administrao do Real Secure, NFR, Dragon Enterasys e Snort. Quando
selecionado, executar as aes definidas pelo administrador.
Notificao: Este campo permite definir que aes sero executadas pelo firewall
quando uma regra de bloqueio for acrescentada pela execuo da configurao.
Caso a opo Padro seja selecionada, ento as aes associadas mensagem
Regra de bloqueio IDS acrescentada sero executadas. Caso contrrio pode-se
especificar exatamente que aes devem ser tomadas. Para maiores informaes
sobre a configurao das aes, veja o captulo Configurando as aes do
sistema.
Bloqueio: Este campo permite definir que tipo de bloqueio ser realizado quando a
configurao for executada. Existem trs opes possveis que podem ser
selecionadas independentemente (quando mais de uma opo for selecionada, a
regra bloquear pacotes que se enquadrem em todas as opes marcadas e no
em apenas algumas):
Origem: Os pacotes que tiverem endereo origem igual ao da regra sero
bloqueados.
Destino: Os pacotes que tiverem endereo destino igual ao da regra sero
bloqueados.
Servio: Os pacotes que utilizarem servio igual ao da regra sero bloqueados. Se
esta opo for marcada, deve-se selecionar quais protocolos estaro associados ao
servio atravs do campo Protocolo. Isto necessrio devido a uma limitao do
Real Secure na medida em que no fornece o protocolo de um determinado servio,
apenas seu nmero. Como o NFR inspeciona apenas trfego TCP, esse protocolo
deve ser selecionado no caso desse IDS.
Tempo de ativao da regra: Este campo permite definir por quanto tempo as
regras acrescentadas por esta configurao ficaro ativas. Caso a opo Tempo de
ativao esteja marcada, deve-se especificar o tempo, em segundos, que a regra
ficar ativa. Caso esta opo no esteja marcada, a regra ser mantida at a
prxima reinicializao do firewall.

Aker Security Solutions

666

Firewalls Usados: Este campo serve para definir em quais firewalls as regras
temporrias sero acrescentadas. Para cada firewall deve-se configurar uma senha
de acesso e seu endereo IP. A senha de acesso deve ser a mesma configurada na
definio da entidade do agente IDS (para maiores informaes veja o captulo
Cadastrando Entidades). Ao clicar no boto incluir ou editar, a seguinte janela ser
mostrada:

Figura 442. Firewalls usados.

Os firewalls definidos acima devem ser adicionados s configuraes fazendo-se os


seguintes passos: Selecione os firewalls requeridos; Pressione o boto de seta ->
para que os firewall selecionados apaream na lista da direita da janela.
O boto de Flush utilizado para apagar as regras dinmicas adicionadas pelos
IDS nos firewalls selecionados.
Aps realizar todas as modificaes deve-se clicar no boto Aplicar. Caso esteja
utilizando o Real Secure ser ento mostrada uma janela informando que os Global
Responses do Real Secure sero alterados e pedindo uma confirmao para
continuar. Deve-se clicar no boto Sim para salvar a nova configurao.

Aker Security Solutions

667

Log

Figura 443. Configurao de IDS log.

Todos os bloqueios enviados pelo IDS sero registrados nesta janela.

Aker Security Solutions

668

Eventos

Figura 444. Configurao de IDS eventos.

Esta pasta muito til para acompanhar o funcionamento do agente. Ela consiste
de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada
mensagem existe um cone colorido, simbolizando sua prioridade.

35.5.

Utilizando a interface texto - Portscan

A utilizao da interface texto na configurao do suporte ao Portscan bastante


simples e possui todos os recursos da interface grfica.
Localizao do programa: /aker/bin/firewall/fwportscan
Aker Security Solutions

669

Sintaxe:
fwportscan [ajuda | mostra | ativa | desativa]
fwportscan [max_portas | max_acessos] <numero>
fwportscan [tempo_deteccao | tempo_bloqueio] <tempo em segundos>
fwportscan [inclui | remove] protegida <entidade>
fwportscan [inclui | remove] autorizada <entidade>
Ajuda do programa:
fwportscan - Configura parametros da portscan
Uso: fwportscan [ajuda | mostra | ativa | desativa]
mostra = mostra a configuracao atual.
ativa = ativa protecao contra portscan.
desativa = desativa protecao contra portscan.
max_portas = define o numero maximo de portas que podem ser acessadas por
uma maquina em um mesmo servidor sem que isso seja considerado portscan.
max_acessos = define o numero maximo de acessos distintos.
(portas X No. de servidores) que podem ser acessadas por uma maquina, sem ser
considerado portscan.
tempo_deteccao = define o tempo, em segundos, que um acesso feito por uma
maquina nao mais sera contabilizado em futuras deteccoes contra portscan
tempo_bloqueio = define o tempo, em segundos, que uma maquina sera bloqueada
apos se detectar um portscan.
inclui = inclui uma nova entidade na lista especificada.
remove = remove uma entidade da lista especificada.
ajuda = mostra esta mensagem.
Para inclui/remove temos:
protegida = inclui/remove entidade da lista de entidades protegidas contra portscan.
autorizada = inclui/remove entidade da lista de entidades que podem realizar
portscan.
Exemplo 1: (Ativando o suporte a deteco de portscan)
#/aker/bin/firewall/fwportscan ativa
Aker Security Solutions

670

Exemplo 2: (Mostrando a configurao atual da proteo contra portscan)


#/aker/bin/firewall/fwportscan mostra

35.6.

Utilizando a interface texto - IDS Externo

A utilizao da interface texto na configurao do suporte ao IDS Externo bastante


simples e possui todos os recursos da interface grfica.
Localizao do programa: /aker/bin/firewall/fwids
Sintaxe:
fwids [habilita | desabilita | mostra | limpa | ajuda]
fwids agente <entidade>
fwids bloqueia [origem <ip origem>] [destino <ip destino>]
[servico <servico/protocolo>] [tempo]
Ajuda do programa :
fwids - Configura parametros do agente IDS externo
Uso: fwids [habilita | desabilita | mostra | limpa | ajuda]
fwids agente <entidade>
fwids bloqueia [origem <ip origem>] [destino <ip destino>]
[servico <servico/protocolo>] [tempo]
habilita = habilita o funcionamento de agentes IDS externos
desabilita = desabilita o funcionamento de agentes IDS externos
mostra = mostra a configuracao atual
bloqueia = inclui uma regra de bloqueio temporaria
limpa
= remove todas as regras de bloqueio temporarias
agente = especifica nome da entidade com dados do agente
ajuda
= mostra esta mensagemPara bloqueia temos:
origem = Especifica que deve-se bloquear conexoes originadas no
endereco IP especificado
destino = Especifica que deve-se bloquear conexoes destinadas ao
endereco IP especificado
servico

tempo

= Especifica que deve-se bloquear conexoes que utilizem o


servico especificado. Neste caso, deve-se especificar o
servico como a porta, para os protocolos TCP e UDP, o
tipo de servico, para ICMP, ou o numero do protocolo, no
caso de outros protocolos (ex: 23/tcp, 53/udp, 57/outro)
= tempo, em segundos, no qual a regra permanecera ativa. No
caso de nao ser especificado, a regra ficara ativa ate a
proxima inicializacao do firewall
Aker Security Solutions

671

Exemplo 1: (Habilitando o suporte a deteco de intruso)


#/aker/bin/firewall/fwids habilita
Exemplo 2: (Definindo o agente IDS)
#/aker/bin/firewall/fwids agente Agente_IDS
A entidade Agente_IDS deve ter sido previamente cadastrada no sistema. Para
maiores informaes sobre como cadastrar entidades no Aker Firewall , veja o
captulo entitulado Cadastrando Entidades.
Exemplo 3: (Mostrando a configurao atual)
#/aker/bin /firewall/ fwids mostra
Parametros de configuracao:
--------------------------Agente IDS externo: habilitado
Agente: Agente_IDS
Exemplo 4: (Acrescentando uma regra de bloqueio da mquina 192.168.0.25 para
a mquina 10.0.0.38, no servio WWW, porta 80 do protocolo TCP, por uma hora)
#/aker/bin/firewall/ fwids bloqueia origem 192.168.0.25 destino 10.0.0.38 servico 80/
tcp 3600.

Aker Security Solutions

672

Configuraes TCP/IP

Aker Security Solutions

673

36.

Configuraes TCP/IP
Este capitulo mostrar para que serve e como configurar a rede no Aker Firewall.

36.1.

Configurao TCP/IP

Esta opo permite configurar todos os parmetros de TCP/IP do firewall atravs da


interface grfica. possvel configurar os endereos de interfaces de rede, DNS e
roteamento bsico e avanado, bem como as opes de PPPoE, 3G e
Servidor/Relay DHCP.

Para ter acesso janela de configurao TCP/IP deve-se:

Figura 445. Janela de acesso - TCP/IP.

Clicar no menu Configuraes do Sistema da janela de administrao do firewall.


Selecionar o item TCP/IP.

Aker Security Solutions

674

36.2.

DHCP

Figura 446. Servidor DHCP.

Nesta pasta so definidas as opes do firewall em relao ao servio DHCP. Ela


consiste das seguintes opes:
No usar DHCP: Ao selecionar essa opo, o firewall no atuar como servidor
DHCP nem efetuar relay entre redes conectadas a ele.
Relay DHCP entre redes: Permitir que se defina que o firewall realizar o relay de
pacotes DHCP entre as redes selecionadas. Ela utilizada quando se possui
apenas um servidor DHCP e se deseja que ele fornea endereos para mquinas
localizadas em sub-redes distintas, conectadas diretamente ao firewall.

Aker Security Solutions

675

Figura 447. Relay DHCP entre redes.

Ao selecion-la, deve-se especificar em Interfaces de Escuta as interfaces nas


quais o firewall escutar broadcasts DHCP e os encaminhar para os servidores,
especificados em Servidores DHCP. No caso de haver mais de um servidor, o
firewall encaminhar as requisies para todos e retornar ao cliente a primeira
resposta recebida.
Servidor DHCP Interno: Esta opo designada para redes pequenas que no
possuem um servidor DHCP ou que possuam em um modem ADSL. Ela permite
que o firewall atue como um servidor DHCP.

Aker Security Solutions

676

Figura 448. Servidor DHCP interno.

Ao selecion-la, deve-se especificar um ou mais Escopos de endereos, i.e. a faixa


de endereos, configuraes DNS, Wins/NBT e WINS/NBT Node Type, excees,
Gateway padro e reservas de endereos IP que sero atribudos aos clientes.
O firewall enviar aos clientes seu endereo como o servidor de DNS e seu
domnio como nome do domnio para estes clientes.

Aker Security Solutions

677

36.3.

DNS

Figura 449. TCP/IP - DNS

Nesta pasta so configuradas todas as opes relacionadas com a resoluo de nomes ou


DNS. Ela consiste dos seguintes campos:
Mquina: Nome da mquina na qual o firewall est rodando.
Domnio: Nome do domnio no qual o firewall est rodando.
DNS Ativo: Esta opo deve ser marcada para ativar a resoluo de nomes via
DNS e desmarcada para desativ-la.
Servidor primrio: Definir o servidor DNS primrio que ser consultado para se
resolver um nome. Ele obrigatrio se a opo DNS ativo estiver marcada.
Servidor secundrio: Definir o servidor DNS secundrio que ser consultado se o
primrio estiver fora do ar. Ele opcional.
Servidor tercirio: Definir o servidor DNS tercirio que ser consultado se o
primrio e o secundrios estiverem fora do ar. Ele opcional.

Aker Security Solutions

678

36.3.1.

Interfaces de Rede

Figura 450. Janela de acesso: Interfaces de redes.

Nesta pasta podem ser configurados os endereos IP atribudos a todas as


interfaces de rede reconhecidas pelo firewall. Ela consiste de uma lista onde so
mostrados os nomes de todas as interfaces e os endereos IP e mscaras de cada
uma ( possvel configurar at 31 endereos distintos para cada interface). Caso
uma interface no tenha um endereo IP configurado, os campos correspondentes
ao endereo e mscara sero mostrados em branco. Possui os seguintes campos:
IPV 4
IP: Endereo da rede. No pode ser informado um endereo auto-configurado.
Mscara de rede: Informa o endereo da mscara de rede.
Ponto a ponto: Configurao ponto a ponto
IPV6
IP: Endereo da rede. No pode ser informado um endereo auto-configurado.
Prefixo: Informam quantos bits a rede composta.
Alias

Para configurar ou modificar o endereo IP ou mscara de uma interface e at


mesmo atribuir um alias para a interface, deve-se clicar sobre a entrada do
dispositivo correspondente e usar o menu suspenso que ir surgir:
Aker Security Solutions

679

Figura 451. Menu: configurao ou modificao de endereo IP.

VLAN
Para criar uma VLAN associada a uma interface, deve-se clicar na interface
desejada no lado esquerdo da janela. Aparecer o seguinte menu suspenso:

Figura 452. Menu de criao: VLAN.

Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma
conexo somente o switch tenha acesso a todas as suas VLANs, inclusive
controlando o acesso entre elas. Para cada uma, uma interface virtual ser criada
dentro do Firewall.
Nesse menu tambm permite habilitar o monitoramento e escolher a opo Habiltar
monitoramento, possibilita monitorar todas as interfaces de rede do cluster e
detalhes de replicao de sesso, identificando possveis falhas, caso uma interface
de algum nodo cluster falhe "falta de conectividade ou falha de rota, ou etc" o nodo
do cluster ir desativar todas as outras interfaces e fazer com que outro n assuma,
permitindo assim uma maior disponibilidade dos links.
PPPoE
A opo Usar PPPoE permite definir que esta interface trabalhe com PPPoE (usado
basicamente para a conexo com modems ADSL). Ao ser selecionada, a seguinte
janela ser mostrada:

Aker Security Solutions

680

Figura 453. Configurao PPPoE.

Nome do dispositivo: Este campo indica o nome do dispositivo interno que ser
utilizado na comunicao PPPoE. importante que no caso de que haja mais de
uma interface trabalhando em PPPoE, que eles sejam distintos.
Usar a configurao de DNS do servidor: Se esta opo estiver marcada, o
firewall utilizar como servidor de DNS o valor recebido atravs do PPPoE.
Usar a rota padro do servidor: Se esta opo estiver marcada, o firewall utilizar
como rota padro o valor recebido atravs do PPPoE.
Servio PPPoE ativado sob demanda: Se esta opo estiver marcada, o firewall
ativar o servio PPPoE apenas quando houver trfico de rede direcionado atravs
desta interface de rede.
Nome do Usurio: Nome do usurio que ser utilizado na autenticao durante o
estabelecimento da sesso PPPoE.
Senha: Senha que ser utilizada na autenticao durante o estabelecimento da
sesso PPPoE.
Confirmao: Confirmao da senha que ser utilizada na autenticao durante o
estabelecimento da sesso PPPoE.
Provedor: o provedor do servio de PPPoE.
S possvel configurar endereos IP de interfaces de rede reconhecidas pelo
sistema operacional no qual o firewall est rodando. Caso tenha acrescentado uma
Aker Security Solutions

681

nova interface de rede e seu nome no aparea na lista de interfaces, necessrio


configurar o sistema operacional de forma a reconhecer esta nova interface antes
de tentar configur-la nesta pasta.
O IP e o prefixo tm que ser informados juntos.
No dever ser possvel ao usurio remover ou editar os endereos autoconfigurados (que so derivados dos endereos MAC).
As interfaces que estiverem em vermelho, indicam que no esto presentes em
todos os nodos do cluster.
Nesta pasta podem ser configurados os endereos IP atribudos a todas as
interfaces de rede reconhecidas pelo firewall. Ela consiste de uma lista onde so
mostrados os nomes de todas as interfaces e os endereos IP e mscaras de cada
uma ( possvel configurar at 31 endereos distintos para cada interface). Caso
uma interface no tenha um endereo IP configurado, os campos correspondentes
ao endereo e mscara sero mostrados em branco.

Aker Security Solutions

682

36.4.

Roteamento

Figura 454. Janela de Roteamento.

Aker Security Solutions

683

36.4.1.

Geral

Figura 455. Roteamento - Geral.

Esta janela possibilita configurar rotas IPv4 e Ipv6 no firewall. Se divide em duas
partes:
A primeira parte se refere configurao do endereamento IPv4 e consiste dos
seguintes campos:
Rede: Configurao dos endereos IP
Mscara de rede: Informa o endereo da mscara de rede
Gateway: Nesse campo deve ser informado o endereo IP do roteador.
Mtrica: o valor de distncia da rede. A distncia pode ser medida, por nmero de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por
um valor associado a velocidade do link.
Rota Padro: Pode-se especificar o roteador padro e de uma lista com as diversas
rotas configuradas no firewall.

Aker Security Solutions

684

Para a incluso de uma nova rota, basta clicar no boto direito do mouse e ir
aparecer o menu

Para remover ou editar uma rota, basta clicar com o boto direito sobre ela.

A segunda parte se refere configurao do endereamento IPv6 e consiste dos


seguintes campos:
Habilita Roteamento IPV6: Essa opo permite ativar ou desativar o roteamento de
pacotes IPv6
Dispositivos: Considera-se tambm a interface na criao da rota
Rede: Configurao dos endereos IP
Prefixo: Informa quantos bits a rede composta. Valor entre 0 e 128 que define
quantos bits do endereo sero usados no roteamento
Gateway: Nesse campo deve ser informado o endereo IP do roteador.
Mtrica: o valor de distncia da rede. A distncia pode ser medida, por nmero de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por
um valor associado a velocidade do link.
Gateway padro: Nesse campo deve ser informado o endereo IP da rota padro.
A validao normal dos endereos IPv6 se aplica tambm a este campo.
Dispositivos de Gateway Padro: Pode deixar em branco, no ser opcional se o
default gateway for auto-configurado. Placa relacionada, interface de redes.
Rotas com escopo de link so as que comeam pelo prefixo fe80:: definido na
macro FWTCPIP_IPV6_AUTOCONF_PREFIX.
Devido a uma limitao do Linux, no possvel remover o mdulo de IPv6 uma
vez que ele tenha sido instalado. Tambm, se o mdulo no estava instalado no
kernel, os daemons todos do firewall estavam escutando um socket IPv4. Sendo
assim, ao modificar o valor desta opo, a GUI dever mostrar um aviso ao
administrador dizendo: This setting will be fully functional only after the next firewall
reboot.

Aker Security Solutions

685

36.4.2.

Dinmico

Figura 456. Roteamento dinmico.

O Roteamento Esttico normalmente configurado manualmente, a tabela de


roteamento esttica, as rotas no se alteram dinamicamente de acordo com as
alteraes da topologia da rede, o custo de manuteno cresce de acordo com a
complexidade e tamanho da rede e est sujeito falhas de configurao.
O Roteamento Dinmico a divulgao e alterao das tabelas de roteamento de
forma dinmica, no tem a interveno constante do administrador, as tabelas so
alteradas dinamicamente de acordo com as mudanas na topologia da rede, ou
seja, o processo adaptativo e melhora o tempo de manuteno em redes grandes,
estando tambm sujeito falhas.
Nesta pasta so definidas as configuraes de Roteamento Dinmico. Ela consiste
nas seguintes opes:
Interface: O enlace utilizado para alcanar o prximo roteador da rota de destino.
Protocolos: Pode-se optar entre o protocolo RIP e o OSPF.
RIP: O protocolo RIP (Routing Information Protocol) foi o primeiro protocolo de
roteamento padro desenvolvido para ambientes TCP/IP. O RIP um protocolo de
Aker Security Solutions

686

roteamento dinmico que implementa o algoritmo vetor de distncia e se caracteriza


pela simplicidade e facilidade de soluo de problemas. Em seu mtodo, os
equipamentos so classificados em ativos e passivos. Roteadores ativos informam
suas rotas para outros e passivos apenas escutam e atualizam suas rotas baseadas
nas informaes recebidas, mas no informam. Normalmente, os roteadores usam
RIP em modo ativo e as estaes (hosts) em modo passivo. O RIP transmite sua
tabela de roteamento a cada 30 segundos. O RIP permite 15 rotas por pacote;
assim, em redes grandes, so exigidos vrios pacotes para enviar a tabela de
roteamento inteira. A distncia ao destino medido pelos roteadores que se passa
at chegar ao destino.
Vantagens: Em redes pequenas no despende muita largura de banda e tempo de
configurao e gerenciamento e de fcil implementao;
Desvantagens: Convergncia lenta para redes de tamanho mdio ou maior;
Existncia de loops e contagem ao infinito; Limitaes do nmero saltos por
caminho (15) e Limitao de mtrica.
OSPF: O protocolo OSPF - Open Shortest Path First a alternativa para redes de
grande porte, onde o protocolo RIP no pode ser utilizado, devido s suas
caractersticas e limitaes.
O OSPF permite a diviso de uma rede em reas e torna possvel o roteamento
dentro de cada rea e atravs das reas, usando os chamados roteadores de borda.
Com isso, usando o OSPF, possvel criar redes hierrquicas de grande porte, sem
que seja necessrio que cada roteador tenha uma tabela de roteamento gigantesca,
com rotas para todas as redes, como seria necessrio no caso do RIP. O OSPF
projetado para intercambiar informaes de roteamento em uma interconexo de
rede de tamanho grande ou muito grande, como por exemplo, a Internet.
O OSPF eficiente em vrios pontos, requer pouqussima sobrecarga de rede
mesmo em interconexes de redes muito grandes, pois os roteadores que usam
OSPF trocam informaes somente sobre as rotas que sofreram alteraes e no
toda a tabela de roteamento, como feito com o uso do RIP. Sua maior
desvantagem a complexidade, pois, requer planejamento adequado e mais difcil
de configurar e administrar do que o protocolo RIP.
A suas vantagens so: Maior velocidade de convergncia suporte a vrias
mtricas, caminhos mltiplos, sem loop nem contagem ao infinito e sincronismo
entre os bancos.
As suas desvantagens so: Complexidade no gerenciamento e implementao.
Custo OSPF: O custo OSPF tambm chamado de mtrica, ou seja, a mtrica
expressa como um valor de custo. O melhor caminho possui o custo mais baixo,
sendo tipicamente o de maior largura de banda. o custo da rota para se chegar
em um determinado lugar.
Velocidade OSPF: a velocidade do link, ou seja, a velocidade da conexo entre
dois roteadores que informada em kbits/seg.
Aker Security Solutions

687

rea OSPF: rea a designao atribuda a um subconjunto dos roteadores e


redes que constituem o sistema autnomo e que participam numa instncia do
protocolo OSPF, isto , as rotas de uma rea no se propagam para as demais e
vice versa. Verifica cada rea e rota de modo a privilegiar as rotas de menor custo e
com o mesmo destino.
Logar rotas adicionadas e removidas: Ao selecionar essa opo as rotas
adicionadas e removidas sero exibidas na lista de eventos.
Redistribuir: nessa opo so escolhidas as rotas que sero informadas para os
outros
roteadores.
Rotas Locais: So Rotas localmente conectadas, correspondem s sub redes
configuradas nas interfaces de redes.
Rotas de Outros Protocolos: Ao selecionar essa opo as rotas redistribudas
sero aquelas determinadas pelos protocolos RIP e o OSPF. Haver uma troca de
informaes na comunicao entre eles, ou seja, o que foi aprendido por um
protocolo ser informado pelo outro e vice versa.
Rotas Estticas: As rotas estticas so explicitamente configuradas pelo
administrador, ou seja, rotas fixas pelos quais os dados sero transmitidos na aba
Rotas dessa mesma janela.

Filtrar redes distribudas e recebidas


Ativando esta opo devem-se selecionar quais as redes e hosts deseja-se receber
e distribuir novas rotas atravs dos protocolos RIP e/ou OSPF. Atravs deste filtro
desconsideram-se as informaes que no so necessrias para nosso ambiente e
tambm assim no informado aos outros roteadores rotas de redes que no so
utilizadas pela Aker.

Aker Security Solutions

688

RIP

Figura 457. Roteamentoavanado (RIP).

Autenticao e verso RIP


Essa opo permite escolher a forma de autenticao do protocolo. Recomenda-se
a escolha do RIPv2 com MD5, pois a forma mais segura de autenticao. O
protocolo enviar todo o seu trfego com segurana aps a autenticao.
Caso essa opo no seja escolhida existe, um grande risco do canal de
comunicao ser interceptado ou violado, ou seja, no garantido que a
autenticidade ou a integridade sejam mantidas.
RIPv1: Sem autenticao. So enviados apenas os dados.
RIPv2: Sem autenticao. So enviados apenas os dados.
RIPv2 com senha: Tem autenticao com senha. So enviados os dados e o
segredo.
Aker Security Solutions

689

RIPv2 com MD5: Autenticao com MD5. So enviados os dados juntamente com
uma assinatura digital que contm dados mais o segredo.
Senha RIP: Nesse campo ser informada a senha relacionada com a autenticao
do protocolo.
Confirmao: Deve ser informada a senha, para que seja confirmada a senha rip.
Na opo Vizinhos RIP
Nesta opo so definidos quais roteadores e quais os protocolos que iro
comunicar-se entre si. apenas necessrio preencher esse campo em caso de
operao em modo passivo.
Desabilitar Separao Horizontal: Ao selecionar essa opo, desativa a omisso
do envio de rotas que passam pelo n que receber a mensagem, ou seja, no vai
evitar que um roteador RIP propague rotas para a mesma interface que ele
"aprendeu" e nem o loop entre estes ns.
Mtrica RIP: o valor de distncia da rede. A distncia pode ser medida, por
nmero de dispositivos que o pacote deve cruzar, tempo que leva da origem ao
destino ou por um valor associado a velocidade do link. Normalmente RIPD
incrementa a mtrica quando a informao da rede recebida. A mtrica das rotas
distribudas configurada em 1.
Atualizar o temporizador: O tempo de atualizao padro de 30 segundos. Cada
vez que ele expira, o processo RIP acordado para enviar uma mensagem no
solicitada, contendo a tabela de roteamento completa para todos os roteadores RIP
vizinhos.
Temporizador de timeout: Aps a expirao do timeout, o roteador considerado
fora de funcionamento; entretanto, mantida por um breve perodo a informao
desse roteador na tabela de roteamento, para que os vizinhos possam ser
notificados que ele foi removido. O tempo de timeout padro de 180 segundos.
Temporizador do coletor de lixo: o tempo que o firewall leva para considerar
uma rota expirada. Se passar esse tempo sem que o outro roteador informe
novamente a rota, ela removida automaticamente.

Aker Security Solutions

690

OSPF

Figura 458. Roteamento avanado (OSPF).

Mtodos de autenticao OSPF


Essa opo permite selecionar uma forma de autenticao mais segura na troca de
informaes entre roteadores, evitando ataques a esses roteadores. Recomenda-se
a escolha do MD5, pois a forma mais segura de autenticao. O protocolo enviar
todo o seu trfego com segurana aps a autenticao.
Caso essa opo no seja escolhida existe, um grande risco do canal de
comunicao ser interceptado ou violado, ou seja, no garantido que a
autenticidade ou a integridade sejam mantidas.
Nenhum: No tem autenticao.
Simples: Chave em claro.
MD5: Hash da chave e dos dados.
Chave: o segredo que ser utilizada na autenticao OSPF.
Id da chave: Identifica qual a chave que est usando.
Aker Security Solutions

691

Definio ABR
Ao selecionar alguma das opes abaixo, opta-se em definir como o protocolo
OSPF distribuir as rotas entre os roteadores.
Padro
CISCO
IBM
Ativar compatibilidade com RFC 1583: Ao selecionar essa opo opta em se
utilizar um padro mais antigo.
A RFC2328 a sucessora da RFC1583, e sugere que, de acordo com a seo
G.2 na seo 16.4 mudanas no caminho no algoritmo de preferncia que previnem
possveis loops de roteamento que poderiam acontecer ao utilizar a verso antiga
de OSPFv2. Mais especificamente ela demanda que as rotas da inter-rea e os da
intra-rea so de iguais preferncias, embora ambos prefiram rotas externas.
ID da Roteador: Endereo ID que identifica o roteador no processo OSPF, ou seja,
contm a identificao numrica do roteador que originou o pacote.
Intervalo morto: Perodo mximo em segundos desde o ltimo recebimento de um
pacote hello, antes de o roteador considerar o seu "vizinho" como no acessvel. O
valor padro de 40 segundos.
Intervalo do "Hello": O intervalo em segundos entre as transmisses do pacote
hello. Configurando este valor, os pacotes hello sero enviados periodicamente de
acordo com o tempo especificado na interface. Este valor deve ser o mesmo para
todos os roteadores existentes na rede. O valor padro dez segundos.
Intervalo de retransmisso: Este valor usado quando, a base de dados de
descrio e os pacotes de requisio de estado de link so retransmitidos. O valor
padro de 5 segundos.
Prioridade: Ao configurar um valor de prioridade mais alto, o roteador ter maiores
chances de se tornar o roteador designado, ou seja, o roteador que ser
considerado vizinho de todos os demais roteadores da rede. Configurando o valor
para 0, o roteador no ser mais a rota prefervel. O valor padro 1.

Aker Security Solutions

692

36.4.3.

Avanado

Figura 459. Roteamento avanado.

Esta configurao permite a utilizao de rotas por origem e o balancemanto de link


por rotas, onde possvel direcionar o trfego de rede para um determinado
gateway a partir de sua origem e ainda balancear este trfego em at 3 links
diferentes. No possvel configurar rotas por origem pela tabela de roteamento
Geral, por esse motivo as regras criadas aqui tm maior prioridade.
Para realizar com sucesso esta configurao, necessrio cadastrar as entidades
de origem, destino e servio antes do incio do processo. Este cadastramento pode
ser feito tanto na interface grfica do Aker Control Center como no modo texto
utilizando o comando fwent no console do Aker Firewall.
Abaixo segue alguns exemplos de configuraes:
Teste da funcionalidade balanceamento de link por rota:

Aker Security Solutions

693

Laboratrio

Figura 460. Exemplo de laboratrio de teste balaceamento de rotas.

Testes e configuraes
Configuraes do FW A:

Figura 461. Teste e configuraes NAT exemplo A.

Aker Security Solutions

694

Figura 462. Teste e configuraes Balanceamento de link exemplo B.

Via linha de comando:


fwadvroute inclui 1 -src 192.168.0.0/255.255.255.0 -dst 172.16.21.0/255.255.255.0 bal 1 2 3
Configuraes do FW B:

Figura 463. Teste e configuraes NAT exemplo B.

Figura 464. Teste e configuraes Balanceamento de link exemplo B.

Aker Security Solutions

695

Figura 465. Roteamento.

Via linha de comando:


fwadvroute inclui 1 -src 172.16.21.0/255.255.255.0 -dst 192.168.0.0/255.255.255.0 bal 1 2 3
Esta configurao faz com que todo o trfego entre as redes 192.168.0.0/24 e
172.16.21.0/24 seja balanceado pelos 3 links.
Utilizando a interface Shell:
Localizao do programa: /aker/bin/firewall # fwadvroute ajuda
Aker Firewall - Versao 6.5 (HW)
Uso: fwadvroute ajuda
fwadvroute mostra
fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc <svc_ents>]
{ -gw <gw_ent> | [-P] -bal <link1> <link2> ... }
fwadvroute remove <pos>
fwadvroute < habilita | desabilita > <pos>
fwadvroute refresh
Os parmetros so:
pos: posio da regra na tabela (a partir de 1);
src_ents : Entidades origem (rede/maquina/conjunto);
dst_ents : Entidades destino (rede/maquina/conjunto);
svc_ents : Entidades servio (servico);
gw_ent : Entidade gateway (maquina);
linkN : Nomes dos links para balanceamento (veja 'fwblink mostra');
Aker Security Solutions

696

-P : Persistncia de conexo.

A seguir, sero demonstrados alguns exemplos prticos das sintaxes utilizadas


nesta configurao:
Obs: Os nomes das entidades utilizadas nos exemplos so apenas nomes de
demonstrao para facilitar a compreenso.
Sintaxe: fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc
<svc_ents>] -gw <gw_ent>
Cria e/ou define uma rota especificando a posio, origem, servio (caso haja),
destino e o gateway desejado.
Exemplo: fwadvroute inclui 1 -src "rede interna" -dst host1 -gw server1
Note que para indicar a entidade "rede interna" foi utilizada aspas, pois, nomes
de entidades que contenham mais de uma palavra devem estar sempre entre
aspas.
Caso o espao para indicar o servio a ser utilizado estiver vazio, sero
considerados todos os servios para esse roteamento.
Sintaxe: fwadvroute remove <pos>
Remove uma rota j criada indicando a posio da mesma.
Exemplo: fwadvroute remove 1
Sintaxe: fwadvroute < habilita | desabilita > <pos>
Habilita ou desabilita uma rota indicando a posio da mesma.
Exemplo: fwadvroute habilita 1
No possvel configurar as rotas por origem pelo Control Center, esta
configurao feita apenas pelo console do Aker Firewall.

36.5.

Utilizando a interface texto nas Chaves de Ativao

possvel configurar as Chaves de Ativao pela interface texto.


Localizao do programa: /aker/bin/firewall/fwkey path
Path: Caminho completo do arquivo com a chave de ativao a ser substituda.
Aker Security Solutions

697

36.6.

Utilizando a interface texto na Configurao TCP/IP

possvel configurar os parmetros do TCP/IP pela interface texto.


Localizao do programa:/aker/bin/firewall/fwinterface
O programa interativo e as opes de configurao so as descritas abaixo:

Figura 466. Modo de configurao para interfaces de rede.

Analogamente a configurao da interface grfica, a interface texto possui 6 opes


conforme visualizado na figura acima.
Na janela abaixo possvel visualizar, configurar e desconfigurar uma interface de
rede

Aker Security Solutions

698

Figura 467. Configurao de Interfaces.

Na tela abaixo apresentada a opo de listar interfaces

Aker Security Solutions

699

Figura 468. Lista da interfaces de rede.

Para configurar uma interface deve-se digitar o nome da mesma. A tecla <enter>
retorna ao menu anterior

Aker Security Solutions

700

Figura 469. Mdulo de configurao para interfaces de rede.

Nesta tela apresentada a opo de cadastrar VLAN

Figura 470. Cadastro de Vlan.


Aker Security Solutions

701

Aps a digitao dos valores de configurao perguntado se deseja configurar


lias para a interface.

Figura 471. Configurao de interfaces.

Aps a digitao da Opo 2 da tela principal, possvel realizar a configurao de


rotas estticas.

Aker Security Solutions

702

Figura 472. Configurao de rotas estticas.

Aps as informaes terem sido digitadas perguntado se deseja gravar as novas


configuraes.

Figura 473. Configurao de rotas estticas entrada de dados.


Aker Security Solutions

703

Aps a digitao da Opo 3 da tela principal, possvel realizar a configurao dos


Servidores DNS.

Figura 474. Configurao de DNS.

Aps a digitao da Opo 4 da tela principal, possvel realizar a configurao da


rota padro.
A opo 5 da tela principal salva as novas configuraes.

Aker Security Solutions

704

Figura 475. Mdulo de configurao para interfaces de rede.

36.7.

Utilizando a interface texto na Configurao de Wireless

Esta opo configurada apenas pelo console do Aker Firewall e est disponvel
somente no Aker Firewall Box com suporte para conexo Wireless.
A seguir, sero demonstrados seus comandos e alguns exemplos de configurao:
Localizao do programa: /aker/bin/firewall/akwireless

Figura 476. Interface de texto na configurao Wireless.

Logo aps um comando, obrigatrio inserir os dados necessrios quando o


espao para inser-los estiver entre os sinais "< e >" (menor que, e maior que). Caso
Aker Security Solutions

705

este espao estiver entre os sinais "[ e ]" (colchetes), ser facultativo a insero dos
mesmos.
Vrios desses comandos so auto-explicativos, por este motivo ser enfatizada s
particularidades dos comandos mais importantes:
akwireless cria_interface <interface> <sta | adhoc | ap | monitor | wds | ahdemo>
<b:g> = cria uma interface.
Sintaxe: wireless cria_interface ath0 ap g
Dentre os modos existentes, o mais utilizado o "AP" (Modo Master), que permite
outras mquinas se conectarem nele.
Existem vrios protocolos como A, B, G, N, porm, apenas os protocolos B e G so
suportados pela Aker.
As interfaces wireless so definidas por "ath", logo, caso existam 3 interfaces
listadas,estas sero definidas por: ath0, ath1 e ath2.
akwireless destroi_interface <interface> = destroi uma interface.
Sintaxe: wireless destroi_interface ath0
akwireless muda_protocolo <inteface> <b:g> = altera o protocolo a ser utilizado.
Sintaxe: wireless muda_protocolo ath0 g
Cabe ressaltar que a placa wireless suporta apenas um protocolo para todas as
interfaces.
akwireless lista_interface [interface] = mostra todas as interfaces listadas.
Sintaxe: wireless lista_interface
Caso queira listar uma determinada interface, basta defin-la na frente do comando.
akwireless muda_modo <interface> <sta | adhoc | ap | monitor | wds | ahdemo> =
altera o modo a ser utilizado.
Sintaxe: wireless muda_modo ath0 ap
akwireless muda_SSID <interface> <SSID> = criar/alterar nome da rede wireless.
Sintaxe: wireless muda_SSID ath0 rede1

Aker Security Solutions

706

akwireless wep_chave <interface> <indice> <chave> = habilitar autenticao WEP


com ndice e chave indicados.
Sintaxe: wireless wep_chave ath0 1 12345
akwireless wep_chave_indice <interface> <indice> = altera o indice corrente.
Sintaxe: wireless wep_chave_indice ath0 1
Pode-se criar at 4 chaves em ndices diferentes.
akwireless wpa1_chave <interface> <chave> <arq> = habilita autenticao WPA1
com a chave e o arquivo de configurao indicados.
Sintaxe: wireless wpa1_chave ath0 123456789 wpa1.conf
Pode-se obter configuraes avanadas modificando o arquivo de configurao
citado acima.
akwireless wpa2_chave <interface> <chave> <arq> = habilita autenticao WPA2
com a chave e o arquivo de configurao indicados.
Sintaxe: wireless wpa2_chave ath0 123456789 wpa2.conf
Pode-se obter configuraes avanadas modificando o arquivo de configurao
citado acima.
akwireless sem_chave <interface> = desabilitar autenticao.
Sintaxe: wireless sem_chave ath0
akwireless escolhe_lista_mac <interface> black : white <mac_arq> = habilitar a
filtragem de Mac.
Sintaxe: wireless escolhe_lista_mac ath0 white white.conf
Black: lista de macs que no podero se conectar no Firewall.
White: lista dos nicos macs que podero se conectar ao Firewall.
akwireless add_mac <interface> <mac> = adicionar um Mac na lista.
Sintaxe: wireless add_mac ath0 00:13:20:3A:11:5B
akwireless del_mac <interface> <mac> = deletar um Mac da lista.
Sintaxe: wireless del_mac ath0 00:13:20:3A:11:5B
Aker Security Solutions

707

akwireless lista_mac <interface> = listar os Mac adicionados.


Sintaxe: wireless lista_mac ath0
akwireless limpa_lista <interface> = deleta todos os Macs listados.
Sintaxe: wireless limpa_lista ath0
akwireless lista_autenticacao |interface| = listar os tipos de autenticao de cada
interface.
Sintaxe: wireless lista_autenticacao ath0
akwireless muda_canal <interface> |channel| = alterar o canal da interface.
Sintaxe: wireless muda_canal ath0 3
Para mostrar os canais disponveis, basta utilizar este comando sem indicar o canal.
akwireless lista_usuarios_conectados <interface> = Mostra os usurios que
esto conectados.
Sintaxe: wireless lista_usuarios_conectados ath0
Esta configurao feita apenas pelo modo texto, no console do Aker Firewall e
est disponvel somente no Aker Firewall Box com suporte para conexo wireless.
36.8.

Utilizando a interface texto na Configurao de DDNS

Esta opo configurada apenas pelo console do Aker Firewall e est disponvel
somente no Aker Firewall Box com suporte para conexo Wireless.
A seguir, sero demonstrados seus comandos e alguns exemplos de configurao:
Localizao do programa: /aker/bin/firewall/akddns

Aker Security Solutions

708

Figura 477. Exemplo de interface de texto na configurao DNS.

Logo aps um comando, obrigatrio inserir os dados necessrios quando o


espao para inser-los estiver entre os sinais < e > (menor que, e maior que). Caso
esse espao estiver entre os sinais [ e ] (colchetes), ser facultativo a insero dos
mesmos.
Vrios desses comandos so auto-explicativos, por este motivo ser enfatizada s
particularidades dos comandos mais importantes:
ddns server <servername> <servico> <dynamic_name> [login_server] [pwd_server]
= configura o servidor DDNS a ser utilizado pelo produto.
Sintaxe: ddns server members.dyndns.org dyndns2 meuhost.dyndns.org usurio
senha no comando, especifica-se o hostname do servidor onde se far a
atualizao, o protocolo a ser utilizado para isso (ex. dyndns2), o hostname a ser
atualizado, o login e a senha de atualizao.
ddns interface <interface> = monitora o IP de uma interface.
Sintaxe: ddns interface eth0Com esse comando, o IP dinmico a ser atualizado no
servidor ser o existente na interface fornecida (ex. eth0).
ddns gateway <tipo_gateway> <ip_gateway> <porta_gateway> [login_gateway]
[pwd_gateway] = monitora o IP de um gateway da rede
Sintaxe: ddns gateway linksys 10.0.0.1 80 usuario senha com esse comando, o IP
dinmico a ser atualizado no servidor ser o de um gateway (ex. modem) da rede.
Normalmente, seria o IP externo da rede. Para uma lista com os tipos de gateway
suportados, execute o comando ddns lista.
Aker Security Solutions

709

ddns web <url> [token] = monitora o IP fornecido em uma URL.


Sintaxe: ddns web meuip.meudominio.com.br "IP:"
Com esse comando, o IP dinmico a ser atualizado no servidor ser obtido a partir
de uma pgina web localizada na URL fornecida, aps o token configurado.
ddns ip <ip> = especifica um IP fixo a ser fornecido ao servidor DDNS
Sintaxe: ddns ip 200.140.230.137
Define um IP fixo para o seu hostname cadastrado no servidor DDNS.

36.9.

Configurao do Link 3G

O Aker Firewall traz para seus usurios duas novas funcionalidades no acesso
Internet. A partir de agora, a soluo UTM da Aker suporta conexo pelos modems
3G e redes wireless.
Essas funcionalidades foram desenvolvidas com o objetivo de possibilitar uma maior
mobilidade e facilidade no acesso Internet.
Conexo via modem 3G
O Aker Firewall permite que voc conecte um modem 3G em sua porta USB e essa
conexo passa a ser utilizada como um link de dados para acesso Internet. O 3G
pode ser de qualquer.
E possvel assim, proporcionar maior economia, alto desempenho e facilidade na
instalao para os usurios do Aker Firewall, pois os links 3G, alm de mais baratos
e rpidos, so fcies de se instalar, no necessitando de nenhum equipamento nem
cabos de rede.
Configurando o modem 3G
O procedimento de configurao dividido em duas partes:
1. Configurao dos drivers do modem;
2. Configurao do modem 3G no Aker Firewall.
Configurao dos drivers do modem:
Procedimento manual:
Execute o comando "config3g.sh". Sero listados todos os dispositivos USB
conectados ao firewall. Ao identificar o modem na lista de dispositivos USB que lhe
Aker Security Solutions

710

foi listado, os campos "product id" e "vendor id" devem ser preenchidos. Aps esse
preenchimento, o script ir configurar os drivers do modem corretamente.

Figura 478. Configurao de link 3G.

Procedimento automtico:
Execute o comando "config3gauto.sh". Automaticamente ser identificado o modem
da lista de dispositivos USB conectados.
Configurao do modem 3G no Aker Firewall
Neste passo, a configurao ocorre atravs da interface grfica na janela
"Configuraes do Sistema TCP/IP".
Na janela ir aparecer uma nova interface chamada 3G. Essa apenas uma
interface virtual que significa que existe um modem 3G configurado. Para configurar
uma interface real, clique com o boto direito na interface virtual 3G e opte pela
opo "Usar 3G".

Aker Security Solutions

711

Figura 479. Configurao 3G no Aker Firewall.

Ao realizar o procedimento acima ir abrir uma janela de configurao com os


seguintes campos:
"Nome do dispositivo";
"Ativar no boot": Efetuar a conexo automaticamente, aps ligar o Aker Firewall
BOX;
"Usar configurao DNS do servidor": Utilizar as configuraes de DNS,
fornecidas pela operadora do 3G;
"Usar rota Padro do Servidor": Utilizar como rota padro o link 3G (apenas no
caso da rota padro no ter sido configurada previamente);
"Servio 3G ativado sob demanda": Utilizar o link 3G apenas quando a rede
tiver necessidade de conexo com Internet. Quando no houver dados para
serem transmitidos ou recebidos a conexo do link 3G ser desativada;
"ID do produto:" J estar preenchido, deve mudar apenas se mudou o
modem;
"ID do vendedor:" J estar preenchido, deve mudar apenas se mudou o
modem;
"Caminho do arquivo de configurao do modem":
Existem trs opes j criadas:
TIM;
CLARO;
VIVO.
Aker Security Solutions

712

"Usar outro caminho:"


possvel usar um arquivo de configurao, criado pelo administrador do Aker
Firewall. Para utiliz-lo, basta especificar o caminho onde este arquivo est salvo.
Essa opo utilizada para o Aker Firewall suportar outros modelos de modems
e/ou outras operadoras, dando assim maior flexibilidade soluo.
Testando a conexo
Aps configurar a interface 3G, o Aker Firewall vai tentar discar para a operadora.
Esse procedimento pode no funcionar por problemas na operadora.
Para verificar se conexo foi efetuada com sucesso, observe a cor da interface
criada. Se tiver com uma cor clara quer dizer que o modem conectou normalmente,
se a cor for escura significa que houve algum problema. Repita o procedimento e,
se o problema continuar, contate o departamento de suporte da Aker Security
Solutions.

Aker Security Solutions

713

Configurando o Firewall em
Cluster

Aker Security Solutions

714

37.

Configurando o firewall em Cluster

Este captulo mostrar como configurar a tolerncia a falhas e o cluster cooperativo do


Aker Firewall.

37.1.

Planejando a Instalao

O que um sistema de tolerncia s falhas?


Quanto mais os computadores ganham espao nas empresas, nos escritrios e na
vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um
simples e bom motivo: nenhum usurio quer que a sua mquina pare de funcionar
ou que os recursos de rede no possam mais ser acessados. justamente a alta
disponibilidade que vai garantir a continuidade de operao do sistema na prestao
de servios de rede, armazenamento ou processamento, mesmo se houver falhas
em um ou mais de seus elementos.
Assim, alta disponibilidade hoje um assunto que interessa a um nmero cada vez
maior de usurios. Tornou-se um requisito fundamental para os sistemas que ficam
no ar 24 horas por dia, sete dias por semana, ou que no possam ficar fora do ar
por at mesmo alguns minutos. Afinal, paradas no planejadas podem
comprometer, no mnimo, a qualidade do servio, sem contar os prejuzos
financeiros.
Tolerncia s falhas nada mais que um agrupamento de recursos que fornece ao
sistema a iluso de um recurso nico. A maioria dos seus componentes, encontramse duplicados, desta forma, mesmo que um componente individual apresente falhas
o servio no comprometido. Para possibilitar a redundncia de recursos
necessrio um mecanismo de gerncia, de forma a tornar seu funcionamento
transparente.
O que um sistema Cooperativo?
No sistema de tolerncia s falhas foi falado a respeito de alta disponibilidade e de
agrupamento de recursos, mas no sistema cooperativo alm da alta disponibilidade
ocorre o balanceamento de carga entre os sistemas. No sistema cooperativo todos
os sistemas ficam ativos e se o peso entre eles for igual trataro de forma
balanceada as conexes e todos os processos entre eles.
Como trabalha a Tolerncia s Falhas do Aker Firewall?
A tolerncia s falhas do Aker Firewall composta por dois sistemas idnticos, ou
seja, duas mquinas com o mesmo Sistema Operacional, mesmas placas de rede e
com a mesma verso do Firewall, conectadas entre si. A exigncia de se usar o
Aker Security Solutions

715

mesmo sistema operacional se d pelo fato de poder aplicar correes atravs da


interface grfica e essas correes serem replicadas automaticamente de uma
mquina para a outra.
Alm de estarem conectadas entre si, o que deve ser feito por uma interface de
rede, necessrio que todas as placas de rede correspondentes das duas
mquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos
os firewalls tenham acesso s mesmas mquinas e roteadores.
Como trabalha o sistema Cooperativo do Aker Firewall?
Antes de tudo a diferena bsica da configurao do cluster cooperativo e do
failover est vinculada licena. A licena do cluster cooperativo faz com que a
convergncia de dois firewalls com pesos iguais seja de 50% para cada um, j a
licena do failover faz com que ocorra convergncia em apenas um dos firewalls.
O que so modos UNICAST e MULTICAST do sistema Cooperativo do Aker
Firewall?
No Aker Firewall em modo cooperativo, mais de um host - os nodos do cluster precisam receber os mesmos pacotes, para posteriormente cada um deles decidir
se de sua responsabilidade ou no. Como os switches no esto preparados
nativamente para isso, uma de duas tcnicas precisa ser empregada.
A primeira, chamada do modo unicast, implica em reconfigurar o switch para que ele
saiba que um determinado endereo ethernet (MAC) est em duas ou mais portas
simultaneamente, significando que ele deve copiar o pacote com esse endereo
destino em todas elas, e jamais aprend-lo como estando em uma porta apenas.
Nesse modo, todos os firewalls do cluster usam o mesmo endereo MAC. O nico
inconveniente desse modo que so raros os switches que o suportam.
A segunda, modo multicast, faz com que os firewalls de um cluster registrem um
endereo ethernet multicast em suas interfaces e respondam as chamadas de ARP
para o IP virtual com esse endereo. Se o switch no for configurado para limitar o
espalhamento de pacotes multicast, todos os pacotes destinados ao firewall sero
redistribudos em todas as portas, como se fossem pacotes broadcast. Para fazer
essa configurao, existem duas opes: ou o faz manualmente no switch, ou ento
utiliza o protocolo IGMP, onde cada firewall anuncia ao switch que membro do
grupo multicast correspondente ao endereo escolhido. Seu switch deve suportar
uma dessas duas opes. Alm disso, existem alguns roteadores que no
aprendem o endereo multicast ethernet da resposta ARP enviada pelo firewall.
Nesses casos, as entradas para o firewall devem ser adicionadas manualmente em
suas tabelas.
Existem implicaes srias de performance (flooding, por exemplo) e segurana
(requisio de associao IGMP por qualquer host da rede) no caso de cluster no
modo multicast. Todos os problemas podem ser evitados com corretas
Aker Security Solutions

716

configuraes nos switches. Tenha certeza que voc entende o funcionamento


desse modo antes de coloc-lo em funcionamento.
Quando o cluster estiver no ar, qualquer alterao feita nas configuraes de um
firewall atravs da interface grfica ser replicada automaticamente para o outro
firewall.

37.2.

Configurao do Cluster

Para que possa ser iniciada a configurao do Cluster, necessrio que


previamente exista uma licena de cluster e que j tenha sido aplicada no Firewall.
Para se ter acesso a janela de Configurao do Cluster deve-se:

Figura 480. Janela de acesso configurao do cluster.


Aker Security Solutions

717

Clicar no menu Configurao do Sistema na janela de Administrao do Firewall.


Clicar no item Configurao do Cluster.
Caso o usurio opte em configurar, dever clicar no boto "sim", e automaticamente
aparecer a seguinte tela:

Figura 481. Criar cluster.

Essa janela permite a criao de um novo cluster. O usurio dever preencher os


seguintes campos:
Nome: Nesse campo deve ser informado o nome do Firewall no cluster.
Peso: Esse campo indica o balanceamento do trfego. O administrador poder
escolher o valor mais apropriado.
Interface: Esse campo permite a escolha de uma entidade que representa uma
interface de controle do firewall. Essa entidade ser usada pelo firewall para
controle do cluster.
Boto Ok: Ao trmino da escolha das opes, deve-se clicar no boto Ok. Se a
licena tiver sido aplicada anteriormente, o cluster ser habilitado, caso tenha algum
problema, aparecer uma mensagem informando que no foi possvel habilit-lo.
Se a criao do cluster tiver sido feita com sucesso a interface grfica ser
desconectada para garantir que toda a configurao do firewall seja recarregada,
assim o usurio dever conectar novamente.
Aker Security Solutions

718

Caso o usurio deseje fazer alguma alterao nas configuraes do cluster criado,
dever acessar a Janela de Configurao de Cluster. Abaixo seguem as descries
dos campos:

Figura 482. Configurao do cluster configuraes gerais.

Informaes Gerais
Nessa parte da janela so mostradas informaes gerais do cluster criado.
Tipo de Cluster: Esta opo permite selecionar o tipo de cluster desejado ou
desabilit-lo.
Interface de Controle: Essa informao definida na hora da habilitao do
cluster, no podendo ser alterada posteriormente. Todos os seus outros membros
utilizaro essa mesma entidade.
Informaes dos Membros
Nessa parte da Janela mostra todas as informaes sobre os membros do cluster.
Aker Security Solutions

719

Identificao: Esse campo informa o ID do Cluster. gerado aleatoriamente, no


podendo ser alterado.
Nome: Indica o nome do firewall do cluster.
Peso: Esse campo indica o balanceamento do trfego. O administrador poder
escolher o valor mais apropriado.
Estado: Permite visualizar o status do cluster, se est ativado ou desativado
Interfaces
Nessa parte da janela permite a visualizao das caractersticas de configurao
das interfaces de rede dos membros do cluster. Essas caractersticas pertencem a
todos os membros, incluindo os ativados, desativados e os que vierem a ser
includos.
Interface: Nesse componente permite adicionar uma nova interface.
Virtual IP: o IP virtual que representa as mquinas do cluster para a rede atual.
Dever ser definido apenas nos casos de cluster cooperativos.
Modo: Esse campo informa o modo como os pacotes so redistribudos dentro de
um grupo de mquinas. O modo UNICAST o padro, mas pode ser alterado para
o modo Multicast ou Multicast com IGMP.
IP Multicast : As informaes contidas nesse campo, so alteradas de acordo com
o modo indicado/escolhido, mas s poder ser editado quando for escolhido o modo
multicast IGMP.
Mac: Esse campo indica o endereo fsico da placa de rede. Pode ser informado
quando o modo escolhido for o Multicast. Caso no
seja especificado o cluster,
vai ser utilizado o endereo que consta na placa, se for escolhido o modo Multicast
IGMP o MAC no
ser configurado, ou seja, no poder ser editado.
A opo de adicionar um IP virtual s vlida quando se tratar de cluster
cooperativo.
Observao: Deve haver no mnimo um membro ativo.
Nessa janela pode-se incluir um novo membro do cluster. Para inclu-lo, clique com
o boto direito do mouse no componente que mostra as informaes dos membros.
Clique no

, aparecer a seguinte janela:

Aker Security Solutions

720

Figura 483. Configurao do cluster adicionar membro.

Nessa janela preenche todas as informao do firewall que ser adicionado ao


cluster. Abaixo segue a descrio dos campos:
Informao da conexo
IP: o endereo IP do firewall a ser adicionado ao cluster.
Usurio: Usurio de administrao do firewall.
Senha: Senha do usurio administrador do firewall.
Informao do Firewall
Nome: Nome do Firewall no cluster
Peso: Esse campo indica o balanceamento do trfego. O administrador poder
escolher o valor mais apropriado.
Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum.
Podendo ser definido previamente qual status funcione (mestre ou escavo) ou
selelcionado a opo nenhum (para ser escolhido automaticamente).
Aker Security Solutions

721

O membro do cluster, tambm pode ser includo por meio do cone


na barra de ferramentas.

37.3.

presente

Estatstica do Cluster

A janela de estatstica do Cluster permite a visualizao das informaes de cada


n do cluster.
Para se ter acesso a janela de Estatstica do Cluster deve-se:

Figura 484. Janela de acesso Estatsticas do cluster.

Clicar no menu Informao na janela de Administrao do Firewall.


Clicar no item Estatstica do Cluster.
Aba Firewall 1
A janela possui dois tipos de informaes: as informaes estticas se referem ao
nome do nodo, o identificador e o peso. As outras informaes que constam na
Aker Security Solutions

722

janela so estatsticas do trfego de redes que permite, por exemplo, a visualizao


da quantidade de pacotes trafegados na rede.
Os valores so acumulativos, a cada segundo os dados so somados ao valor
anterior.

Figura 485. Estatsticas do cluster Firewall 1.

Aba Grfico
Esta janela permite a visualizao grfica das informaes referentes ao tratamento
dado, aos pacotes dos nodos, pelo Firewall. Esse grfico permite a visualizao de
at 8 nodos.
As informaes do trfego de cada nodo so mostradas em porcentagem. Esta aba
possui vrios tipos de filtros, permitindo ao usurio, para uma eventual comparao
de dados, filtrar informaes em percentual, das atividades de cada firewall.

Aker Security Solutions

723

Figura 486. Estatsticas do cluster Grfico.

37.4.

Utilizando a interface texto

A utilizao da interface texto na configurao da tolerncia s falhas bastante


simples.
Localizao do programa: /aker/bin/firewall/fwcluster
Sintaxe:
fwcluster [ajuda | mostra]
fwcluster interface_controle <if>
fwcluster peso <peso>
fwcluster <habilita | desabilita>
fwcluster <inclui | remove> <if> [maquina | -f]
fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast]
Aker Security Solutions

724

Ajuda do programa:
Firewall Aker - Verso 6.5
Uso: fwcluster [ajuda | mostra]
fwcluster interface_controle <if>
fwcluster peso <peso>
fwcluster <habilita | desabilita>
fwcluster <inclui | remove> <if> [maquina | -f]
fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast] (!) onde:
if : entidade interface
peso : peso deste firewall no cluster
maquina : endereco IP virtual a remover ou incluir (entidade maquina)
Exemplo 1: (mostrando a configurao)
Como efeito didtico ser explanada a topologia de uma rede com trs firewalls em
cluster e duas redes (rede 192 e rede 10).

Figura 487. Interface texto exemplo 1: mostrando a configurao da interface.

Antes que se inicie a montagem do cluster, primeiramente devem ser cadastradas


todas as interfaces, lembrando que diferente do cluster no firewall 4.5, aqui todos os
firewalls possuem endereos ip diferentes.

Aker Security Solutions

725

Exemplos: Firewall A - rl0 - if_externa - 10.0.0.1 Firewall B - rl0 - if_externa - 10.0.0.2


rl1 - if_interna - 192.168.1.1 rl1 - if_interna - 192.168.1.2
rl2 - if_controle - 172.16.0.1 rl2 - if_controle - 172.16.0.2
Firewall C rl0 - if_externa - 10.0.0.3
rl1 - if_interna - 192.168.1.3
rl2 - if_controle - 172.16.0.3
Em seguida crie uma entidade vitual para cada uma das placas, exceto para a
interface de controle, essas entidades tero valor igual para todos os firewalls do
cluster.
Exemplos: Firewall A - externa_firewall (ip 10.0.0.4) Firewall B - externa_firewall (ip
10.0.0.4)
interna_firewall (ip 192.168.1.4) interna_firewall (ip 192.168.1.4)
Firewall C - externa_firewall (ip 10.0.0.4)
interna_firewall (ip 192.168.1.4)
Para iniciar a configurao do cluster, crie primeiro a interface de controle:
/aker/bin/firewall/fwcluster interface_controle interface_cadastrada
Depois inicie o cadastro de cada uma das interfaces participantes do firewall:
/aker/bin/firewall/fwcluster inclui interface_cadastrada maquina_virtual_cadastrada
Defina o peso de cada Firewall, se no for definido, por padro ser aplicado peso 1
para todos:
/aker/bin/firewall/fwcluster peso numero_do_peso
Aps aplicar todas essas configuraes em todos os firewalls participantes, habilite
o cluster em cada um deles:
/aker/bin/firewall/fwcluster habilita
As mquinas do cluster no precisam ser iguais, mas as placas de rede sim.
Para o cluster failover utilize apenas 2 firewalls, j que apenas um responder por
todo o trfego.

Aker Security Solutions

726

Arquivos do Sistema

Aker Security Solutions

727

38.

Arquivos do Sistema
Este captulo mostrar onde esto localizados e para que so usados os arquivos
que fazem parte da verso 6.1 do Aker Firewall.

38.1.

Arquivos do Sistema

Neste tpico sero mostrados quais so e onde se localizam os arquivos do


sistema. Isto muito importante na hora de fazer os backups ou para diagnosticar
possveis problemas de funcionamento.
rvore de diretrios
/aker/bin/firewall - contm programas executveis e sub-diretrios
/aker/bin/firewall/x509 - contm os arquivos correspondentes aos certificados
X.509
/aker/bin/firewall/httppd - contm a raiz do sistema de arquivos do servidor
local HTTP do Filtro Web. No remova os arquivos j presentes neste diretrio.
/aker/config/firewall - contm os arquivos de configurao do firewall
/aker/bin/firewall/snmpd - contm o agente SNMP
/var/log - contm os arquivos de log e eventos do Aker Firewall
/var/spool/firewall - usado pelos proxies SMTP e POP3 para armazenar as
mensagens a serem enviadas
Programas executveis
Programas que podem ser executados pelos administradores do Aker Firewall
/aker/bin/firewall/fwadmin - Interface texto para administrao de usurios
/aker/bin/firewall/fwaction - Interface texto para configurao das aes do
sistema
/aker/bin/firewall/fwblink - Interface texto para configurao do balanceamento
de links
/aker/bin/firewall/fwkey - Interface texto para configurar chave de ativao do
sistema
/aker/bin/firewall/fwclient - Interface texto para a configurao do acesso dos
clientes de criptografia
/aker/bin/firewall/fwcluster - Interface texto para a configurao da tolerncia a
falhas
/aker/bin/firewall/fwcripto - Interface texto para configurao da criptografia e
autenticao <>
/aker/bin/firewall/fwedpwd - Interface texto para configurao das bases de
dados para autenticao local
/aker/bin/firewall/fwent - Interface texto para a criao de entidades

Aker Security Solutions

728

/aker/bin/firewall/fwflood - Interface texto para configurao da proteo contra


SYN flood
/aker/bin/firewall/fwids - Interface texto para a configurao do suporte a
agentes de deteco de intruso
/aker/bin/firewall/fwaccess - Interface